Bulut Teknolojilerindeki Siber Güvenlik
Bulut hizmetleri bugünün kuruluşunda ana akım haline geldi. Son zamanlarda iş teknolojisi manzarasını diğer tüm güçlerden daha fazla yeniden şekillendirdi. Aslında, bugün dijital iş yetenekleri sunan herhangi bir yeni nesil çözüm, neredeyse her zaman bulut platformlarında hizmet veriyor. Daha fazla kuruluş, sürekli genişleyen iş ihtiyaçlarını karşılamak için bulut teknolojileriyle yarışırken, güvenlik sorunu hala geride kalıyor.
Elbette bulut, dijital çağ için bir nimet olmuştur. Neredeyse sınırsız ölçeklenebilirlik, güvenilirlik, olağanüstü durumdan kurtarma , artıklık, bulut yerel hizmetleriyle yerleşik güvenlik ve tümü daha düşük maliyetle sunar. Sonuç olarak, yönetim kurulu odasında karar vericiler, bulut teknolojilerinin iş yapmanın sürekli değişen arazisinde gezinmek için sunduğu esnekliği takdir ediyor.
Ancak, AWS bulutunda barındırılan ve 106 milyon müşterinin çalınan verileri ve bir dizi dava ile sonuçlanan 2019 Capital One verilerinin hacklenmesi gibi olaylar , bulutun savunmasız altını gösteriyor. Bu tür olaylar, CISO'nun karşılaştığı veri ve mahremiyet, birlikte çalışabilirlik ve düzenlemeleri ve kısıtlamaları korumadaki zorlukları vurgulamaktadır. AB'nin GDPR'sinin gösterdiği gibi, dünya genelinde sıkılaşan bir veri güvenliği ortamı, işletmelerin bu tür güvenlik açıklarına sahip olması için çok az sarsılma alanı bırakıyor.
Bulut güvenliği zorlukları
CISO'lar için zorlukların listesi burada bitmiyor. Onlara uykusuz geceler yaşatan diğer bulut güvenliği zorlukları şunları içerir:
- Güvenlik, gizlilik sorunları ve uyumluluk ihlalleri için çoklu bulut görünürlüğünün olmaması ve tek bir pano bölmesi üzerinde kontrol
- Genel Bulut yerel hizmetleri entegrasyon sorunları
- Bulut platformları, kimlik doğrulama çerçevesi, güvenlik izleme ve olay korelasyonu vb. Genelinde tek bulut çalıştırma mimarisiyle çoklu bulut çelişkisi.
( Beceri ) boşluğuna dikkat edin
Tüm bu zorlukları aşan ortak bir konu var - yetenek faktörü. Yetenekli siber güvenlik uzmanları için pazar , talebin her zaman arz eğrisinin önünde olduğu sıkışık bir pazardır . Bu, bulut teknolojilerinin getirdiği değişen güvenlik ortamına aşina siber güvenlik uzmanları için daha da doğrudur.
İşletmelerde yapılan bir ESG - ISSA anketi, 2018 - 2019'da katılımcıların % 53'ünün kuruluşlarında sorunlu bir siber güvenlik becerileri eksikliği olduğunu bildirdi - son dört yılda her yıl artan bir istatistik. Aynı anket, siber güvenlik becerileri eksikliğinin kuruluşların % 74'ünü önemli ölçüde veya bir şekilde etkilediğini de ortaya koyuyor. Bulut ağ iletişimi ve geliştirme, DevOps ve kapsayıcı yönetimi alanlarında eğitimli personeldeki sıkıntı , ilgili bulut becerilerine sahip güvenlik uzmanları bulma sorununun temelini oluşturur. Geleneksel ve bulut ağlarını uyumlu bir ağ ortamıyla harmanlayan birleşik altyapıları yönetebilen beceriler.
Sonuç olarak, bu yetenek sıkıntısı şirketler üzerinde yüksek bir fiyat yaratır. Mevcut bulut güvenliği uzmanları için piyasada yeterli yetenek eksikliği, iş yükünün artması anlamına gelir ve sınırlı uzman havuzu üzerinde ek baskı oluşturur. Bu da insan hatası olasılığını, görevlerin becerilere göre yanlış hizalanma olasılığını ve tükenmişliği artırır. CISO'lar, deneyimli siber güvenlik uzmanlarını işe almak yerine yetenek açığını doldurmaları için genç çalışanları işe almaya ve eğitmeye de zorlanıyor .
Yüksek iş yükü, aynı zamanda, mevcut üyelerin, güvenlik teknolojilerini tam potansiyeline kadar tam olarak öğrenmek veya kullanmak için geri adım atamayacağı anlamına gelir. Stratejik düzeyde, siber güvenliğin zorunluluklara ve süreçlere uyum sağlamak için işletmeyle çalışma süresini de sınırlar. Siber güvenlik biriminin bu yalıtımı, sanki fiziksel ağlar üzerindeymiş gibi bulut ağında çalışan yalıtılmış güvenlik protokollerine dönüşür.
Yetenek savaşını kazanmak
Kuruluşlar, kısa, orta ve uzun vadede işe yarayan çok yönlü bir strateji kullanarak bu önemli işlev için yetenek sıkıntısını ele almalıdır. Siber güvenlik, özellikle bulut gibi yeni çağ teknolojilerinde, DevOps'ta bir geçmişi olan uzman, niş yeteneklere önem verir. Bu yeteneklerden bazıları bulut uzmanları ve yönetilen bulut hizmeti sağlayıcılarında bulunur. Bu firmalarla birlikte çalışmayı seçmek, işletmelerin çok aranan uzmanlığa erişimini sağlayabilir ve bu da yeteneklerin kurum içi gelişimini teşvik edebilir. Bu strateji, mevcut çalışanlara, güvenlik duruşundan veya üretkenlikten ödün vermeden, doğru becerileri anında elde etmeleri için zaman ve rehberlik sağlar. Bu süreç sırasında, sürekli yinelenen bir DevSecOps yaklaşımı benimsemek, hataların ortaya çıktıkça yakalanmasını ve düzeltilmesini sağlar, böylece güvenlik yalnızca uç noktalarda değil, süreç boyunca da var olur.
Orta vadede, kurum içi yetenek eğitimi ilgili beceri setleriyle değiştiremez. Bu yaklaşımın birçok doğal faydası vardır - mevcut çalışanlar, dışarıdan gelenlerin ustalaşmak için zaman ayırdığı kurumsal bilgileri sürdürür ve aktarır, yeni işe almaya kıyasla hem maliyet hem de zamandan tasarruf edilir. Ayrıca yeni bir çalışanın iç sistemler ve süreçler konusunda eğitilmesinde kaybedilebilecek verimlilikten tasarruf edilir.
Çalışanları kendi konfor bölgelerinin dışına çıkmaya motive etmek, bunun anahtarıdır. Çalışanlara beceri geliştirmenin faydalarını öğreten ve güçlü yönleri üzerinde çalışmalarına yardımcı olan işgücü içinde bir sürekli öğrenme kültürü geliştirerek. Bu, sertifikalar yoluyla beceri ve öğrenme kazanmak için kuruluştaki rollerini ve büyümelerini yeniden düşünmelerini sağlayacaktır.
Uzun vadede sektörün, siber güvenlik kurslarını sürekli değişen tehdit algısına karşı güncel tutmak için eğitim kurumlarıyla etkileşim kurmak için birlikte çalışması gerekiyor. Cybersecurity Ventures'a göre, siber güvenlik işsizlik oranı son sekiz yılda yüzde sıfır olarak kaldı ve beceri eksikliğinin 2021 yılına kadar 3,5 milyon boş pozisyonla sonuçlanması bekleniyor. Tüm BT işleri arasında, siber güvenlik mühendisleri en yüksek maaşı alan ve 2019'da en çok işe alınan kişilerdi Bu fırsat, kolejlere gelen yeni nesilleri bir kariyer olarak siber güvenlik ile ilgilenmeye çekecek. Gelecek kuşkusuz benimsemede herhangi bir kesinti olmadan bulut odaklı görünüyor, ancak bulutun muazzam potansiyeli ancak varoluşsal krizi hızlı bir şekilde ele alınırsa gerçekleştirilecektir.