Bulut uyumlulu?u, sekt?r y?nergelerine ve yerel, ulusal ve uluslararas? yasalara uygun olarak bulut kullan?m?n?n d¨¹zenleyici standartlar?na uymas?n? sa?lama sanat? ve bilimidir. Baz? yayg?n d¨¹zenleyici gereksinimler aras?nda Sa?l?k Sigortas? Ta??nabilirlik ve Sorumluluk Yasas? (HIPAA), ?deme Kart? Sekt?r¨¹ Veri G¨¹venli?i Standard? (PCI DSS) ve Gramm-Leach-Bliley Yasas? (GLBA) bulunmaktad?r.
Bir i?letme bulut ortam?na ge?meye karar verdikten sonra, bulut sa?lay?c?s?n?n Avrupa Genel Veri Koruma Y?netmeli?i (GDPR) veya ABD'deki HIPAA gibi yasalara uyumlu kalmas?na nas?l yard?mc? olaca??yla ilgilenmelidir. Bu, bulut ortam?na ge?tikten sonra de?il en ba?tan yap?lmal?d?r.
??letmeler bazen kendilerini daha planlama yapmadan ?ok ?nce bulut ortam?nda bulurlar ve bu da i?leri daha da karma??k hale getirir. Bulutun temel ilkelerinden biri, m¨¹?terinin bulut hizmetlerini kurmas?, de?i?tirmesi ve bulut hizmetlerinden ??kmas?n? kolayla?t?rmak i?in bir self servis aray¨¹z¨¹ne sahip olmas? gerekti?idir.
Ancak net olmayan ?ey, m¨¹?teri a??s?ndan bunu kimin yapaca??d?r. G?r¨¹n¨¹?e g?re, bug¨¹n bu herhangi biri olabilir. Tek gereken kurumsal bir kredi kart?d?r ve bir departman, verileri buluta koyarak hemen i?e koyulabilir. Bunun i?in kullan?lan terim yeni de?ildir. Buna g?lge BT ad? verilmektedir. Bu terim, bulutun ?zelliklerinden dolay? bug¨¹nlerde ?ok?a kullan?l?yor.
Bulut y?neti?imi
Y?neti?im, ¨¹st d¨¹zey y?neticiler ve y?netim kurulu taraf?ndan bir i?letmeye sa?lanan g?zetimdir. Bulut y?neti?imi, bu g?zetimin buluta olan bir uzant?s?d?r. Y?neti?im kritik ?nem ta??r. Y?neti?im olmadan, bulutu ve g¨¹venli?ini y?netmeyi ?ok zorla?t?ran i? hedefleri ve bu hedefler hakk?nda ?ok fazla cevaplanmam?? soru vard?r.
Bir ?irket buluta ge?meden ?nce, ama?lar?n?n ve hedeflerinin ne oldu?unu d¨¹?¨¹nmelidir. Ama?lar ve hedefler, ge?erli yasalar, d¨¹zenlemeler ve s?zle?meler taraf?ndan y?nlendirilmelidir. Yasal y?nlerin ?tesinde, bulut y?neti?imi, ?al??anlar? ?irketin ama? ve hedeflerine ula?mas?na yard?mc? olmak i?in do?ru yola y?nlendirir.
B¨¹y¨¹k hatalar, buluttaki i?leri karma??k hale getirerek kullan?c?lar?n i?lerini yapmas?n? engelleyebilir. Yap?lan hatalar bir ?irketi mahkemeye kadar bile g?t¨¹rebilir. Y?netim kurulu ve ¨¹st d¨¹zey y?netim, buluta ?zen ve dikkat g?stermelidir.
Yasalar ve Reg¨¹lasyonlar
Herhangi bir uyumluluk tart??mas?nda ilk konu yasad?r. ??letmeler ve avukatlar?, hangi yasalara uyulmas? gerekti?ini ele almal?d?r. Ayr?ca uyumsuzlu?un sonu?lar? konusunda da net olunmal?d?r. Yasalar tan?mland?ktan sonra, ge?erli yasa ve y?netmeliklere uymak i?in hangi g¨¹venlik kontrollerinin uygulanmas? gerekti?inin sorulmas? b¨¹y¨¹k ?nem ta??r.
GDPR gibi d¨¹zenlemeler, ki?isel bilgilerle ilgili olarak ?ok fazla g¨¹venlik gerektiriyor. GDPR y?netmeli?inin ayr?ca, d¨¹zenleme kapsam?ndaki verilerin nerede i?lenebilece?i ve saklanabilece?i konusunda ?ok ?zel k?s?tlamalar? bulunuyor. Bu, ?al??ma ?ekli nedeniyle bulutla ilgili olas? bir sorundur. Ancak, ?o?u bulut sa?lay?c?s?nda GDPR gereksinimlerini kar??lamak i?in kontroller uygulanabilir.
S?zle?meler, iki veya daha fazla taraf aras?ndaki resmi bir anla?may? tan?mlar. Bir ?irket bir s?zle?me yapt???nda, ?artlara uymak zorundad?r. ?artlara uyulmamas? ciddi mali cezalara neden olabilir.
Kredi kart? bilgilerini i?leyen veya depolayan bir kurulu?un, muhtemelen, ?deme Kart? Sekt?r¨¹-Veri G¨¹venli?i Standard?n?n (PCI-DSS) belirli ??elerini uygulamas?n? gerektiren kredi kart? ?irketleriyle bir anla?mas? vard?r.
Kredi kartlar?n? i?lemek i?in bir i?letme, 12 standart g¨¹venlik gereksinimini yerine getirme vaadi ile bir anla?ma imzalar. Gereksinimlerin uygulanmas? gereken seviye, bir y?lda ger?ekle?tirilen i?lem say?s?na ba?l?d?r.
Bir i?letme, m¨¹?terilerle yap?lan herhangi bir s?zle?menin, ?irketin bulutla neler yapabilece?ini veya yapamayaca??n? ana hatlar?yla belirtip belirtmedi?ini de kontrol etmelidir. Genel, ?zel, topluluk ya da herhangi bir t¨¹rde bulut kullan?l?yorsa, bunun uyumluluk ¨¹zerinde herhangi bir etkisi var m??
Bir?ok i?letme, g¨¹venlik kontrollerini uygulamak i?in temel olarak ISO 27001 veya NIST SP 800-53 gibi standartlar? kullan?r. Bir i?letme standart olarak ISO 27001'i kullanmaya karar verirse, ?irketin uygun kontrollerin yap?labilmesi i?in ?al??anlar? e?itmesi gerekir. Bunlar buluta kadar uzan?r. Asl?nda ISO, buluta ?zel kontrolleri izole etmi? ve bunlar? ISO 27017'de ele alm??t?r.
Yasalara, d¨¹zenlemelere ve s?zle?melere uygunluk d¨¹zeyini de?erlendirmenin bir yolu da denetim yapt?rmakt?r. Denetimler dahili ya da harici olarak yap?labilir. ??letmenin kendi denet?ileri taraf?ndan yap?lan bir dahili denetim, uygunluk d¨¹zeyini belirlemek i?in bir ?z de?erlendirme sa?lar. Bir dahili denetimin sonu?lar?, denet?iler vard?klar? sonu?larda ?nyarg?l? olabilece?inden, ?arp?t?lm?? gibi g?r¨¹lebilir.
Daha objektif bir g?r¨¹? sa?lamak i?in, bir i?letme ba??ms?z bir ¨¹?¨¹nc¨¹ taraf denetim firmas? taraf?ndan denetlenmeyi tercih edebilir. Burada bulutla ilgili olarak tart??t???m?z denetimler, bulut sa?lay?c?s? taraf?ndan yap?lan denetimlerdir.
?o?u bulut sa?lay?c?, kendi denetimlerini yapmalar? i?in m¨¹?terileri veri merkezlerine kabul etmez, bu nedenle ba??ms?z ¨¹?¨¹nc¨¹ taraf denetimlerine g¨¹veniriz.
Denetim raporlar?
Denetimin sonucu denetim raporunda yer al?r. Raporlar, Amerikan Yeminli Mali M¨¹?avirler Enstit¨¹s¨¹ (AICPA) taraf?ndan standartla?t?r?lm??t?r. °Õ¨¹³¾ i?letmeler SOC 2? denetim raporunu istemelidir. SOC 2? raporu, bulut sa?lay?c?lar? gibi hizmet kurulu?lar? i?indir. ?rne?in, ISO 27001 veya NIST Siber ³Ò¨¹±¹±ð²Ô±ô¾±°ì ?er?evesinde (CSF) tan?mlanan kontrollerle uyum durumlar?n? g?sterir. Kontroller, AICPA'n?n a?a??daki be? g¨¹ven hizmeti kriterine g?re de?erlendirilir:
Bu raporlar tip 1 veya tip 2 ?eklinde olabilir. Tip 1 raporu, kontrollerin herhangi bir andaki durumunu ve kontrollerin belirli bir uygunluk d¨¹zeyinde tasarland???n? ve kuruldu?unu g?sterir. Tip 2 raporu, kontrollerin operasyonel etkinli?ini ?rne?in alt? ay gibi belirli bir s¨¹re boyunca g?sterir.
Bir bulut m¨¹?terisi bu raporlar? istemelidir. Ancak bulut sa?lay?c?s?, i?leri hakk?nda hassas bilgiler i?erebilece?inden bunlar? sa?lamaya meyilli olmayabilir. Di?er bir se?enek, genel kullan?m ama?l? olarak tasarlanan bir SOC 3? raporudur. Bulut sa?lay?c?s?n?n i?iyle ilgili ?ok az bilgi i?erir. M¨¹?teriye, denet?inin bulut sa?lay?c?y? onaylay?p onaylamad???n? net bir ?ekiled g?sterir.
?lgili Makaleler
?lgili Ara?t?rmalar