Bulut (cloud) Hizmetleri Hakkında
Bulut bilişim; sunucu, depolama, veri tabanı, ağ, yazılım vb. gibi bilgi işlem hizmetlerinin internet üzerinden sağlanmasıdır. İngilizce karşılığı “cloud computing” olan bulut teknolojisi, sanal sunucularda depolanan verilerinize istediğiniz her yerden ve tüm cihazlardan kolaylıkla erişmenizi mümkün kılar.
Bulut Hizmet Türleri
Hizmet türü türleri gün geçtikçe artıyor olsa da, karşılaştırılması gereken genellikle üç bulut hizmeti modeli vardır:
- Software as a Service (SaaS)
- Platform as a Service (PaaS)
- Infrastructure as a Service (IaaS)
ISO/IEC 27017 Nedir?
Bulut (cloud) hizmetlerinde güvenliği kapsayan bir ISO standartıdır. Bilgi güvenliği için uluslararası kabul görmüş ISO/IEC 27001 standardına dayanan ISO/IEC 27017, bulut bilişimle ilgili ek yönergeler sağlar.
ISO/IEC 27017, ISO/IEC 27002’nin mevcut güvenlik kontrolleri üzerine inşa edilen ve ISO/IEC 27002’de tanımlanmayan bulut hizmetler için daha geniş perspektifte ek güvenlik kontrolleri önermektedir.
ISO/IEC 27017, bulut hizmeti sağlayıcıları ve kullanıcıları için daha güvenli bir bulut tabanlı ortam oluşturmak ve güvenlik sorunları riskini azaltmayı hedefleme amacı için geliştirilmiş bir güvenlik standardıdır. Bilgi güvenliği yönetimi konusunda en iyi uygulama önerilerini sağlayan ISO/IEC 27000 standartlar ailesinin bir parçasıdır.
Bir diğer bulut güvenliğine yönelik ISO/IEC 27018 standardı ile ISO/IEC 27017 standardının en temel farkı, ISO/IEC 27018 Bulut hizmetlerindeki kişisel verilerin korunmasına yönelik kontrolleri yorumlarken, ISO/IEC 27017 ise temel bilişim güvenliği kontrollerini ele alır.
ISO/IEC 27017, bulut hizmetlerinin sağlanması ve kullanımı amacıyla bilgi güvenliği kontrolleri için yönergeler verir. Bu yönergeler:
- ISO / IEC 27002’de belirtilen ilgili kontroller için ek uygulama rehberi;
- Özellikle bulut hizmetleriyle ilgili olan uygulama rehberli ek kontroller.
ISO/IEC 27017 neden uygulanmalıdır?
Artan sayıda kuruluş bulut hizmetlere geçerken, temel zorluklardan biri, bulut hizmeti sağlayıcılarının (CSP) yanı sıra buluta geçiş yapan işletmelerin güvenlik ve gizlilik endişeleridir. Kurumsal güvenlik duvarının dışında konumlanan değerli kurumsal verilere karşı düzenlenen siber saldırılar domino etkisine neden olabilir ve birden fazla sorunu tetikleyebilir. Sonuç olarak, işletmeler bilgi sistemlerini korumak için riskleri stratejik olarak değerlendirmeli ve uygulanabilir güvenlik seçeneklerini araştırmalıdır.
Standart, varlık sahipliği, bir müşteri sözleşmesi feshedildiğinde varlıkların kaldırılması ve iade edilmesi, müşterinin sanal ortamının korunması ve ayrılması ve daha fazlası gibi bir dizi konuyu kapsar. Bulut veri ihlali riskinin artmasıyla birlikte, sizin ve kuruluşunuzun bir bulut hizmeti sağlayıcısı ve / veya bir bulut hizmeti müşterisi olarak bu riskleri denemek ve azaltmak için en iyisini yaptığını bilmek artık her zamankinden daha önemlidir.
ISO/IEC 27017, ISO/IEC 27001 ve ISO/IEC 27002 çerçevesinin temellerinden oluşturulduğundan, sertifika uluslararası uyumluluğu gösterir ve kuruluşunuzun hem bulut hizmeti sağlayıcıları hem de bulut hizmeti müşterileri için bulut içindeki risklere karşı yardımcı olur.
ISO/IEC 27017 Kimler içindir?
Her zamankinden daha fazla işletme müşterilere bulut tabanlı hizmetler sunmaktadır ve bu nedenle satın alma departmanları iş sürekliliklerinin olumsuz etkilenmemesi için bulut sunucularında depolanan verilerin güvenli olduğuna dair belgelendirme talep etmektedir. ISO/IEC 27017, bulut tabanlı ortamları korumaya ve olası güvenlik olayları riskini en aza indirmeye yönelik bir dizi yönergeler sunar.
Standart, aşağıdaki gibi konuları ele alır:
- Varlık sahipliği,
- Bulut hizmeti sağlayıcısının feshedilmesi durumunda kurtarma planları,
- Hassas bilgiler içeren varlıkların elden çıkarılması,
- Verilerin ayrılması ve depolanması,
- Sanal ve fiziksel ağlar için güvenlik yönetiminin planlanması.
Bulut tabanlı hizmetler sağlayan herhangi bir kuruluş, çevrimiçi e-posta sağlayıcılarından ve belge yönetim platformlarından bulut tabanlı uygulamalara ve araçlara kadar ISO/IEC 27017 sertifikasından yararlanabilir. Müşterilere, en katı bulut hizmetleri güvenlik standartlarını takip ettiğinizi ve öngörülemeyen sorunları yönetmek için süreçlere sahip olduğunuzu gösterir.
ISO/IEC 27017 sertifikasyonuna sahip olmanızın avantajları nelerdir?
Kuruluşunuz bulut hizmetleri sağlıyorsa, müşterileriniz verilerinin, belgelerinin, mesajlarının ve etkinliklerinin her koşulda korunduğuna dair güvence isteyecektir. Ayrıca, istedikleri zaman verilerini alıp taşıyabileceklerine dair kanıt isteyeceklerdir. ISO/IEC 27017 bulut standardı onlara bu güveni verir.
- Marka itibarı ve Pazar güveninin kazanımı,
- Operasyonel risklerin azaltılması,
- Rekabet avantajı,
- Veri ihlallerinin azaltılması,
- İş sürekliliğini sağlayan gizlilik kontrolleri,
- Gerekli yasal uyumluluklar,
- Risk yönetimi,
- Geliştirilmiş güvenlik kontrolleri,
- Tedarik zinciri kalitesi ve kontrolü.
ISO/IEC 27017’deki ek kontrolleri uygulayarak ve CFECERT tarafından harici olarak değerlendirilerek, kuruluşunuz bir bilgi güvenliği ihlali riskini azaltıyor ve gerek yerelgerekse hizmet verdiğiniz bölgede ki yasal düzenlemelere uymanızı sağlıyor.
