Jurassic Park filmindeki o meşhur sahneyi hatırlayın: Çitler çalışıyor, güç var, her şey kontrol altında. Ta ki bir şeyler ters gidene kadar. Asıl panik, çitlerin yıkılmasıyla değil, operatörlerin kontrolü yeniden ele alamayacaklarını anladıkları an başlar. Günümüz siber güvenlik dünyasında da aynı senaryo yaşanıyor. Şirketler, bulut hizmetlerine, SaaS platformlarına ve üçüncü taraf sağlayıcılara o kadar bağımlı hale geldi ki, aslında kontrolün büyük kısmını kaybettiler. Peki, AWS veya Azure gibi bir dev hizmet kesintisi yaşadığında ne olur? Çoğu kuruluşun bunun için gerçek bir iş sürekliliği planı yok; sadece 'restorasyon varsayımları' var.
Yirmi yıl önce şirketler operasyonel yığınlarının büyük kısmına doğrudan sahipti. Bugün ise kritik iş yeteneklerini az sayıda sağlayıcıdan kiralıyorlar: kimlik yönetimi, altyapı, iletişim, ödemeler, iş birliği, müşteri operasyonları. Verimlilik kazanımları muazzam olsa da, aynı zamanda ciddi bir yoğunlaşma riski taşıyor. Bir sağlayıcıdaki kesinti, tüm ekosistemi etkileyebilir. İşte bu noktada dayanıklılık (resilience) bir uyumluluk egzersizi olmaktan çıkıp bir mühendislik problemi haline geliyor.
Geçmişte iş sürekliliği planlaması yerel kesintileri varsayıyordu: bir bina yanar, bölgesel veri merkezi çöker, bir fırtına ofisi etkiler. İnternet bağımlılığı yoktu. Artık tüm işletmeler sıkı sıkıya bağlı SaaS ve bulut ekosistemleri üzerine inşa edilmiş durumda. Operasyonel hayatta kalma, üçüncü tarafların sürekli kullanılabilirliğine bağlı. Şirketler verimlilik, otomasyon, entegrasyon ve ölçek için optimize edildi, ancak hayatta kalma için değil. Bu nedenle dayanıklılık, yıllık masa başı tatbikatları ve statik kurtarma planlarının ötesine geçmek zorunda.
Uzmanların Görüşleri
Gerçek dayanıklılık, rafta duran bir klasör değildir. Yılda bir kez yapılan bir atölye çalışması değildir. Altı ay önce değişmiş bir ortama yazılmış bir kurtarma belgesi değildir. Dayanıklılık, çevrenin sürekli olarak anlaşılmasıdır. Canlı telemetri, operasyonel görünürlük, bağımlılık farkındalığı, sürekli doğrulama ve değişen koşullara uyum sağlama yeteneği gerektirir. Jurassik Park'ta hayatta kalanlar, çevrenin tamamen kontrol edilebilir olduğunu varsaymayı bırakıp gerçekliğe uyum sağladıklarında başarılı oldular. Siber güvenlik de aynı değişimi yapmak zorunda.
Saldırganlar uyum sağlamaya devam edecek. Yapay zeka, çoğu yönetişim modelinin başa çıkabileceğinden daha hızlı ilerleyecek. Karmaşıklık, kontrol varsayımlarımızı aşmaya devam edecek. Hayatta kalan kuruluşlar, en yüksek çitlere sahip olanlar değil, kontrol kaybolduğunda bile çevrelerini yeterince derinlemesine anlayarak çalışmaya devam edenler olacak. Amaç kaosu ortadan kaldırmak değil, ona uyum sağlayacak kadar uzun süre hayatta kalmaktır. Çünkü dayanıklılık, kaosu önlemekle ilgili değildir; kaos içinde çalışmakla ilgilidir.
Nasıl Önlem Alınmalı?
Sonuç olarak, işletmelerin bulut ve SaaS bağımlılığını yeniden düşünmeleri gerekiyor. Restorasyon varsayımları yerine, 'Ya geri yükleyemezsek?' sorusuna cevap verecek mühendislik temelli dayanıklılık stratejileri oluşturmalılar. Bu, yedeklilik, çoklu sağlayıcı stratejileri, düzenli felaket senaryosu testleri ve sürekli izleme ile mümkün. Unutmayın, tıpkı Jurassic Park'ta olduğu gibi, hayat bir yolunu bulur. Bu, siber güvenlik dünyasında da geçerli.
Kaynak: csoonline.com