Keşke her zaman için bir dolarım olsaydı güvenlik pratisyenleri sıfır gün hakkında toplu olarak sohbet ettik – her seferinde en son güvenlik açığının tehlikeli doğasını tartıştık. Bu noktada sincap gibi güzel ve düzenli bir meblağ elde etmiş olurdum.
Saçlarımız alevler içinde daireler çizerek koşmak için ince bilenmiş bir yetenek geliştirdik. Bu, yönetmemiz veya bir sonuca varmamıza yardımcı olmamız gereken olayları düşündüğümüzde bazılarımızın kıkırdamasına neden olabilir. Ancak geçmişte işlerin nasıl yönetildiğini hatırlamak hala biraz acı veriyor.
Çoğu zaman güvenlik derslerimizi zor yoldan öğreniyoruz. Reaktif güvenlik, kelimenin tam anlamıyla, yıllarca endüstrinin varsayılan ayarıydı. Şu anda bile, korkunç derecede ters giden olaylara müdahale faaliyetleriyle ilgili hikayeler paylaşan CISO’larla sohbetlerim var. Kendinden geçmiş bir dikkatle dinliyoruz ama yine de apaçık ortada olan dersleri hiçbir zaman öğrenmiş gibi görünmüyoruz.
Güvenliğe reaktif bir bakış açısıyla yaklaşmak yerine, her zaman şu soruyu sorarak geleceği planlamalıyız: Ne ters gidebilir?
Felaket Kurtarma Planınızda Neler Var?
Yıllardır şirketler ve ülkeler – daha doğrusu hükümetler – operasyonları buluta taşımak için çok çalışıyor. Bu çok mantıklı … ta ki olmayana kadar. Son birkaç yılda bu kuruluşlar için olağanüstü durum kurtarma ve iş sürekliliği belgelerini okuduğumda, bazı yaygın temalar fark ettim.
Örneğin, ağ arızası durumunda herkes yerel elektronik mağazasına gidip yedek dizüstü bilgisayar satın alırdı.
Bunun sorunsuz bir şekilde ölçekleneceğinden eminim. Hay aksi, alaycı kadran 11’e ayarlandı.
Bu belgelerde sıklıkla listelenen başka bir senaryo, binaya çarpan bir meteordu. Planlayıcılardan hiçbiri, söz konusu felaket gerçekleşmiş olsaydı, yerel manzaranın herhangi bir yönde göz alabildiğine ıssız olacağı gerçeğini hiçbir noktada hesaba katmadı.
Planlarken Şunu Sorun: Ya Olsaydı?
Peki ya bir ülke sizinkini işgal ederse? Ya tamamen sebepsiz bir saldırı olursa? Bulut örneğiniz saldırganın ülkesinde barındırılıyorsa nasıl çalışırdınız? Sisteminizin böyle bir senaryoda hayatta kalacak güvenlik direncine sahip olacağından nasıl emin olabilirsiniz? Bu sorular felaket kurtarma ve iş sürekliliği planlarınıza dahil mi?
Ukrayna’daki savaş, bugün dünyadaki herhangi bir ülke için en kötü durum senaryolarının bir örneği olarak hizmet etti. Ruslar sınırı Ukrayna’ya geçmeden çok önce, çeşitli savaş zamanı durumları için çok sayıda “eğer” planlaması vardı. Dünyanın not alması ve bu soruları cevaplamaya başlaması gerekiyor.
Belki de küreselleşmeye yaklaşımımızdan bir geri çekilme zamanı gelmiştir. Dünyanın geri kalanıyla bağlantılarımızı koparmak zorunda kalırsak sistemlerimizi nasıl güvenilir bir şekilde çalıştırabileceğimize bakmalıyız.
Bu düşünce tarzı aşırı görünebilir, ancak diğer yüzlerce şirketle birlikte yerel elektronik mağazasında dizüstü bilgisayar satın almak için sıraya girmek şöyle dursun, bir meteor çarpmasına hazırlanmaktan çok daha gerçekçi.
Herhangi bir nedenle bir bulut sağlayıcısının İnternet bağlantısı kesilirse, fırtınayı savuşturmak için acil durum planınız ne olur? Elektrik hatlarına çarpan kamyonetlerden, sürekli değişen siyasi sorunlar nedeniyle başka ülkelere taşınmak zorunda kalan çip fabrikalarına kadar çeşitli tehditler karşısında uyanık olmalıyız.
Riski azaltmak ve güvenlik dayanıklılığımızı artırmak için stratejilerimizi oluşturmak, bu modern çağda karşı karşıya olduğumuz açık ve mevcut tehlikelerin ele alınmasına yardımcı olacak uzun bir yol kat edecektir.