Centreon, diğer ürünlerin yanı sıra SaaS modunda kullanıcı deneyimi izleme olanağı da sunar. Özel güvenliği olan bir ürün.
“Centreon’da siber güvenlik faaliyeti üç ana sütun etrafında organize ediliyor. Her şeyden önce, şirketin kendisinin güvenliği var; bu, bilgi sisteminin güvenliğinden sorumlu olan bir CISO ile oldukça geleneksel bir şekilde düşünülüyor. ama aynı zamanda örneğin tesislerimizin fiziksel güvenliği” diye açıklıyor Vincent Untz, teknik direktör yakın zamanda Centreon’a geldi.
Yine şirket için oldukça klasik olan ikinci sütun, ürünlerinin güvenliği ve dolayısıyla geliştiricileri tarafından üretilen kodun uzantısıdır. CTO şöyle devam ediyor: “CISO da bu konuyla ilgileniyor, ancak bu özellikle eğitimi ve geliştiricilerin en yaygın kusurlar ve hatalar konusunda bilinçlendirilmesini içeriyor”.
Ekiplerin korktuğu riskler arasında kusur veya kötü amaçlı kod içeren bir bağımlılığın kullanılması yer alıyor. Buna karşı korunmak için Centreon, tamamen güvenlik izlemeye adanmış bir ekibe güvenebilir: “Bu konulardan sorumlu birkaç geliştiricimiz var. Gerçekten kendilerini bilgilendirecekler, ancak aynı zamanda potansiyel olarak kötü niyetli veya savunmasız olanları tespit etmek için kod veya bağımlılık analizi araçlarını da kullanacaklar. Modüller”, Centreon’un bakımından sorumlu olduğu ürün sayısının azalması göz önüne alındığında bu yaklaşımın daha uygulanabilir olduğunu kabul eden Vincent Untz’u özetlemektedir.
Yeni faaliyetler, yeni sorumluluklar
Geriye dikkate alınması gereken üçüncü bir sütun kalıyor ve bu şirket için nispeten yeni: iki yıl önce piyasaya sürülen SaaS çözümünün müşterilerinin güvenliği.
“Orada üçüncü taraflarca kullanılan ve onların verilerini barındıran bir altyapının sorumluluğunu üstleniyoruz. Yani bunlar kişisel veriler değil, ancak müşterilerimiz için hâlâ stratejik olabilecek veriler.” Veri merkezlerini ve fiziksel sunucuları dahili olarak yönetmek zorunda kalmamak için Centreon, çözümünü bu konularda “yeterince sağlam” olduğu düşünülen AWS platformunda barındırmayı seçti.
“Ancak bu altyapı üzerinde yaptıklarımızı güvence altına almaktan sorumluyuz.” CISO da bu çevrenin güvenliğine dahil oluyor: “Zaten bu alana dahil olması gerekiyor, ancak aynı zamanda çözümü çalıştırma konusunda uzmanlaşmış ve güvence altına alma becerisine sahip bir ekibe de güveniyoruz. Bu, geliştirmeden başka bir iş, ancak Sonuçta geliştiriciler, CISO ve bu ekip birlikte çalışmalı.”
Sertifika yarışı
SaaS teklifine geçişin bir diğer yeni unsuru da sertifikasyon yarışıdır. Bulut mimarisinin ilk sertifikasını AWS’den aldığını iddia eden şirket için büyük bir proje. “Ancak bizim için devam eden büyük proje, SaaS çözümümüzü başlattığımızdan beri üzerinde çalıştığımız ISO27001 sertifikasını almak.”
ISO27001, bir bilgi güvenliği yönetim sisteminin uygulanmasına yönelik en iyi uygulamaları açıklayan, iyi bilinen bir uluslararası standarttır. Şirket için hem teknik hem de organizasyonel çaba gerektiren büyük bir proje, “ancak bunlar müşterilerimizin bize sormaya geldiği şeyler ve bu normal, aynı zamanda onlara güven veriyor. Bunu almak için çalışıyoruz.”
Siber güvenlik açısından Centreon, Anssi’nin savunmasız Centreon sunucularının tanınmış kötü niyetli bir grup tarafından kullanıldığını bildiren bir yayınının ardından 2021’de manşetlere çıktı. Burada firmayı suçlamak zor, söz konusu sunucular firmanın yayınladığı yazılımların açık kaynak ve desteklenmeyen versiyonlarını kullanıyordu. Vincent Untz olay sırasında görevde değildi ancak uyarı atışının gözden kaçmadığını düşünüyor. “Genel olarak iyi gitti ama iz bıraktı. Güvenliğin önemi ve bu konulara yatırım yapılması gerektiği konusunda o dönemdeki yönetimlere örnek oldu.”