Günümüzde işletmelerin dijital altyapılarını bulut bilişim (cloud computing) teknolojilerine taşıması artık bir tercih değil, operasyonel verimlilik ve ölçeklenebilirlik için bir zorunluluk haline gelmiştir. Ancak, verilerin ve uygulamaların üçüncü taraf bulut sağlayıcılarında barındırılması, bilgi güvenliği yöneticilerinin zihninde çok önemli bir soruyu beraberinde getirir: "Verilerimizi buluta taşırsak ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) uyumluluğumuza ne olur ve buluttaki verilerimiz gerçekten güvende mi?"
Yaygın bir yanılgı, tüm sistemleri buluta taşımanın bilgi güvenliği sorumluluğunu da tamamen bulut sağlayıcıya (AWS, Microsoft Azure, Google Cloud vb.) devrettiği yönündedir. Oysa gerçekte bulut, BGYS kapsamını ortadan kaldırmaz; aksine risk profilini değiştirerek yeni ve daha karmaşık güvenlik gereksinimleri ekler. Bu rehberde, ISO 27001 standartlarının bulut bilişim ortamlarında nasıl uygulanacağını, paylaşılan sorumluluk modelini ve bulut güvenliği standartlarını detaylı olarak ele alacağız.
Bulut Ortamında Paylaşılan Sorumluluk Modeli (Shared Responsibility Model)
Bulut güvenliğinin temel direği "Paylaşılan Sorumluluk Modeli"dir. Bu model, hangi güvenlik kontrollerinin bulut hizmet sağlayıcısına (CSP), hangilerinin ise hizmeti alan kuruma (müşteriye) ait olduğunu net bir şekilde tanımlar.
Genel olarak sorumluluk paylaşımı şu şekildedir:
- Bulut Sağlayıcısının Sorumluluğu (Security of the Cloud): Fiziksel veri merkezlerinin güvenliği, sunucu donanımları, sanallaştırma katmanı ve küresel ağ altyapısının korunması bulut sağlayıcısının sorumluluğundadır.
- Müşterinin Sorumluluğu (Security in the Cloud): Bulut üzerinde barındırılan verilerin sınıflandırılması, kullanıcı erişim yetkilerinin yönetimi (IAM), veri şifreleme (encryption), işletim sistemi yamaları, ağ trafiği yapılandırması ve uygulama güvenliği tamamen müşterinin sorumluluğundadır.
Örneğin, verilerinizin barındırıldığı fiziksel diskin çalınmasını engellemek bulut sağlayıcısının göreviyken; zayıf bir şifre veya eksik yapılandırılmış bir erişim politikası nedeniyle verilerinizin internete sızmasını engellemek sizin sorumluluğunuzdadır. ISO 27001 denetimlerinde, sizin sorumluluğunuzda olan bu alanlardaki kontrollerin ne kadar etkin uygulandığı denetlenir.
ISO 27001 ve Bulut Güvenliği Standartları (ISO 27017 ve ISO 27018)
ISO 27001 genel bir bilgi güvenliği çerçevesi sunarken, bulut bilişime özgü riskleri ve kontrolleri daha derinlemesine ele almak için iki önemli kılavuz standart geliştirilmiştir:
ISO/IEC 27017: Bulut Hizmetleri İçin Bilgi Güvenliği Kontrolleri
ISO 27001'in Annex A kontrollerine ek olarak, bulut ortamlarına özel güvenlik kontrolleri tanımlar. Hem bulut sağlayıcıları hem de bulut müşterileri için rehber niteliğindedir. Paylaşılan sorumlulukların netleştirilmesi, sanal makinelerin izole edilmesi, bulut ortamlarındaki değişiklik yönetimi ve olay müdahale süreçlerini kapsar.
ISO/IEC 27018: Kamu Bulutlarında Kişisel Verilerin (PII) Korunması
Bulut ortamında işlenen kişisel verilerin (KVKK ve GDPR kapsamında) güvenliğine odaklanır. Verilerin sınır ötesi aktarımı, veri minimizasyonu, şeffaflık ve müşteri verilerinin reklam amacıyla kullanılmaması gibi katı kurallar içerir.
Bulut altyapısı kullanan bir kurumun ISO 27001 denetimlerinden başarıyla geçebilmesi için bu iki yardımcı standardın sunduğu kontrolleri de BGYS süreçlerine entegre etmesi büyük avantaj sağlar.
Bulut Sağlayıcılarının Değerlendirilmesi ve Seçimi
ISO 27001 standardı, dış kaynaklı hizmet sağlayıcıların (tedarikçilerin) güvenlik risklerinin yönetilmesini zorunlu kılar. Bir bulut sağlayıcısı seçerken şu unsurları titizlikle değerlendirmelisiniz:
- Güvenlik Sertifikaları: Seçtiğiniz sağlayıcının ISO 27001, ISO 27017, ISO 27018 ve SOC 2 gibi uluslararası güvenlik sertifikalarına sahip olup olmadığını doğrulayın.
- Veri Konumu (Data Residency): Verilerinizin fiziksel olarak hangi ülkelerdeki veri merkezlerinde depolandığını öğrenin. Özellikle KVKK (Kişisel Verilerin Korunması Kanunu) uyumluluğu açısından, kişisel verilerin yurt dışına aktarımı kurallarına dikkat edilmelidir. Türkiye'de veya AB sınırları içinde veri depolama seçenekleri sunan sağlayıcılar tercih edilmelidir.
- Hizmet Seviyesi Anlaşmaları (SLA): Veri erişilebilirliği, yedekleme sıklığı ve felaket kurtarma senaryolarına ilişkin taahhütleri inceleyin.
Kurumsal Bulut Güvenliği Yönetimi
Ankara'daki teknokent şirketleri, kamu yüklenicileri ve KOBİ'ler başta olmak üzere, bulut altyapılarını siber tehditlere karşı korumak ve ISO 27001 uyumluluğunu sağlamak isteyen tüm kuruluşlar için bütünleşik bir güvenlik yaklaşımı gereklidir. LeonX olarak sunduğumuz proaktif Yönetilen Hizmetler ile bulut altyapılarınızın her an güvende kalmasını sağlıyoruz.
Bulut ortamlarında kimlik kontrollerini sıkılaştırmak, veri sızıntılarını önlemek ve yasal uyumluluk süreçlerini eksiksiz yönetmek için uzman ekibimiz tarafından sunulan Bulut Güvenlik ve Uyumluluk Yönetimi çözümlerimizden yararlanabilirsiniz.
Bulut güvenliği altyapınızı güçlendirmek ve ISO 27001 uyumluluk sürecinizi desteklemek için hazırladığımız diğer önemli rehberlerimizi de inceleyebilirsiniz:
- Bulut ortamındaki kimlik ve erişim kontrolleri için: ISO 27001 Erişim Kontrolü
- Sistemlerinizdeki riskleri analiz etmek için: ISO 27001 Risk Değerlendirmesi
- BGYS kapsam sınırlarınızı çizmek için: ISO 27001 Kapsam Belirleme
- Bulut ağ altyapısının güvenliği için: ISO 27001 ve Ağ Güvenliği
- Bulut yedekleme stratejileri için: ISO 27001 ve Yedekleme Politikaları
- İç denetim süreçlerine hazırlık için: ISO 27001 İç Denetimi
- Denetçilerin sorabileceği sorular için: ISO 27001 Denetim Soruları
- Sertifikasyonun kuruma sağladığı tüm faydalar için: ISO 27001 Sertifikasyon Faydaları
- Siber olaylara müdahale süreçleri için: ISO 27001 ve Siber Güvenlik Olayları
- Standardın genel yapısı hakkında bilgi edinmek için: ISO 27001 Nedir?
Bulut mimarinizi ISO 27001 standartlarına uygun hale getirmek, risk analizlerinizi gerçekleştirmek ve güvenli bir bulut geçiş stratejisi oluşturmak için uzman kadromuzla dilediğiniz zaman iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
Bulut sağlayıcımızın ISO 27001 sertifikasının olması bizim de sertifikalı olduğumuz anlamına gelir mi?
Kesinlikle hayır. Bulut sağlayıcınızın sertifikası sadece onun kendi sorumluluğundaki altyapıyı (fiziksel veri merkezleri, donanımlar vb.) kapsar. Sizin bulut üzerinde çalıştırdığınız uygulamalar, sakladığınız veriler, erişim politikalarınız ve yönetimsel süreçleriniz denetçiler tarafından ayrıca değerlendirilir. Kendi BGYS belgenizi almak için kendi süreçlerinizi belgelendirmeniz şarttır.
Hibrit bulut (hybrid cloud) mimarilerinde ISO 27001 kapsamı nasıl belirlenir?
Hibrit bulut mimarilerinde kapsam hem yerel (on-premise) altyapınızı hem de kullandığınız bulut servislerini içermelidir. Risk değerlendirmesi yapılırken, verinin yerel sunuculardan buluta aktarım süreçleri, aradaki bağlantı güvenliği (VPN, MPLS vb.) ve her iki ortamdaki erişim kontrolleri bütünleşik bir şekilde ele alınmalıdır.
Buluttaki verilerimizi şifrelemek ISO 27001 için zorunlu mudur?
ISO 27001 standardı şifrelemeyi doğrudan "mutlak zorunluluk" olarak belirtmez; ancak risk değerlendirmesi sonucuna göre uygulanması gereken bir kontrol olarak ele alır. Bulut ortamlarında verilerin hem aktarım sırasında (in-transit) hem de depolanırken (at-rest) şifrelenmesi, veri sızıntısı risklerini minimize ettiği için denetçiler tarafından en temel gereksinimlerden biri olarak kabul edilir.
Sonuç
Bulut bilişim, kurumlara muazzam bir esneklik ve hız kazandırırken, bilgi güvenliği sorumluluklarını ortadan kaldırmaz. ISO 27001 uyumlu bir bulut altyapısı kurmak; paylaşılan sorumluluk modelini doğru anlamaktan, güçlü erişim kontrolleri uygulamaktan ve bulut sağlayıcılarını sıkı siber güvenlik kriterlerine göre denetlemekten geçer. Doğru yapılandırılmış bir bulut güvenliği stratejisi, kurumsal verilerinizi en üst düzeyde korurken dijital dönüşümünüzü güvenle tamamlamanızı sağlar.
