Güvenlik Uygulamalarını Yeni Tehdit Ortamına Uyarlama

Sara Duffer:
Şimdi devam edeceğim ve doğrudan konuya dalacağım. Yani Amazon ve AWS'de güvenlikten ikiniz de sorumlusunuz. Bana, uyumlu kalmak için kullandığınız mekanizmalardan biraz bahseder misiniz?

Steve Schmidt:
Elbette. Bence başlamamız gereken şeylerden biri, tüm işletmelerin aynı olmaması. Bu, buradaki insanlar için açık. Ancak Amazon gibi büyük bir kuruluşu işlettiğinizde bazen bir şirketin içinde iş operasyonlarındaki farklılık şaşırtıcı oluyor. Riske karşı son derece toleranssız olan bazı kuruluşlarımız var, bazıları belirli durumlarda sınırları zorlamaya çok daha istekli. Bu, büyük ölçüde içinde bulundukları işe, işledikleri verilere vesaire bağlı. Tüm şirket genelinde, insanların güvenlik perspektifinden nasıl bir konumda olduğuna dair temel inceleme sağlayan ortak bir ölçüm kümesine sahip olmanın gerekli olduğunu gördük. Bunun yanı sıra, her kuruluş için özel risklerine hitap eden ve müşterilerinin emanet ettiği verileri, sahip oldukları bilgileri vesaire nasıl yönettiklerine yönelik tercihlerine göre şekillenen, iş temelli ve uyarlanmış raporlamalara da ihtiyaç duyuluyor.

Yine de ortak raporlama, bize bir tekdüzelik görünümü vermek için en önemli şey. Böylece gidip şirketin CEO'su Andy Jassy'den altında çalışan kişilere kadar herhangi biriyle konuştuğumuzda ortak bir dili paylaşabiliriz. Bu sayede, kuruluşun bir bölümünün diğerine kıyasla ne durumda olduğunu çok hızlı bir şekilde anlayabiliyoruz. En önemlisi bu yaklaşım, işleri gerektiği gibi incelemediğimiz yerlerdeki boşlukları bize gösteriyor çünkü kuruluşun bir bölümünde iyileştirme fırsatlarıyla ilgili belirli çıkarımlar yapmışken diğer bölümlerde henüz bu tür farkındalıklara ulaşmamış olabiliyoruz. Ayrıca kabul edelim, şirketteki tüm liderlerimiz rekabetçi. Dolayısıyla onları meslektaşlarıyla birlikte listeleyen ortak raporlamayı kullanmanız, aslen ilgilendiğimiz davranışları motive ediyor. İnsanları doğru yöne odaklıyor.

Chris Betz:
Bakın, kendime hoşgörüsüz demekten nefret etsem de AWS'de riske karşı hoşgörüsüzüz. Bu nedenle, işletmeye özgü ölçümler üzerinde gerçekten çok zaman harcayan kuruluşlardan biriyiz. AWS içerisinde bile aynı yaklaşımların bizim için işe yaradığını, rekabet doğasının ve kuruluşlar arasında bundan yararlanmanın inanılmaz derecede güçlü olduğunu görüyorum. Ayrıca iş birimleriyle çok sıkı bir şekilde uyuşmak da önemli. AWS'nin, diğer kurumların sahip olabileceği risk toleransına sahip olmadığını anlamak gerekiyor. Neyi önemsediğimizi anlamak ve bu iş ölçümlerinin işletmeyle sıkı bir şekilde uyumlu kalmasını ve iş inceleme süreçlerimizin bir parçası olarak görünmesini sağlamak da.

Sara Duffer:
Steve, CEO Andy Jassy ile konuştuğundan bahsettin. CEO'ya ve yönetim kuruluna güvenlikle ilgili güncellemeleri nasıl iletiyorsun?

Steve Schmidt:
CEO ile iletişim, ki bu benim açımdan Amazon'da birden fazla CEO'muz olmasından dolayı CEO'larla iletişimdir, o kişinin kuruluşunun işleyiş biçimine göre özelleştirilmeli. Örneğin Chris, AWS CEO'su ile haftalık toplantılar yürütüyor çünkü AWS'deki güvenlik temposu son derece hızlı. Tehditlere hemen yanıt vermemiz gerekiyor, çevremizdeki ortamda ne gibi değişiklikler olduğunu anlamamız gerekiyor. Dünya nasıl işliyorsa tepkilerimizi de buna uygun şekilde uyarlayabilmemiz gerekiyor. Ayrıca mağazacılık birimi CEO'su Doug Herrington ile çalışıyoruz ancak onun biriminde tempo biraz daha farklı. Aylık gözden geçirme gibi daha uzun aralıklı döngüler söz konusu olabiliyor.

Andy Jassy ise güvenlik incelemesi odaklı toplantılara üç ayda bir katılmayı tercih ediyor. Dolayısıyla her çeyrekte ona iki bölümlü bir rapor sunuyoruz: Biri zaman içinde tutarlılık gösteren ortak ölçümler ve raporlama bölümü, diğeri ise her seferinde değişen bir bölüm. Biz buna güncel olaylar diyoruz ve ikinci bölümde şu gibi sorulara odaklanıyoruz: Faaliyet gösterdiğimiz ortamda bizim için en önemli değişiklik ne? Ruslar şu anda Çinlilere kıyasla meselelere nasıl bakıyor? Şirketleri nasıl takip ediyorlar? İnsanlar sorunlara neden olmak için hangi yeni yöntemleri kullanıyor ve biz bunlara karşı nasıl hazırlanıyoruz ya da yanıt veriyoruz?

Yönetim kurulundan da bahsettin. Yönetim kurulumuz nispeten benzersiz. Pek çok şirketin yönetim kurulu, güvenlik kuruluşunun denetimini genellikle denetim komitesine ya da risk komitesine verir, özellikle de finansal kurumlarda. Amazon ise sadece güvenliğe odaklanan özel bir alt komite kurdu ve bu alt komitede yalnızca güvenlikle ilgilenen üç yönetim kurulu üyesi bulunuyor. Bu üyelerle düzenli olarak görüşüyoruz. Her çeyrekte Amazon'daki gelişmeler hakkında kapsamlı bir rapor alıyorlar ve tüm iş birimlerimizi gözden geçiriyorlar. Kurul üyeleri, tek seferde birkaç iş birimine odaklanmayı tercih ediyor ve ona göre seçim yapıyor. Bu da biraz şans oyunu gibi, gözden geçirilecek sıradaki iş biriminin seçimi yani.

Yine raporun sonunda güncel gelişmeler bölümü yer alıyor çünkü ortak ilgi alanımız hâlen aynı: Şu anda neredeyiz, nereye gidiyoruz, çevremizde neler değişiyor ve nasıl evrilmemiz gerekiyor? Hem bence, dünyada bir şeyler değiştiğinde yönetim kurulunun bu değişimin nasıl yönetildiği hakkında çok kısa süre içinde bilgilendirilmesi, müşterilerimizi doğru şekilde koruma konusundaki yetkinliğimizi sürdürmemiz açısından son derece önemli.

Sara Duffer:
Chris, ekleyeceğin bir şey var mı?

Chris Betz:
Üç ek düşüncem var. İlk olarak, hem Andy ve diğer CEO'larla yaptığımız konuşmalarda hem de AWS içindeki iletişimlerde en çok takdir ettiğim şeylerden biri bu konuşmaların izole şekilde yapılmaması. Yani sadece CEO'nun olduğu çok küçük bir grupla yapılmıyor. CEO ve onun liderlik ekibiyle birlikte yapılıyor çünkü hiçbir şey tek başına gerçekleşmez. Dolayısıyla bu görüşmelere iş biriminin de dâhil olması, iş birimiyle bu sürecin öncesinde ve içinde derinlemesine etkileşimde olmamız çok büyük önem taşıyor. İkinci olarak, AWS içinde hem Amazon'un yönetim kurulu hem de bize özel bir kurul bulunuyor. Bu da bize, her çeyrekte güvenlik ve riskle ilgili konuları derinlemesine inceleme olanağı tanıyan bir mekanizma sağlıyor. Böylece bu görüşmeleri sürdürülebilir kılıyor ve doğru yönetişimi sağladığımızdan emin olabiliyoruz.

Üçüncü olarak da birçok farklı yönetim kurulunu görme fırsatım oldu ve her birinin inanılmaz derecede farklı olduğunu söyleyebilirim. Bu farklılıkların büyük kısmı insan faktöründen, yani kişiliklerden, bir kısmı ise doğrudan işin niteliğinden kaynaklanıyor sanıyorum. Bence bir CISO ya da teknoloji lideri olarak yönetim kurulu ile etkileşimde en önemli şeylerden biri, kurulun diğer alanlarda nasıl işlediğini anlamak. İş birimi, kendisini nasıl görüyor ve kendisi hakkında nasıl konuşuyor? Hangi dili kullanmalısınız? Bağlam nedir? Çünkü güvenlikten tek başına bahsetmek pek fayda sağlamaz. Güvenliği, işin bağlamında ele almak asıl önemli olan. Son olarak, hedef kitlenizi iyi anlamanız gerek. Kuruldaki farklı kişiler çok farklı yetkinliklere sahiptir. Hepsine hitap edebilmelisiniz.

Yani ister güvenlik konularına dahil olan bir teknoloji lideri olun ister doğrudan bir CISO olun; hedef kitlenizi, kurulun yapısını, iş biriminin kendine bakışını ve güvenlik ile teknolojinin bu çerçevedeki yerini iyi anlamak, başarılı bir iletişimin anahtarı.

Steve Schmidt:
Chris'in az önce söylediği bir şeyi özellikle vurgulamak istiyorum. Şirket içinde en üst düzey yönetime (örneğin yönetim kuruluna) hitap eden yeni liderlerin yaptığı en büyük hata, özellikle güvenlik alanında aşırı teknik konulara odaklanmaları. Bu, mesajınızı iletme kabiliyetinizi bitiren bir durum. Unutmayın, yönetim kurulu üyeleri sizin müşteriniz. Chris'in de söylediği gibi iş bağlamı içinde konuşmamız gerekiyor. Bu önemli bir güvenlik açığıymış, CVSS puanı 9,86'ymış, bu tür teknik detaylar yönetim kurulunun umurunda değil. Bu açık, kötü niyetli kişilerin müşterilerimize ait bu tür verilere erişim sağlamasına olanak tanır, bunun böyle bir sonucu olur ve önümüzdeki 60 gün içinde gerçekleşme olasılığı da oldukça yüksek. İşte bu, bir kurul üyesinin kavrayabileceği bir durumdur. "Bu çok korkutucu bir şey" demek ise hiçbir şey ifade etmez. Durumu bağlam içinde açıklamak inanılmaz derecede önemli bence.

Sara Duffer:
İkiniz de müşterilerle düzenli olarak konuşuyorsunuz. Müşterilerden duyduğunuz mevcut güvenlik zorlukları veya sorunları neler? AWS, müşterilerimize bu alanda yardımcı olmak için ne yapıyor?

Steve Schmidt:
Bir numara yapay zeka olmalı. Elbette pek çok insan şu tip sorularla ilgileniyor: Bunu nasıl güvenli bir şekilde kullanırım? Yapay zekayı sorumlu bir şekilde nasıl kullanabilirim? Bilgiyi nasıl alabilir ve ihtiyaç duyduğumda bu verilere doğru şekilde eriştiğimden veya istemediğimde erişimi engellediğimden nasıl emin olabilirim? Müşterilerle konuştuğumuzda sorduğum ilk şey şu oluyor: "Şirketinizde üretken yapay zeka kullanan kaç uygulamanız var? Biliyor musunuz? Bunu düzenli olarak ölçebiliyor musunuz?" Çoğu insan diyor ki "Evet, geçen ayda mı geçen çeyrekte mi ne saydık. "Size bir şey diyeyim mi? Geliştiriciniz bundan çok daha hızlı hareket ediyor. Geliştiricilerin kendi kurumsal dizüstü bilgisayarlarından ya da şirket genelindeki üretim varlıklarımızdan bir üretken yapay zeka motorunu her çağırışında bunu görebilmemizi sağlayacak dâhilî süreçler oluşturmamız gerekti.

Bu da bize, ilgili hizmette neler olup bittiğini anlamalarına yardımcı olmak üzere uygulama güvenliği ekiplerimize aktarabileceğimiz bir görünürlük sağlıyor. Bu sayımı ilk yaptığımızda ve kısa bir süre önce bunu yapmaya başladığımızda, gelip Andy'ye bildirdik ve "He şu anda şirket genelinde faaliyette veya geliştirilmekte olan binden fazla üretken yapay zeka uygulaması var." dedik. Yüzünde şok olmuş bir ifadeyle "Ne? Benimle dalga mı geçiyorsunuz?" dercesine baktı. Hayır tabii. Bu arada, kullanım inanılmaz hızlı bir şekilde artıyor ki bu harika bir şey çünkü geliştiricilerimizin gerçekten bu işe yöneldiğini ve ilerlediğini gösteriyor ancak aynı zamanda ekiplerimizin yoğun bir şekilde çalışmasını, bu kişileri yakından takip etmesini ve her şeyin makul, uygun ve benzeri şekilde yürütüldüğünden emin olmasını da gerektiriyor. Ancak her şey o görünürlükle ve o görünürlük motorunun zeminden inşa edilmesiyle başladı.

Chris Betz:
Sanırım sıkça yaptığım bir diğer konuşma da şu oluyor: İnsanlar hem güvenli hem de maliyet açısından verimli çözümler düşünürken AWS içinde hâlihazırda hangi yeteneklerin bulunduğu konusu. İnsanlar zaman ve enerjiyi çözümlerin zaten var olduğu veya bir şeylerin çoktan gerçekleştiği alanlara harcamak istemezler. Bu konuyu en sık konuştuğumuz alanlardan biriyse mimariler ve denetimler oluyor. İnsanların mimarilerinin iyi olduğundan emin olmak, basit ve kolay denetimlerin geniş ölçekte nasıl uygulanabileceğine bakmak gibi. Bu nedenle de müşterilerimize geniş ölçekte basit güvenlik çözümleri sunmayı nasıl sağlayacağımız konusu, dâhilî olarak sıkça yaptığımız konuşmalardan birine dönüştü. Bunun vardığı ve son zamanlarda hakkında çok konuştuğumuz bir başka nokta da tehdit zekası. Farklı şirketler, farklı bulut sağlayıcıları, tehdit zekasını farklı şekilde ele alıyor.

Bizim yaklaşımımız, bu tehdit zekasını sistemlerin çalışma şeklinin kusursuz bir parçası hâline getirmekle ilgili. Bu yüzdendir ki bunun hakkında konuşmak için bir sürü zaman harcadık çünkü geçmişte bunun hakkında konuşmak zorunda kalmamıştık ancak müşterilerin ne bekleyebileceklerini bilmeleri önemli. Her gün veri toplayan bir dizi tehdit zekası sağlayıcımız, bal küpümüz ve sensörümüz olduğu... Sadece bal küplerimizde günde 100 milyondan fazla etkileşime sahibiz. Bu teknolojiler ve bu veriler, Sonaris gibi sistemlerden gelen diğer sensör verilerimizle birleştirilerek harekete geçmemizi sağlıyor. Bu hareket, müşteriler farkında bile olmadan gerçekleşiyor.

Kötü amaçlı bir adresi belirlediğimizde farklı saldırılara karşı koruma sağlayabiliyoruz. Bu yoğunluk, sistemlerinizi etkilemiyor bile. Örneğin geçen yıl, S3 bucket'larını numaralandırmaya yönelik 24 milyardan fazla girişimi ve EC2'de savunmasız hizmetleri keşfetmeye yönelik 2,6 trilyondan fazla girişimi reddettik. Bunu sizin için otomatik olarak sağlayamadığımız veya bu uygunluk derecesine sahip olmadığımız yerlerde doğrudan GuardDuty vb. araçlara yönlendirebiliriz. Güvenlik uzmanlarıyla yaptığım konuşmalar genellikle şu noktaya odaklanıyor: Hâlihazırda entegre edilmiş teknolojilerin hem sorunsuz çalışan kısımlarından hem de güvenlik ekiplerinin işlem yapabilmesi için ek bilgi sağladığımız kısımlarından nasıl en iyi şekilde faydalanabilirler?

Steve Schmidt:
Tehdit zekası hakkında söylediğin bir noktayı güçlendirecek gerçekten ilginç bazı veriler var. Tehdit zekası inanılmaz derecede kırılgan bir şey. Çoğu insanın fark etmediği şey, internette gördüklerimize göre internet IP alanının yaklaşık %23'ünün neredeyse üç dakika içinde değişmesi. Yani tehdit zekası akışınız bir haftalık veya bir aylık falansa güncelliği fazlasıyla yitirmişsiniz demektir. Bunun yanı sıra tehdit zekası bilgilerini alır almaz eylemin aciliyetinden bahseden birkaç şey daha. Bir bal küpünü internete maruz bıraktığımızda, karşı tarafın onu keşfetmesi 90 saniyeden, evet 90 saniyeden az sürer ve yine ilgili tarafın onu istismar etmeye çalışması ise üç dakikadan az sürer. Bu, geliştiricinizin şunu dediği durumlardır: "Ah, bu bucket'ı internete salacağım, sorun olmaz. Orada olduğunu kimse bilmiyor." Üç dakika, gerçek bir sorun yaşamadan önce sahip olduğunuz süre bu kadar. Yani sağlam bir zeka akışı aracılığıyla neler olup bittiğini bilir ve hızlı bir şekilde harekete geçebilirsiniz. Daha da önemlisi, bunu döngüdeki bir insana yaptırmayın. Otomasyonun bunu yaptığından emin olun.

Chris Betz:
İyi dedin.

Sara Duffer:
Şimdi çok değer verdiğim bir konuya geçmek istiyorum. Sürekli değişen düzenlemeler, standart sertifikalar vb. dünyasında, uygunluğun evrimi karşısında ayakta kalmak gerçekten büyük bir zorluk. Chris, AWS'nin büyük ölçekte uygunluk konusuna nasıl yaklaştığını biraz anlatabilir misin?

Chris Betz:
Bu konuyu gerçekten çok sık konuşuyoruz.

Sara Duffer:
Evet, kesinlikle öyle.

Chris Betz:
Şununla başlamak isterim: Büyük ölçekte uygunluğu sağlama açısından bence inanılmaz güçlü olan şeylerden biri, güvenli bir temelle başlamak. Güvenliği tasarım açısından güvenli olarak ele almak ve güvenliğin geliştirme sürecine entegre edildiğinden emin olmak, daha düzenleme ya da uygunluk hakkında düşünmeden önce bile size sağlam bir başlangıç noktası sağlar. İşleri en iyi şekilde yaptığımızda uygunluk zaten bu güvenlik çalışmalarının bilinçli bir yan ürünü olur. Hem dürüst olmak gerekirse çoğu düzenleyici kurum da bunu istiyor.

Uygunluğun amacı, güvende olduğunuzdan emin olmak. Bu nedenle, odağında güvenlik olan ama aynı zamanda uygunluğu bilinçli bir şekilde gösterebilecek ve kanıtlayabilecek bir güvenlik programı tasarlamak gerçekten çok önemli. Üçüncü olarak, tasarım açısından uygunluk fikri her zaman güvenlik süreçlerinizin bir parçası olmalı ama bu tek başına yeterli değil. Bu uygunluğu kanıtlayabilmeniz ve gösterebilmeniz gerek. Dolayısıyla bu verileri bir araya getirebilmek, görünür kılmak ve başkalarının kolayca anlayabileceği bir hâle getirmek son derece önemli. Bunun için mühendislik de gerekiyor. Ki bence bu kesinlikle değerli bir yatırım. Gerçi bu dünyada benden daha fazla zaman geçirenlerin bakış açısını da merak ediyorum.

Sara Duffer:
Şu sıralar müşterilerden en çok duyduğum konulardan biri özellikle sorumlu yapay zeka programları ve bunları çok hızlı bir şekilde operasyonel hâle getirmenin yolları. Bu aslında çok hızlı bir evrimin sonucu olarak ortaya çıkan bir mesele. Uygunluğun, örneğin AB Yapay Zeka Yasasına uyuyor muyuz sorusuna odaklanan, oldukça ikili ve anlık bir kavram olmaktan çıkıp hızla güvence odaklı bir yaklaşıma evrilmesi gerekiyor. Bu güvence yaklaşımı ise gösterdiğimiz uyumun kalitesi, güvenilirliği ve etkinliği konusunda belirli bir güven düzeyi sağlayabilmeyi ifade ediyor. Peki bunu nasıl başarabiliriz?

Genellikle bu süreçler, teknik standartlar üzerinden ilerletilir. Örneğin ISO 42001 gibi standartlar, kuruluşların hem geliştirme hem de dağıtım süreçlerinde sorumlu yapay zeka uygulamalarını benimsediklerini son müşterilere gösterebilmelerini ve tüm bunları bir yönetişim çerçevesi içine almalarını sağlar. Kuruluşun gerçekten sizin beklediğiniz şekilde hareket ettiğinden nasıl emin oluyorsunuz? Sorumlu yapay zeka konusundaki faaliyetlerinizi üst yönetime ve yönetim kuruluna nasıl raporluyorsunuz? En önemlisi, tüm bunları oluşturucularla aynı noktada buluşarak ve yeniliği yavaşlatmadan yapabiliyor musunuz? Güvenlik uygunluğu standardını hızlı bir şekilde karşılayabiliyor musunuz?

Sara Duffer:
Şimdi konuyu değiştirelim biraz. Steve, seninle devam edelim. Sıklıkla güvenlikten bahsettiğimizde önümüzde bulunan yeni teknolojiye ve gelişen dünyalara çok giriyoruz. Ancak ne olursa olsun tehdit aktörü bir tehdit aktörü ve insan. Siber güvenliğin insan boyutu hakkında nasıl düşündüğünüze dair biraz daha fazlasını duymak istiyorum.

Steve Schmidt:
Elbette. Yani son dakika haberleri, bilgisayar güvenliği, bilgi güvenliği, siber güvenlik veya adına her ne derseniz diyin, teknik bir sorun değil. İnsan sorunu. Uzun zaman önce FBI'da karşı istihbarat üzerine çalıştığım dönemde öğrendiğim şeylerden biri şuydu: Evet, casusların peşine düşmek işin bir parçası ve ilgi çekici olabilir ama onların orada olmasının bir sebebi var. Bir şey onları motive ediyor. Casusluk dünyasında bu motivasyon aracı genel olarak para, ideoloji, zorlama veya egoydu. Aynı şey siber güvenlik dünyasında da geçerli. İnsanlar parayla ilgileniyor. Sizin fidye yazılımı aktörünüz bu. İdeoloji. İstihbarat toplayan veya bir savaş alanı hazırlayan geleneksel ulus devleti aktörünüz. Bu alanda yeni olan etki faktörü, bir nüfusu belirli bir şekilde düşünmeye, fikirlerini değiştirmeye itiyor ve dünyada bir şeyler olmasına neden oluyor. Ya da ego. Bu, gerçekten piyasadaki en büyük, en havalı bilgisayar korsanı olmak isteyen ve bunun bir parçası olarak DDoS saldırılarına neden olan özentiler.

Peki insanların bunu yapma sebeplerini veya motivasyonlarını bilmeyi neden önemsiyoruz? Çünkü araç türlerini, sahip olacakları yetenek türlerini, bizi nereden vuracaklarını ve risk veya maruz kalma toleranslarını anlamamızı sağlıyor. Örneğin, yakalanmaları ve FBI'ın kapılarını çalması gibi ciddi bir durum yaşanabilir mi yoksa şu anda Belarus'ta bir bodrum katında falan oturdukları için pek de dert değil mi? Savunucular olarak ne yapmamız gerektiğini ve bu insanların erişimini engellemeye yardımcı olacak sistemleri nasıl inşa ettiğimizi anlamak için çalışmamız gereken spektrum türü bunun gibi.

İlginç olan şey, aynı zihniyetin kendi çalışanlarımız için de uygulanması gerektiği. Kendi çalışanlarımız evrensel olarak iyi niyetli. Doğru olanı yapmak istiyorlar, yardım etmek istiyorlar vesaire. Ama kabul edelim, onlar da insan. Bu yüzden bazen para konusunda sıkıntıya düşüyorlar. Bazen bir şeyin gittiği yönden hoşlanmıyorlar. Bazen sadece kötü bir gün geçiriyorlar. Sonuç olarak biz savunmacılar, onların neyi neden yaptığını ve yapmamaları gereken bir şeyi yapmadıklarından nasıl emin olacağımızı anlamaya hazır olmalıyız.

Ancak bir şirkette siber güvenliğin ve insanların gerçekten önemli bileşenlerinin büyük çoğunluğunu oluşturan, şirketin kültürü. Bir şirketi var edecek ya da yok edecek olan, o şirketin güvenlik kültürüdür. Eksik bir güvenlik kültürüne sahip olduğunuzda neler olduğunu haberlerde hepimiz görüyoruz. Sonunda ulus-devlet aktörlerinin bir örgüte defalarca girip onları kendi çıkarları için sömürmesiyle karşı karşıya kalırsınız. Neden? Bunun nedeni, şirketteki kişilerin doğru şeyle ölçülmemesi veya motive edilmemesi.

Verilerinizi veya bilgilerinizi korumak için motive değillerdi. Başka bir şeyi hedeflediler. Bu nedenle, kültürünüzü şu anlayış üzerine kurmalısınız: Şirketimde bir birey, bir geliştirici olarak sizin için en önemli iki şeyden birincisi fiziksel olarak güvende olmanız ve ikincisi ise müşterinin verilerini korumanız. Çünkü bu sayede, gün boyunca bir şey düşündükleri her seferde iyi kararlar verirler. "Sola mı gitmeliyim? Sağa mı gitmeliyim? Bunu mu yapmalıyım? Başka bir şey mi yapmalıyım? Gerçekten bilmediğim için yardım istemeli miyim? Bu alanda bir uzman bulayım."

Ayrıca, bence burada doğru kültürü oluşturmanın en önemli teşviklerinden biri, uzun vadede maliyetleri düşürmesi çünkü biri sadece kâr hedefini, marj hedefini ya da teslim hedefini yakalamaya çalışırken güvenliği ikinci plana atarsa oluşan sorunları halletmek zorunda kalırsınız. Oysa başlangıçta doğru güvenlik kültürü oluşturmak, sorunları engelleyerek hem müşterilerinizin hem de işinizin güvenliğini sağlar.

Sara Duffer:
Hem güvenlik güvencesi dünyasında da hayatımı kolaylaştırıyor. Güzel bir sonuç. Chris, kültür noktasını ele alırsak AWS'de güvenliğin en önemli öncelik olduğu konusundan çok bahsediyoruz. Bunu gerçekte nasıl yaptığımız hakkında biraz konuşalım. Bu kültürü nasıl oluşturuyorsunuz?

Chris Betz:
Kültürün bu kadar önemli olduğunu düşünmemin nedenlerinden birinin, uzun vadeli yatırıma yol açmasının yanı sıra bildiğim her şirketin siber güvenlik konusunda eğitim, araçlar ve yetenekler sağlamak için çalışması olduğunu düşünüyorum. En önemli ayırıcı etkenlerden biri de kültür. Çünkü güvenlik sürekli değişiyor. Daha önceki konuşmanızda, son zamanlarda sürekli yapay zeka hakkında konuştuğumuzu söylemiştiniz değil mi? Yapay zeka sürekli değişiyor. Adapte olma yeteneği de aynı şekilde. Elini kaldırıp "Biliyor musun? Burada bir çatışma görüyorum ya da güvenlik oluşturmanın daha iyi bir yolunu görüyorum." deme yeteneği de. Şöyle düşünelim. Bunu daha iyi yapabilir miyiz? Sadece süreci ve araçları körü körüne takip etmeyelim de cidden soru soralım.

Ya da "Bu süreçlerde ve araçlarda bir şeylerin eksik olduğunu düşünüyorum. Bu riski görüyorum, bu sorunu görüyorum. Bunu nasıl gündeme getirebilirim?" Bu şeyler inanılmaz derecede önemli. Dediğin gibi kültür, zamanla müthiş bir şekilde karşılığını veriyor. Bu kültürü oluşturmak belirli zaman ve enerji gerektiriyor. En tepeden başlıyor. Kültürü, kuruluşun işleyiş şekline göre uyarlamakla başlıyor. Bunun bir kısmı kendinize kim olduğumuzu söylemek. Matt'in "Her şey güvenlikle başlar" dediğini duymak gibi, sözlü olduğu kadar düşünce olarak da.

Dahası, insanlar zamanlarını böyle harcıyorlar. Steve ve ben, CEO'muz tarafından düzenlenen haftalık toplantıları konuştuk. Yine söyleyeyim, bunun kuruluşun işleyişinin bir parçası olduğundan emin olmak inanılmaz derecede önemli. Güvenliği kuruluş kültürüne yerleştirdikten sonra, güvenliğin herkesin işi olduğunu vurgulamak önemli. Her insan belirli bir rol alıyor. Elinizi kaldırıp şu cümleleri kurma fırsatıdır bu: "Farklı bir şey yapmalıyız. Bir şeyi atladık gibi. Kafam karıştı. Emin değilim." Güvenlik konusunda herkes, güvenliğin kendi işi olduğunu ve güvenlik liderleri olarak bu işi olabildiğince kolaylaştırmanın bizim görevimiz olduğunu anlamalı. Çünkü insanlar zamanlarını her adımda güvenliğe odaklanarak geçiriyorlarsa bu durum, kuruluşta uyuşmazlığa yol açar. Güvenliği herkesin sorumluluğu hâline getirmekle güvenliğin, insanların güvenliği kolay ve doğal bir şekilde uygulayabilmesini sağlayacak şekilde çalışması ayrılmaz bir ikili. Bu, güvenliğin şirket genelinde dağıtılması gerektiği anlamına geliyor. Eğitimin, bilginin ve yeteneklerin, kuruluşun tamamında gerçekleşmesini sağlamak için iyi tasarlanmış olduklarından emin olmalıyız.

Son olarak, yatırım yapmaya istekli olmalıyız. Güvenliği artıran yeniliğe yatırım yapmaya istekli olmalıyız. Güvenli olmayı kolaylaştıran yeniliğe yatırım yapmaya istekli olmalıyız. Çünkü yapmazsanız geçmişte kalırsınız ve bir kuruluş olarak asla ilerleyemezsiniz. Bunun bir kısmını gerçekleştirmenin yollarından biri de güvenlik koruyucuları programı gibi uygulamalardır. Bu tür programlarda kendi çalışanlarımıza güveniyoruz; onları hizmet ekiplerindeki, mühendislik ekiplerindeki derin güvenlik konularında eğitiyoruz ki geliştirme süreçlerinin en başından itibaren sürekli olarak güvenliğin düşünülmesini sağlayabilsinler. Böylece ekiplerin doğru bilgiye sahip olarak hareket etmesini güvence altına almış oluyoruz. İşleri de çok ama çok daha ölçeklenebilir hâle getirmiş oluyoruz. Yani ekiplerinizle birlikte yapabileceğiniz en önemli şeylerden biri, güvenlik koruyucuları programı oluşturabilir miyiz sorusunu derinlemesine düşünmek ve şirket içinde bir güvenlik kültürünün nasıl oluşturulacağını sorgulamak.

Sara Duffer:
Tamam. Peki odadaki işletme liderlerinin güvenlik ve uygunluk programlarına geri getirebilecekleri üç soru nedir?

Chris Betz:
Sana her zaman sormayı sevdiğim bir örnek vereceğim. Hepimiz teknoloji lideriyiz, kaçınızın oluşturucu araçları ya da geliştirici araçları olarak adlandırdığımız bir kuruluşu var bilmiyorum. Bir güvenlik lideri olarak, tüm kuruluş içindeki favorim bu kuruluşlar. Sizde böyle bir kuruluş yoksa açıklayalım. Bunlar, geliştiricilerinizin hayatını kolaylaştıran araçları üreten ekipler. Burada muazzam bir avantaj var. Şirketlerin en yetenekli insanlarını yerleştirmesini görmekten en çok hoşlandığım yer bu oluşturucu araçları kuruluşları çünkü tek bir kuruluşla tüm geliştirme süreçlerinizi çok daha iyi hâle getirebilirsiniz. Güvenlik açısından bakıldığında avantaj tam da burada yatıyor. Çünkü güvenlik bilginizi ve yeteneklerinizi bu araçlara entegre edebilir, ciddi bir ölçeklenebilirlik elde edebilir ve güvenliği doğal bir süreç haline getirebilirsiniz.

Bu yüzden yerinizde olsaydım, güvenlik liderlerinize ve oluşturucu araçları liderlerinize; ilişkilerinin nasıl olduğu, birlikte ne kadar iyi çalıştıkları ve hedeflediğiniz tüm güvenlik sonuçlarının, oluşturucu araçları yeteneklerine ne ölçüde entegre edildiği gibi sorular sorardım.

Sara Duffer:
Steve?

Steve Schmidt:
Daha önce söylediğim bir şeyi tekrar vurgulamam gerekirse ekiplerinize şunu sorun: "Şu anda nerelerde üretken yapay zeka uygulamaları geliştiriyoruz?" Sonra da şunu ekleyin: "İleride nerelerde üretken yapay zeka uygulamaları geliştirdiğimizi bilmemizi sağlayan mekanizma ne? Yeni bir uygulamanın geliştirilmesi ve bunu fark etmemiz arasında ne kadar gecikme oluyor?" Çoğu durumda alacağınız cevap şu olur: "Panik, izdiham, koşuşturma. Çabuk, biraz veri bulun. İşte cevap." Müthiş. Ancak artık ertesi gün oldu. Tamam.
        
Bu yüzden, güncel kalmak, sorumlu bir şekilde bu altyapının işlemesini sağlamak ve müşterileriniz adına topladığınız verilerin sorumluluğunu üstlenebilmek için bunu düzenli olarak yapmanızı sağlayan bir yönteme, bir mekanizmaya veya bir araca ihtiyacınız var.

İkinci önemli konu ise şu: Elinizde hangi bütünlük korumaları var ve üretken yapay zeka etrafındaki dünya değiştikçe bu bütünlük korumalarını güncelleyebilecek bir mekanizma var mı? Biz burada sahnede otururken bile üretken yapay zeka dünyası inanılmaz bir hızla ilerliyor. Yeni bir şeyler oluyor. Birileri tarafından altyapı modellerinde sorun yaratabilecek yeni bir yöntem daha bulunuyor ve biz buna karşı kendimizi savunabilmeliyiz. Üretken yapay zeka uygulamalarınızın etrafındaki bu bütünlük korumalarını etkilemek için kullanılacak hızlı yineleme yöntemi ne?

Sara Duffer:
Bence sen hile yaptın. Bu iki soru oldu. Ben de biraz hile yapacağım. Şunu söyleyeceğim: Ekiplerinize, gerçekten uygunluğu nasıl sağladıklarını sormak çok önemli. Bununla kastettiğim şey şu: Sadece o anda çeşitli standartlara, yasalara vesaire uygunluğumuzu nasıl anladığımız değil aynı zamanda zaman içinde sürekli güvenceyi nasıl sağlayabildiğimizi anlamak da çok önemli çünkü böylece oluşturucuların maliyetini gerçekten belirleyebiliriz.

Dolayısıyla burada iki temel soru var diyebilirim: Birincisi, kendi iç uygulamalarınıza, yasalara vesaire nasıl uygunluk sağlıyorsunuz? İkincisi ise bu sürecin oluşturuculara maliyeti ne? Bu ikinci soru çok önemli çünkü hem hızlı bir şekilde yenilik yapmanız hem de oluşturuculara maliyeti takip ederken uygunluğu sürdürmeniz gerek.

Son sorum da şu: Müşterilerle düzenli olarak görüştüğünüzde, güvenlik durumlarını hemen onaylamak için onlara verebileceğiniz en iyi tavsiye ne?

Chris Betz:
Şirketiniz içinde ve müşterileriniz için geçiş anahtarlarını uygulamanın yollarını bulun. Parolalardan uzaklaşmak hem çalışanlarınız hem de müşterileriniz için oyunun kurallarını değiştirecek. Bu teknolojiden yararlanın. Bu ilerlemeye dair büyük bir adım. Bugün uygulamaya koyun.

Steve Schmidt:
Sadece çok daha güvenli olmakla kalmaz aynı zamanda çok daha iyi bir kullanıcı deneyimi de sunar. Son derece akıcıdır. Bu yüzden teknik ekiplerinizi buna odaklayın ve neden çoktan bunu yapmaya başlamadıklarını öğrenin.

İkinci öneriyse geçiş anahtarları kadar heyecan verici olmasa da güvenliğin meyvesidir diyebiliriz. Güvenlik açığı yönetimi. Sistemlerinize düzeltme eki uygulayın. Bu, dışarıdaki tehditlere karşı sahip olduğunuz en iyi savunma.

Chris Betz:
Ya da bunu sizin yerinize yapmamıza izin verin.

Steve Schmidt:
Kesinlikle.

Chris Betz:
Lambda'ları ve diğer şeyleri kullanın.

Steve Schmidt:
Evet.

Sara Duffer:
Bugün bize katıldığınız ve zaman ayırdığınız için teşekkürler.

Şimdi dinleyin

Şimdi dinleyin

Şimdi dinleyin