Bulut bilişim, 21. yüzyılda BT alanındaki kritik konulardan biridir. Yıllarca süren titiz ve coşkulu tartışmalardan sonra, bulut bilişim, yavaş yavaş konsept tanıtımından uygulama geliştirmeye dönüştü ve sonuç olarak işletmelerin ve BT endüstrisinin büyük yatırım yapmaya başladığı umut verici alanlardan biri haline geldi.
Bulut bilişim teknolojisinin özellikleri arasında süper büyük ölçekli, dinamik ölçeklenebilirlik ve isteğe bağlı dağıtım ve sanallaştırmanın önemli bir rol oynadığı yer alabilir.
Bilgi güvenliği ile ilgili konular son yıllarda artan bir şekilde ele alınmakta ve bu durum bilgi güvenliğinin çeşitli yönleriyle ilgili araştırmaların gelişmesine neden olmaktadır.
Bahsedilen bu iki konunun alaka düzeyi nedeniyle, sanallaşmanın bilgi güvenliğini nasıl etkilediğini değerlendirmek için uygun bir değerlendirme aracı gerekebilir. ISO/IEC 27001, bilgi güvenliğinin değerlendirilmesi için en yaygın kabul gören denetim standartlarından biridir ve bu nedenle, bu standartların kullanılması ve uyarlanması uygundur.
Uluslararası Standart Organizasyonu (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından yayınlanan ISO/IEC 27000 serisi standartlar, bilgi güvenliğine adanmış standartlardır.
Özellikle, ISO/IEC 27001 standardı (Bilgi teknolojisi Güvenlik teknikleri Bilgi güvenliği yönetim sistemleri Gereksinimleri), bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) önemli tanımını ve gereksinimlerini sağlar.
Orijinal olarak İngiliz Standartlar Enstitüsü’nün (BSI) BS 7799 standardından geliştirilmiştir, ISO/IEC 27001’in şu anki sürümü ISO/IEC 27001:2017’dir.
Sanallaştırma kavramı, ana bilgisayarların maliyetlerinin çok pahalı olduğu 1960’larda ortaya çıktı.
IBM, kullanıcıların bir anabilgisayarın hesaplama kaynaklarını tam olarak kullanmasını sağlamak için büyük bir UNIX anabilgisayarını birden çok mantık eş görünümüne böldü. Her mantık örneği, esasen bir sanal makine (VM) veya bir konuk işletim sistemidir (OS).
İşletim sistemi veya ana bilgisayar donanımının VM’lerle farklı uyumlulukları olabileceğinden, VM’ler ve fiziksel donanım arasında ara yüz olarak hizmet etmek için hiper yönetici adı verilen bir sanal makine monitörü gerekebilir.
Her sanal makinenin G/Ç bağlantı noktaları ve DMA kanalları dahil olmak üzere kendi sanallaştırılmış kaynakları vardır ve bu VM’ler, donanım işletim sistemi tarafından desteklendiği sürece hiper yönetici aracılığıyla herhangi bir işletim sisteminde çalışabilir.
Başka bir deyişle, hiper yönetici anahtardır. VMware’in çözüm örneğinde, VMware Sanallaştırma Katmanı olarak adlandırılan VMware hipervizörü, paylaşılan bir CPU, bellek, ağ sürücüsü ve sabit disk alanı ile birden çok sanal makineyi barındırabilir.
Öte yandan, hiper yönetici kaçınılmaz olarak güvenlik açığına sahiptir ve daha yüksek düzeyde bilgi güvenliği yönetimi gerektiren hacker saldırılarına açıktır.
ISO/IEC 27001 standardı, bilgi güvenliği yönetim sistemleri için çerçeve olarak kullanılmaktadır. Daha önce anlatıldığı gibi, bilgi güvenliği sistemleri için dünya çapında kabul görmüş bir değerlendirme ve denetim aracıdır.
Test, elektronik, BT ve otomobil endüstrileri için sanallaştırma bilgi ortamının uygulanmasının “Fiziksel ve Çevresel Güvenlik” açısından bilgi güvenliği üzerinde gerçekten önemli bir etkiye sahip olduğunu ortaya koymaktadır.
BT ve otomobil endüstrileri için sanallaştırma, “Erişim Kontrolü” açısından bilgi güvenliği üzerinde de önemli bir etkiye sahiptir. BT sektörü profesyonelleri ve kurumsal BT yöneticileri, “İletişim ve Operasyon Yönetimi” açısından sanallaştırmanın bilgi güvenliği üzerinde önemli bir etkisi olduğunu düşünüyor.
“Bilgi Sistemi Edinme, Geliştirme ve Bakım” boyutunda ise sanallaştırma teknolojilerinin devreye girmesi bilgi güvenliğini önemli ölçüde etkilememektedir.
Sanallaştırma teknolojilerinin daha olgun ve yaygın olarak kabul görmesiyle birlikte, veri güvenilirliğini ve geçerliliğini geliştirmek için diğer endüstrileri dahil etmek için daha fazla örnek toplanacaktır.
Böylece sanallaştırmayı benimsemeyi veya uygulamayı planlayan işletmelere bazı ayrıntılı veya ek öneriler/bulgular sunulabilir.
Ölçüm ölçeklerinin daha iyi anlaşılabilmesi için yakın gelecekte açıklayıcı ve doğrulayıcı faktör analizlerinin değerlendirilmesi gerekmektedir. Bu kilit faktörlerin farklı BT/IS uzmanlarına ve kullanıcılarına hitap edip etmediğini anlamak için gelecekteki araştırmalara ihtiyaç duyulabilir.
Bilgi güvenliği yürütmede geçerli yönetim sistemi olan ISO 27001:2017 ile ile detaylı bilgi için Adl Belgelendirme şirketini arayabilirsiniz.