Öncelikle, bilişim teknolojilerinin bulunduğu ortamlarda riskin her zaman var olduğu ve yüzde yüz güvenliğin sözkonusu olmadığını hatırlatmak isteriz.
Bu nedenle doğası gereği riskli olan bir alanda yapılması gereken, risklerin neler olabileceğini bilmek ve bunların olası etkilerini alınacak önlemlerle Kabul edilebilir bir düzeye düşürmektir.
Cloud computing daha çok getirdiği riskleriyle gündemdedir. Gerçeği söylemek gerekirse, halen gelişmekte olan bir süreç olduğundan geçiş sürecine özgü riskleri vardır. Ancak, şimdiye kadar riskler ve alınacak önlemleri değerlendiren değişik çalışmalar yapılmış ve Cloud computing’e geçişin güvenli şekilde yapılması için rehberler hazırlanmıştır. Bu çalışmalar kabul edilecek standartlara ulaşana kadar da devam edecek gibi görünmektedir. Bu risklerin bazılarının incelenmesi gereklidir.
Belirtilen risklerin en önemlilerinden birisi, kurumun hizmet aldığı firmaya bağımlı hale gelmesidir. Kurumlar bilişim hizmetlerini dış kaynak yoluyla (outsourcing) üçüncü taraflardan almaya karar verirken, belirli riskleri değerlendirmeye tabi tutmaları gerekir. Bir bilişim hizmetinin bir kez dış kaynak yoluyla alınması, o hizmetin sürekli dış kaynak yoluyla alınmasını zorunlu kılacaktır. Çünkü geri dönüş, başta maliyet olmak üzere birçok zarara yol açabilir.
Cloud computing yeni gelişmekte olan bir süreçtir ve henüz standartları oturmuş değildir. Bu nedenle sözleşme veya hizmet düzeyi anlaşmalarının sona ermesi veya nitelikli hizmetin alınamaması nedeniyle iptal edilmek istenmesi durumunda, kurumsal verilerin bir başka kuruma taşınabilmesi veya yeniden kurum içine alınmasında zorluklar yaşanacaktır. Bu durumda da hizmet sağlayıcıya bir bağımlılık oluşacaktır. Ancak Cloud computing’e geçmeden önce yapılacak araştırmalarda hizmet sağlayıcının nitelikleri ve referanslarının iyi incelenmesi, inceleme sonuçlarına bağlı olarak öncelikle hassas olmayan veriler ve hizmetlerden başlayarak aşamalı olarak geçiş yapılması, riskleri bir ölçüde düşürebilecektir.
Bir diğer risk konusu, kendi verilerimizi kontrol edememe, hatta nerede tutulduğunu bilememe ve böylece yasal yükümlülüklerimizi yerine Getirememe durumudur. Bu bizim gibi ağır yasal mevzuatlara bağlı olan şirketler için hayati önem taşımaktadır. Cloud computing’e taşıdığımız veriler, artık hizmet sağlayıcının uzman elemanlarına bırakılmıştır. Hizmet sağlayıcının yeterli niteliklere sahip uzmanları ihtiva ettiğinin belgelendirilmesi ve fiilen çalışmaların izlenmesi ve varsa gerekli sertifikaların bulunması, hatta sözleşme Ve ya hizmet düzeyi anlaşmalarına hükümler konmasının yerinde olacağı kanaatindeyiz.
Cloud computing’in en önemli özelliği, her nerede olunursa olunsun, internet erişimli cihazla verilere veya yazılımlara ulaşma imkanının bulunmasıdır. Bu gerçekleşirken, hizmetin yerinin neresi olduğunu bilmek gerekmemekte, istenildiğinde erişim sağlanabiliyorsa sorun yok demektir. Ancak bazı durumlarda, verilerin tutulduğu yer önemli olabilir. Denetim elemanlarınca veriler üzerinde ve hizmet sağlayıcının güvenliği konusunda yapılacak denetimlerde, veriler ve hizmet sağlayıcının belirli adreslerinin olması istenir. Bir de verilerin kaybolması durumunda yasal hakların takip edilebilmesi için yapılacak sözleşmeler veya hizmet düzeyi anlaşmalarında hizmeti sağlayacak sunucuların belirli ülke veya bölge sınırları içerisinde tutulması istenebilir ve/veya istenmelidir. Burada yasal yükümlülüklerin
yerine getirilmesinin aksatılması, hizmet sağlayıcının değil, hizmeti alanın
Sorumluluğundadır ve sonuçlarına o katlanacaktır. Dolayısıyla bu durum, sistemi buluta taşırken yapılacak değerlendirmelerde göz önünde bulundurulmalıdır.
Bir başka konu da, verilerin hizmet sunulan diğer kişilere ait olan verilerle birlikte tutulması nedeniyle ayırımın açık şekilde yapılamamasıdır. Bu nedenle herhangi bir felaket durumunda, verilerin güvenliğinin sağlanması ve sistemin sürdürülebilirliğinin güvence altına alınması, her zaman mümkün Olmayacaktır.
Hizmet sağlayıcılar hizmetleri paylaşımlı ortamlarda şifreli olarak tutmaktadırlar. Ancak zaman zaman veriler ya denetim elemanlarınca ya da kurum yönetimince doğrudan denetime alınmak istenebilir. Böyle durumlarda veriler başkalarına ait verilerle tutulduğu için, bunlar üzerinde yapılacak incelemeler diğer verilere de zarar verebilir ya da görülmesi istenmeyen veriler, bu tür incelemeler sırasında açığa çıkabilir. Bu nedenle, yapılacak sözleşme veya hizmet düzeyi anlaşmalarında bu hususlara yer verilerek, gerektiğinde hizmet sağlayıcının bize ait verilere sadece bizim erişmemize imkan tanıması ve başkalarının bu verilere erişebilme olanaklarını ortadan kaldırması istenmelidir.
Bununla bağlantılı olarak hizmet sağlayıcı, herhangi bir felaket durumunda erişimimizin sürdürülebilir olmasını sağlamalıdır. Bu konuda acil durum ve iş sürekliliği uygulamalarının yerinde olduğunun incelenmesi veya bağımsız denetimlere ilişkin sertifikaların istenmesi gerekir. Düzenlenecek sözleşme veya hizmet düzeyi anlaşmalarında sistemin tekrar kullanılabilir olma zamanlarının belirlenmesi gerekmekte olup, ayrıca zaman zaman buna ilişkin testlerin gerçekleştirilmesi önem taşımaktadır.
Burada değerlendirilmesi gereken bir başka konu ise, hizmet sağlayıcının uzun süre varlığını sürdürebilecek yapı ve maddi güce sahip olmasıdır. Bulut hizmetlerin giderek daha çok kullanılması, bu hizmeti gerektiği gibi veremeyecek bir çok sağlayıcının pazara girmesine yol açmaktadır. Ancak bunların bir çoğunun yeterli niteliklere sahip olmaması nedeniyle bir süre sonra ya kapanmakta ya da başka büyük hizmet sağlayıcılar tarafından alınmaktadır. Bu tür durumlarda bile erişimin sürdürülmesi, veri ve yazılımların kullanıma açık tutulması gerekmektedir. Bu konuda sözleşme veya hizmet düzeyi anlaşmalarına hükümler konması gerekir.
Sözleşme veya hizmet düzeyi anlaşmalarının da belirlenen riskleri ne kadar karşıladığı tartışmalıdır. Çünkü hizmet sağlayıcının belirlenen koşullara bağlı kalmasını gerektirecek yasal düzenlemeler henüz gerçekleştirilememiştir.
Cloud computing’in en önemli safhası bu sözleşme veya hizmet düzeyi anlaşmalarının gerektiği şekilde hazırlanması ve uygulamalarının takip edilmesidir. Bu durum, Cloud computing’in geleneksel bilişim iş ve beceri yapısını değiştireceğinin bir göstergesidir. Bu sözleşmeler, uzun görüşmelerin yapılmasını, daha çok hukuk bilgisini, sözleşme sonrası ortaya çıkacak sorunların karşılıklı görüşmeler yoluyla çözülmesini gerektirdiği için farklı becerileri öne çıkaracaktır. Bu nedenle geleneksel bilişim uzmanlığının etkinliği azalacak ve yerini giderek bir miktar teknik bilgisi olan idarecilere bırakacaktır.
Sözleşme ve hizmet düzeyi anlaşmalarının hukuki geçerliliğinin etkin olduğu alanlara ilişkin de çalışmalar sürdürülmektedir. Örneğin Avrupa Birliği, vatandaşlarının kişisel bilgilerinin AB sınırları dışına çıkarılmasını yasaklamıştır. Bu nedenle hizmetin AB sınırları içerisinde verilmesi gerektiğinden, yapılacak sözleşmeler veya hizmet düzeyi anlaşmaları koşullarının yasal olarak takip edilebilmesi yürürlükteki ülke ve AB
mevzuatları çerçevesinde mümkün olacaktır. Bu tür düzenlemelerin ülke mevzuatlarında yer alması veya sözleşmelere hüküm konulması sorunları ortadan kaldırabilecektir.
En yalın biçimiyle, Cloud computing’e konu olacak varlıklar iki unsurdan
oluşmaktadır: Veri ve uygulamalar/işlevler/süreçler. Yani buluta ya bilgi, ya
da işlem/süreçleri taşımaktayız. Bunlara kurum varlıkları olarak bakılmaktadır.
Bu nedenle Cloud computing’e geçişte, varlık geniş ölçüde yaygınlaştırılır ve
paylaştırılsa; bulut hizmet sağlayıcıların bir çalışanı varlığa erişirse; süreç/işlev
dışarıdaki biri tarafından manipule edilirse; süreç/işlev beklenen sonuçları karşılamada başarısız olursa; bilgi/veri beklenmeyen bir şekilde değiştirilirse; varlığa belirli bir zaman erişilemezse, ya da benzeri bir durum gerçekleşirse, kurumun nasıl ve ne kadar zarar göreceğinin öncelikle değerlendirilmesi gerekir. Esas olarak bu değerlendirme, bilginin gizlilik, bütünlük ve kullanılabilirlik ihtiyacına binaen yapılmaktadır.
Belirlenen risklerin etkilerini düşürecek önlemlerin başında, kurumların Cloud computing’e geçiş için bir strateji hazırlamaları gelmektedir. Bu stratejinin ilk adımı, seminerlere katılma, hizmet sağlayıcılarıyla görüşmeler yapma, bulut bilişime ilişkin yazıların okunması gibi yollarla bulut bilişimin esasları hakkında bilgilenmedir. Bir sonraki adım olarak, bilişim yönetiminin mevcut bilişim ihtiyaçları, yapısı ve kapasite kullanımı ve Cloud computing ortamındaki ihtiyaçlar ve talepler konusunda bir değerlendirme yapılması gerekir.
Daha sonra, belirlenen bir uygulamanın pilot olarak buluta taşınması gelir. Sonraki aşama ise, pilot uygulamaların değerlendirilmesinden sonra, bilişim yönetiminin kapsamlı hazırlık değerlendirmesini yapmasıdır. Bu aşamada, kurumun veri ve uygulamalarının hangilerinin bulut ortama alınacağı ve bulut ortamın hangi formunda tutulacağına ilişkin kurallar belirlenir. Diğer bir aşama da, kurum üst yönetimi, bilişim yönetimi ve diğer paydaşların katılımıyla her bir bulut projesinin fayda maliyet değerlendirmeleri ile hedefler ve ilerlemeler hususundaki değerlendirmelerin yapılıp, bir uygulama stratejisinin belirlenmesidir. Son aşamada ise, belirlenen veri ve uygulamaların bulut ortama taşınması gerçekleştirilir. Burada bir kez daha vurgulamak gerekirse, risk değerlendirme faaliyetleri bilgiyi sürekli bir yaşam döngüsü olarak ele almalı ve riskler düzenli olarak veya herhangi bir değişim durumunda yeniden değerlendirilmelidir.
Bu sürecin belirlendiği şekilde yürütülmesi durumunda bulut bilişime geçiş aşamasında karşılaşılacak risklerin önemli bir kısmının etkisi azaltılmış olacaktır. Ancak yapılan denetimlerde, sistem geliştirme ve değişim yönetimine ilişkin standartlar bulunmasına; bilişim projelerinin başarısızlık nedenleri ve başarı koşulları konusunda detaylı çalışmalar yapılmış olmasına rağmen, yukarıda belirtilen süreçlerin takip edilmesi ve yürürlüğe konulan projelerin, belirlenen kaynaklar ve süre dahilinde kullanıcı gereksinimlerini karşılayacak şekilde sonuçlandırılamadığı görülmektedir.