Microsoft, güvenlik organizasyonunun başındaki kişiyi bir kez daha değiştiriyor ve bu seferki hamle, şirketin son iki yıldır anlattığı daha geniş bir hikayeyle yakından bağlantılı: güvenlik, bir uyumluluk kontrol kutusu veya olay sonrası temizlik değil, birinci sınıf bir mühendislik önceliği haline gelmeli.
CEO Satya Nadella'nın şirket içi bir notuna göre,Hayete GallotMicrosoft'a geri dönüyorgüvenlikten sorumlu genel başkan yardımcısıNadella'ya doğrudan rapor verecek olan Gallot, daha önce Microsoft'ta yaklaşık 16 yıl çalışmış, 2024'ün sonlarında ayrılmış ve son olarak Google Cloud'da müşteri deneyimine odaklanan üst düzey bir pozisyonda görev yapmıştır. Bu arada,Charlie BellYaklaşık beş yıldır Microsoft'un güvenlik, uyumluluk ve kimlik doğrulama çalışmalarına liderlik eden kişi, yeni bir göreve geçiyor ve bu görevde odak noktası şunlar olacak:mühendislik kalitesiAynı zamanda Nadella'ya da rapor veriyor.
İlk bakışta bu bir liderlik değişikliği gibi görünüyor. Gerçekte ise bu, Microsoft'un "Güvenli Gelecek Girişimi"ni (SFI) şirketin teknoloji geliştirme, işletme ve satış yöntemlerine ilişkin uzun vadeli bir işletim sistemi haline getirmek istediğinin bir işareti; özellikle de yapay zeka sistemleri ürünlerinde daha merkezi bir rol oynamaya başladıkça.
Aşağıda yaşananların pratik bir özeti, neden önemli olduğu ve müşterilerin ve geliştiricilerin bundan sonra nelere dikkat etmesi gerektiği yer almaktadır.
Microsoft'un duyurduğu (ve doğrulanan) şeyler
Doğrulanan gerçekler oldukça açık ve nettir:
- Hayete GallotMicrosoft'a geri dönüyor veGüvenlikten Sorumlu Başkan Yardımcısı.
- O,Doğrudan CEO Satya Nadella'ya rapor verir..
- Charlie BellMicrosoft'un güvenlik lideri olmaktan, daha çok güvenlik odaklı bir role geçiş yapıyor.mühendislik kalitesiAynı zamanda Nadella'ya da rapor veriyor.
Doğrudan raporlama hattı anlamlıdır. Microsoft'ta "güvenlik" sadece bir ürün ekibi değil; dahili bulut operasyonlarını, geliştirici araçlarını, kimlik altyapısını, müşteri taahhütlerini, olay müdahalesini ve politikayı kapsar. Güvenlik liderini doğrudan CEO'ya bağlamak, bunun yan bir görev olmadığını söylemenin bir yoludur.
Bu rolün Microsoft için neden alışılmadık derecede yüksek risk taşıdığı
Microsoft'un yakın geçmişi, birçok yüksek profilli güvenlik açığı ve utanç verici olay sonrası analizlerini içeriyor. Bu benzersiz değil; her büyük bulut ve yazılım sağlayıcısı saldırılarla karşı karşıya kalıyor, ancak Microsoft'un ölçeği her olayı daha önemli hale getiriyor.
Arka planın iki bölümü en çok önem taşır:
-
Güven artık bir ürün özelliği.Kurumsal şirketler Microsoft ürünlerini her yerde olduğu için satın alıyor: Windows, Office, Azure, kimlik doğrulama (Entra) ve uç noktalar. Güvenlik ihlali olduğunda, bu "tek bir üründe hata vardı" şeklinde değil; platform genelinde bir güven olayı olarak değerlendiriliyor.
-
Saldırganlar Microsoft'u bir erişim otoyolu olarak görüyor.Bir saldırgan kimlik veya bulut yönetimini tehlikeye atabilirse, binlerce müşteri ortamına erişebilir. Bu nedenle, "güvenlik, uyumluluk ve kimlik" liderliğindeki herhangi bir zayıflık, yönetim kurulu düzeyinde bir endişe kaynağı haline gelir.
Microsoft, güvenlik dönüşümünü uzun soluklu bir proje olarak nitelendiriyor. Liderlik değişiklikleri genellikle şirketin hızlandığının, kapsamını yeniden belirlediğinin veya organizasyonel sürtüşmeleri gidermeye çalıştığının en açık işaretlerinden biridir.
Güvenli Gelecek Girişimi (SFI) sade bir dille anlatılıyor.
SFI, varsayılan ayarları değiştirme zorunluluğu olarak en iyi şekilde anlaşılabilir:
- Güvenlik özellikleri kapatıldıvarsayılan olarak açıkPremium kademelerin veya isteğe bağlı ayarların arkasına gizlenmemiş.
- Mühendislik ekipleri şunlardan sorumludur:güvenli tasarımDenetimlerden sorumlu olan sadece güvenlik ekipleri değil.
- "Bir ihlalden sonra hızlı müdahale etmek" yaklaşımından "ihlal olasılığını azaltmak" yaklaşımına geçiş.
Pratikte, bu tür girişimler tipik olarak şunları içerir:
- Güçlendirilmiş kimlik doğrulama akışları ve ayrıcalıklı erişim modelleri.
- Daha iyi anahtar yönetimi ve daha kısa sertifika geçerlilik süreleri.
- Bulut içindeki hizmetler arasında daha güçlü izolasyon.
- Daha iyi kayıt tutma, tespit ve olay müdahale kılavuzları.
- "Tasarım gereği güvenli" olma şartları, gerekirse sevkiyatı yavaşlatabilir.
İşte bu son nokta, birçok dönüşümün başarısız olduğu yerdir. Güvenlik iyileştirmeleri genellikle kısa vadeli sürtüşmelere yol açar: özellikleri hızlı bir şekilde yayınlamak zorlaşır ve ilerleme yavaşlamış gibi hissedilebilir. Eğer liderlik ciddiyse, bu maliyetleri kabul eder.
Google Cloud'dan yeni gelen birini neden işe alıyorsunuz?
Gallot'un Google Cloud'daki son görevi müşteri deneyimi odaklıydı. Bu, bir güvenlik rolü için uyumsuz gibi görünebilir; ancak Microsoft'un amacı güvenliği içsel bir mücadeleden ziyade müşteri tarafından görülebilen bir sonuç haline getirmekse durum farklı olabilir.
Kurumsal şirketler Microsoft'un güvenlik dönüşümünü notlarla ölçmüyor. Bunu şu ölçütlerle değerlendiriyorlar:
- Olay sayısı azaldı.
- Olayların daha şeffaf bir şekilde ele alınması.
- Sertleştirme ve kimliklendirme konusunda daha net rehberlik.
- Normal kuruluşlar için güvenli olan varsayılan yapılandırmalar.
- Doktora derecesi gerektirmeden kullanılabilen güvenlik araçları.
Microsoft'ta derin bir geçmişe sahip ve rakip bir bulut sağlayıcısının müşteri disiplinine aşina bir lider, Microsoft'un "güvenliği düzeltiyoruz" söylemini müşterilerin görebileceği, ölçülebilir ve ürünleştirilmiş bir programa dönüştürmesine yardımcı olabilir.
Charlie Bell'in "kalite mühendisliği"ne yönelmesinin muhtemel anlamı nedir?
Nadella'nın notu, Bell'in bu değişimini, örgüt liderliğinden bireysel katkı odaklı bir mühendislik anlayışına geçme yönündeki kişisel bir arzu olarak çerçevelendiriyor. Ancak "mühendislik kalitesi" başlığı da bir ipucu veriyor.
Güvenlik dönüşümleri çoğu zaman rahatsız edici bir gerçeği ortaya çıkarır: güvenlik başarısızlıkları genellikle kalite başarısızlıklarıdır.
Örnekler şunlardır:
- Kod yollarındaki hatalı varsayımlar.
- Uç durumlarda test kapsamının eksikliği.
- Kötüye kullanılabilecek özellik bayrakları ve dağıtım sistemleri.
- İzleme açıkları.
- İçsel bağımlılık yayılımı.
Eğer Bell artık mühendislik kalitesinin sorumluluğunu üstleniyorsa, Microsoft güvenlik sonuçlarını yazılım kalitesi kontrol noktalarına bağlamaya çalışıyor olabilir: sürüm kriterleri, regresyon testleri, bağımlılık yönetimi ve kod inceleme titizliği.
Başka bir deyişle: Gallot "önce güvenlik" ilkesini benimserken, Bell de mühendislik ekiplerinin güvenliğin gerilemesini önleyen kaliteli bir sisteme sahip olmasını sağlayabilir.
Bu durum Microsoft müşterileri (Azure, Microsoft 365 ve kimlik doğrulama) için neleri değiştirebilir?
Müşteriler için asıl soru organizasyon şeması değil, günlük sonuçların iyileşip iyileşmediğidir.
Bu liderlik değişikliğinin yenilenmiş bir SFI atağıyla ilişkilendirilmesi durumunda, müşterilerin değişiklik görebileceği muhtemel alanlar şunlardır:
1) Bulut ve yönetim deneyimlerinde daha güvenli varsayılan ayarlar
Birçok olay, güvensiz yapılandırmayla başlar: zayıf yönetici kontrolleri, hala etkin olan eski kimlik doğrulama yöntemleri veya yeterince korunmayan ayrıcalıklı hesaplar.
Eğer SFI gerçekse, Microsoft şu yönde ilerlemeye devam edecek:
- Çok faktörlü kimlik doğrulama ve kimlik avına karşı dirençli seçeneklerin etkinleştirilmesi kolaylaşıyor.
- Ayrıcalıklı erişim, daha fazla sürtüşme ve doğrulama gerektirir.
- "Acil müdahale gerektiren" hesapların daha güvenli bir şekilde yönetilmesi.
2) Olaylar yaşandığında daha iyi şeffaflık
En iyi güvenlik programı bile her olayı önleyemez. Müşteriler şunlara önem verir:
- Microsoft'un yaşananları ne kadar çabuk açıkladığı.
- Kapsamın net olup olmadığı.
- Önlemlerin uygulanabilir olup olmadığı.
- Müşterilerin sorunun çözüldüğünü doğrulayabilmeleri.
Müşteri deneyimi geçmişine sahip liderler, güvenin yenilenmeyi sağlayan bir unsur olması nedeniyle, daha net iletişimi teşvik etme eğilimindedirler.
3) Daha güçlü kimlik ve erişim sınırları
Kimlik, her şeyin merkezinde yer alıyor. Microsoft, kimlik bilgilerinin çalınmasının veya token kötüye kullanımının etkisini azaltabilirse, platformun tüm risk profilini değiştirir.
Aşağıdaki alanlarda yatırımların devam etmesi bekleniyor:
- Token korumaları ve daha sıkı oturum kontrolleri.
- Şüpheli yönetici faaliyetleri için daha iyi uyarılar.
- Varsayılan olarak daha güvenli yönetici ayarları.
4) Yapay zeka çağında güvenlik, temel bir anlatı olarak
Microsoft, yapay zekayı üretkenlik yazılımlarına, geliştirici araçlarına ve bulut hizmetlerine entegre ediyor. Yapay zeka, tehdit ortamını değiştiriyor:
- Sistemler üzerinden daha fazla veri akışı gerçekleşiyor.
- Otomasyonun artması, hataların daha hızlı gerçekleşmesi anlamına gelir.
- Yeni saldırı yüzeyleri ortaya çıkıyor (hızlı enjeksiyon, veri alma yoluyla veri sızıntısı, araçların kötüye kullanımı, model tedarik zinciri sorunları).
Gallot'un misyonu "Yapay zeka çağı, güvenlik öncelikli" ise, müşteriler Copilot ve Azure AI tekliflerinde yapay zekaya özgü güvenlik özelliklerinin daha standart hale gelmesini beklemelidir.
Geliştiricilerin nelere dikkat etmesi gerekiyor?
Geliştirici deneyimi, "önce güvenlik" yaklaşımının sürdürülebilir hale geldiği veya sürtünme karşısında çöktüğü yerdir.
Güçlü bir güvenlik programı genellikle geliştirici araçlarını şu alanlarda iyileştirir:
- Daha güvenli CI/CD varsayılan ayarları
- Daha iyi gizli tarama ve döndürme
- Daha güçlü bağımlılık kaynağı takibi ve SBOM iş akışları
- Hizmetler arası dahili yetkilendirme için daha net politikalar
Microsoft güvenlik kültürünü değiştirmek istiyorsa, geliştiriciler için güvenli davranışı en kolay davranış haline getirmelidir.
Daha rahatsız edici soru şu: Bu hesap verebilirlik mi yoksa imaj yaratma çabası mı?
Güvenlik sorunlarının ardından yaşanan liderlik değişiklikleri, görünüşte önemsiz gibi durabilir ve bazen de öyledir.
Ancak (Nadella'ya) olan raporlama yapısı, SFI'ya verilen sürekli önem ve CEO düzeyinde "mühendislik kalitesi" rolünün oluşturulması, Microsoft'un iki aşamalı bir sistem kurmaya çalıştığını gösteriyor:
- Şirket genelinde öncelikleri belirleyip bunların uygulanmasını sağlayabilen bir güvenlik lideri.
- Öncelikleri, yazılımın piyasaya sürülmesini sağlayan mühendislik mekanizmalarına dönüştürebilen nitelikli bir lider.
Eğer şirket ciddiyse, açıklamalardan daha fazlasını görmeyi beklemeliyiz. Özellikle:
- kamuoyuna açık dönüm noktaları,
- ölçülebilir iyileştirmeler,
- daha güvenli varsayılan değerler,
- ve “istenmeyen hatalarda” (kültür ve süreçle bağlantılı önlenebilir olaylar) istikrarlı bir azalma.
Bundan sonra ne olacak (muhtemel zaman çizelgesi)?
Dışarıdan bakıldığında, önümüzdeki birkaç ay şunları getirebilir:
- Gallot'un yönetiminde değişiklikler yaşandı (güvenlik ekiplerinin yeniden yapılandırılması).
- Müşteriler için güncellenmiş kılavuz ve temel yapılandırmalar.
- Yöneticilerin deneyimlerini değiştiren, "varsayılan olarak güvenli" daha fazla uygulama geliştirmesi.
- Copilot ve Azure hizmetleriyle bağlantılı yapay zekaya özgü güvenlik taahhütleri.
Müşteriler için tavsiye, bunu kimlik doğrulama durumunu gözden geçirmeleri için bir hatırlatma olarak değerlendirmeleridir: ayrıcalıklı hesaplar, çok faktörlü kimlik doğrulama kalitesi, koşullu erişim ve oturum açma. Microsoft önemli ölçüde iyileşme gösterse bile, müşteri tarafındaki kimlik doğrulama, başarı veya başarısızlık faktörü olmaya devam etmektedir.
Özetle
Microsoft'un Hayete Gallot'u Güvenlikten Sorumlu Başkan Yardımcısı olarak ataması (doğrudan Satya Nadella'ya bağlı olarak), güvenliğin geçici bir kampanya değil, en önemli kurumsal öncelik olmaya devam ettiğinin açık bir göstergesidir. Charlie Bell'in mühendislik kalitesinde bir role geçmesiyle birlikte bu durum, bir stratejiye işaret ediyor: güvenlik sonuçlarını yalnızca politikalara ve olay sonrası düzeltmelere değil, titiz yazılım kalite sistemlerine bağlı kılmak. Microsoft bunu daha güvenli varsayılan ayarlarla, daha iyi şeffaflıkla ve daha güçlü kimlik korumalarıyla desteklerse, bulut ve yapay zeka çağında güveni yeniden inşa etme yolunda bir adım atmış olur.
Kaynaklar
- The Verge:https://www.theverge.com/news/873930/google-cloud-hayete-gallot-microsoft-security
- Microsoft blogu/not referansı (The Verge aracılığıyla):https://blogs.microsoft.com/blog/2026/02/04/updates-in-two-of-our-core-priorities/