Daha fazla içerik için

Bir arkadaş bulma sitesini kullanıyor, mobil cihazınızı arabanızın eğlence sistemi ile senkronize ediyor, internet üzerinden alışveriş yapıyor, doktorunuzun uzaktan izlediği bir insülin pompası ile tedavi görüyor ya da bankanızdan bir fon transferi gerçekleştiriyor olabilirsiniz... Tüm bu sistemler siber suçlular tarafından ele geçirilebilir durumda. Üstelik bu suçların icra edilebileceği oyun alanı gitgide daha da genişliyor. 

Mobil ve internet teknolojileri için dünyanın en büyük organizasyonlarından biri olan Mobile World Congress 2017’de güvenlik konusunun artan teknolojik gelişimlerle birlikte ne kadar önemli olduğuna dair birçok örnekten bahsedildi. Geçen yıl 31 milyar dolara Arm’ı bünyesine katarak dünyadaki en büyük şirket satın almalarından birini yapan Softbank’ın CEO’su ve yönetim kurulu başkanı Masayoshi Son’a göre bugün bir arabanın içinde 500 Arm markalı chip var ve bunların hiçbiri güvenli değil. Nitekim Kaspersky Labs kurucusu Eugene Kaspersky de aynı konuda, 2015 yılında ilk kez bir arabanın siber ataklarla ele geçirildiğini gördüklerinden bahsetti. Sürücüsüz arabalar gibi birçok konuda hayatımıza girmekte olan nesnelerin interneti, siber güvenlik konusunun ciddiyetini bize hatırlatmaya devam ediyor. GSMA (Global System Mobile Association)  tarafından yayımlanan bir anket (GSMA’in yıllık endüstri anketi, 2017) sonucuna göre, sektör uzmanlarının yüzde 86’sı teknoloji ne kadar ilerlerse ilerlesin tam bir güvenli ortam yaratılamayacağını düşünüyor. Yine aynı anket gösteriyor ki katılımcıların yüzde 69’u siber suçlularla savaşmak için küresel bir organizasyonun gerekliliğine inanıyor. Geçtiğimiz 18 ayda Türkiye’de ve dünyada artan ve artık saklanamayacağı için açıkça paylaşılan güvenlik ataklarına baktığımızda güvenlik konusunun neden böyle konferanslarda en çok konuşulan konulardan biri olduğunu anlamak zor değil. 

Biraz da gerçek hayatta yaşanmış olaylara bakalım. Artık, maalesef, sayıları gittikçe artan vakaları basından ve internet üzerinden takip edebilir hâle geldik. Bu vakaların “en şeffaf” bilinir ve konuşulur olduğu A.B.D.’den örnekler çarpıcı gerçekleri gözler önüne seriyor. 2017 yılında yaşanan Equifax vakası, listede “en fazla bilginin sızdığı” sıralamada (Şekil 1)- zirvede olmasa da etkilerini iyi değerlendirmek gereken ve ders alınması gereken bir örnek olarak ele almak gerekir.

Equifax Mayıs 2017’de bu olayın farkına varmasına rağmen, yapılan tüm incelemeler, şirket içi çalışmalar ve alınan danışmanlıklar sonrasında Eylül 2017’de resmi açıklamayı yapma noktasına geldi. Şekil 2.’de görüldüğü üzere tam bu anda şirketin borsa değeri yaklaşık yüzde 25 oranında bir erozyona uğrayarak 4 milyar USD eridi. Akabinde teknoloji alanında sorumlu bazı üst yöneticiler ile birlikte CEO Micheal Smith de istifa etti. Smith istifa eden bir CEO olmasına rağmen A.B.D Kongresindeki senatörlere karşı ifade vermek durumunda kaldı. 

Dijitalleşen dünyada teknolojinin yaygınlaşması, SMAC (Social/Mobile/Analytics/Cloud) faktörünün hem şirketlerin içinde, hem iş ortakları arasında, hem de müşterileri ile etkileşiminde kaçınılmaz olması hayatı kolay, hızlı ve mobil bir hale dönüştürüyor. Diğer yandan, şirketlerin ve müşterilerinin maruz kaldığı risk yüzeyini muazzam bir hızla, geometrik oranda büyütüyor. Yaşanan vakalar gösteriyor ki, bu ortamın güvenliğinin sağlanması ihtiyacı da her geçen gün katlanarak artıyor ve zorlaşıyor ve bu artış duracak gibi de görünmüyor. 

Son yıllarda dünyada, ülkemizde ve farklı sektörlerde güvenlik alanında yaşananların bizi getirdiği noktaya farklı açılardan baktığımızda güvenliğin, güvenlikçilerin ötesinde bir dünyaya dokunduğuna, dolayısıyla da konunun etraflı ve geniş bir alanda incelenmesi gerektiğine karar verdik. İşin detayına girmeden önce belirtelim ki burada düşünüp yazdığımız fikirler; Bilgi Teknolojileri Güvenliği (IT Security), Bilgi Güvenliği (Information Security), Teknoloji Güvenliği (Technology Security) konuları çerçevesinde bir derleme. Konuyu “siber alemde” incelemek adına; ilişkili olsa da Bina&Fiziksel Güvenlik (Premises&Physical Security) alanını şimdilik kapsama dahil etmedik. 

Peki güvenliği güvenlikçilere bırakmayacaksak, ne yapacağız? 

Organizasyonlarda Güvenlik Yapılanması

Ülkemizdeki birçok firmaya bakıp güvenliğin organizasyondaki yerini incelediğimizde karşımıza çok ilginç bir manzara çıkıyor.  Teknolojinin lokomotifi olan finans ve telekom sektörlerinin Bilgi Teknolojileri (BT) yapılanmaları birbirine benzerlikler gösteriyor; diğer sektörler de bütçeleri doğrultusunda bunlara benzer yapılar kuruyor. BT organizasyonlarında; şu tür yapılanmalar görülüyor:

  • Uygulama geliştirme (analist ve geliştirme kadroları birikte ya da ayrık),
  • Altyapı yönetimi ve operasyonlar (sistem ve ağ yönetimi, bilgi yönetim merkezleri, her türlü donanım konusu), 
  • Yönetişim fonksiyonları (süreç, mimari, güvenlik, bazen denetim –zamanla yönetim kuruluna bağlandıklarını gözlemek mümkün, hatta teknik satınalmalar vb), 
  • Destek fonksiyonları (uygulama destek, altyapı destek, yardım masası, saha hizmetleri, SLA yönetimi vb),
  • İş zekası ve veri analitiği (her tür veri toplama, işleme ve raporlama konuları),
  • Proje ve talep yönetimi (iş birimlerinden gelen istekleri önceliklendirme ve projelendirerek yönetme). 

Birkaç küçük fark olsa da temelde izlenen bu yapıda; güvenlik kadrolarının pozisyonlanmasını biraz daha yakından inceleyelim. 

Güvenlik kadroları sistem yönetiminde,  ağ yönetiminde, operasyon mimari ya da yönetişim ekiplerinde, teftiş/denetim kurullarında, idari işlerde, direkt CTO’ya bağlı şekilde, proje ofisi ekibinde; hatta finans yönetimi içerisinde bile bulunmakta. Bu kadar “gezinen” bir birim olması akıllara güvenlik fonksiyonunun görevinin ne olduğunun ve organizasyon içerisinde nasıl yapılanması gerektiğinin hâlen netleşemediğini getiriyor. Bu fonksiyonun bu kadar gezinmesi aynı zamanda fonksiyondan beklenen işlerin geniş bir spektrumda olduğunun bir göstergesi. Durumun böyle olmasının ana sebeplerinden biri de şirketlerde güvenliğe dokunmadan iş yapamaz hale geldiğimiz bir dünyada yaşamamız. Dolayısıyla kurumların güvenlik organizasyonlarını pozisyonlarken artık “her yere uyan” bir fonksiyon yerine, “her şeye dokunan, her alanda sorumluluğu bulunan” bir fonksiyonu yapılandırdıklarını unutmamaları gerekiyor. 

Güvenlik fonksiyonu bu bahsettiğimiz sebeplerden dolayı şirket içindeki diğer birimlerle de yakın ilişkiler içinde, etkili ve yetkili bir konumda olmalı. Hiyerarşik olarak ve şirket kararlarını etkileme açısından dünyada güvenlik fonksiyonunun organizasyondaki yerinin hukuk, finans, denetim gibi üst yönetimin temel taşı olması gereken bir yapılanmaya doğru değişim gösterdiğini gözlemlemek mümkün; çünkü sorumluluk alanı “tüm şirketi ve şirkette yapılan işleri” kapsıyor. Bu tür yapılanmalarda güvenliğin şirkete “doğru ve tam” şekilde dokunabilmesi, “şirketi harekete geçirebilmesi” ve şirkete gerçek katkıyı “sağlaması ve enjekte edilmesi” kolaylaşıyor.

Sorumluluk ve Başarı Kriterleri

Güvenlik fonksiyonunun sorumluluklarına bakıldığında başlıktaki konunun bir başka tezahürü karşımıza çıkıyor. Güvenlik fonksiyonları neden sorumludur, başarısı ne ile ölçülür? Şirketlerin yukarıda sıraladığımız BT temel fonksiyonlarının sorumluluklarını ve buna bağlı başarı kriterlerini incelediğimizde çok net Anahtar Performans Göstergeleri (Key Performans Index - KPI)  görmemiz mümkün.  Uygulama ekiplerinde yıllık proje adetleri, proje devreye alma süreleri (time-to-market), sistem yönetimi ekiplerinde sistemlerin kesintisiz çalışma süreleri ve kapasiteleri (availability and usage), ağ yönetimi ekiplerinde hızlı, yüksek kapasiteli ve yedekli ağ erişim servis oranları (delay, throughput ve yedeklilik), destek ekiplerinde zamanında çözülen problem sayısı sıralanabilir. Hatta denetim ekiplerinde bile senelik denetim ve bulgu adedi bir KPI olarak karşımıza çıkıyor. Açık, net ve genel kabul görmüş KPI’lar,

bahsi geçen ekiplere başarı ölçümleme ve üst yönetimin beklentilerine cevap verebilme konusunda belirsizliğe yer bırakmayarak kaynak yaratma, gelişme ve görünürlük sağlıyor.
Güvenlik fonksiyonunda KPI konusuna baktığımızda bir belirsizlikle karşılaşıyoruz. Malesef birçok CISO, CSO ya da  güvenlik yöneticisinin net bir KPI’ı olduğunu söylemek  mümkün değil. Var olan KPI’ların birçoğu operasyonel seviyede (FW isteklerinin ortalama yerine getirilme süresi, kullanıcı doğrulama servisinin erişilebilirlik yüzdesi vb..) kalıyor ve her geçen gün karmaşıklaşan tehditler ve riskler göz önüne alındığında kurumlara bir “güvence” verecek KPI’lar değil.

Diğer yandan en yaygın kullanılan KPI’lar ise –özellikle ülkemizde  – “Asayiş berkemal mi?”, “Güvende miyiz?”, “Her şey güvende, değil mi?” gibi, ölçülmesi mümkün olmayan,  çok az bir kısmı güvenlik fonksiyonlarınca işletilen/yönetilen yapı ve servislerin durumu direkt etkileyebildiği ve –en ironik olanı ise- başınıza bir musibet gelmediğinde ya da çoktan başa gelmiş musibeti fark etmediğiniz sürece çok da başarılı görünen “fiktif” KPI’lar. O zaman da “bir vukuat olmadığı sürece” güvenlik fonksiyonlarının yüzde 100 başarılı çalıştığını ve performanslarının 100 üzerinden 100 olması gerektiği kararına varırız ki bu gerçekçi olmayan bir durumdur. Ya da bir vukuat olduğu durumda güvenlik yöneticilerini suçlayıp kapının önüne koyarız ki bu da adil olmayan ve yapılan emeğe dair iz taşımayan bir davranış olur. Güvenlik vukuatları herkesin başına gelebilir; güvenlik organizasyonlarının görevi bu vukuatların oluşmaması için önlemleri almak, süreçleri düzenlemek ve bu konuda tüm organizasyonda farkındalığı artırmaktır. 

Bu sorunun çözümü, güvenlik KPI’nın sadece CISO’nun KPI’ı olmaktan çıkmasında yatıyor;  çünkü şirketlerde artık her çalışan, her altyapı, her sistem, her değişiklik, her servis ve her karar az ya da çok güvenliği etkileyecek bir durumda. Daha ötesi şirket dışında, kontrolünüzde olmayan, büyük bütçeler hatta devlet destekleri ile çalışan yapıların da kurumunuzun güvenliğini etkilediğini düşünürseniz, güvenlik KPI’nı sadece güvenlik fonksiyonunun etki alanında görmenin irrasyonel olduğunun farkına varırsınız. O halde gerçek bir sorumluluk tanımı ve buna bağlı KPI yönetimi için kurumun tüm fonksiyonlarının ortaklaşa benimseyeceği, her fonksiyonun kendi üzerine düşen sorumlulukları yerine getireceği; kurum bazındaki başarı kriterlerinin de açık ve kapsamlı üst düzey komitelerle yönetileceği bir yapıya ihtiyaç vardır diyebiliriz.

Güvenlik Fonksiyonunun İç Yapılanması 

Büyük ve önde gelen danışmanlık ve değerleme firmaları kurumlar adına yaptıkları organizasyon çalışmalarında güvenlik ekipleri ile ilgili organizasyonda; kayıtlı risk adedi (teknoloji ya da BT riski), denetim bulgu adedi ve atak sayısı gibi göstergeleri temel alıyorlar. Bu değerler doğrultusunda norm kadrolar belirleniyor ve göstergelerin değişimi oranında kadroda büyüme/küçülme yoluna gidiliyor. Şimdi bu değerlere biraz daha detaylı bakalım ve konunun bir başka –ve de kritik- boyutunu daha yorumlamaya çalışalım.

Her şeyden önce riskin bir “algısal” unsur olduğunu dikkate almamız gerekir. Bir kurum için çok riskli olan bir konu; başka bir kurum için sıradan bir risk olarak algılanabilir. Hatta bu farklılığın benzer operasyonu yürüten iki admin/yönetici arasında bile farklı algılandığı birçok örneği görmemiz mümkündür. Dolayısıyla şirketlerin risk yönetimlerine baktığımızda aynı sektörde yer alan benzer iki kurumun çok farklı adetlerde risk kaydına sahip olduğunu görebiliriz. Sadece bu durum bile güvenlik yapılanmasında ve kaynakların belirlenmesinde bu göstergenin güvenilirliğini azaltır. Kaldı ki risk kaydı oluşturmak bedava olduğu için risk kaydını artırmak ya da azaltmak ve yapılanma üzerinde tasarruflarda bulunmak da  –en azından teorik olarak- mümkündür.

Bulgu adetleri ise bir başka bağıl göstergedir. Şirketlerin denetim fonksiyonlarının yetkinliği, odaklanılan denetim alanları, denetçi adetleri, tabi olduğu regülasyon ya da sektörel uyum zorunlulukları, denetçilerin bağımsız değerlendirme (professional judgement) insiyatifleri kurumun karşı karşıya kaldığı bulgu adedini çok ciddi oranda etkileyebilir.  Diğer yandan denetimler olsa da olmasa da bu, kurumunuzun siber dünyada karşı karşıya kaldığı tehditleri ve ne boyutta bir güvenliğe ihtiyaç duyduğunuz gerçeğini pek de fazla değiştirmeyecektir. Denetimler disiplin ve uyum getirmekle birlikte “güvende olduğunuzun bir güvencesi” olamazlar. Bu nedenle bulgu tabanlı bir güvenlik yapılanması kurumun güvenlik sorunlarını çözmek için pek de doğru bir yol olmayacaktır.

Son göstergemiz ataklar ise ayrı bir şekilde ele alınmalıdır. Bir kurumun dışarıdan maruz kaldığı tehditler vakadır ve kurum içinde güvenlik konusunun değerlendirilmesine ciddi etkisi vardır. Ancak son zamanlarda ülkemizde yaşanan özel sektör, kamu hatta şahsi güvenlik vakalarına baktığımızda atakların kime ya da nereye, ne zaman ve ne şekilde geleceğini kestirmenin imkânsız olduğunu gözlüyoruz. Siz her zaman tam ve çalışır bir güvenliğe sahip olmak zorundasınız; bu yüzden kurum içindeki güvenlik yapınızı, “kurumunuzun kontrolünde olmayan bir göstergeye” endekslemek pek sağlıklı olmaz. Bir anda umulmadık bir vakanın oluşması hiç de imkânsız değildir. 

Peki bu durumda ne yapabiliriz? 

Korumanız gereken kurum değerleri, kurumunuzun sunduğu servis ve ürünler, buna yönelik süreç, sistem, altyapı, yetkinlikler belirliyken sağlam bir güvenlik yapılanmasında da referans alınması gereken gösterge bu saydığımız maddeler olmalıdır. Örneğin sadece mobil uygulama geliştiren bir şirketin sadece mobil uygulama güvenliği konusunda yetkinliğe sahip olması uygun ve yeterlidir (sistem, ağ vb. güvenliği işlerini taşeronlaştırdığı ya da temel seviyede yetkinliğe sahip olduğunu varsayarak). Bunun yanında web teknolojileri, bulut bilişim, client&server teknolojileri, veri tabanı servisleri gibi gitgide artan ve farklılaşan ürün ve servis içeren bir kurumda iseniz, o zaman bu alanlarda da güvenlik yetkinliğine sahip olmanız bir gereklilik olacaktır. Diğer bir deyişle, güvenlik yapılanması, diğer birçok destek fonksiyonunda olduğu gibi, işinizin ne kadar kompleks olduğu ile ilişkilendirilmelidir. Tek ya da birkaç güvenlikçi insan kaynağının oldukça kompleks bir kurumun tüm ihtiyacını karşılayacak yetkinliğe sahip olmasını beklemek fazla hayalciliktir.

İnsan Kaynağı 

Öncelikle hatırlamamız gerekir ki güvenlik sorunlarını yaratanlar sistemler değil, insanlardır. (en azından şimdilik).  Bu sebeple ister “saldıran” ister “savunan” tarafta olun; kalifiye insan kaynağı –birçok alanda olduğu gibi- en temel unsurdur. Güvenlik sektöründe yapılan araştırmalara bakıldığında bu alanda yaşanan sıkıntıların en önde gelenlerinden birinin de yeterli yetkinlikte insan kaynağı eksikliği olduğunu görebilirsiniz. Benzer araştırmalarda “geleceğin meslekleri” sıralamasında güvenlik genellikle ilk 5’te yer almaktadır.

Bu durum ülkemizde de benzer şekilde karşımıza çıkıyor. Güvenlik sektöründe belli bir yetkinliğe sahip uzman bulmak hem son derece zor hem de oldukça maliyetli. Bir deyimimizde “Bulunmaz Hint Kumaşı” diye tabir edilen bu çok değerli insan kaynağımız, durumu daha da vahim bir hâle getiren başka bir tehditle; yurt dışı talebi ile karşı karşıya. 

Şirketler güvenlik yolculuklarında iki ana yol seçiyorlar: 

*İlki, şirketteki tüm güvenlik sorumluluğunu sadece CISO/CSO ve efradına vererek burada kalabalık, kontrol ve onay tabanlı, her işe yetişen ve bilen bir uzmanlar ordusu barındırmak seçeneği. Bunun için her şeyden önce nadir ve pahalı kaynakların bulunduğu bir pazarda ihtiyacınız olan kadroları bulmak, yetiştirmek, bunları elde tutmak ve  yedeklemek gibi konularda sistemler kurmak gerekiyor.   Bu yaklaşımın riski, şirket büyüdükçe artan kadro ile “herkese bir güvenlikçi” yaklaşımıyla polisiye yapılanma gibi bir güvenlik organizasyonu oluşması; ki bu maliyet ve kaynak bulma açısından zor bir durum. Diğer yandan bu yaklaşımla, güvenliğin sağlanması işini şirket geneline yaymak yerine sadece CISO/CSO yapılanmasına yüklemiş oluyoruz ki bu yaklaşım da iş birimlerini güvenlik konusunda sorumluluk hissetmekten uzaklaştırıyor, onların sağlayabileceği ve daha ekonomik olan katkıyı sadece güvenlik birimlerinden bekler hâle getiriyor. Güvenlik birimleri bir “checkpoint/onaycıbaşı”na dönüşüyor ve Bay Hayır (Mr.NO) semptomuna yol açıyor. 

*Diğer bir yaklaşım, CISO/CSO yapılarını doğru ve yeterli uzmanlarla kurgulamanın yanı sıra bu kadroların desteği ve koordinasyonu ile ihtiyaç duyulan yetkinliği belli oranlarda şirket geneline yayma ve şirketi en üstten, en alta eğitmek şeklinde ortaya çıkabiliyor. Bu seçenekte yukarıda “sorumluluk ve başarı” başlığında bahsettiğimiz şirkete yaygınlaştırılan güvenlik KPI’ının destekleyici ve kaldıraç etkisi de doğru kullanılabiliyor. Bu yaklaşımı başarmak başlangıçta daha çok vakit ve ek maliyetler içerse de orta-uzun vadede hem herkesin katılımı ile işlerin baştan sona daha güvenli yapılmasına olanak sağlar; hem de güvenliği imece usulü sağlamaya çalıştığımızda daha fazla ve çeşitli yetkinliği bu amaç için mobilize etmeye yarar. Sonuçta “en iyi akıl, ortak akıldır”.

Hangi yolu seçerlerse seçsinler, bugün dijital dönüşüm ajandasını dillerinden düşürmeyen tüm kurumların, siber güvenlik konusunu da ajandalarının öncelikli kalemlerinden biri yapmaları gerekiyor. Bu konuyu kontrol altına alacak ve organizasyona bu bilinci kazandıracak güvenlik konusunda yetişmiş insan kaynağını da gerek dışarıdan yetenek avlayarak, gerekse içeride bu yeteneği yetiştirmek için gerekli yatırımları yaparak kazanma konusunda yetenek gelişim organizasyonlarına büyük iş düşüyor. 

Güvenlikçiler maalesef analistler ve uygulama geliştiriciler gibi alkışlanacak işler yapan ekipler değiller. “Asayiş berkemal” iken hatırlanmayan, bir vukuat olduğu zaman tüm bakışları üzerine çeken bu zorlu ve hassas rolü üstlenmek için yetenekli insan kaynağının cesaretlendirilmesi, güvenlik işinin BT kariyerinin olmazsa olmaz bir parçası olarak konumlanması ve konunun stratejik öneminin her fırsatta sadece teknoloji değil aynı zamanda iş birimi yöneticileri tarafından dile getirilmesi önemli. Aksi takdirde bilgisayar mühendisliği bölümlerinde siber güvenlik dersi olmamaya ya da talep görmeyen seçmeli bir ders olmaya mahkum olur; ve bu konudaki yetenek açığımızı kapatma konusunda ülke olarak çok geride kalırız. 

Mevcut insan kaynağı bize henüz bu imkânı sunmasa da biz inanıyoruz ki CISO ya da CSO’lar tıpkı hukuk ve risk sorumluluğu alan C seviye yöneticiler gibi gerçek bir üst düzey yetki ve sorumluluk ile görevlendirilmeli ve bu yetkinlikte kişiler olmalı. Dijital değişim yaşandığı bu dönemde CISO’ların,

  • Güvenlik ve risk ekiplerine liderlik etmesi,
  • Üst yönetimde teknik/teknik olmayan fonksiyonlar ile işbirliğini ve etkileşimini artırması,
  • Güvenlik ekiplerinin pragmatik olarak sürekli dönüşümünü sağlaması,
  • Teknolojinin farklı alanlarında teknik tecrübeye sahip olması beklenecektir. 
  • Ve aşağıdaki karikatür sadece bir CISO/CSO’nun kariyeri için değil; esasında topluca “güvenliğin” şirketlerde ele alınması açısından en anlamlı mesajı veriyor.

ÖZETLE

SORUN

Dijitalleşen dünyada teknolojinin yaygınlaşması güvenlik sorunlarını da beraberinde getirdi. Şirketlerin ve müşterilerinin maruz kaldığı riskler muazzam bir hızla artıyor ve yaşanan vakalar gösteriyor ki güvenliğin sağlanması artık çok daha elzem bir ihtiyaç. 

ÇÖZÜM

Güvenliğin şirkete “doğru ve tam” dokunabilmesi için bu konuya çok daha geniş bir perspektiften bakmak gerekli.    

Paylaş:

Bu içeriği beğendiyseniz daha fazlası için ücretsiz üye olun!

SEÇENEKLERİ GÖRÜNTÜLE

Sınırsız Erişime Sahip Olmanın Tam Zamanı

HBR Türkiye içeriğine bir yıl boyunca tüm platformlardan erişin!
ABONELİĞİMİ BAŞLAT

Tüm Arşive Gözatın

Paylaş