Riski anlamak..?

Bilgi güvenliği riskini yönetmek- durumu basit tutun.

Kuruluşlar, bilgi güvenliği risklerini anlamak ve bunları daha iyi bir şekilde yönetmek için konuya risk yönetimi ile başlamalıdır.

Her gün, her hafta, siber alemdeki başarısızlıkları, hacking faaliyetlerini, sosyal mühendislik açıklarını zararlı kod bileşenleri ile gittikçe daha kötüye giden şekilde görmekteyiz. Kocaman şirketlerdeki basit güvenlik hataları, çoğunlukla ön görülebilir risklerin analiz edilmemesi ve bunun bilimsel metot olarak yapılması gerekmektedir. Bilimselliğin ölçünü olan;

· Objektif olma

· Konunun aksinin ispat edilebilirliği

· Veri ya da ölçütün yeniden üretilebilir olması

· Benzer şartlarda yeniden üretilebilir olması

· Doğrulanabilir olması

Teknolojinin genel olarak bizi geleneksel yaklaşımdan tamamen kopartıp başka yönlere çekmesine mikro granüller seviyede bütünden kopuk şekilde çözüm arayışına izin vermemeliyiz. Genel olarak her güvenlik açığı teknolojik, insan ya da süreç riskinden yararlanılarak en üst seviyede istismar edilmektedir, günün sonunda her siber olsun ya da olmasın her zafiyetin arkasında bir fikir ve bunu destekleyecek bir tehdit ve zayıflık modeli olmalıdır.

Bir veri ihlali, bir kesinti, atak, başarısız bir proje veya başka bir konudan bahsediyor olsak da konu popülerlik algısı ile kötü bir şekilde kabul edilebilir hale geliyor. Örneğin onların başına geldi bizimde başımıza gelmesi doğal gibi. Satranç gibi bu bir oyun sürekli kaybetmek, bunu ölçememek hiçbir zaman bahanemiz olmamalı. Diğer bir konu ise güvenliğin genellikle sübjektif bir konu olarak kalması, bunu genel olarak listenin başına koyuyorum ölçmek metrik değerlendirmesi yapmak zorundayız, ölçemiyorsak değerlendiremeyiz.

Bu tür öyküler, bilgi güvenliğinde alanında çalışanlar için, her biri yeni bir felakete karşı güvensizlik içinde kafalarını sallayan zengin bir uyarıcı gibidir. Tavsiye istemek için bolca iyi insan var, binlerce iyi uygulama kaynağı var, bilgiye erişimde hiçbir sorun yok ancak yine de bazı nedenlerden dolayı bunlar göz ardı ediliyor.

Kurumların teknolojiye bağlı olması günümüz dünyasında gerekli. Kişiler kurumlar piyasadaki en parlak “çözüm” hakkında heyecan duyuyorlar olabilirler (fakat bunun yeni bir arabaya binmekten pek bir farkı yok) ve altın kuralı unutuyorlar genellikle: güvenlik bir insan ve süreç problemidir ve ona para atmak suretiyle çözülemez. Güvenlik kurgulanmak, ölçülmek ve iyi şekilde tüm diğer bileşenlerle entegre olacak şekilde yapılandırılmalıdır.

Teknoloji artık her alanda o kadar dominant ki buradaki yakınsama, bizi artık “siber güvenlik” diye bir şeyin olmadığı bir yere götürüyor- sadece “güvenlik” var. Güvenliğin sosyal hayatlarımız dahil olmak üzere kendisi her şeyi kapsar hale geldi diyebiliriz.

Diğer bir konu güvenliğimizin kalitesi (kişisel ya da kurumsal), güvenlik konusundaki düşüncemizin kalitesiyle doğru orantılıdır. Belki de sadece “bizim başımıza gelmeyeceğini” düşünülüyor olabilir. Bu durum bu düşünenlerin karşılaştıkları riskleri anlamada bir başarısızlık olduğunu göstermektedir.

Güvenlik yönetiminin aslında bir risk yönetimi alt kümesi olduğunu asla unutmamalıyız. Bilgi güvenliği risklerimizi anlamak ve kurumlarımızda daha iyi iletişim kurmak istiyorsak başlamamız gereken yer burasıdır.

Risk; psikoloji, sosyoloji ve matematik ile bağlantılı ilginç bir konudur. Siber güvenlik risklerini tartıştığımızda, gerçekten iki şeyi tartışıyoruz: Kötü bir şey olmasının ne kadar muhtemel olduğu ve bunun ne kadar büyük olasılıkla tekrarlanacağı.

Kavramsal olarak “Kötü bir şey” genellikle bilginin (kullanılabilirlik durumu) ya da hassasiyetinin (gizlilik ve bütünlük) kritikliği ile bağlantılıdır.

Tartıştığımız “incinme”- genellikle organizasyon için tüm bunların reel bir sonucudur, bunu hissedersiniz, ancak ölçemezsiniz. Eğer risk analizi bilimine hâkim değilseniz, genellikle çıktı daha büyük olur.

Problem: Bilimsel metrik ya da yaklaşımlar için ‘bunlar soyut kavramlar. Bir gelecekte oluşmayabilirler denmesi’ bu yine sübjektife bir yaklaşımdır, riski almak için yada tölere etmek için bundan fazlasına ihtiyaç vardır. Bu yüzden bir çok organizasyon riski gerçekten anlamadığını, kavramsal olarak bunu göremediklerini görmekteyiz. Bu durum mantıksal olarak düzeldiğinde Bilgi güvenliği risk yönetimine farklı bir şekilde bakmaya yardımcı olabilir.

Bir şey, bir güvenlik problemi vb durumlar ancak koşullar izin verdiği takdirde gerçekleşebileceği fikriyle başlayalım. (Bundan herkes hemfikirdir) İster diğer gezegenlerde hayat, isterse kurum ağı ihlali olsun, şartlar buna izin vermiyorsa gerçekleşmeyecektir. Öyleyse, çok pratik bir bakış açısıyla, “durum yönetimi” nin içindeyiz. Buradan şartlara göre tepkisel-responsive olma durumundan bahsediyoruz.

Basit bir örnek olarak, kullandığımız router/fw vb varsayılan kullanıcı adı ve parolaları bırakırsak, yeterince uzun bir zaman çizelgesinde kayba yol açacak bir koşulun oluşmasına izin veririz. Kaynaklarımızı (zaman, para ve akıl), koşullarımızı olumlu yönde etkileyeceğimiz şekilde, kötü şeylerin daha az ya da daha az etkili olacağı şekilde uygulamamız gerekir. Genel olarak bu tip risklerin %80’den fazlası ön görülebilir durumdadır. Bu risk faktörünü IDM, Güvenlik Zekasi, Zayıflık analizi vb yöntemlerle yönetip geriye kalan %20’si için önemli kaynakları tüketmek daha mantıklı olacaktır.

Buna benzer yaklaşımlar daha sonra, bilgi güvenliği risklerinin kurumlara iletilmesinin daha basit bir yolunu sağlar eğer herkesin hemfikir olduğu bir risk yönetimi metodu kurum genelinde çalışıyorsa.

Risk yönetimi, Risklerinin ne olduğunu ve onları kabul edilebilir seviyelere indiren kontroller uygulayıp uygulamadığımızı bilmek isterler.

Risk yönetimi aynı zamanda minimum kaynak ile yapılanmamızı sağlar, bilgi güvenliğinin önemli parametrelerinden olan need to know basis (Bilinmesi gerekenler) ve at least privilege (Min yetki düzeyinin) kullanılması, kaynakları israf etmediğimizi sağlar. Gereksiz, fazladan kullanılan her kaynak kendi risk modelini oluşturacağı için istenmeyen bir durumdur. Risk yönetiminin diğer alanı ise kurum yapısının ilgili standartlara, mevzuata ve sözleşme şartlarına uygun olduklarını bilmek isterler. ISO, Cobit, Kvkk vb, Kurum için zarar veya zarara yol açabilecek koşulları yönetmekte olduğumuzu bilinmesi gerekir.

Bilgi teknolojisi, günlük hayatımızın, işletmelerin ve daha geniş toplumun önemli bir parçasıdır. Sunmuş olduğu riskleri anlamak ve onlara akıl yürütmeyi teşvik eden ve iyi kurumsal yönetişimi destekleyen yollarla nasıl yönetildiğini öğrenmek mantıklıdır. Sonuçta riskler hiçbir zaman yok olamayacak, riskin performansı hıza, adaptasyona ve tepkiselliğe göre ölçülecektir.

BT’de “iyi” olmak yeterli değildir. Risk altında ve bunun yönetişiminde de iyi olmalıyız. Stress ve bir çok negatif faktörün birleştiği andaki performans bizleri farkları kılar.

Bilgi güvenliği uzmanları (bu konuda kuruluşların bilgili, deneyimli, ve uzman kişileri) riskleri üst yönetimin anlayabileceği ve etkileşimde bulunacağı bir şekilde açıklamaları ve tekrarlanmaları için bir adaptasyon sürecinden geçmelidirler.