Siber Güvenlik’te ROI (yatırım getirisi) ölçülebilir bir metrik mi?

ROI — sadece siber güvenlikte olmayıp her ticari işin ana kayasıdır. Ne kadar harcıyoruz? Ne kadar kazanıyoruz? Kazancımızı ölçebiliyor muyuz? Kazancı en üst düzeye çıkartabilir, maliyetleri azaltabilir, karı nasıl artıra biliriz? Bu durum bir kurumda yer alan hemen hemen her toplantıda, genelde açık olamayan ancak kafalarda sallanan sorudur.

Konu siber güvenlik harcamalarına geldiğinde (standart BT giderleri dışıda) örnek olarak kurduğumuz 500K USD’lik APT sandbox’in yatırım getirisi nedir? Yeni siber güvenlik sistemimize kaç adet sofistike saldırı yapıldı?, biz bunun neresindeyiz? Harcadığımız para miktarı karşısında ne kadar güvenlik aldığımızı ölçmenin bir yolu var mı? Kafalardaki soru her zaman bu, yapılacak onlarca farklı alandaki yatırımlar arasındaki en mantıklı, en iyi getiri ve faydayı sağlayacak olan hangisi?

Belki var, ama çoğu iş için cevapları almak çabadan daha değerli olabilir. Bir siber güvenlik sistemi üzerinde harcadığınız paranın bedel değerinin olup olmadığını anlamaya çalışmadan önce, ROI’in size olan pozitif çıktısı, olabilecek daha büyük sorunlar için yeterliliği ve oluşacak ortalama riskin risk modelini çalışarak oluşacak finansal ve diğer etki bileşenleri ile analiz yapılması olacaktır. Ancak ilk etapta saldırıları engellemek için sadece bir ürüne yönelmek yerine etkili bir siber güvenlik mimarisini oluşturmak için kafa yormak her zaman daha değerlidir.

Gerçek siber güvenlik ROI’sinin belirlenmesi sadece hafifletilen ya da engellenen saldırıları ölçülmesi ve bunun etkisi değildir, aynı zamanda potansiyel diğer saldırı vektörlerinin analizi ve meydana gelebilecek zararlı durumlarda tüm BT varlıklarının, uygulamaların, iş süreçlerine etkisi üzerinden analiz edilmesidir. Konu yüksek seviyeli güvenlik risklerine geldiğinde sadece tehdit konusunda bilgi sahibi olmanız yetmez, aynı zamanda tehdit aktörü, arkasında sponsor yapısı, 5N 1K sorularının cevaplarını bulmanız gerekir. Tüm bunları finansal olarak analiz ettiğinizde aslında güvenlik yatırımlarının ucuz olduğunu görürsünüz. Tıpkı 2 Trilyon USD’lik siber suç büyüklüğü karısında sadece 250Milyar USD yatırım yapılması gibi, tabi bu bir başlangıç. 2022’de dünya 5 Trilyon Usd bir suç büyüklüğü ile uğraşmak zorunda kalacak.

Meselenin ironi tarafı şu aslında; birçok durumda siber güvenlik için harcanma kararı tepkiseldir. Örneğin fidye yazılımı bir tehdit ise, ona karşı savunmak için bir yapıya ihtiyacınız var demektir. Eğer kripto zararlı yaygınsa, bunu önlemek için bir yola-yapı gerekir. Sistemler işi çok iyi yapabilir, ama günün sonunda sadece bir araçtır çözümün tamamı değildir. Ancak birçok durumda güvenlik sistemlerinin maliyetlerini düşürmek CFO-Finans muhasebe sistemi daha etkilidir hatta çoğu satın alma bu ekipler tarafından yapılır. Yanlış olan şey riskini almadığınız, ölçemediniz herhangi bir durumun etkileri konusunda ROI hesabi yapmanın mantıksızlığıdır. Uçtan uça başarılı bir yüzde ile ölçmediğiniz sürece bunu yapmak zordur. ROI için sübjektif bakış açıları sizi genellikle yanlış yerlere, yanlış güvenlik kararlarına götürecektir.

Siber güvenlik risk ölçülmeli, değerlendirmeli ve yatırım türü /yapısına bu noktadan sonra karar veriliyor olmalıdır. Ancak çoğu durumda bu finans/muhasebe departmanının bir görevi olmuştur.

Kurumların harcanan paranın karşılığını alıp almadığını anlamaları için aslında daha kolay bir yol var. Örneğin akılda tutulması gereken en önemli istatistik, yüksek seviyeli saldırıların birçoğunda kimlik avı saldırılarının yetki yükseltme teknikleri ile bir arada kullanılıp güvenlik ihlallerinin %80'ne neden olmasıdır. Bu konuda hemfikirsek e-posta kimlik avı kampanyalarıyla ilişkili ihlalleri önlemeye çalışın ve bunu ölçün bu sayede ilgili güvenlik olayı için net bir değer ölçüsüne sahipsiniz demektir.

Bu prensibi takiben, bir firmanın yapabileceği siber güvenlik ve yatırım getirisi açısından en etkili şey, bu tür saldırıları önleyebilecek ve azaltabilecek yapılara ve süreçlere yatırım yapmaktır. Kimlik avı dolandırıcılığındaki kötü amaçlı yazılım tehditlerinin çoğu, e-mail olarak eklenen eklerde olduğundan (oltalama temelli), ekleri tarayabilen bir sistemin kurulmasının en doğru gerekçesidir. Tek bir güvenlik yatırımı için bu şekilde bir kapsam söz konusu, diğer güvenlik tehdit vektörleri incelenerek de farklı sonuçlara da varılabilir.

Diğer bir örnek, sıfır-gün saldırılarına karşı koruma sağlayamayan anti-virüs sistemleridir. Zaman, gerekli insan kaynağı ve yönetimsel dikkat gerektiren Sandbox-APT gibi birçok çözüm sadece yüksek seviyeli riskler için modellenmesi açısından yük ve masraf olarak görünür. Milyonlarca para harcayıp herhangi riskli durumla karşılaşmayabilirsiniz çünkü bu tip atak profillerinin etkisi çok yüksek ancak frekansı oldukça düşüktür, ayrıca %100 güvenlikten de bahsedemiyoruz. Bu nedenle, bu tip yatırımların getirisinin etkin olmadığını düşünebilirsiniz, daha ki 10M üzerinde çıktısı olan karmaşık bir güvenlik riski ile karşılaşana kadar. Türkiye’de ve dünyada bu rakamların çok üzerinde çıktılar mevcut, dünya ortalamasının bu tip güvenlik ihlallerinde olay başına 7.5 ile 11 Milyon usd arasında olduğunu rahatlıkla söyleyebiliriz. Bu nedenle güvenliğin ROI’si her zaman neden sonuç değil bazen ön görülebilir gerçek risklerin karşısında yapılacak yatırımlardan da geçer.

Maksimum yatırım geri dönüşü için, bir kurumun yatırım yaptığı sistem, yukarıdaki örneğe göre zararlı içeriğini inceleyip kötü amaçlı yazılımları sisteme verebileceği riskleri ortadan kaldırmaktır. İlgili güvenlik riskinin yapısına bağlı olarak bu sistemi başka yatırımlarla desteklemek gerekiyor olabilir, bir analiz platformu ya da öncü istihbarat verisi kullanarak ilgili ataklara karşı daha sert durabilmek adına. Her riski kendi yapısı ve etkili olduğu diğer bileşenlerini düşünerek öncelikle bir risk modeli ve sonrasında buna uygun, güncellenen bir güvenlik stratejisi geliştirilmesi gerekmektedir.

Basit bir örnek olarak zararlının çalıştırılan bir javascript kodu veya ekte bulunan bir makro aracılığıyla yayıldığını varsayalım. Kötü amaçlı yazılımların kaynakları düşünüldüğünde, korunması gereken kurum tarafında ilgili zararlının incelenmesi ve zararlı kodu kaldırmada, durdurmada etkili olan güvenlik sistemi olmalıdır — bu eki analiz edilmeden, basit şekilde bir virüs bulaşmış olsa bile Hacker, bir kuruluşun ihtiyaç duyduğu verileri kolayca çalabilir.

Kötü zararlının etkisini ortadan kaldırabilen bir sistem ve uygun insan kaynağı — güvenlik ihlallerinin ortadan kaldırılmasını ve yönetişimini garantilerken, size göremediğiniz ayrıntıları gösterirken, maksimum üretkenlik sağlarlar. En basit bir şekilde konu bir atağın herhangi bir noktada engellenmesi değildir. Engellenemediği ön görülemediği noktada yaşadıklarınız ve yaşayacaklarınızdır. Bu nedenle para ‘doğru’ siber güvenlik harcamalarımıza değer.

Başka bir yazıda görüşmek üzere.