Daha ucuza daha güvenli...
Gartner Group analisti ve başkan yarıdımcısı John Pescatore geçtiğimiz günlerde Orlando?da düzenlenen Symposium/ITxpo etkinliğinde demiş ki "Şirketler, güvenliğe daha az para harcayacak ve 2010 yılı itibariyle daha güvenli olacaklar?. Yıllardır ?patlamasını? beklediğimiz ama bir türlü tam ?patlamayan? güvenlik sektöründe, müşteri şirketlerin harcamalarının düşeceği ve üstelik güvenliğin buna paralel olarak gelişeceği öngörüsü, her açıdan tartışılmaya değer bir öngörü.Pescatore diyor ki "Pazar, teknoloji ve örgütsel meselelerle ilgili kuvvetler bir araya geldiğinde, oluşan etkiler bilgi güvenliğinin toplam maliyetini düşürebilir ve aynı zamanda şirketlerin genel güvenlik profilinin iyileşmesini sağlayabilir. Etkinliği artıran bu sonuçlar gelişmeye devam edecek ve yeni ortaya çıkan her yeni 10 güvenlik tehdidinden bugün 8 tanesi yeni bir çözüm uygulanmasını gerektirirken, 2010 yılı itibariyle sadece birisi yeni bir çözümün uygulanmasını gerektirir hale gelecektir?.
Bu yorumdan anlaşılyor ki, Pescatore, özellikle mevcut IT güvenlik teknolojilerinin olgunlaşması ve güvenlik fonksiyonlarının entegre güvenlik platformlarında konsolide olması ile yeni yatırım ihtiyacının düşeceğini umuyor.
Pescatore'nin tahminleri sadece bununla sınırlı kalmamış, süreç yönetimi ile ilgili yetkinlik gelişimi de bekliyor. Ancak Pescatore süreçlerin etkinliğe ulaşmada önemini ikinci sırada değerlendirilmiş ve demiş ki ?Bilgi İşlem organizasyonunun süreç disiplinindeki gelişme, teknolojik gelişmeden sonra daha güvenli olmayı daha ucuza sağlamak yolunda ikinci en önemli etkiye sahip olacaklardır?. ?Bilgi güvenliği tehditleri ve teknolojileri olgunlaştıkça bu aktivitelerin bilgi işlem organizasyonunda operasyonel ekiplere devredildiğini göreceğiz. Bir bilgi güvenliği birimi, bu gibi operasyonel işler yerine, ortaya yeni çıkan tehditler ve teknolojilere odaklanmalıdır?.
İlk bakışta doğru gibi görünse de Pescatore?nin bu yorumuna katılmadığımı söylemeliyim. Eğer, Gartner?in tahmini doğruysa ve yeni tehditlerin çok azı yeni teknolojiler gerektirecekse, bilgi güvenliği ile uğraşan kimseler niye yeni teknolojilere odaklanmalıdır? ?Hype-cycle? güçlenerek devam etsin diye mi? Bilgi güvenliği risk yönetimi ve süreç kabiliyetleri öngörülen risklerin önceliklendirilmesi ve kontrol edilmesi için süreç yeteneklerini geliştirmek bu kadar önemli iken, alışkanlıkla yeni teknoloji fetişimizin peşine takılmak, bizi daha etkin bir bilgi güvenliği operasyonuna götürür mü? Hiç sanmıyorum.
Güvenlikle ilgili teknik operasyonların rutinleşip artık operasyonel ekiplere devir edilmesi zamanının çoktan geldiği bir gerçek. Bunu şirketlerimizde yaşamaya başladık bile. Bunun bilgi işlem maliyetlerini bir miktar düşüreceği ve belki de operasyonel etkinliğimizi bir miktar artırabileceğini de düşünebiliriz. Ancak sadece teknolojik gelişme, bunları kullanan kimselerin süreç bazlı yetenekleri gelişmeden, tek başına bir etkinlik artışı sağlayabilir mi? Kaç yıllık IDS?lerin teknolojisi bir miktar gelişti artık IPS diye pazarlanmaya başlandı da kullanımda ne değişti? Kullanamayan yine kullanamıyor.
Eğer daha etkin bir bilgi güvenliği performansı ile daha ucuza daha yüksek güvenlik sağlamayı arıyorsak, ISO 27001 ve ISO 17799 standartlarında tarif edildiği gibi bilgi güvenliği yönetimi kavramına ve bilgi güvenliği yönetim sistemleri?ne odaklanmamız gerekir. Benzeri standartlar gibi bir ?checklist? mantığı taşımadığı ve bilgi güvenliği risklerimiz şirket genelinde öngörüp, önceliklendirerek, güvenliği uygun kontroller ve politikalarla, asıl işimizin bir parçası olarak iş sahipleriyle birlikte yönetilmesini hedeflediği için, bu standartların, bilgi güvenliğini şirketlerin esas işin bir parçası haline getirdiğini düşünüyorum.
Hangi bilgi varlığının gizliliği, doğruluğu ve erişilebilirliği sadece güvenlikçinin işi olabilir ki? Bilgi güvenliğinin şirketin işinin bir parçası haline gelmesini sağlayamıyorsak, yaptığımız işin adı bilgi güvenliği? olmaz, ?bilişim güvenliği? olur. Bu da tek başına bizi kaynak kullanımı ve iş açısından güvenliği geliştirmekte istenen etkinliğe ulaştırmayacaktır.
Süreçlerimize bakmadan sadece teknolojiye odaklanmak, iş önceliklerimizi net biçimde görmemizi sağlayamayacağından, güvenliğe harcamayı düşündüğümüz 100 liralık bütçeyi, önce hangi konuya ayırmak gerektiği hakkında da bize bir şey öğretemez. O zaman çalıştığımız şirketin bilgi güvenliği performansı ön sezilerimizin kuvveti ve birlikte çalıştığımız güvenlik firmalarının satış ekiplerinin acarlığı arasındaki denge ile belirlenecek demektir.
SONUÇ: İş önceliklerine dayalı, güçlü bir analize oturmayan güvenlik planları sadece teknolojiye odaklanarak bizi ancak bu noktaya kadar getiriyor. Daha ileri bir etkinlik düzeyi için güvenlik süreçlerini geliştirmek, risk yönetimini yerleştirerek şirket genelinde bilgi güvenliği risklerini yönetebilir hale gelmek gerekiyor.
