Bilgi Güvenliği'nin Ekonomisi
Sevgili Burak günler önce bu sitede yazdı, International Data Corporation (IDC)'nin "Security Roadshow" etkinliği için Bruce Schneier, İstanbul'da idi. Biz de bu sitenin yazarlarından bir grup iştahla salonda yerlerimizdeydik. IDC organizasyonun sarkan programını düzeltmek için, etkinliğin hassolisti ve muhtemelen en çok ücret ödenen konuşmacısı Bruce Schneier'in konuşmasını kısa kesmeyi uygun görünce, planlanandan 10-15 dk. daha kısa bir sunuş izledik. Görünüşe göre Schneier'in en iştahlı olduğu sayfalar, sunuşun sonundaki kendini promosyon sayfalarıydı. Peki günler sonra niye bu yazıyı yayınlıyorum? Sizinle sunuşun korsan(!) versiyonunu paylaşmak için, zira en ön sırada oturmanın avantajı ile sunum sayfalarının fotoğrafını çektim. Şaka bir yana, esas malzeme Schneier'in söylediklerindeydi. Ancak yine de, özellikle etkinliğe katılamayanları bilgilendirmek için burada paylaşmak istedim. Aşağıda, yorumlarımla birlikte bulabilirsiniz.
-710685.jpg)
-787433.jpg)
Yukarıda gördüğümüz bu sunuşun başlığı "Economics of Information Security" idi. Her ne kadar bu başlığın Türkçe'ye çevirisi olarak IDC "Bilgi Güvenliği'nin Ekonomiye Etkileri" başlığını uygun görmüşse de, içeriğin bununla bir ilgisi yoktu doğrusu. Bruce, ekonomideki bazı prensip ve kavramlardan yola çıkarak bilgi güvenliği profesyonellerine sektörün işleyişleriyle ilgili ipuçları verdi.
Akla hemen geliverenler, bilgi güvenliği kayıplarının maliyetleri, uygulama sağlayıcılar ve yazılım şirketleri için dışsal (external) oldukça, yani başkalarının canı yandıkça, bu kimselerin güvenlik önlemlerini almakta yetersiz kalacağı vurgusuydu. Yani sadece kullanıcı şirketler zarara uğradıkça yazılım firmaları, sadece internet kullanıcıları zarara uğradıkça B2C E-ticaret sitelerinin güvenlik girişimleri sınırlı olacaktır dedi. Kıssadan hisse, hukuk sistemi ve yargı kararları bu problemin kaynağındaki kuruluşları sorumlu kılmadıkça, maliyetin dışsallığı devam ettikçe bu durum değişmez dedi. Doğru da dedi. Amerika'da Electronic Frontier Foundation gibi kuruluşlar, yargı kararlarının birey ve kullanıcı lehine ve özgürleştirici şekilde çıkması için hukuki danışmanlık ve lobi çalışmaları yapıyor. Türkiye'de malesef bilişim sektörünün veya tüketici derneklerinin girişimleri böyle bir vizyona sahip değil. Genellikle insan davranışına ait her şeyi ekonomik ilkelerle açıklamaya çalışan ve insanı homo economicus"a indirgeyen ekonomik yaklaşımları, örgüt sosyolojisi okumuş bir kimse olarak tasvip etmesem de, bu fikri ilginç ve ilgi çekici bulduğumu söylemeliyim.
-781706.jpg)
-757005.jpg)
-727823.jpg)
Sunuşun ikinci göze çarpan mesajı, pazar mekanizmalarındaki bilgi asimetrilerinin etkisini inceleyen ve 1970 yılında yazılmış "The Market for Lemons: Quality Uncertainty and the Market Mechanism" makalesi ile 2001 Nobel ekonomi ödülünü alan fikirden hareketle söyledikleri idi. Gerçi hepimizi bildiği bir gerçeğe işaret etse de, akademik refereans argumanı açıkça kuvvetlendiriyor. Kısaca şöyle diyor limon pazarı: Eğer bir pazarda satıcılar ürünü alıcılardan iyi tanıyorsa, o pazardaki iyi ürünler, daha maliyetli oldukları için kaybolur ve kötü ürünler kalır". Buradan hareketle, danışmanlığa kapı açan Schneier, müşteriler ürünleri iyi tanımadıkça, piyasadaki ürünlerin gelişmeyeceğini söylüyor.
Peki buradan hareketle, verili bilgilerle donanımlanmış bir bilgi işlem yöneticisi ne yapmalı? Buna dair net bir şey söylemedi Schneier. Biraz zorlarsak, kullanıcılara ürünleri daha iyi tanımak için danışmanlık almalarını önerdi diyebiliriz. Peki danışmanımızın iyi olduğunu nasıl bileceğiz? Danışmanlık pazarı da başka bir limon pazarı değil mi? Veya kanun koyucuların ve yargının, bilgi güvenliği maliyetlerinin dışsallığını kaldıracağı ve sorumluluğu tarif eden düzenlemeler yapması için mücadele mi etmeli? Belki de bu kısmını da hayal etmek, kendi dünya görüşümüze göre bizlere kalmış.
