Ey yönetim, duy sesimizi....
Geçen haftaki bilgigüvenliği grubunun toplantısındaki dostlardan bir çoğu ile karşılaştığımda şu replikler aramızda defalarca geçmiştir :- İşler nasıl abi?
- Noolsun ya, uğraşıp duruyoruz. Yapacak o kadar çok iş var ama adam yok, dinleyen yok. Yönetime derdimizi anlatamıyoruz
- Aynen...
Securityfocus'taki mail listelerinden birinde, bu günlerde şu başlık tartışılıyor : "How to create security awareness in top management". Esas hedef yönetimde bir farkındalık yaratmak ise, güvenliği şirketteki işlerin ayrılmaz bir parçası haline getirmek ise, ve güvenliğin CXO seviyesinde bir konu olmasını sağlamak ise ne yapmalı ne etmeli...
Yaramıza tuz bastıklarını düşündüğüm için önerilen yöntemleri sizlerle paylaşayım istedim. Hem özet olur, hem de yorumlarımı sizin görüşlerinize açmış olurum diye düşündüm. Konu hakkında yeni öneriler yazarsanız eminim gruba da faydası olacaktır, bizdeki durum da ortaya çıkacaktır...
Bir yöntem korkutmak. "Aman ha öcü gelir, veri alır gider" diye anlatmaya çalıştığınızda ilk başta 'kısmi' fayda sağlasanız da, korku ve telaş içindeki bir insanın doğası gereği "niye bu haldeyiz, ne biçim güvenlik bu?" tepkilerinin size geri dönmesi ve böylelikle de yine derdinizi anlatamamanız büyük olasılıktı. Üstelik kaş yapayım derken göz çıkarmak misali, o zaman şunu şöyşe yapan bunu da burdan kontrol eden bir teknoloji bulup koyalım diye, pek 'feasible' olmayan proje ve taleplerin önünüze gelmesi, elinizde kalması da ihtimaldir.
Diğer önerilen yöntem, aman dikkat!!!, tabiri caizse 'eşek şakası yapmak'. Sitenizde, CXO'nun bilgisayarlarındaki bir açığı 'kullanmak' ya da 'göstermek'. Bunun sizin güvenilirliğinize halel getirmesi riski yüksektir. Her ne kadar pozisyonunuz gereği size güvenmeleri bir de-facto durum olsa da, hatta bunu benimsemiş olsalar da kişilerin ya da şirketin 'özel'ine girmek pek sağlıklı olmaz kanımca. Kendinizi kapının önünde bulma riskini bir yana bırakın, derdinizi anlatamadığınız yeni değerlendirmeler ve konuların içinde bulabilirsiniz kendinizi. Bu eksiklikleri 'şaka' yoluyla değik, 'ciddi' ele alınması bence daha doğru olur. En absürd tepki de 'sen zaten içeriyi biliyorsun, bunları yapabilmen normal ki!!!' olurdu herhalde.
Zamanında denediğim, ve sunumlarda gerçekten işe yarayan bir yöntem ise 'read the books & tell the story'. Schneier'ın Mitnick'in kitaplarını okumak; güvenlik tehditlerinin eğilimine ait raporları didiklemek, hatta medyaya yansıyan bilgileri harmanlamak ve bunları anlatmak sunumunuzu (ister kullanıcılara, ister yönetime) tatından yenmez bir hale getirir; doğrudur da. Ancak elde kalıcı bir mesaj verir mi veya yönetimin güvenlik konusuna ilgisini çeker mi, burada emin değilim. Çünkü netice de La Fontaine olmasa da, anlattığınız bir 'story'dir.
Türkiye'ye maalesef uygulayamadığımız, daha doğrusu çok yeni emeklemeye başladığımız kanunlar ve yaptırımlar ise bir diğer etken olabilir bu konuda. PCI DSS, PIN Security Review gibi kart süreçlerine bağlı bazı zorunluluklar olsa da, bunların kapsamlarının kısıtlı kalması ve yeterince güçlü yaptırımları olmaması, beklediğimiz faydalarını da kısıtlı tutmaktadır. ABD ya da AB'deki kanunların muadillerinin TR'ye gelmesi en azından önce dosyanın masaya konulmasını sağlayacaktır. Sonrasında, biraz vakit alsa da, getirilecek yaptırımlarla bu işler daha ciddi ele alınmaya başlanabilecektir. Ancak şu an itibariyle biraz daha beklenmesi gereken bir yöntem maalesef.
En hoşuma giden ancak somutlaştırması biraz zor olan öneri ise, güvenliğin iş tarafından karar verilmesi gereken ve işin maliyetine (risklerin neden olacağı kayıplara) yansıyan bir etken olduğuna yönetimi inandırabilmek. ISMS'in ilk şartını bilirsiniz, önce kaynakların maruz kaldığı riskleri belirleyip bunları öncelendirmekle başlar. Burada da temel katkı işin sahibinden beklenir. Aynı şekilde veri güvenliğinin başı da, verinin sahibini belirlemek ve 'bu ne kadar kritik bir veridir' sorusunu cevaplamaktır. Ancak pratikte bu yöntemlerin varlığı ya da kullanılması bile yönetimin ilgisini çekmekte yeterli olmayabiliyor. Bunu nasıl aşmalı??? İzninizle burada durmak istiyorum. 2 nedeni var :
1 - burada söyleyecek çok şey olması ama kafamda henüz yapılandırmamış olmam.
2 - vaktim doldu...
Sağlıcakla kalın, hepinize saygılar...
Etiketler: bilgi güvenliği
posted by M.Feridun AKTAŞ @ 8:55 AM
Yorumlar:
2
