Bilgi Güvenliği Yönetimi, Süreçleri, Standartları ve ?En İyi Uygulama? Efsanesi
SEMOR tarafından, Gartner Group'un içerik sponsorluğu'nda Antalya'da 30 Mart - 2 Nisan tarihleri arasında düzenlenen ITP' 06 etkinliğinde konuşmacıydım. Bu yazının başlığını oluşturan bir sunuş yaptım. İlgilenenler için kısaca sunumun özeti ve kendisini buraya ekliyorum:
"Bu sunumda bilgi güvenliği yönetimi süreci ve kritik fonksiyonları tarif edilecek ve yaygın kabul gören ISO 17799 / ISO 27001 standartları ve COBIT modeli bilgi güvenliği yönetişimine ilişkin farklı perspektifler olarak incelenecektir. Sunum, bilgi güvenliği yönetimi sürecine odaklanmak yerine bu perspektiflerin kapsamlı güvenlik kontrol listeleri olarak değerlendirilmesinin bir ?en iyi uygulama? olarak değil bir hatalı inanış olarak değerlendirmekte ve organizasyon çalışmaları alanındaki çeşitli perspektiflerden yola çıkarak ?en iyi uygulama? anlayışını sorgulamaktadır. Bilgi güvenliği yönetim sürecine odaklanmadan ?en iyi uygulama? sayılan güvenlik kontrollarının uygulanması, değişen regülasyonlar ve düzenlemeler gibi dış etkilere cevap vermek veya ilgili yöneticilerin bilgi güvenliği için alınan önlemler hakkında daha az belirsizlik hissetmelerine yarayabilir ancak bu yaklaşım bilgi güvenliği açısından daha üstün bir performans sağlamayacaktır."
Sunum:
Bilgi Güvenliği'nin Ekonomisi
Sevgili Burak günler önce bu sitede yazdı, International Data Corporation (IDC)'nin "Security Roadshow" etkinliği için Bruce Schneier, İstanbul'da idi. Biz de bu sitenin yazarlarından bir grup iştahla salonda yerlerimizdeydik. IDC organizasyonun sarkan programını düzeltmek için, etkinliğin hassolisti ve muhtemelen en çok ücret ödenen konuşmacısı Bruce Schneier'in konuşmasını kısa kesmeyi uygun görünce, planlanandan 10-15 dk. daha kısa bir sunuş izledik. Görünüşe göre Schneier'in en iştahlı olduğu sayfalar, sunuşun sonundaki kendini promosyon sayfalarıydı.
Peki günler sonra niye bu yazıyı yayınlıyorum? Sizinle sunuşun korsan(!) versiyonunu paylaşmak için, zira en ön sırada oturmanın avantajı ile sunum sayfalarının fotoğrafını çektim. Şaka bir yana, esas malzeme Schneier'in söylediklerindeydi. Ancak yine de, özellikle etkinliğe katılamayanları bilgilendirmek için burada paylaşmak istedim. Aşağıda, yorumlarımla birlikte bulabilirsiniz.
-703466.jpg)
-780455.jpg)
Yukarıda gördüğümüz bu sunuşun başlığı "Economics of Information Security" idi. Her ne kadar bu başlığın Türkçe'ye çevirisi olarak IDC "Bilgi Güvenliği'nin Ekonomiye Etkileri" başlığını uygun görmüşse de, içeriğin bununla bir ilgisi yoktu doğrusu. Bruce, ekonomideki bazı prensip ve kavramlardan yola çıkarak bilgi güvenliği profesyonellerine sektörün işleyişleriyle ilgili ipuçları verdi.
Akla hemen geliverenler, bilgi güvenliği kayıplarının maliyetleri, uygulama sağlayıcılar ve yazılım şirketleri için dışsal (external) oldukça, yani başkalarının canı yandıkça, bu kimselerin güvenlik önlemlerini almakta yetersiz kalacağı vurgusuydu. Yani sadece kullanıcı şirketler zarara uğradıkça yazılım firmaları, sadece internet kullanıcıları zarara uğradıkça B2C E-ticaret sitelerinin güvenlik girişimleri sınırlı olacaktır dedi. Kıssadan hisse, hukuk sistemi ve yargı kararları bu problemin kaynağındaki kuruluşları sorumlu kılmadıkça, maliyetin dışsallığı devam ettikçe bu durum değişmez dedi. Doğru da dedi. Amerika'da Electronic Frontier Foundation gibi kuruluşlar, yargı kararlarının birey ve kullanıcı lehine ve özgürleştirici şekilde çıkması için hukuki danışmanlık ve lobi çalışmaları yapıyor. Türkiye'de malesef bilişim sektörünün veya tüketici derneklerinin girişimleri böyle bir vizyona sahip değil. Genellikle insan davranışına ait her şeyi ekonomik ilkelerle açıklamaya çalışan ve insanı homo economicus"a indirgeyen ekonomik yaklaşımları, örgüt sosyolojisi okumuş bir kimse olarak tasvip etmesem de, bu fikri ilginç ve ilgi çekici bulduğumu söylemeliyim.
-775594.jpg)
-751833.jpg)
-723049.jpg)
Sunuşun ikinci göze çarpan mesajı, pazar mekanizmalarındaki bilgi asimetrilerinin etkisini inceleyen ve 1970 yılında yazılmış "The Market for Lemons: Quality Uncertainty and the Market Mechanism" makalesi ile 2001 Nobel ekonomi ödülünü alan fikirden hareketle söyledikleri idi. Gerçi hepimizi bildiği bir gerçeğe işaret etse de, akademik refereans argumanı açıkça kuvvetlendiriyor. Kısaca şöyle diyor limon pazarı: Eğer bir pazarda satıcılar ürünü alıcılardan iyi tanıyorsa, o pazardaki iyi ürünler, daha maliyetli oldukları için kaybolur ve kötü ürünler kalır". Buradan hareketle, danışmanlığa kapı açan Schneier, müşteriler ürünleri iyi tanımadıkça, piyasadaki ürünlerin gelişmeyeceğini söylüyor.
Peki buradan hareketle, verili bilgilerle donanımlanmış bir bilgi işlem yöneticisi ne yapmalı? Buna dair net bir şey söylemedi Schneier. Biraz zorlarsak, kullanıcılara ürünleri daha iyi tanımak için danışmanlık almalarını önerdi diyebiliriz. Peki danışmanımızın iyi olduğunu nasıl bileceğiz? Danışmanlık pazarı da başka bir limon pazarı değil mi? Veya kanun koyucuların ve yargının, bilgi güvenliği maliyetlerinin dışsallığını kaldıracağı ve sorumluluğu tarif eden düzenlemeler yapması için mücadele mi etmeli? Belki de bu kısmını da hayal etmek, kendi dünya görüşümüze göre bizlere kalmış.
Devamı
SEMOR tarafından, Gartner Group'un içerik sponsorluğu'nda Antalya'da 30 Mart - 2 Nisan tarihleri arasında düzenlenen ITP' 06 etkinliğinde konuşmacıydım. Bu yazının başlığını oluşturan bir sunuş yaptım. İlgilenenler için kısaca sunumun özeti ve kendisini buraya ekliyorum:
-710685.jpg)
-787433.jpg)
-781706.jpg)
-757005.jpg)
-727823.jpg)
