İçeriğe geçmek için "Enter"a basın

Eğer Bütçe Kısıtlaması Olmasaydı IT Bütçenizi Nasıl Kullanırdınız?

Siber güvenlik ya da başka bir deyişle bilgi güvenliğine ne kadar bütçe ayırılması gerektiği hangi büyüklükte olursa olsun tüm kuruluşlar için önemli bir soru.

IT için yapılan harcamalar ve ayırılan bütçeler her geçen yıl artıyor ancak yeterli oluyor mu? Siber güvenlik konusunda “hesabını bilmek” ile “yeteri kadar”a karar vermek arasında kalıyor musunuz?

Teknolojiyi kuruluşunuz için stratejik bir avantaja çevirebilecek olsaydınız bunu nasıl yapardınız?

Bilgi güvenliği konusunda net bir karar vermemizi engelleyen en önemli şeylerden birisi kuşkusuz yeterli veriye sahip olmayışımızdır. Geçen sene, geçen ay veya geçen hafta sizinle aynı sektörde kaç firmanın ağına saldırı düzenlendiği, bunların kaçının başarılı olunduğu veya saldırıların türleri konusunda bilgi sahibi olmayışımız bilgi güvenliği konusundaki kararları kendi içimizde vermemizi gerektiriyor.

Bütün komşuların alarm ve çelik kapı taktırdığını görmek bizim de aynı önlemleri almamız gerektiğine işaret edebilir ancak söz konusu siber güvenlik olduğunda, komşularımız görmediğimiz bir ortamda olduğundan, bu kararlar tamamen bize kalmış oluyor.

Buna paralel olarak, çoğu zaman bize karşı doğrudan yapılan saldırıların bile farkında olmuyoruz. Korumaya çalıştığımız şeylerin somut olmayışı ve hatta kolayca kopyalanır yapıları işimizi çok zorlaştırıyor.

Öyle ya, muhasebe programınızın veri tabanının bir kopyası alınsa bunu nasıl fark edeceksiniz? Veri tabanının silindiğini fark ederiz, değiştirildiğini bir ölçüde fark edebiliriz ama kopyalandığını bize açıkça gösterecek bir delil yok. En azından bu delil programı günlük olarak kullananların görebileceği/anlayabileceği türden bir şey değil. Bu durumda risk sadece veriyi kaybetmek değil, veriye başkalarının ulaşması demek.

ROI (Return On Investment – Yatırım Üzerinden Geri Dönüş) bize yaptığımız yatırım karşılığında ne kazandığımızı söyler. Peki, güvenlik gibi bize doğrudan para getirmeyecek bir yatırım kaleminde işi nasıl ele alabiliriz?

Her şeyden önce riski ve bu riske karşılık gelecek tutarı ortaya koymamız gerekir. Firmanızın bilgi güvenliğine karşı düzenlenebilecek binlerce farklı saldırı çeşidi var ancak dikkate almamız gerekenler size doğrudan zarar verebilecek olanlardır.

Kusursuz bir dünyada aklınıza gelebilecek bütün açıkları kapatmak ve bütün riskleri örtmek için çabalayabilirsiniz ama gerçek dünyanın kısıtlamaları size bunlardan sadece bazılarına karşı kendinizi koruma imkanı veriyor. Dolayısıyla en kritik olandan başlayarak daha az önemli olanlara doğru giden bir sınırlandırma yapmak zorundayız. Bazı saldırıların maddi sonuçları olabileceği gibi bazılarının sonuçları ne yazık ki tam olarak ölçülebilir değil.

Gerçek Tehdit Seviyesini Anlamak 

Tehdit seviyesinin net olarak ortaya koyulması, yatırımı yapacak yöneticilerin karar vermesini kolaylaştıracaktır.

Bilgi güvenliği konusunu daha kolay anlamak için korumamız gereken sunucuları ortaçağı kalelerine benzetebiliriz. Bu durumda kalemizin gerçekte ne kadar tehdit altında olduğunu anlamak için aşağıdaki göstergeleri göz önünde bulundurmalıyız:

Açıklık: Kalemizin ne kadar açık bir arazide bulunduğu.
Çevre: Kalemizin etrafının özellikleri. Surlarımız geniş ve yüksek mi? Saldırganları koruyabilecek çıkıntılar var mı?
Koruma seviyesi: Kalemizin ne kadar korunduğu. Nöbetçilerimizin sayısı, savunma silahlarımızın durumu, kapılarımızın sağlamlığı ve benzeri savunma yöntemleri.
Tehdit: Civar tepelerde gezen ve bize saldırması muhtemel yağmacı gruplarının sayısı ve yoğunluğu.
Saldırılar: Kalemize atılan ok ve taş sayısı.
Zaaf: Surların ne kadar kolay aşılabilir olduğu.
Değer: Surların aşılması durumunda kaybedilecek altın/hazine/insan değeri.

Risk hesaplamasını kolaylaştırmak için kullandığımız bu benzetmede görülen başlıkları aşağıdaki risk formülüne yerleştirerek gerçekte ne kadar risk altında olduğumuzu anlamamız mümkün olacaktır.

Risk = Zaaf x Saldırılar x Tehditler x Açıklık 

En düşük değerin 1 ve en yüksek değerin 5 olduğunu kabul edersek, bu hesaplamada alabileceğiniz en yüksek puan 625 ve en düşük puan 1 olacaktır.

Puan ne kadar yüksek olursa güvenlik konusunda yapılması gereken o kadar iş vardır.

Örneğin: Uygun fiyatına kanarak hizmet aldığınız veri merkezinin sürekli saldırı alıyor olması ve size ucuz hizmet verdiği için gerekli güvenlik yatırımlarını yapacak parasının olmaması sizin açıklık ve tehdit katsayılarınızı 5 yapacaktır.

Bunun yanında zayıf noktaları hemen herkes tarafından bilinen bir CMS (Content Management System – İçerik Yönetim Sistemi) kullanıyorsanız zaaf katsayınız 5 olacaktır.

Size özel herhangi bir saldırının olmadığını da varsayarak (rastgele saldırıların artan sıklığı nedeniyle saldırı katsayınızı 3 aldık) Risk durumunuz aşağıdaki gibidir:
Risk = 5 x 3 x 5 x 5 = 375

Bu model kabaca hangi konularda yatırım yapılmasını gerektiğini ve genel güvenlik durumunuzu gösterir.

Örneğin yukarıdaki durumda olan bir emlak danışmanlık firması müşteri listesine biçtiği değerle bu yatırımı karşılaştırıp bir karar vermek zorundadır. Müşteri listesinin kaybolması/çalınması veya bir rakibinin eline geçmesi durumunda net bir gelir kaybı yaşamayacaksa bu riski kabul edilebilir olarak değerlendirebilir.

Benzer durumdaki bir e-ticaret sitesi doğrudan para kaybedeceği için bu riski kabul edilebilir görmeyecek ve notunu en hızlı şekilde düşürecek yatırımlardan başlayarak risk seviyesini kabul edilebilir düzeye hızla indirecektir.

Zdnet yazarlarından Mark Samuels geçtiğimiz günlerde konuyu sadece “güvenlik” ile sınırlandırmadan, daha kapsamlı bir şekilde “bilgi teknolojileri” olarak ele aldı ve bu konu ile ilgili bir makale yayınladı.

4 farklı yerin CIO’su (Chief Information Officer) ile görüşerek bütçe kısıtlaması olmasaydı nasıl bilgi teknolojisi yatırımları yaparlardı diye sordu.

  1. İngiltere’deki Leeds Kent Konseyinin bilgi teknolojilerinden sorumlu yöneticisi Dylan Roberts dijital okur yazarlık için fon ayıracağını belirtmiş. İngiltere’nin vatandaşlarının %100’ünü çevrimiçi hale getirmeyi istediğini ve teknolojiyi kullanamayan insanların gelecekte kendilerine bir yer bulamayacağını belirten Roberts, dijital okur yazarlığın gelişmesi için herkese eşit imkanlar sağlanabilecek bir vakıf kurardım demiş.
  2. İçecek dağıtımı yapan Innserve’in BT direktörü Kieran Delaney daha “kendi kendine yeten” bir IT departmanı kurardım ve eğer yatırım yapabilecek olsaydım bu bulut sistemlerine olurdu demiş. Delaney, ek bütçeyi firmasının gelişen Microsoft Azure platformuna yatırım yapmak için kullanacağını söyledi. Kendi kendini süren otomobiller ve blok zinciri gibi yeni ortaya çıkan teknolojiler keşfedilmeye değer bulsa da, buluta yapılan yatırımın şu anda somut faydalar sağlayacağını söylemiş.
  3. Rich Energy Haas F1’in CIO’su Gary Foote yatırımı ekibinin gelişimi için kullanacağını belirtmiş. Foote aynı zamanda gelişen teknolojileri araştırmak ve bunun sonucunda ekibine fayda sağlamak için de bütçe ayıracağını belirtmiş. Birinci önceliğini ekibinin eğitimi ve gelişimine ikinci önceliğini ise yeni teknolojilerin keşfedilerek performans ve güvenliği artırmaya vereceğini söylemiş.
  4. Futbol Federasyonu (FA) CIO’su Craig Donald, katılımı desteklemeye yardımcı olan BT projeleri için nakit ayırırdım demiş.

    Her ne kadar ütopik olsa da, eğer bir IT bütçe sınırlaması olmasaydı siz ne yapardınız? Yatırımınızda önceliği güvenliğe mi teknolojiye mi verirdiniz? Neleri değiştirmek ya da geliştirmek isterdiniz?

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir