Bilgi Güvenliğinde değer üretmek

Bir çok iş alanında son dönemin popüler yaklaşımlarından biri olarak karşımıza İnsan, Süreç ve Teknoloji üçlüsü çıkmaktadır.
Peki neden bu üçlü bir arada ve dengeli olmalı?
Yaptığımız işte fark yaratmak, değer katıp, işe imzamızı atmak nasıl olmalı?
Bu zor bir şey mi?
Bilgi güvenliğinde temel aldığımız birçok iyi pratik bize olgunluk seviye modelini sunar ama işe değer katmaya odaklanmaz. İşi yapmak ilk aşamayken otomatize süreçler tasarlayıp işletmek, üst seviye olarak görülmektedir.
Sizce işin aslı bu mu?
Meslek hayatımda gördüğüm, okuduğum ya da duyduğum birçok başarının altında başarılı liderler ve bu yolda yoldaş olan iyi yol arkadaşları karşıma çıktı.
Peki bu insanlar farklı ne yapıyor da başarı hikayesi oluyorlar?Evet işlerine değer katıyorlar.
Ülkemizde ve dünyada birçok firma bilgi güvenliğinde ihtiyaç duyduğu teknolojiye maalesef sahip olamıyor. Teknolojiye sahip olmak da çoğu firma için maalesef ki maalesef yetmiyor. Sahip olduğunuz teknolojiyi doğru insan kaynağı ve süreç tasarımı ile birleştirmez ve en önemlisi yaptığınız işe yüreğinizi koymaz isek, çıktısı kuru bir maaştan öteye ya da bir denetim checklist inde kontrol mevcut demekten öteye gitmiyor.
Teknoloji sadece ürüne sahip olmak olarak değerlendirilmemelidir. Teknoloji değer üretmek için, “kullanılabilir teknolojik altyapı” ya sahip olmak olarak değerlendirilmelidir. Bu teknoloji 100.000 TL lik sektörün en iyi uygulaması da olabilir, 5.000 TL değerindeki bir bilgisayar da…
Peki 5.000 TL yi 100.000 TL ile eş değerde kılan nedir? Evet, İnsan ve Süreç faktörünün desteğidir.
Hadi bir örnekle açıklamaya çalışalım…
Oltalama testi yapılması hemen hemen tüm iyi pratiklerde yazılıdır. Peki oltalama testi yapmak için ne gerekiyor? İsmini vermeyelim ama sektörün en iyi 2 uygulamasından birine sahip olmak (Yukarıdaki fiyatlar örnektir, lütfen ürünlerle eşleştirmeyin) ve bu uygulama üzerinden testleri göndermek mi? Ürünü alıp, testleri gönderdik diyelim, bitti mi?
Hayır, çünkü gerçek değer üretilmedi.
Peki neden oltalama testi yaparız?
Bilgi güvenliği konusunda olası tehditlere karşı personelin farkındalığını arttırmak için oltalama testleri yaparız. Peki eğitim süreci bu kadar basit mi? Test gönderme ile bitiyor mu? Öyle ise, bunca yıllık eğitim hayatımızda; çarpım tablosu ile başlayan, 4 işlem ile devam edip bilinmeyenlere giden matematik eğitimimizi yalanlamış olmaz mıyız!!!
Şimdi elimde kısa bir süre 5.000 lik bir PC, işine yüreğini koymuş bir personel ve iyi tasarlanmış bir süreç düşünün. Bu koca yürekli arkadaşımız 5.000 TL lik PC ile uçtan uca bir süreç tasarlayıp nasıl değer üretir? Çok basit… Bir Excel, IIS, mail relay hakkı, eğitim olgunluk planlama takvimi, aksiyon adımları, trend ve sıkı takip ile. Personeli gruplayıp çarpım tablosuna göre yükselişini planladığınızı düşünün, 4 işlem ile ilk testten itibaren başarı trendini oluşturalım, testten kalanların seviyesi ile geçenleri ayırıp eğitim aşamalarını bölüp takip mekanizması oluşturduk mu, sonra mail ile ya da sınıf ortamında al karşına eğitim ver, ama doğru gruba doğru eğitimi ver. Böylece tüm bilinmeyenler ortadan kalkar mı? Evet kalkar.
Bu senaryoyu bir de 100K lık iyi uygulama ile bu arkadaşa verip iyi bir süreç ile birleştirdiğimizi bir hayal edin…
İşte değer üretmek budur. Yaptığın işin aslında neye hizmet ettiğini bilmek, ona yüreğini koymaktır.
İş hayatında sorumluluğu yerine getirmek ya da bu işi yapmak için bu gerek demek her zaman doğru olmuyor. Doğru olan, varmak istediğin hedef için; doğru vizyon ve net hedefe sahip olmaktan gerekiyor. Bu vizyon ve hedef ise değer üretme anlayışına dayanıyor. Senin vizyonun doğru ve hedefin net ise ister 100k, ister 5k TL bütçen olsun, insan, süreç ve teknoloji üçlüsünü doğru tasarladın mı değer üretmek kaçınılmaz oluyor. Elbette denetimlerden de geçiyorsun
Sonuç olarak, yaptığımız işi severek ve yürekten yaparsak, sonuç hep başarı, hep değer oluyor…