İstim Arkadan Gelsin

Önce istenilen iş yapılsın, gereken şartlar sonradan yerine getirile…

CIO vs CISO

İstim Arkadan Gelsin Atasözünün farklı hikayelerini bilirim ama internetteki en yaygın olanını giriş bölümüne eklemek istedim.
Eskiden kullanılan buharlı gemilerin hareket etmeleri için, kazan yakıldıktan sonra, bir süre beklenmesi gerekiyormuş. Bu süre içinde, yeterli ısı elde edilir ve buhar, makineleri çalıştıracak hâle getirirmiş. ‘İstim beklemek’ (buhar beklemek) denilen bu süre, geminin büyüklüğüne göre de değişirmiş.
Hikâye o dur ki, zamanın İran Şahı, Urumiye Gölü’nde, saray hizmetinde kullanılmak üzere alınan bir istimbota binmiş. Fakat buhar kazanı, henüz harekete yeter ölçüde istim tutamadığından, istimbot üç beş dakika kalkamamış. Bu kısa beklemede canı sıkılan Şah, hiddetle niçin beklediklerini sormuş. Yanındakilerin; “İstim bekliyoruz Şah Hazretleri” cevabı üzerine, istim sözcüğünün ne olduğunu bilmeyen Şah, daha da sinirlenerek bağırmış: “Canım, bu ne saygısızlık. Bir istim için Şah bekletilir mi? Biz gidelim, istim arkadan gelsin!”
Bilgi güvenliğinin temelinde Gizlilik, Bütünlük ve Erişilebilirlik (CIA- confidentiality integrity availability) kavramları vardır. Ve bu kavramlar üzerinden şirket organizasyonları içerisindeki tüm Bilgi Sistemleri/Varlıklarının güvenlik yapılandırılması sağlanmalıdır. Elbette, bu üçgendeki her bir birleşen CISO nun ana sorumluluğu kapsamındadır.
Diğer taraftan şirket organizasyonlarında teknolojiden sorumlu en yetkili kişi CIO (Chief Information Officer) yani IT yöneticisidir. Bir CIO nun ise öncelikli odak noktası CIA üçgenindeki “A” (availability) yani erişilebilirliktir. Yani IT sistemleri 7/24 esasında çalışıyor ise CIO için bu iyi birşeydir. Çünkü bir kesinti ya da sistem/yazılım ile ilgili bir sorun doğrudan şirketin iç ve dış işleyişindeki bazı süreçlerde risk oluşturabilir. Özellikle repütasyon, operasyonel ve iş sürekliliği tarafında yüksek risklere sebep verip hem maddi hem de regülasyonlar kapsamında ciddi durumlar ile sonuçlanabilir.
Bu karşılaştırmanın bir de gizli kahramanı olan BO – Business Owners larımız vardır. Bu ekipler, yapılması gereken iş, anlık gelişen Pazar gelişmeleri, kampanyalar ya da daha nice sebeplerden dolayı birçok çalışma bekler, proje açar ve geliştirmelerin hızlı ya da sistemlerin sorunsuz olmasını iste.
Doğal olarak BO ile CIO arasındaki doğru bağlantıda işlerin hızlı ve çalışabilir olması noktasında birçok akışı atlayıp, projeleri hızlıca kapatmak ya da sistemlerin açık kalmasını sağlamak olacaktır.
Bunun sonucunda ilk bölümde bahsettiğimiz CIA üçgenindeki gereklilikler es geçilerek, belki dışa açık iç servisler, herkesin bağlandığı canlı (Prod) ortamlar, izleme/kontrol akışlarının oluşturulmadığı sistemler, güvenlik gereksinimlerinin karşılanmadığı ya da ürün kurulmayan sistemler iş akışlarında aktif olarak çalışıyor olacaktır.
Hal böyleyken, olası bir Siber Tehdit gerçekleştiğinde fatura CISO nun olur.

Peki neden?

Çünkü; “Canım, bu ne saygısızlık. Bir istim (Güvenlik gereksinimi) için Şah (CIO ve BO) bekletilir mi? Biz gidelim, istim arkadan gelsin!”

Güvenlik süreçleri her akışın en başından düşünülüp belirlenmedikçe, bir üretim hattı (pipeline) gibi IT/BO süreçlerine işletilmedikçe, şeytanın nefesi hep ensemizdedir.
Süreçlerin en başında, Bilgi (Teknoloji) Risk Yönetimi yapılarak, bilgi sistemleri risklerinin analizi, yönetimi ve değerlendirmesi ile, kurumun mevcut iş hedefleri ve kontrolleri arasında denge oluşturması sağlanmalıdır. Bunun yanı sıra veri güvenliği, yasal zorunluluklar kapsamında analizlerin yapılmasını, değerlendirilmesini ve risk yönetim sürecine dahil edilmesini de ana hedeflerde olmalıdır.
Günümüz siber uzayında özellikle yüksek kaliteye sahip ürün ve hizmetlerin üretimi, geliştirilmesi ve dijitalleştirilmesi esnasında, Bilgi (Teknoloji) Riski Yönetimi süreçlerinin en iyi seviyede işletilmesi ve şirketin hedeflerinin desteklenmesi amaçlanmaktadır. Bu bağlamda:

• Gerçekçi ve proaktif bir Bilgi (Teknoloji) Risk Yönetimi süreci inşa edilmesi,
• Bilgi Güvenliği odağıyla sağlam bir Bilgi Güvenliği ortamının oluşturulmasına azami katkının sağlanması,
• Bilgi Güvenliği, veri güvenliği ve yasal gerekliliklerin yerine getirilmesi için Bilgi (Teknoloji) Risk Yönetimi süreçlerinin oluşturulması ve geliştirilmesi,
• Bilgi/Teknoloji Risk Yönetimi kapsamında paydaşlarla müşterek hareket edilmesi,
• Çevik ve esnek bir Bilgi (Teknoloji) Risk Yönetimi ekosistemi oluşturulması

temel hedefler olarak baz alınmalıdır.
Evet, geleceği kesin bir doğrulukla öngörmek neredeyse imkânsızdır. Bununla beraber ilgili trendlere dayalı, Bilgi ve Teknoloji risklerine yönelik proaktif bir yaklaşım için temel oluşturmaya çalışmakta fayda vardır. Bu kapsamda, iş çevikliği, uyarlanabilir kurumsal mimari ilkeleri ve risk bakış açısı gerektirir. Bu ilkeler, güvenli ilerleme ve inovasyonu mümkün kılmak için sağlam stratejik prensipleri şart koşmaktadır.
Bu noktada en önemli seviyedeki gereklilikler şöyledir:

• Sürekli gelişim halinde olan teknolojinin bir sonucu olarak ortaya çıkan yeni tehditlere karşı, riski tamamen ortadan kaldıracak şekilde tedbirler alınması,
• Veri güvenliğininim en üst seviyede düşünülmesi ve gerekli sistemsel tedbirlerin alınması, incelemelerin yürütülmesi,
• İç ve dış tehditlerin belirsizliğinden dolayı ‘sıfır güven’ (Zero Trust) ile hareket edilmesi,
• Değişen bilgi güvenliği riskleri sebebiyle, kurum çalışanları ve iş birliği içerisinde olunan diğer insan kaynaklarının farkındalığının en üst seviyede tutulması.

Diğer taraftan, Bilgi Güvenliği Yönetimi zorlukları ve güvenlik tehditleriyle başa çıkmak için; Güvenlik ilkeleri ve şirketin iş stratejisi doğrultusunda oluşturulmalıdır. Bu ilkeler, yasal yükümlülükler ve şirket stratejileri ile uyumlu, güçlü bir güvenlik yönetimi yapısı ve öngörülebilir veri güvenliğini hedeflemelidir. Ayrıca bu ilkeler, risk oluşmadan önce alınacak önlemlerle etki ve olasılığı en aza indirebilecek nitelikte olmalıdır.
Bilgi Güvenliği kapsamında, herhangi bir bilgi güvenliği riskini belirlemek, korumak, tespit etmek, yanıt vermek ve bunlardan kurtulmak için süreklilik adımları içeren risk tabanlı bir yaklaşımı izlemelidir.