seprator

Information Security

seprator
23November 2022
blog_shape

Bir çok iş alanında son dönemin popüler yaklaşımlarından biri olarak karşımıza İnsan, Süreç ve Teknoloji üçlüsü çıkmaktadır.

Peki neden bu üçlü bir arada ve dengeli olmalı?

Yaptığımız işte fark yaratmak, değer katıp, işe imzamızı atmak nasıl olmalı?

Bu zor bir şey mi?

Bilgi güvenliğinde temel aldığımız birçok iyi pratik bize olgunluk seviye modelini sunar ama işe değer katmaya odaklanmaz. İşi yapmak ilk aşamayken otomatize süreçler tasarlayıp işletmek, üst seviye olarak görülmektedir.

Sizce işin aslı bu mu?

Meslek hayatımda gördüğüm, okuduğum ya da duyduğum birçok başarının altında başarılı liderler ve bu yolda yoldaş olan iyi yol arkadaşları karşıma çıktı.

Peki bu insanlar farklı ne yapıyor da başarı hikayesi oluyorlar?Evet işlerine değer katıyorlar.

Ülkemizde ve dünyada birçok firma bilgi güvenliğinde ihtiyaç duyduğu teknolojiye maalesef sahip olamıyor. Teknolojiye sahip olmak da çoğu firma için maalesef ki maalesef yetmiyor. Sahip olduğunuz teknolojiyi doğru insan kaynağı ve süreç tasarımı ile birleştirmez ve en önemlisi yaptığınız işe yüreğinizi koymaz isek, çıktısı kuru bir maaştan öteye ya da bir denetim checklist inde kontrol mevcut demekten öteye gitmiyor.

Teknoloji sadece ürüne sahip olmak olarak değerlendirilmemelidir. Teknoloji değer üretmek için, “kullanılabilir teknolojik altyapı” ya sahip olmak olarak değerlendirilmelidir. Bu teknoloji 100.000 TL lik sektörün en iyi uygulaması da olabilir, 5.000 TL değerindeki bir bilgisayar da…

Peki 5.000 TL yi 100.000 TL ile eş değerde kılan nedir? Evet, İnsan ve Süreç faktörünün desteğidir.

Hadi bir örnekle açıklamaya çalışalım…

Oltalama testi yapılması hemen hemen tüm iyi pratiklerde yazılıdır. Peki oltalama testi yapmak için ne gerekiyor? İsmini vermeyelim ama sektörün en iyi 2 uygulamasından birine sahip olmak (Yukarıdaki fiyatlar örnektir, lütfen ürünlerle eşleştirmeyin) ve bu uygulama üzerinden testleri göndermek mi? Ürünü alıp, testleri gönderdik diyelim, bitti mi?

Hayır, çünkü gerçek değer üretilmedi.

Peki neden oltalama testi yaparız?

Bilgi güvenliği konusunda olası tehditlere karşı personelin farkındalığını arttırmak için oltalama testleri yaparız. Peki eğitim süreci bu kadar basit mi? Test gönderme ile bitiyor mu? Öyle ise, bunca yıllık eğitim hayatımızda; çarpım tablosu ile başlayan, 4 işlem ile devam edip bilinmeyenlere giden matematik eğitimimizi yalanlamış olmaz mıyız!!!

Şimdi elimde kısa bir süre 5.000 lik bir PC, işine yüreğini koymuş bir personel ve iyi tasarlanmış bir süreç düşünün. Bu koca yürekli arkadaşımız 5.000 TL lik PC ile uçtan uca bir süreç tasarlayıp nasıl değer üretir? Çok basit… Bir Excel, IIS, mail relay hakkı, eğitim olgunluk planlama takvimi, aksiyon adımları, trend ve sıkı takip ile. Personeli gruplayıp çarpım tablosuna göre yükselişini planladığınızı düşünün, 4 işlem ile ilk testten itibaren başarı trendini oluşturalım, testten kalanların seviyesi ile geçenleri ayırıp eğitim aşamalarını bölüp takip mekanizması oluşturduk mu, sonra mail ile ya da sınıf ortamında al karşına eğitim ver, ama doğru gruba doğru eğitimi ver. Böylece tüm bilinmeyenler ortadan kalkar mı? Evet kalkar.

Bu senaryoyu bir de 100K lık iyi uygulama ile bu arkadaşa verip iyi bir süreç ile birleştirdiğimizi bir hayal edin…

İşte değer üretmek budur. Yaptığın işin aslında neye hizmet ettiğini bilmek, ona yüreğini koymaktır.

İş hayatında sorumluluğu yerine getirmek ya da bu işi yapmak için bu gerek demek her zaman doğru olmuyor. Doğru olan, varmak istediğin hedef için; doğru vizyon ve net hedefe sahip olmaktan gerekiyor. Bu vizyon ve hedef ise değer üretme anlayışına dayanıyor. Senin vizyonun doğru ve hedefin net ise ister 100k, ister 5k TL bütçen olsun, insan, süreç ve teknoloji üçlüsünü doğru tasarladın mı değer üretmek kaçınılmaz oluyor. Elbette denetimlerden de geçiyorsun :)

Sonuç olarak, yaptığımız işi severek ve yürekten yaparsak, sonuç hep başarı, hep değer oluyor…

23November 2022
blog_shape

Three Line of Defense

Freud’un Yapısal Kişilik Kuramı üzerinden, Kurumsal Risk Yönetimi (ERM) olarak da bilinen ve şirketlerin iş süreci genelinde risk yönetimi yetenekleri oluşturmak için kullandıkları “Üçlü Savunma Hattı” (3LD) sürecini öğrenmek, değerlendirmek ve içselleştirmeye hazır mısınız?

Freud, kişilik kuramında 3 bölümden oluşan bir yapıdan bahşeder. Bunlar ID, EGO ve SuperEgo dur. Bilişim sistemlerinde de biz 3 lü savunma hattından bahsederiz. Bu iki kavram öyle birbirine benziyor ve eşleniyor ki, aklımızdan çıkmayacak yapıda özümseyeceğimiz bir örneklem oluşturmaktadır.

ID; insanın yalın halidir diyebilirim. Freud a göre ID; her istediğini ilkel bir yaklaşım ile sorgulamaksızın yapmanın tanımıdır. İnsanın sorgulamaksızın yaptığı arzu, istek ve eylemleri bu kavramda tanımlanır. Bizde ise 1.line of defense dediğimiz iş birimi ve it ekipleri bu kavrama denk gelmektedir. 1LD işin olmasını ister. It ekiplerinin ilk önceliği üzerlerindeki işleri tamamlamak ve sürekliliği sağlayarak servis vermektir. Elbette bu noktada bazı kontrol, gereklilik ve kurallar atlatabilir. Self control dediğimiz kavram ortadan kalkar ve hatalı işlemler gerçekleşebilir. Örneğin, bir uygulamanın çalışmasında admin yetkisi verilmesi, çalışan bir sisteme patch geçilmeyip çalışır bırakılması tamamen bu sebeptendir. Burada önemli olan işi yapmaktır ve diğer tüm gereksinimler göz ardı edilebilir.

EGO; ID nin yapmak istediklerini kontrol eden ve doğru/yanlış kavramı ile gerekli kontrol ve kural setlerini belirleyendir. İşte Bilgi Güvenliği ve Kontrol fonksiyonları buradadır. Yapılacak işlere yönelik kural setlerini koyan, uygun yapı, adım, akış, kural setlerini tanımlayan fonksiyonlar 2.line of defense içerisindedir. Güvenlik ve kontrol fonksiyonları genel kural ve tanımlarını doğru, kesin ve eksiksiz yapmalı ki, 1line daki ekipler işlerini doğru yapabilsin.

ID ve EGO birlikte senkron çalışmalıdır ki, yapılacak işlemlerin yasal süreçlere, iyi pratiklere ve şirket stratejisine uygun bir akışta ilerlemesi sağlanabilsin. Eğer ID, EGO nun söylediklerini dinlemeyip çalışmalarını buna uygun işletmez ise çalışmalarda ciddi zafiyet ve eksiklikler oluşacaktır.

SUPEREGO; Freud a göre tam bir denetim fonksiyonudur. ID ile EGO nun iletişimi, birlikte çalışması üzerine gerekli kontrolleri sağlayarak denetim akışını sağlar. Değerlendirmeleri ile uygun ve hatalı noktaları ortaya çıkartır ve ID ile EGO arasındaki süreçlere bütünsel bakış sağlar. İşte bu bizdeki denetim fonksiyonudur. Denetim departmanlarımız temel olarak IT ve Güvenlik/kontrol birimlerine yönelik yaptığı incelemeler ile süreç, teknoloji ve insan odaklı analizler ile değerlendirmeleri sağlar.

Özetle, yaptığımız iş insan yaşamının iş hayatındaki karşılığıdır. Nasıl insan beyni kendi içinde 3 ayrı yapıda işliyor ise iş hayatında işlettiğimiz organizasyonel yapılar bizim yaşamımızın yansımasıdır. Bireysel olarak içsel olarak yaşadığımız yaşamsal fonksiyonlarımız iş hayatında yapısal olarak oluşturulmuş ve doğru işletilmesi durumunda başarıyı getirecektir.

seprator
shape
Copyright © DÜNDAR 2022. All rights reserved.