Hiç şüphesiz bilgi güvenliği uzmanlarının karşı karşıya kaldığı en büyük sorunlardan biri, kendilerinin çalıştırılmalarının getirdiği maliyettir. Bir bilgi güvenliği departmanının personeli kaç kişi olmalıdır? Bir güvenlik olayının gerçek maliyeti ne kadardır?
Bu zamana kadar bu tür sorulara yanıt vermek için yararlanabileceğimiz birkaç kaynağımız vardı. Geçtiğimiz yedi yıl boyunca güvenlik olaylarının finansal etkilerini belirlemedeki en bilinen kaynak CSI/FBI Bilişim Suçları ve Güvenlik Araştırması ydı. Araştırma, ABDdeki özel şirket, kamu kurumları, finansal, sağlık ve eğitim organizasyonlarındaki güvenlik uzmanlarının yer aldığı anketlere dayanıyordu. CSI(Bilgisayar Güvenlik Kurumu)ın 2002deki araştırma raporunda araştırma sonuçlarının yukarıda sayılan şirketlerde çalışan 503 güvenlik uzmanının katılımıyla hazırlandığını yazmaktadır.
CSI bu araştırmayı ilk olarak yaptığında (FBIın katılımı olmaksızın) IT endüstrisi dışında fazla bir katılım olmadı. FBIın araştırmaya dahil olma kararından sonra araştırma sonuçları gazete ve televizyonlarda yer aldı. Bu bizim bilgi güvenliği sektörü için büyük bir atılımdı ve farkındalık düzeyinin büyük oranda artmasına neden oldu.
Çölde kalan birinin temiz olmasa da bulduğu ilk su kaynağından içmesi gibi bilgi güvenliği uzmanları ve danışmanları da araştırmayı kendi ihtiyaçlarını belirlemede kullanmışlardır. Ancak her defasında bir şeylerin eksik olduğunun farkındaydılar. Araştırma yedi yıldır yayınlanıyor ve bizler her bahar, büyük sabırsızlıkla raporun yayınlanmasını bekliyoruz ve bu rapor her seferinde en basit ve temel ihtiyacımızı karşılamakta aciz kalıyor.
Araştırma ilginç bir hikaye anlatıyor ve bizlere yeni bir şeyler katıyor. Araştırmanın bilinen en önemli eksikliği güvenlik olayları sonrasında ortaya çıkan finansal zararları hafife alması.Gerçek zararlar CSI araştırmasından her defasında daha fazla olmaktadır. Buna ilave olarak araştırmaya katılamayan şirketlerin olduğunu da düşünürsek, aslında sorunun araştırmada değil de bizim onu nasıl kullandığımız ve ondan ne beklediğimizde olduğunu görürüz.
Her yıl araştırmayı yöneticilerimize gösteriyoruz. Onlar bizi sabırla dinliyor, teşekkür ediyor ve kibarca söylediklerimiz reddediyorlar. Eksik olan ne? Niye işe yarmıyor? Bizim araştırmada gördüğümüz rakam ve tabloları onlar niye görmüyorlar?
Önemli bir iş için kullandığımız araç yanlış. CSI/FBI Bilişim Suçları ve Güvenlik Araştırması sistematik olmayan, kulaktan duyma ve tahmine dayalı bilgiler içeriyor. Araştırma, yönetim kademesini harekete geçirmede kullanılacak argümanlardan yoksun.
Peki elimizde geriye ne kaldı? Size bugüne kadarki bilgi güvenliği ile alakalı yaşanan önemli olayları ve maliyetlerini içeren kapsamlı bir araştırmadan bahsedeceğim. Araştırmadaki bilgiler bir gözlemden çok doğrulanabilir verilerden oluşmakta. Ernst & Young Ekonomi ve Ticaret Analiz Grubunun Bilgi Teknolojileri Güvenliği Açıklarının Mali Etkileri: Yatırımcılar ne düşünüyor? konulu raporu. Bu rapor bizim meslek dalımız için önemli bir kaynak.
Ashish Garg ve asistanları, 1996 ile 2002 yılları arasındaki güvenlik olaylarının borsadaki etkilerine baktılar. Garg daha sonra, güvenlik olayı ve piyasaların bu duruma tepkisini inceledi. Sonuçlar sizi şaşırtabilir fakat daha da önemlisi bu bilgi tam da sizin yöneticilere karşı kullanabileceğiniz bir bilgi. Buradaki rakamlar büyük çapta, gerçekçi ve tarihsel. Şirket yöneticilerinin görevi hissedarların çıkarlarını korumaktır. Bu görevi yapmamak şirketin önemli davalarla yüzleşmesine neden olabilir.
Gargın raporunu okuyun. Bu sizin organizasyonunuza ne yönden hitap ediyor? Analizi size ne yönde yardımcı olabilir? Bu soruların cevapları size kalmış.
Bu zamana kadar bu tür sorulara yanıt vermek için yararlanabileceğimiz birkaç kaynağımız vardı. Geçtiğimiz yedi yıl boyunca güvenlik olaylarının finansal etkilerini belirlemedeki en bilinen kaynak CSI/FBI Bilişim Suçları ve Güvenlik Araştırması ydı. Araştırma, ABDdeki özel şirket, kamu kurumları, finansal, sağlık ve eğitim organizasyonlarındaki güvenlik uzmanlarının yer aldığı anketlere dayanıyordu. CSI(Bilgisayar Güvenlik Kurumu)ın 2002deki araştırma raporunda araştırma sonuçlarının yukarıda sayılan şirketlerde çalışan 503 güvenlik uzmanının katılımıyla hazırlandığını yazmaktadır.
CSI bu araştırmayı ilk olarak yaptığında (FBIın katılımı olmaksızın) IT endüstrisi dışında fazla bir katılım olmadı. FBIın araştırmaya dahil olma kararından sonra araştırma sonuçları gazete ve televizyonlarda yer aldı. Bu bizim bilgi güvenliği sektörü için büyük bir atılımdı ve farkındalık düzeyinin büyük oranda artmasına neden oldu.
Çölde kalan birinin temiz olmasa da bulduğu ilk su kaynağından içmesi gibi bilgi güvenliği uzmanları ve danışmanları da araştırmayı kendi ihtiyaçlarını belirlemede kullanmışlardır. Ancak her defasında bir şeylerin eksik olduğunun farkındaydılar. Araştırma yedi yıldır yayınlanıyor ve bizler her bahar, büyük sabırsızlıkla raporun yayınlanmasını bekliyoruz ve bu rapor her seferinde en basit ve temel ihtiyacımızı karşılamakta aciz kalıyor.
Araştırma ilginç bir hikaye anlatıyor ve bizlere yeni bir şeyler katıyor. Araştırmanın bilinen en önemli eksikliği güvenlik olayları sonrasında ortaya çıkan finansal zararları hafife alması.Gerçek zararlar CSI araştırmasından her defasında daha fazla olmaktadır. Buna ilave olarak araştırmaya katılamayan şirketlerin olduğunu da düşünürsek, aslında sorunun araştırmada değil de bizim onu nasıl kullandığımız ve ondan ne beklediğimizde olduğunu görürüz.
Her yıl araştırmayı yöneticilerimize gösteriyoruz. Onlar bizi sabırla dinliyor, teşekkür ediyor ve kibarca söylediklerimiz reddediyorlar. Eksik olan ne? Niye işe yarmıyor? Bizim araştırmada gördüğümüz rakam ve tabloları onlar niye görmüyorlar?
Önemli bir iş için kullandığımız araç yanlış. CSI/FBI Bilişim Suçları ve Güvenlik Araştırması sistematik olmayan, kulaktan duyma ve tahmine dayalı bilgiler içeriyor. Araştırma, yönetim kademesini harekete geçirmede kullanılacak argümanlardan yoksun.
Peki elimizde geriye ne kaldı? Size bugüne kadarki bilgi güvenliği ile alakalı yaşanan önemli olayları ve maliyetlerini içeren kapsamlı bir araştırmadan bahsedeceğim. Araştırmadaki bilgiler bir gözlemden çok doğrulanabilir verilerden oluşmakta. Ernst & Young Ekonomi ve Ticaret Analiz Grubunun Bilgi Teknolojileri Güvenliği Açıklarının Mali Etkileri: Yatırımcılar ne düşünüyor? konulu raporu. Bu rapor bizim meslek dalımız için önemli bir kaynak.
Ashish Garg ve asistanları, 1996 ile 2002 yılları arasındaki güvenlik olaylarının borsadaki etkilerine baktılar. Garg daha sonra, güvenlik olayı ve piyasaların bu duruma tepkisini inceledi. Sonuçlar sizi şaşırtabilir fakat daha da önemlisi bu bilgi tam da sizin yöneticilere karşı kullanabileceğiniz bir bilgi. Buradaki rakamlar büyük çapta, gerçekçi ve tarihsel. Şirket yöneticilerinin görevi hissedarların çıkarlarını korumaktır. Bu görevi yapmamak şirketin önemli davalarla yüzleşmesine neden olabilir.
Gargın raporunu okuyun. Bu sizin organizasyonunuza ne yönden hitap ediyor? Analizi size ne yönde yardımcı olabilir? Bu soruların cevapları size kalmış.
