Siber güvenlik daha çok maddi bir kayıp gibi görünüyor. Uluslararası şirketler, 2018’de güvenlik için 37 milyar dolarlık yatırımlar gerçekleştirerek yeni küresel rekorlara imza attı. Harcamaların 2020 yılına kadar 42 milyar doları aşması bekleniyor. Gartner Araştırması, çalışan kişi başına düşen güvenlik harcamasının geçtiğimiz 6 yılda (2012’den beri) 2 kat arttığını gözler önüne serdi. Siber suçlar, dünya ekonomisine sadece 2017 yılında 600 milyar dolara mal olmuştu.
Bu nedenle insanlar, artan siber suçlara karşı bir önlem alınıp alınmadığını sorgulamaya başladılar. Ancak herhangi bir farkındalık eksikliği bulunmuyor. İngiltere hükûmetinin araştırmasına göre, FTSE350 şirketleri arasındaki siber riskin algılanan önemi 5 yıl içinde neredeyse 3 katına çıktı. Dünya Ekonomik Forumu’nun 2019 Küresel Risk Raporu ise, artması en muhtemel uluslararası riskler için 4. ve 5. sırayı siber saldırılara ayırdı.
Yapılan yatırımları ve iyi niyeti bir kenara bırakırsak, güvenlik konusundaki toplu başarısızlığın nedeni olarak karşımıza “uygulama” çıkıyor.
Dikkate alınması gereken ilk şey, siber savunmaların nasıl meydana geldiğidir. Bir şirketin güvenlik aygıtları; bütçelere, tehditlere ve düzenlemelere karşı değişir. Bunlara yanıt olarak savunma sistemleri de eklenen çalışanlar, araçlar ve prosedürlerle yinelenerek büyür. Kısa vadede ortaya çıkan tehditlerle başa çıkmak, güvenlik stratejisinin tamamını tekrar gözden geçirmekten daha kolaydır. Bu nedenle, zaman içerisinde çözümü işaret eden çok sayıda araç ortaya çıkmıştır. Kısacası sistemler, tutarlı bir stratejiden yoksun ve sürekli mücadele veren güvenlik ekiplerine dönmüştür.
Bu kısır döngü, bir şirketin yönetimi tarafından uyarlanabilir bir çerçeve ile ele alınmalıdır. Bir işletmeye karşı en etkili yaklaşım, finansal risk ve azaltma maliyeti olarak ifade edilen yapılandırılmış bir siber risk yönetimi çerçevesidir. Doğru kullanıldığında; CFO, CRO ve hatta CEO gibi “C” grubundaki risk uzmanları tarafından güvenlik harcamalarına ayrılan bütçelerin azaldığı görülecektir. Harcamaları daha verimli hale getirecek olan sonraki seviye ise şirketlerin yatırımları daha iyi yönetmelerine izin verecek ve güvenlik durumları hakkında daha doğru raporlama sağlayacak getirileri takip etmektir.
Risk Yönetiminden Yatırım Getirisine
Siber risk yönetimi, alınan kararları ölçmek ve geçmişe dönük değerlendirmeler yapmak için metrik sistemleri talep eden bir gözetim felsefesini benimsemektedir.
Güvenlik, tarihsel olarak bu kavramla mücadele etmektedir. Büyük olaylara maruz kalmayan baş bilgi güvenliği görevlileri (CISO’lar), daha büyük yatırımlar için dava açamıyorlar. İhlallerden ve saldırılardan yıprananlar ise “güvenlik cezası” ödemek zorunda kalıyorlar. Yatırım getirisini ölçmek her iki durumun da çözümü olacaktır. Yatırım getirisini ölçmenin ilk yolu da güvenlik risklerini ölçmekten geçer. Riske Maruz Değer yaklaşımı kullanılarak, niceliksel sonuçlar bir kayıp aşma eğrisi ile temsil edilebilir. Bu sonuçlar, belirli bir yılda sürdürülecek finansal maliyetlere karşı, zararı sürdürme olasılığını gösterecektir.
İkinci adım ise şirketlerin öngörülen zararları, riski kabul edilebilir seviyelere indirmek adına nereye yatırım yapması gerektiğine karar vermesine olanak tanıyan bir risk arzusu ile karşılaştırılmasıdır. Son adımda da aynı riskler, hafifletmeler ile birlikte yatırımın geri dönüşünü değerlendirmek için Riske Maruz Değer ölçümüne tabii tutulur. Bu aşamalar, en doğru kayıp aşma eğrisini gösterecektir.
Yatırımlar gerçekleştirilmeden önce, doğasında var olan riskin belirlenmesi ve miktarın belirlenmesi için bir modelinin kullanılması gerekmektedir. Bu model, yatırım getirisinin kararlaştırılmış risk toleransı ile karşılaştırılması yoluyla ortaya çıkar. Eğer risk toleransın üstünde ise, bir azaltma yapılır ve risk tekrar hesaplanır. Eğrilerin öncesi ve sonrası karşılaştırılır. Sadece bunun gibi nicel bir yaklaşım bile, bütçelerin en etkili şekilde harcanmasını ve en yüksek etkili yatırımların yapılmasını sağlayabilir. Yatırım sürecini gözeterek gereksiz harcamaları önler, iş ve risk dilinde güvenlik sunarak üst düzey uzmanlık hizmeti sağlar.
Yatırım Getirisi, Nicel Veri Gerektirir
Çoğu kurum, güvenlik açığı taramaları ve siber riski belirlemek için sızma testleri gibi statik testlere fazlasıyla güveniyor. Bunlar faydalı alıştırmalar ancak yeterli değiller. Bir diğer ortak yaklaşım olan kalitatif değerlendirmeler ise yatırım getirisini ölçerken genellikle yarardan çok zarar vermektedir. CISO’lar genellikle kantitatif verilerin her zaman bulunmadığından yakınır. Yumuşak puanlamalar güvenlik duruşu için bir önsezi sağlayabilir ancak bu yöntemler çok karmaşık bir alanda veri eksikliğini nadiren hafifletirken genelde engeller.
Kurullara hatta yöneticilere, güvenlik yatırımı hakkında bilinçli kararlar vermek için gereken bilgileri sağlayan dinamik ve nicel veriler gerekmektedir. Bu nicel veriler mutlaka güncel olmalıdır. Oltsik Yasası’nda açıklandığı gibi, dinamik bir ortamı statik verilerle ölçemezsiniz. Risk puanlaması ve bunun sonucunda elde edilen yatırım getirisi analizleri, sürekli güncellenen verilere dayandırılmalıdır.
Gerçek Anlamda Risk Almak
İngiltere hükûmeti araştırması, üç FTSE350 şirketinden sadece birinin güvenlik riski arzusu üzerinde anlaşmaya vardığını gözler önüne sermiştir. Gerçek oranın daha düşük olması muhtemeldir. Güvenlik konusunda hâlâ ölçümden çok daha fazla israf vardır. Her şeye rağmen, Gartner’ın risk arzusu beyanlarını 2019’daki en büyük yedi güvenlik ve risk yönetimi trendinden biri olarak adlandırması değişimin devam ettiğini kanıtlıyor.
Siber esneklik hareketli bir hedeftir. Bazen bir şirketin doğru yönde hareket edip etmediğini söylemek zor olabilir. Yatırım gelirinin belirlenmesi, kuruluş genelinde anlaşılan somut ve açıkça tanımlanmış bir ilerleme ölçümüne olanak tanır. Bazı şirketler için bu, tam teşebbüs gözetiminde güvenlik girişimleri hakkında sürekli risk raporları talep etmek anlamına gelirken, bazıları için nitel ısı haritalarından ölçülebilir risk ölçümlerine geçmek anlamına gelmektedir.
Siber yatırım getirisinin nihai hedefi, yatırımı en üst düzeye çıkarmak ve riski azaltmaktır. Bu, yönetim kurulunun uzmanlığının değerlendirilmesinin yanı sıra yalnızca risk ve yatırım getirilerinin sürekli ölçüldüğü zaman mümkün olabilir. Ortak bir risk ve yatırım getirisi dili oluşturulmalıdır. Kısa sürede güvenlik yatırımının değerini görmek kolaylaşacaktır.