Kaç Paralık Güvenlik Lazım?

Güvenlik Yatırımlarına Karar Vermek: “Güvenlik işinde hesabını bilmek” 
Bundan bir süre önce güvenlik yazılımları satarken sıkça karşılaştığım bir soruydu bu: “bir şirket bilgi güvenliğine ne kadar para harcamalıdır?”. Bankacılık ve Finans okuyup üzerine işletme yüksek lisans yaptıysanız “gerektiği kadar” cevabı sizi tatmin etmekten uzaktır. Aklınızın bir köşesini kemirir durur bu soru. Kendimce bu soruya cevap vermemi sağlayan birkaç yaklaşımı sizlerle paylaşmak istiyorum.

 Bilgi Güvenliği Konusunda Karar Vermek Neden Bu Kadar Zor? 
Bilgi güvenliği konusunda net bir karar vermemizi engelleyen en önemli şeylerden birisi kuşkusuz yeterli veriye sahip olmayışımızdır. Geçen sene, geçen ay veya geçen hafta sizinle aynı sektörde kaç firmanın ağına saldırı düzenlendiği, bunun kaçının başarılı olduğunu veya saldırıların türleri konusunda bilgi sahibi olmayışımız bilgi güvenliği konusundaki kararları kendi içimizde vermemizi gerektiriyor. Bütün komşuların alarm ve çelik kapı taktırdığını görsek, biz de aynı önlemleri alırız tabii ki. Ama komşularımızı görmediğimiz bir ortamda karar tamamen bize kalmış oluyor. Yukarıdaki konuya paralel olarak çoğu zaman bize karşı doğrudan yapılan saldırıların bile farkında olmuyoruz. Korumaya çalıştığımız şeylerin somut olmayışı ve hatta kolayca kopyalanır yapıları işimizi çok zorlaştırıyor. Öyle ya, muhasebe programınızın veri tabanının bir kopyası alınsa bunu nasıl fark edeceksiniz? Veri tabanının silindiğini fark ederiz, değiştirildiğini bir ölçüde fark edebiliriz ama kopyalandığını bize açıkça gösterecek bir delil yok. En azından bu delil programı günlük olarak kullananların görebileceği/anlayabileceği türden bir şey değil. Bu durumda risk sadece veriyi kaybetmek değil, veriye başkalarının ulaşması demektir.

 Okulda Gördüklerimiz Gerçek Hayatta İşimize Yarar Mı? 
Okulda gördüğümüz ROI (Return On Investment) veya NPV (Net Present Value) gibi finansal hesaplar işimize yarar mı peki? ROI (Return On Investment – Yatırım Üzerinden Geri Dönüş) bize yaptığımız yatırım karşılığında ne kazandığımızı söyler. Peki, güvenlik gibi bize doğrudan para getirmeyecek bir yatırım kaleminde işi nasıl ele alabiliriz? Her şeyden önce riski ve bu riske karşılık gelecek tutarı ortaya koymamız gerekir. Firmanızın bilgi güvenliğine karşı düzenlenebilecek 1024 farklı saldırı çeşidi olarak ama dikkate almamız gerekenler size doğrudan zarar verebilecek olanlardır. Kusursuz bir dünyada aklınıza gelebilecek bütün açıkları kapatmak ve bütün riskleri örtmek için çabalayabilirsiniz ama gerçek dünyanın kısıtlamaları size bunlardan sadece bazılarına karşı kendinizi koruma imkanı veriyor. Dolayısıyla en kritik olandan başlayarak daha az önemli olanlara doğru giden bir sınırlandırma yapmak zorundayız. Bazı saldırıların maddi sonuçları olabileceği gibi bazılarının sonuçları ne yazık ki tam olarak ölçülebilir değildir.

 Gerçek Tehdit Seviyesini Anlamak 
Tehdit seviyesinin net olarak ortaya konulması yatırımı yapacak yöneticilerin karar vermesini kolaylaştıracaktır. Bilgi güvenliği konusunu daha kolay anlamak için korumamız gereken sunucuları ortaçağı kalelerine benzetebiliriz.
Bu durumda kalemizin gerçekte ne kadar tehdit altında olduğunu anlamak için aşağıdaki göstergeleri göz önünde bulundurmalıyız:
Açıklık: Kalemizin ne kadar açık bir arazide bulunduğu.
Çevre: Kalemizin etrafının özellikleri. Surlarımız geniş ve yüksek mi? Saldırganları koruyabilecek çıkıntılar var mı?
Koruma seviyesi: Kalemizin ne kadar korunduğu. Nöbetçilerimizin sayısı, savunma silahlarımızın durumu, kapılarımızın sağlamlığı ve benzeri savunma yöntemleri.
Tehdit: Civar tepelerde gezen ve bize saldırması muhtemel yağmacı gruplarının sayısı ve yoğunluğu.
Saldırılar: Kalemize atılan ok ve taş sayısı.
Zaaf: Surların ne kadar kolay aşılabilir olduğu.
Değer: Surların aşılması durumunda kaybedilecek altın/hazine/insan değeri.

Risk hesaplamasını kolaylaştırmak için kullandığımız bu benzetmede görülen başlıkları aşağıdaki risk formülüne yerleştirerek gerçekte ne kadar risk altında olduğumuzu anlamamız mümkün olacaktır.

 Risk nedir? 
 Risk budur! 

Risk = Zaaf x Saldırılar x Tehditler x Açıklık 

Bu sistem alabileceğiniz en yüksek puan 625 ve en düşük puan 1 olacaktır. Puan ne kadar yüksek olursa güvenlik konusunda yapılması gereken o kadar iş vardır.
Örneğin: Uygun fiyatına kanarak hizmet aldığınız veri merkezinin sürekli saldırı alıyor olması ve size ucuz hizmet verdiği için gerekli güvenlik yatırımlarını yapacak parasının olmaması sizin açıklık ve tehdit katsayılarını 5 yapacaktır. Bunun yanında zayıf noktaları hemen herkes tarafından bilinen bir CMS (Content Management System – İçerik Yönetim Sistemi) kullanıyorsanız Zaaf katsayınız 5 olacaktır.
Size özel herhangi bir saldırının olmadığını da varsayarak (rastgele saldırıların artan sıklığı nedeniyle saldırı katsayınızı 3 aldık) Risk durumunuz aşağıdaki gibidir:
Risk = 5 x 3 x 5 x 5 = 375

Bu model kabaca hangi konularda yatırım yapılmasını gerektiğini ve genel güvenlik durumunuzu gösterir. Örneğin yukarıdaki durumda olan bir emlak danışmanlık firması müşteri listesine biçtiği değerle bu yatırımı karşılaştırıp bir karar vermek zorundadır. Müşteri listesinin kaybolması/çalınması/rakibe gitmesi durumunda net bir gelir kaybı yaşamayacaksa bu riski kabul edilebilir olarak değerlendirebilir. Benzer durumdaki bir e-ticaret sitesi doğrudan para kaybedeceği için bu riski kabul edilebilir görmeyecek ve notunu en hızlı şekilde düşürecek yatırımlardan başlayarak risk seviyesini kabul edilebilir düzeye hızla indirecektir.

Puanınız ne kadar yüksek çıkarsa çıksın moralinizi bozmayın. Ne de olsa “%100 güvenlik” yoktur, sadece “daha güvenli” vardır. Hızlı ve basit birkaç iyileştirme ile notunuzu kolayca düşürebilirsiniz. Önümüzdeki günlerde daha detaylı bir risk analizinin nasıl yapılacağını ayrıca ele alacağım.