Paranoyak olmam takip edilmediğim anlamına gelmez

Bilgi güvenliği hepimizin gündeminde ama çoğumuz buna bilinçli bir şekilde yaklaşmakta zorlanıyoruz. Bilincin oturması için öncelikle konuyu bütün ciddiyeti ve gerçekliği ile almak gerekiyor ki burada karşılaştığımız engeller teknik bilgimizin/yeterliliğimizin çok dışında. Konuyu ele almak için işin sadece bizlere düşmediğini, şirket içi kullanıcılardan üst yönetime kadar herkesin bunda payı olduğunu kabullenmek gerekir. 90’lı yıllarda ISO belgeleri yaygınlaşmaya başladığı yıllarda Kalite Departmanının “Kalite Hepimizin Görevi!” feryatlarını hatırlıyorum da ; “Güvenlik Hepimizin İşi!” demeye başlamış olmamız iyiye işaret değil gibi geliyor. Bu duruma düşmemek ve bilgi güvenliğimizi sağlayabilmek için güvenlik kararlarını etkileyen başlıca oyuncuları ve şartları anlamamızda fayda var.

En zayıf halkanız kadar güçlüsünüz: İnsan saflığına karşı sizi koruyacak bir firewall yok

Tanıştırayım: Düşman. (Şekil 1-A)

2008 yılında Ortadoğu’da bulunan bir Amerikan askeri üssünün sistemine yukarıda görülen ileri teknoloji ürünü siber saldırı aracı (!) sayesinde girildi. Agent.btz isimli worm halen A.B.D. askeri gizli bilgilerine karşı yapılmış en ciddi saldırı olarak biliniyor. Bu saldırıya karşı başlatılan “Buckshot Yankee” operasyonu kapsamında etkilenen bütün bilgisayarların temizlenmesi 14 ay sürmüş ve bu süreçte USB belleklerin kullanımı yasaklanmıştır. Bu olay aynı zamanda A.B.D. ordusu bünyesinde “U.S. Cyber Command” birimin kurulmasına neden olmuştur.
Bu tür bir saldırıya karşı ne kadar açık olduğunuzu anlamak için toplantı odasına bir USB bellek bırakmanız yeterli olacaktır. Meraklı bir arkadaşınızın eninde sonunda onu bulup ağınıza bağlı bir makinede çalıştıracağından emin olabilirsiniz.

Güvenlik Hepimizin İşi!
Güvenlik konusunda çalışma arkadaşlarımızı eğitmek zorundayız ama her çalışanımızın bizim için eşit derecede tehdit oluşturmadığını veya eşit derecede tehdit oluşturabilecek bilgiye sahip olmadığını anlamamız gerekiyor. Aynı şekilde sistemde bulunan her bileşenin eşit tehdit yaratmadığını da aklımızda tutmakta fayda var.
Aşağıdaki matris bu konuyu çok iyi bir şekilde özetlemektedir.

Risk Analiz Matrisi (Şekil 2-A)

Tehditleri bu matrise yerleştirerek hangilerine karşı daha dikkatli olmamız gerektiğini anlayabiliriz. Aslında “tehdit” dediğimiz şeyin büyüğünün veya küçüğünün, önemlisinin veya önemsizinin olmaması gerekir ama ne yazık ki mükemmel bir dünyada yaşamıyoruz. Mükemmel bir dünyada yaşamadığımız için de %100 güvenliği sağlamak için yeterli kaynaklarımız yok. Dolayısıyla elimizdeki imkânlara göre bir öncelik sırası belirleyip buna göre hareket etmemiz gerekiyor. Riskleri belirleme konusu firmaya göre değişiklik gösterdiği için bu konuda bir matris veya formül vermek doğru olmaz ancak ertesi günün gazetesinde görmek istemeyeceğiniz, kendi ellerinizle rakibe göndermeyeceğiniz ve hemen şu anda silmeyi göze alamayacağınız verileri korumakta fayda var.

Bu matriste sistemleri, çalışanları, tedarikçileri ve bunun gibi güvenliği etkileyen her unsuru değerlendirmekte fayda var. Sonuç olarak olasılığı ve etkisi en yüksek tehditlere karşı hemen önlem anlamakta fayda var. Alınabilecek önlemler kritik bilgilere erişimi olan çalışanların eğitilmesinden yeni güvenlik sistemi yatırımlarına; fiziksel güvenliğin güçlendirilmesinden atık kâğıt politikasının gözden geçirilmesine kadar çok geniş bir yelpaze oluşturmaktadır.
Yukarıdaki matris iki soru soruyor ve hassasiyeti bunlara verilen cevaplara göre sıralıyor;
Tehdidin gerçekleşme olasılığı nedir? Ve bu tehdit gerçekleşirse ne kadar zarar verir?
Daha önce verdiğimiz USB bellek örneğini ele alırsak bu tür bir sızma durumunun gerçekleşme olasılığı nedir? “İşyerinize ziyaret/iş görüşmesi bahanesiyle girip bir USB bellek bırakmayı göze alabilecek kimse var mı?” gibi basit soruların cevapları bize bu konuda ipucu sağlayacaktır.

İkinci aşamada ise bu tehdidin gerçek olması halinde neler kaybedeceğinizi değerlendirmek gerek. Veya online satış yapan bir işletme sanal mağazanın veri tabanını içeride de kullanıyorsa içeride kullanılan sisteme dışarıdan birinin ulaşması ne gibi sonuçlar doğurur? Bu sonuçlar yeni güvenlik yatırımlarını, örneğin bir DMZ (bkz. Demilitarized Zone) kurulmasını, haklı çıkarır mı?

Güvenlik yatırımlarında geri dönüşün hesaplanması
ROI (Return On Investment) veya daha basit bir deyimle “paramı ne kadar zamanda kurtarırım?” sorusu çoğu yöneticinin aklının bir köşesinde vardır. Güvenlik konusunda ceplerinden çıkacak paralar da ne yazık ki aynı süzgeçten geçer. Tam bu noktada bilgi güvenliğinin “uzun ince yolu” karşımıza çıkıyor. Aşağıdaki şekilde yeşil olan kutular bilgi güvenliğinin yolunu çizmektedir. Bu kutulardan yürürseniz başarıya ulaşma ihtimaliniz vardır.

Yürünecek yol (Şekil 3-A)

Her hangi bir güvenlik yatırımında temel olarak 3 taraf vardır; Teknik, Finans ve Yönetim. Bunların her biri ayrı birimler olabileceği gibi KOBİ ölçeğinde Finans ve Yönetim genellikle tek noktada toplanmıştır. Tabloyu özetlersek; güvenlik konusunda bilgisi olan Teknik Birim ne yazık ki olayın Finansal ve Yönetimsel boyutlarını göremez ve/veya bu konuda söz hakkına sahip değildir. Benzer şekilde Finans Birimi işin teknik boyutuna uzaktır. Görüldüğü üzere konuya dahil üç taraf da sadece kendi konuları hakkında bilgi sahibidir. Dolayısıyla bir güvenlik yatırımın yapılabilmesi için üç aşamanın da onayı alınmalıdır. Teknik birimin talebini ve özellikle talebin nedenini açıkça ve diğer birimler tarafından da anlaşılabilecek şekilde dile getirmesi çok önemlidir. Toplantıları seven şirketlerde bunun için bir çalışma grubu kurulabileceği gibi daha verimli çalışmayı tercih eden firmalarda konu Teknik Birimin risk analizi matrisini ve sonuçlarını paylaşması ile kolayca çözülebilecektir.

Geri dönüş ise sızabilecek/kaybolabilecek bilgilerin değeri ile kolayca hesaplanabilir ama genel görüşüm konunun doğru anlatılmasının finansal çekinceleri ortadan kaldıracağıdır.

Güvenlik politikası:
Görüldüğü üzere gerek güvenlik zafiyetlerinin sonuçlarından gerekse güvenlik kararlarının alınma sürecinden dolayı bilgi güvenliği gerçekten hepimizin işi. Gerekli analizler yapıldıktan sonra ortaya çıkan sonuçlara göre bir güvenlik politikası belirlenmelidir.
Bu politikayı oluşturacak kuralları güvenlik konusuna genel yaklaşım belirleyecektir. Yaklaşım paranoyaklıkla tamamen boş vermişlik arasında bir skala üzerinde bir yere oturacaktır.

Skala (Şekil 3-A)

Yaptığımız iş veya sahip olduğumuz verilerin hassasiyeti ise düşmanlarımızı belirleyecektir. Filmlerde görmeye alıştığımız siyah ekran üzerine yeşil karakterlerle kod yazan dahi bir “hacker” mı var karşımızda?

Dahi hacker – Temsili (Şekil 3-B)

Yoksa 13-14 yaşında meraklı bir İsveçli çocuk mu? Yoksa tükenmez kaleminin içerisindeki USB bellekle bizden bilgi çalan bir çalışan mı?

Tanıştırayım: Düşman 2.0 (Şekil 3-C)

Kevin Mitnick’in dediği gibi “Güvenlik süregelen bir kedi-fare oyunudur”, güvenlik politikasını oluşturmak ve güncel tutmak, çalışanları akıllarına gelmeyecek tehditlere karşı uyarmak, her an tehdit altında olduğumuzu anlamak ve anlatmak bize bu oyunda az da olsa avantaj sağlayacaktır.