Menu
Güvenlikte sessiz başarılar

GÜVENLİĞİN SESSİZ BAŞARISI

GÜVENLİĞİN SESSİZ BAŞARISI

Bir bankacılık sistemi çalışmasın, bir internet sayfasına erişilemesin hemen herkesin aklına gelen ilk şeylerden biri “Siber saldırı mı oldu?” olur. Aslında ortada daha hiçbir bilgi yokken  ilk şüpheli her zaman güvenlik olur. Sonrasında sorun açıklığa kavuşsa bile güvenlik ekipleri çoktan zan altında kalmış olur.

Güvenlik ekiplerinde çalışan kişiler genelde en çok yaptığı işlerin görülmemesinden yakınır ve demoralize olur. Birçok farklı kurumda çalıştım ve farklı ekiplerden çalışma arkadaşlarımla konuştuğumda genelde şunu duydum “Güvenlik ekipleri ne yapıyor ki?”. Bir saldırı veya kesinti olduğunda alakalı olan-olmayan herkes konuşur, bir şey olmadığında ise kimse dönüp bakmaz. İhlal olursa kriz vardır. İhlal olmazsa zaten olması gereken bu denir. Ama kimse şunu sormaz: “Olmaması için ne yapıldı?” Oysa gerçek hiç öyle değil. İşimiz gereği bir sürü zafiyet tespit edip kapatılması için takipçi oluyoruz, güvenlik sıkılaştırmaları yapıyoruz, politikaları belirliyoruz. Evet işimiz bu. Güvenlikte başarı, olay yaşandığında değil yaşanmadığında ortaya çıkar çünkü biz problemi çözen değil, problemin hiç doğmamasını sağlayan taraftayız.

Günün sonunda dışarıdan görünen tek şey şudur “her şey normal” ve ironik olan şu ki; o normallik, aslında görünmeyen yüzlerce doğru kararın toplamıdır.

SESSİZ BAŞARI TAM OLARAK NEDİR?

Yaşanmayan bir ihlal, büyümeyen bir risk, krize dönüşmeyen bir hata, önceden alınmış doğru kararların sonucudur. Başarı sadece olmuş olayı çözmek değil, engellemektir.

KÜÇÜK GİBİ GÖRÜNEN AMA BÜYÜK ETKİ YARATAN ANLAR

  • Bir güvenlik açığı zamanında kapatılır kimse fark etmez ama o açık bir saldırganın giriş noktası olabilirdi. Tıpkı kilidi sağlam olan bir kapının hiç zorlanmaması gibi ama kimse o kilidi övmez.
  • Yetkiler doğru verilmiştir, kimse gereksiz erişime sahip değildir, bir hesap ele geçirilse bile sistem dağılmaz ama yanlış verilmiş tek bir yetki, tüm sistemi zincirleme etkileyebilirdi.
  • Bir çalışan şüpheli bir maili açmaz, bir linke tıklamaz, bir USB’yi takmaz, büyük bir risk ortadan kalkmıştır. Bu bir refleks değildir, eğitilmiş bir davranıştır. Ve çoğu zaman alkışlanmaz.

KİMSE OLMAYAN ŞEYİ FARK ETMEZ

Güvenlikte en zor şeylerden biri de olmayan bir olayı anlatmaktır çünkü insanlar sonucu görür, ihtimali değil. “Bir şey olmadı” cümlesi, çoğu zaman “bir şey yapılmadı” gibi algılanır.
Oysa gerçek tam tersidir: Bir şey olmadıysa, birileri doğru bir şeyler yapıyordur.

GÜVENLİK EKİPLERİNİN EN ÇOK MOTİVASYONUNU AZALTAN: GÖRÜNMEZLİK

Ne kadar iyi çalışırsanız, o kadar az görünürsünüz. Sistemler stabil çalışıyorsa kimse konuşmaz, saldırı yoksa kimse sormaz, problem yok kimse fark etmez. Ama tek bir olay yaşandığında, herkesin aklında tek soru vardır: “Güvenlik neredeydi?” İşte bu dengesizlik, güvenliğin doğasında vardır.

PEKİ BU SESSİZ BAŞARILAR NASIL GÖRÜNÜR HALE GETİRİLİR?

Burada kritik olan şey, insanların bakış açısını değiştirmektir.

1. Sadece Olanı Değil, Olmayanı Da Ölçerek Göstermek

Kaç saldırı engellendi, kaç risk büyümeden kapatıldı, kaç hata erken yakalandı?

Bunlar “arka planda kalan detaylar” değil, doğrudan iş sürekliliğinin garantisidir.

2. Teknik Dille Değil, İş Diliyle Anlatmak

“Bir zafiyet kapatıldı” demek kimse için anlamlı değil. Ama şöyle söylenirse; “Bu risk kapatılmasaydı şu işlerin kesintisi yaşanabilirdi veya bu zafiyet sömürülseydi şu sistemlere de erişim sağlanırdı ve X miktarda para kaybedilirdi.”

İnsanlar teknik detayı değil, etkisini hatırlar. Güvenlik sadece teknik bir konu değil, doğrudan işin devamlılığı ile ilgilidir.

3. Doğru Davranışları Görünür Yapmak

Güvenlik sadece teknolojiden ibaret değildir. Bir çalışanın doğru refleksi, bazen en gelişmiş güvenlik ürününden daha değerlidir.

SONUÇ

Bazen en büyük başarı, hiçbir şey olmamasıdır çünkü en iyi saldırı savunulan değil, hiç gerçekleşmeyendir. Ama o hiçbir şey; doğru yapılandırmaların, sürekli izleme süreçlerinin, disiplinli ekiplerin, bilinçli kullanıcıların ortak sonucudur. Bu yüzden, sessiz başarıları görmek, anlatmak ve değerini bilmek gerekir.
Güvenlikte en büyük başarı, fark edilmeden işini yapabilmektir. 

Related Posts