Menu
Security KPIs

Bilgi Güvenliğinde KPI’lar

Bilgi Güvenliğinde KPI’lar

Gerçekten Güvenliği mi Ölçüyoruz?

Bilgi güvenliği ekiplerinden artık yalnızca sistemi koruması değil, aynı zamanda güvenliği ölçmesi de bekleniyor. Özellikle regülasyonların, denetim süreçlerinin ve yönetim beklentilerinin artmasıyla birlikte kurumlarda KPI listeleri giderek büyüyor ancak burada önemli bir problem var. Birçok kurum güvenliği gerçekten ölçmek yerine, ölçülmesi kolay olan şeyleri raporluyor çünkü bilgi güvenliğinde KPI üretmek zor değildir. Zor olan, doğru şeyi ölçmektir.

KPI’ların Asıl Amacı Nedir?

Birçok kurumda KPI’lar operasyonel yoğunluğu göstermek için kullanılıyor. Kaç alarm üretildiği, kaç ticket kapatıldığı, kaç kullanıcıya eğitim verildiği veya kaç zafiyetin kapatıldığı sürekli raporlanıyor. KPI’ların temel amacı aslında ekiplerin yoğun çalıştığını göstermek olmamalıdır.

KPI’ların amacı;

  • risk seviyesini görünür hale getirmek,
  • güvenlik operasyonunun gerçekten işe yarayıp yaramadığını anlamak,
  • yönetimin doğru karar verebilmesini sağlamak,
  • yatırımın güvenliğe etkisini ölçebilmek 

olmalıdır. Üst Yönetim teknik detay görmek istemez, şunu görmek ister: “Risk azalıyor mu?”, “Operasyon olgunlaşıyor mu?” ,“Gerçekten daha güvenli hale geliyor muyuz?”. Aslında iyi tanımlanmış KPI’lar teknik ekiplerden çok yönetim için vardır.

Dışarıdan Görünen ile Gerçek Durum Aynı Değildir

Bilgi güvenliğinde dashboardlar çoğu zaman güven hissi üretir. Özellikle yeşil görünen metrikler yönetime operasyonun kontrol altında olduğu hissini verir. Yüksek patch oranları, kapanan yüzlerce ticket, tamamlanan eğitimler, oluşturulan kurallar vb. Kağıt üzerinde her şey başarılı görünebilir ancak operasyonun içinde durum çok farklı olabilir. Örneğin; bir SOC ekibinin günde on binlerce alarm üretmesi ilk bakışta yüksek görünürlük varmış gibi düşünülebilir. Fakat bu alarmların büyük bölümü false positive ise, analistler alarm yorgunluğu yaşıyorsa veya kritik olaylar gürültü içinde kayboluyorsa, yüksek alarm sayısının gerçek güvenliğe katkısı olmayabilir. Hatta bazı durumlarda daha fazla alarm, daha düşük görünürlük anlamına gelir.

Benzer durum zafiyet yönetiminde de görülüyor. Bazı kurumlar kapatılan zafiyet sayısını başarı kriteri olarak gösteriyor. Fakat burada önemli olan kaç adet bulgunun kapatıldığı değil, hangi zafiyetlerin ne kadar sürede kapatıldığıdır. İnternete açık kritik sistemlerdeki yüksek riskli zafiyetler haftalarca açık kalıyorsa, düşük riskli yüzlerce bulgunun kapatılması gerçek risk seviyesini çok değiştirmeyebilir.

Kurumlar Genelde Neyi Yanlış Yapıyor?

Bilgi güvenliği KPI’larında en sık yapılan hata, kolay ölçülen şeylerin önemli sanılmasıdır.  Kolay raporlanan metrikler yönetime daha hızlı sunulabilir ancak kolay ölçülen şeyler her zaman gerçek riski göstermez.

Örneğin:

  • Kaç kullanıcı eğitim aldı?
  • Kaç ticket kapatıldı?
  • Kaç alarm geldi?
  • Kaç cihaz patch edildi?

Bu metriklerin çoğu operasyonel sayı üretir ama güvenlik seviyesini doğrudan göstermez.

Özellikle bazı kurumlarda KPI’lar zamanla güvenlik ölçümü olmaktan çıkıp, rapor güzelleştirme aracına dönüşebiliyor. Bir süre sonra ekipler riski azaltmaya değil, KPI tutturmaya odaklanmaya başlıyor. Örneğin;

  • Sadece ticket sayısı ölçülürse kalite düşebilir.
  • Sadece hız ölçülürse yanlış aksiyonlar artabilir.
  • Sadece patch oranı ölçülürse kritik sistem öncelikleri gözden kaçabilir.
  • Sadece alarm sayısı ölçülürse gürültü artabilir.

İnsanlar ölçülen şeye göre davranır ve yanlış KPI’lar yanlış davranış üretir.

Ölçülmesi En Zor Şeyler Genelde En Kritik Olanlardır

Bilgi güvenliğinde gerçekten önemli olan bazı konuların ölçülmesi oldukça zordur. Örneğin görünürlük bunlardan biridir.

  • Bir kurum ağındaki tüm varlıkları gerçekten biliyor mu?
  • Shadow IT ne seviyede?
  • Tüm loglar merkezi olarak toplanıyor mu?
  • Kritik sistemler gerçekten izleniyor mu?
  • Güvenlik ürünleri doğru veri üretiyor mu?

Bunları ölçmek kolay değildir. Benzer şekilde “olgunluk” da ölçülmesi zor alanlardan biridir.

Bir kurumun SIEM kullanıyor olması SOC operasyonunun olgun olduğu anlamına gelmez.
MFA kullanım oranının yüksek olması da kimlik güvenliği problemlerinin çözüldüğünü göstermez. Çünkü bazı KPI’lar yalnızca kontrolün var olduğunu gösterir. Kontrolün gerçekten etkili çalıştığını değil. Aynı durum farkındalık eğitimlerinde de görülüyor. Birçok kurum eğitim tamamlama oranını raporluyor ancak kullanıcıların phishing saldırılarını ayırt edip edemediği, şüpheli olayları raporlayıp raporlamadığı, gerçek davranış değişimi oluşturup oluşturmadığı çok daha önemlidir ama bunları ölçmek daha kıymetlidir.

Gerçekte Ne Ölçülmeli?

Gerçek güvenlik başarısı operasyonel yoğunlukla değil, risk azaltımıyla ölçülmelidir. Çok alarm üretmek değil, doğru alarmı zamanında görebilmek önemlidir. Çok ticket kapatmak değil, kritik riskleri azaltabilmek önemlidir. Çok kural yazmak değil, gerçek görünürlük sağlayabilmek önemlidir.

Bu yüzden iyi KPI’lar: risk odaklı, anlamlı, karşılaştırılabilir, davranış bozmayacak şekilde tasarlanmış, operasyonel kaliteyi destekleyen yapıda olmalıdır.

Örneğin:

  • Mean Time To Detect (MTTD)
  • Mean Time To Respond (MTTR)
  • Kritik zafiyet remediation süresi
  • False positive oranı
  • MFA kapsama oranı
  • Log kapsama görünürlüğü
  • İnternete açık kritik sistem sayısı
  • Phishing başarısızlık oranı

gibi metrikler gerçek operasyonel olgunluğu daha iyi gösterebilir.

Sonuç

Bilgi güvenliğinde en tehlikeli durumlardan biri, her şeyin ölçüldüğünü düşünüp aslında hiçbir şeyin gerçekten anlaşılmamasıdır çünkü güvenlikte bazen en büyük risk, yanlış metriklerin doğruymuş gibi görünmesidir. Bazı kurumlarda dashboardlar yeşil görünürken, gerçek risk seviyesi hiç olmadığı kadar yüksek olabilir.

Related Posts