Soru: Siber güvenlik performans yönetiminde “P” ne anlama geliyor? Performansı nasıl ölçeriz?
SeeMetrics’in CEO’su ve kurucu ortağı Shirley Salzman: Yunan filozof Sokrates’e atfedilen “kendini bil” aforizması, etrafımızdaki dünyayı anlamak için önce kendimizi anlamamız gerektiğini bize hatırlatır. Benzer şekilde, siber güvenlikte değerlendirmenin önemli bir ilk adımı kendimizi tanımak — yalnızca yeteneklerimizi değil, aynı zamanda bunları ne kadar etkili bir şekilde uyguladığımızı da anlamak.
Teorik olarak, siber güvenlik performans yönetimi (CPM) modeli, güvenlik liderlerine kendilerini tanımanın yanı sıra karmaşık, silolara ayrılmış bir ekosistemde meslektaşlar ve yöneticilerle iletişim kurmanın ve işbirliği yapmanın basit bir yolunu sunar.
Pratikte bir aksaklık var. Bir CISO, tek bir gerçek kaynağı olmadan nasıl akıcı bir performans anlatımı oluşturabilir? Bugün CISO’ların farklı ölçümlerden, farklı bağlamlardan ve performansı ölçmek için tek bir standarttan oluşan karmaşık bir anlatılar ağına güvenmeleri gerekiyor.
Bu, temel soruların yanıtlarını almayı neredeyse imkansız hale getiriyor: Güvenlik programlarım nasıl performans gösteriyor? Tehditlere ne kadar hazırlıklıyız? Performans, tek tip ölçümler, metrikler ve KPI’lardan elde edilmelidir. Ancak şu anda bunlar mevcut değil.
Sokrates’in CPM ile ilgisi de budur. CPM’deki “P”, CISO’nun “kendini tanı” anlayışında merkezi bir ilke haline geldi ve CPM’yi günlük yönetim araç setinin bir parçası haline getirdi. Çünkü bilmek sadece iletişim kurmanın değil, aynı zamanda yönetmenin de ilk adımıdır.
BGBM’de P’yi Ayırmak
“Kendini tanı” ruhuyla “performansı” parçalara ayıralım. CISO’ların neyi bilmesi gerekiyor? Performans dört temel alandan oluşur:
- Güvenlik programları: Kurumsal güvenlik kuruluşları birden fazla ve çeşitli güvenlik programlarını yönetir. Her programın performansını ölçmek için CISO’ların insanları, teknolojiyi ve süreçleri kapsayan bir dizi ölçüm ve KPI’yi değerlendirmesi gerekir. Ancak her programda belirli bir metriğin farklı özelliklere sahip olması muhtemeldir.
- Tehdit değerlendirmesi: CISO’ların belirli tehditlerin olasılığını ve potansiyel hasarını değerlendirerek tehdide hazırlık durumlarını ölçmeleri gerekir. Bir tehdidi değerlendirmek için tehdit vektörüne ilişkin ölçümleri tanımlamaları, çeşitli güvenlik programlarından gelen verileri ilişkilendirmeleri ve son olarak hazır olup olmadıklarını değerlendirmeleri gerekir. Ancak hâlâ hazır olma durumunu ölçmek için tek tip bir standarda sahip değiliz.
- Kontrol etkinliği: Güvenlik kuruluşlarının yüzlerce kontrol sağlayan onlarca güvenlik ürünü bulunmaktadır. Yakın zamana kadar CISO’ların kontrollerin yürürlükte olduğunu onaylamak için yalnızca “kutuyu işaretlemeleri” gerekiyordu. Bugün, kontrollerin tam olarak nasıl konuşlandırıldığını ve yapılandırıldığını bilmeleri bekleniyor; bunların genel performans üzerindeki spesifik etkilerinden bahsetmeye bile gerek yok.
- Özelleştirme: Güvenlik liderleri, çeşitli anlık proje ve politikalar için ölçüm ve ölçümlerden yararlanma esnekliğine ihtiyaç duyar. Örneğin, kuruluş bir EDR’den diğerine geçiş yapıyorsa ekibin çalışmalarını engellemeden ilerlemeyi nasıl takip edeceklerini bilmeleri gerekir. Veya yeni bir güvenlik açığı yönetim ekibini işe alırken ekibin katkısını nasıl takip edeceklerini bilmeleri gerekir.
Birleşik, İşbirlikçi Bir Güvenlik Organizasyonuna Doğru
Güvenlik liderlerinin, içgörüleri paylaşarak, daha gerçekçi hedefler tanımlayarak ve ilerlemeyi takip ederek daha birleşik ve işbirliğine dayalı bir güvenlik organizasyonu oluşturmak için CPM’deki P’den yararlanması gerekir.
Tıpkı Sokrates’in bizi kendimizi tanımaya teşvik ettiği gibi, güvenlik liderlerinin de performansın rolünü yeniden düşünmesinin zamanı geldi. Artık yeterli değil rapor performans — daha iyi yönetim için de bundan yararlanmanın zamanı geldi. Güvenlik liderleri, CPM’de P’ye odaklanarak hem siber güvenlik operasyonlarını hem de genel güvenlik performansını önemli ölçüde artırabilir.