Bilgi Güvenliği Yönetişimi İçin KPI Hazırlama — I

Bu yazı dizisi veri koruma projesinde KPI hazırlama konusunda yaşadığım zorluğun ardından yaptığım araştırmaların bir derlemesidir…

“Ölçemediğiniz şeyi yönetemezsiniz…”

Peter F. Ducker

İyi bir yönetişimin temel üç fonksiyonu yerine getirebilmesi gerektiği söylenir; izleme, değerlendirme ve yönlendirme. Bilgi güvenliği yönetişimi açısından da bu geçerli. Siber tehditlerle dolu bir dünyada, şirketler güvenlik olgunluklarını makul bir seviyeye çıkarmaya çabalıyor. Burada iki kritik konu var.

Birincisi bunun ciddi bir maliyeti var.

Bilgi sistemlerine yönelik ağlar üzerinde gelecek saldırıların önlenmesi, tespiti ve düzeltici aksiyonların zamanlı olarak yerine getirilmesi, her geçen gün aralarına yenileri eklenen, yeni beceriler kazanan güvenlik teknolojilerine ihtiyaç duyuyor, Firewall, DLP, SIEM, SOAR vb.

Ayrıca bu araçların idari ve fiziki tedbirler ile uyumlu olarak kullanımı gerekiyor. Bir SIEM aracına sahip olmanız tek başına yeterli değil; güvenlik süreçlerinin nasıl işletileceğine dair iyi tanımlanmış politikalar, teknolojileri etkin şekilde kullanabilecek uzman personel gibi ilave konulara da sahip olmanız da gerekir.

İkincisi güvenlik olgunluk seviyesinin ölçülebilmesi…