Roller Tersine Çevrildi: Bilgi İşlem Müdürü, Bilgi Güvenliği Yöneticine Rapor Ediyor

-
Booz Allen Hamilton, önemli bir firma ve bilgi güvenliğinde örneğine ender rastlanan bir organizasyon değişikliğine gitti. BAH'da roller tersine çevrildi ve Bilgiişlem Yöneticisi ("CIO"), Bilgi Güvenliği Yöneticine ("CISO") rapor verir hâle geldi. Ülkemizdeki uygulamalara emsal teşkil etmesi düşüncesiyle hazırladığım çeviriyi sizlerle paylaşmak isterim.

BT’nin Güvenliği, Onu Yönetmeden Daha Hayati Hâle Gelirse


Eric Chabrow tarafından 7 Nisan 2014’de yayınlanan yazı

ÇEVİREN: Gürol CANBEK, 18 Aralık 2014
Thad Allen
Tamamı değilse de, şirketlerin çoğunda; Bilgi Güvenliği Müdürü (CISO, Chief Information Security Officer), Bilgi İşlem Müdürüne (CIO, Chief Information Officer) rapor verir. Nihayetinde şirketler, BT olmadan işlev göremez ve güvenlik, verinin ve sistemlerin korunmasına yönelik bir destek fonksiyonudur!

Acaba gerçekten öyle midir?





Günümüzde şayet siber tehditler oldukça yaygınsa; kritik bilgi varlıklarının güvenliğinin sağlanması, operasyon ve bilişim teknolojisinin yönetiminin önüne konulabilir mi?

“Kendi firmanızı yönetirken sadece söylemden eyleme geçmeniz yetmez; ayrıca riskleri nasıl ele aldığınızda da bir model olmalısınız.”

Booz Allen Hamilton; iş, askeri ve kamu yönetim danışmanlığı, bu şekilde düşünüyor. CIO’su CISO’suna rapor veriyor.

Bu düzenlemeyi, Adalet ve Ulusal Güvenlik Bölümlerini yöneten Booz Allen başkan yardımcısı Thad Allen ile konuşurken öğrendim.

Mevcut siber güvenlik ortamının CISO’nun rolünü nasıl değiştirdiğini görüşürken, “CISO’lar, üst yönetim ve kurul üyeleri arasında siber tehditlere olan alâkayı nasıl kendi lehlerine çevirmelidir?” sorusunu sordum.

İşte emekli amiralin buna cevabı:

Hayret Eden Açığa Vurma

“Bazen konu, CISO’nun, CIO ve üst yöneticilerle ilgili hangi noktada olduğu ile ilgilidir. Booz Allen Hamilton’da CIO aslında bizim CISO’muz için çalışır.”

“Güvenlik fonksiyonunun bilişim ile alâkalı rolünü, içinde tüm sistem operasyonlarımızı göz önünde tuttuğumuz, her şeyi kapsayan bir şemsiyeye yükseltmiş bulunuyoruz. Tehditleri dile getirmek ve üst yöneticilerle daha sık bir temelde beraber olmak için bu rolün böyle bir erişime ihtiyacı vardır. Temel olarak bu rol, operasyonel tehdit ortamını, arka odalardaki sistem odasından, üst yönetimin bizzat görebileceği noktaya getirir.”

Açıkçası Allen’in bu açığa vuruşundan hayrete düştüm. CISO ve CIO’larının her birini üst yönetime doğrudan rapor ettirtip, bunlara eşit bir şekilde muamele eden organizasyonları duymuştum. Fakat bir CIO’nun bir CISO’ya rapor ettiğini hiç duymamıştım ki Allen’a bu beyanını tekrarlamasını rica ettim:

“Booz Allen Hamilton’da bu gerçek.”

Allen, Booz Allen’in iş dünyasına, askeri ve kamu müşterilerine ulusal ve bilgi güvenliği ile ilgili konularda danışmanlık yapma işinin doğasının, bizzat kendi operasyonlarında güvenliğin önemini göstermesini gerektirdiğini belirtti:

“Devlet kurumları veya özel sektör ile uğraşmak adına yola çıkıyorsak, bilgi güvenliği konuları ile uğraşıyoruzdur,” diyen Allen, “Kendi firmanızı yönetirken sadece söylemden eyleme geçmeniz yetmez; ayrıca riskleri nasıl ele aldığınızda da bir model olmalısınız, bilgisayar ağınızı nasıl savunduğunuzda… ve bu bizim apaçık amacımızdı.”

Tarih Dersi

Bilişim teknolojileri konularını ele almaya 30 yıl önce başladım, güvenliğin çoğu organizasyonun görebildiği noktanın ötesinde olduğu; bugünün BT terimini, çoğu şirkettin finans bölümüne bir destek fonksiyonu şeklinde ‘bilgi işlem’ adında gördüğü bir zamanda…

1980’lerde bazı ileri görüşlü organizasyonlar, bilginin stratejik önemini fark etmeye başladılar ve bilgi işlem yönetmenlerini Bilgi İşlem Müdürlüğü adı verilen daha yüksek bir pozisyona yükselttiler. Üst yöneticiler, teşebbüslerinin BT olmadan işlev göremeyeceğini ve stratejik gayelerine ulaşamayacaklarının farkına vardılar.

Bir kuşağı hızla ileri götürdüğümüzde, kendimizi BT’nin yaptığımız her şeyle bütünleştiği bir toplumda yaşıyor bulduk.

Ancak teknoloji, güvenli olmadıkça işlev göremiyor. “Ağ ve BT fonksiyonlarının yönetimini, güvenlik fonksiyonlarından ayırmak çok zordur. Bu fonksiyonlara güvenlik fonksiyonları gömülü olmalıdır.” diyen Allen, “Organizasyon yapınızı bir araya getirmede bir çok yol vardır. Fakat yapılar aynı düzen ve net görünürlükte olmalıdır – ve üst yönetim dâhil olmalıdır.”

2010 yılında askeriyeden emekli olan Allen’in söylediğine göre, Sahil Güvenlik Komutanlığı’nda iki yıldızlı bir Amiral Siber Komutan yanında CISO ve CIO olarak da işlev vermekteymiş. “Kumandan olduğumda hislerim, ağlarımızın nasıl işletildiği ve nasıl savunulduğu ile ilgili tek bir bakışa ihtiyacımız olduğunu söylüyordu.” diyor Allen.

Bugün BT ve güvenliği bir birinden yalıtmanız mümkün değildir. Organizasyonlar geliştikçe BT ve güvenlik arasındaki ayrım bulanıklaşır, bu yüzden bunları yönetme bütünleşik bir gayret gerektirir.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Derin Paket Teftişi

-
Bu yazıda Derin Paket Analizi ya da İngilizce karşılığı ile "Deep Packet Inspection" ifade edilen Derin Paket Teftişi konusu ele alınmaktadır. Bilgisayar ağı paketlerinin başlık ve yük kısımları dâhil tamamının çözümlenmesi ve paket ile ilgili uygulamanın belirlenmesi için birden çok paketin çaprazlama bilgilerinin ilintilendirilmesi olarak tanımlanabilecek Derin Paket Teftişi (İngilizce karşılığı ile Deep Packet Inspection) ile ilgili yaptığım özgün bir araştırmanın kısmi sunumuna aşağıdan erişebilirsiniz. Sunumda, Derin Paket Teftişi; Nedir? Neye benzetilebilir? Ağ görünürlüğünü nasıl artırır? Menfi ya da müspet ne maksatla kullanılabilir? Uygulanabilecek iş kolları nelerdir? Ağ koklayıcı ve içerik süzmeden farkı nedir? Artan protokoller ve uygulamaların etkisi nedir? Nasıl gerçekleştirilebilir? Başa çıkılması gereken noktalar nelerdir?, DPT milli bir gereksinim midir? sorularına cevap teşkil edecek açıklamalar bulabilirsiniz. Derin Paket Teftişi (
Devamı

Siber Güvenlik Özelinde Savunma ve Bilişim Sektörleri

-
Resim
Savunma Sektörü ile Bilişim Sektörü Arasında Yerli Üretim İşbirliği Paneli (2012) ICT Summit Eurasia – Bilişim Zirvesi’12 etkinliği kapsamında düzenlenen Savunma Sektörü ile Bilişim Sektörü Arasında Yerli Üretim İşbirliği paneli yapıldı. Savunma Sanayi Müsteşarlığı (SSM) MEBS Daire Başkanı Mete Arslan‘ın başkanlığında gerçekleştirilen panelin katılımcıları: ASELSAN Kripto ve Bilgi Güvenliği Müdürü Ali Yazıcı, Yazılım Sanayicileri Derneği (YASAD) Yönetim Kurulu Başkanı Doğan Ufuk Güneş, HAVELSAN Bilgi Güvenliği Koordinatörü, Bilgisayar Yüksek Mühendisi Gürol Canbek ve STM Savunma Projeleri Direktörü Murat İkinci. Panel Videosu Birinci soru ve cevabım İkinci soru ve cevabım Panelde değimdiğim konular: Ulusal Siber Güvenlik Stratejisi Kritik Alt Yapıların Stratejik Önemi Ulusal Siber Güvenlik Stratejisi Çalıştayı Özel Sektörün Teşvik Talebi Gerçekleştirilen Siber Güvenlik Çalışmaları Bilişim (Yazılım) ve Savunma Sektörü İş Birliği Seçenekleri Milli Olmayan Güvenlik
Devamı