Birçok yöneticinin ekranında görünen tablo güneşli ve sakindir. Ancak ekranın dışındaki dünyada fırtına kopuyor olabilir. Sadece ekrana bakarsanız her şey yolunda görünür. Oysa tablo çoğu zaman göründüğünden çok daha karmaşıktır. Siber güvenlik dashboard’ları da bazen tam olarak böyle çalışır: metrikler bize güven veren bir manzara sunar, ama asıl riskler çoğu zaman bu görüntünün dışında kalır.
Yöneticilerin siber güvenlik ekiplerine en sık sorduğu sorulardan biri aslında oldukça basittir:
“Bana tek bir sayı söyleyin… Ne kadar güvenliyiz?”
Bu soru ilk bakışta oldukça makul görünür. Çünkü yöneticiler karmaşık dünyaları basit göstergelerle anlamayı severler. Finans tarafında kârlılık oranları vardır, operasyon tarafında verimlilik metrikleri vardır. Dolayısıyla aynı beklenti siber güvenlik için de ortaya çıkar: Kurumun güvenlik durumunu tek bakışta anlatan bir sayı.
İşte tam bu noktada siber güvenlik dünyasında sık sık karşılaştığımız bir hayal ortaya çıkar: her şeyi anlatan tek bir KPI. Tüm riskleri, tüm operasyonları ve güvenlik durumu özetleyen tek bir metrik. Yönetim dashboard’unda tek bir sayı… yeşilse her şey yolunda, kırmızıysa sorun var.
Biraz otomobillerdeki gösterge paneli gibi düşünün. Arabayı çalıştırdığınızda gösterge panelinde bazı uyarılar görürsünüz. Yağ lambası yanarsa, motor sıcaklığı yükselirse veya bir arıza ikazı belirse ne yapmanız gerektiğini bilirsiniz: arabayı durdurur, servise gidersiniz ya da sorunun kaynağını kontrol edersiniz. Çünkü o küçük uyarı ışıkları size yalnızca bir bilgi vermez; bir aksiyon çağrısı yapar.
Aslında yöneticilerin güvenlik metriklerinden beklentisi de tam olarak budur. Dashboard’daki sayıların yalnızca bilgi vermesi değil, gerektiğinde bir uyarı lambası gibi davranması beklenir. Eğer risk artıyorsa bunu açıkça göstermeli, bir problem oluşuyorsa nereden kaynaklandığını işaret etmeli ve en önemlisi ekiplerin probleme karşı hangi aksiyonu alması gerektiğini göstermesidir.
Ancak siber güvenlikte böyle net bir gösterge paneli oluşturmak sandığımızdan çok daha zordur. Çünkü bir arabada yalnızca birkaç kritik parametre varken, bir kurumun dijital altyapısında yüzlerce bileşen, süreç ve risk parametreleri vardır. Kullanıcılar, cihazlar, uygulamalar, bulut servisleri, veri merkezleri ve üçüncü taraf bağlantıları gibi… Her biri ayrı riskler taşır, farklı hızlarda değişir ve bu riskler farklı ekipler tarafından yönetilir.
Üstelik bu ortam statik değildir. Kurumların altyapıları sürekli büyür, yeni sistemler devreye alınır, uygulamalar güncellenir, iş süreçleri değişir ve organizasyonun maruz kaldığı riskler de zamanla farklılaşır. Bugün güvenli görünen bir mimari, yarın yeni bir entegrasyon, yeni bir iş modeli ya da yeni ortaya çıkan bir tehdit nedeniyle tamamen farklı bir risk profiline sahip olabilir. Bu yüzden siber güvenlikte ölçmeye çalıştığımız şey yalnızca mevcut durum değil; aynı zamanda sürekli değişen bir ekosistemin risk dinamikleridir.
Üstelik organizasyon içinde herkes aynı soruyu da sormaz. SOC ekipleri saldırının ne kadar hızlı tespit edildiğini merak eder. IT ekipleri açıkların ne kadar sürede kapatıldığını ölçer. Risk ve uyum ekipleri regülasyonlara uyumu takip eder. Yönetim kurulu ise çok daha farklı bir şey öğrenmek ister: Bu risk işimizi durdurabilecek seviyede mi?
Dolayısıyla tek bir metrik çoğu zaman tüm bu sorulara cevap veremez. Çünkü siber güvenlik yalnızca teknik bir performans konusu değildir; aynı zamanda bir risk yönetimi meselesidir.
Bugün birçok kurumda güvenlik metrikleri çoğunlukla güvenlik araçlarının ürettiği raporlardan oluşur. SIEM kendi metriklerini üretir, EDR başka bir dashboard sunar, vulnerability scanner farklı grafikler verir. Bir süre sonra ortada çok sayıda sayı ve grafik oluşur. Ancak bu verilerin büyük bölümü araçların ölçtüğü çıktıları gösterir; kurumun görmek istediği resmi değil.
Bu durum zamanla garip bir paradoks yaratır. Kurumlar her zamankinden daha fazla veri üretir, daha fazla dashboard hazırlar, daha fazla rapor sunar. Ama buna rağmen şu soruya net bir cevap veremezler:
Gerçekten ne kadar güvenliyiz?
Sorunun özü de burada yatar. Çünkü metriklerin sayısı arttıkça görünürlük her zaman artmaz. Bazen tam tersine, resim daha da bulanıklaşır. Araçların ürettiği veriler, ekiplerin yaptığı ölçümler ve farklı zamanlarda hazırlanan raporlar güvenlik durumunu anlatan tek bir hikâyeye dönüşmez.
Belki de bu nedenle siber güvenlik metrikleri üzerine konuşurken önce şu gerçeği kabul etmek gerekir: Sorun metriklerin eksik olması değildir. Sorun, metriklerin bir sistem içinde tanımlanmamış olmasıdır.
Gerçek bir güvenlik metriği yalnızca bir sayı değildir. Ne ölçtüğünü, hangi sınırlar içinde kabul edilebilir olduğunu, hangi sistemleri kapsadığını ve nasıl hesaplandığını açıkça tanımlamalıdır. Daha da önemlisi, bir metrik yalnızca rapor üretmek için değil, aksiyon üretmek için var olmalıdır.
Tıpkı araba gösterge panelindeki uyarı ışıkları gibi. Eğer bir uyarı lambası yanıyorsa, sürücünün ne yapması gerektiği bellidir. Ama hangi ışığın ne anlama geldiğini bilmiyorsanız, gösterge panelindeki onlarca ikaz lambasının hiçbir anlamı kalmaz.
Siber güvenlik metrikleri de tam olarak böyledir. Doğru tanımlandıklarında yön gösterirler. Yanlış tanımlandıklarında ise sadece ekranda duran sayılardan ibaret kalırlar.
Ve belki tam da bu yüzden siber güvenlikte asıl ihtiyacımız olan şey tek bir sayı değildir.
Doğru sorulara cevap veren doğru metriklerdir.
Sayılardan Önce Veriye Güvenmek Gerekir
Bir başka kritik konu ise metriklerin beslendiği verinin güvenilirliğidir.
Bugün güvenlik metriklerinin büyük bölümü farklı sistemlerden gelen verilerin birleşimi ile oluşur. Ancak birçok organizasyonda bu veriler hâlâ manuel olarak derlenir; farklı ekipler tarafından hazırlanan tablolar bir araya getirilir ve raporlar bu şekilde oluşturulur.
Bu süreçte kullanılan yöntemler ve veri yorumları zaman zaman kişiden kişiye de değişebilir. Bu da aynı kurum içinde bile metriklerin farklı şekillerde yorumlanmasına yol açabilir.
Üstelik bu veriler eksik, tutarsız veya güncel olmayabilir. Bu durumda ortaya çıkan metrikler de kaçınılmaz olarak yanıltıcı hale gelir.
Çünkü güvenilir olmayan veri üzerine kurulan metrikler, doğru kararlar üretmek yerine yanlış bir güven duygusu yaratabilir.
Başka bir deyişle, güvenlik metrikleri yalnızca sayılar üretmez; kurumun gerçekliği nasıl gördüğünü şekillendirir.
Metrik Üretmek Göründüğünden Daha Zordur
Birçok organizasyon metrik üretmenin kolay olduğunu düşünür. Araçlar veri üretir, dashboard’lar oluşturulur ve sayılar ortaya çıkar. Ancak gerçek dünyada metrik üretmek çoğu zaman teknik bir problemden çok organizasyonel bir problem haline gelir.
Çünkü bir metrik yalnızca veriden oluşmaz. Metrik aslında şu soruların cevabıdır:
- Ne ölçmek istiyoruz?
- Neden ölçmek istiyoruz?
- Bu veri hangi kararı etkileyecek?
- Bu sayı hangi aksiyona yol açacak?
Bu sorular cevaplanmadan üretilen sayılar çoğu zaman sadece rapor üretir, karar üretmez.
Güvenlik metrikleri üretmek teknik bir egzersiz değil, bir yönetişim tasarımıdır.
Her Kurumun Metrikleri Farklıdır
Siber güvenlik metrikleri çoğu zaman evrensel bir liste gibi düşünülür. Sanki doğru metrik seti bir kez bulunduğunda, her kurum için aynı setin uygulanabileceği varsayılır. Oysa gerçek dünya böyle çalışmaz.
Her kurumun altyapısı, kullandığı teknolojileri ve iş süreçleri farklıdır. Daha da önemlisi, maruz kaldığı riskler ve bu risklere karşı toleransı da farklıdır. Bir finans kurumunun öncelikleri ile bir üretim şirketinin öncelikleri aynı değildir. Bir SaaS şirketinin risk modeli ile bir kamu kurumunun risk modeli de aynı değildir.
Bu yüzden metrikler yalnızca teknik göstergeler değildir; aslında kurumun nasıl çalıştığını ve hangi riskleri önemli gördüğünü yansıtır. Aynı sayıya bakan iki farklı kurum tamamen farklı anlamlar çıkarabilir. Çünkü o sayının arkasındaki bağlam farklıdır.
Tam da bu nedenle güvenlik metrikleri kopyalanabilir bir kontrol listesi değildir. Bir kurumda anlamlı olan bir metrik, başka bir kurumda hiçbir şey ifade etmeyebilir.
Ve belki de bu yüzden metrik tartışmalarında asıl mesele hangi sayıları ölçtüğümüz değil, o sayıların hangi bağlam içinde anlam kazandığıdır.
Çünkü güvenlik metriklerinde çoğu zaman içerikten daha önemli olan şey bağlamdır.
Sonuç
Siber güvenlik metrikleri çoğu zaman sayılar üzerinden konuşulur. Yüzdeler, oranlar, grafikler ve dashboard’lar… Ancak bu sayılar tek başına bir anlam ifade etmez. Bir metriğin gerçek değeri, hangi bağlam içinde üretildiği ve hangi kararları etkilediği ile ortaya çıkar.
Bu yüzden siber güvenlikte asıl mesele daha fazla metrik üretmek değildir. Asıl mesele, doğru bağlam içinde anlamlı metrikler tasarlayabilmektir. Çünkü iyi metrikler yalnızca performansı ölçmez; kurumun riskleri nasıl gördüğünü, hangi önceliklerle hareket ettiğini ve hangi aksiyonları alması gerektiğini de ortaya koyar.
Aynı şekilde bu metriklerin yalnızca raporlarda veya dönemsel sunumlarda kalması da yeterli değildir. Güvenlik metrikleri karar süreçlerini destekleyebilmek için doğru kişiler tarafından, doğru zamanda ve kolay erişilebilir olmalıdır. Dashboard’ların ve raporların amacı yalnızca veri göstermek değil, kurumun risk görünürlüğünü sürekli ve anlaşılır bir şekilde ortaya koyabilmektir.
Belki de bu yüzden yazının başındaki soruya tek bir sayı ile cevap vermek mümkün değildir.
“Ne kadar güvenliyiz?”
Bu sorunun cevabı tek bir dashboard’da, tek bir grafikte veya tek bir KPI’da saklı değildir.
Çünkü siber güvenlikte çoğu zaman içerikten daha önemli olan şey bağlamdır.
Belki de güvenliği tek bir sayıya indirgemeye çalışmak, karmaşık bir dünyayı tek bir gösterge ışığıyla anlamaya çalışmak gibidir.
Dashboard’lar bize bir hikâye anlatır. Ama gerçeği anlayabilmek için bazen ekrandan başımızı kaldırıp pencerenin dışına bakmak gerekir.
Çünkü siber güvenlikte bazen en tehlikeli şey saldırılar değildir.
Yanlış bir güven duygusudur.
