Dayıoğlu Günlüğü

Güvenlik ölçütleri (security metrics), bilgi güvenliği alanında en çok ilgi duyduğum konuların başında geliyor. Lord Kelvin’in dediği gibi ölçemezseniz, yönetemezsiniz ve güvenlik ölçütleri güvenliği yeterince iyi yönetip yönetemediğinizi göstermek için altyapı sağlıyor. Nedendir bilinmez, konu hala olması gereken düzeye gelemedi.

Geçtiğimiz ay içerisinde çok gecikmiş bir şekilde Andrew Jaquith’in Security Metrics: Replacing Fear, Uncertainity and Doubt kitabını okumaya başladım. Kitabın önsözünü yazan Dan Geer konunun neden çok önemli olduğunu üç buçuk sayfada muhteşem bir şekilde özetlemiş. Güvenliğe bir disiplin olarak yaklaşan herkesin okuması gereken bir kitap olduğunu düşünüyorum.

Kitabı edinemeyen ya da hızlıca konuya yakınsamak isteyenler için ise NIST’in Performance Measurement Guide for Information Security (SP800-55) başlıklı raporunu öneririm. Eski bir @stake çalışanı olan Jaquith’inki kadar keyifli bir okuma olduğunu söylemek mümkün değil ama başlangıç olabilecek bir rapordur.

Bir buçuk yıl kadar önce bu konuda yeni bir ticari faaliyete atılmak üzere iki farklı risk sermayesi grubu ile toplantılar yapmış ve bu süreçte onlara metriklerin ne kadar önemli olduğunu, güvenlik ile ilgili metriklerin tüm büyük kuruluşlarda yönetim kurulu seviyesinde izlenmek isteyeceğini anlatıp ilgilerini çekmeye çalışmıştım. Türkiye’de bu işleri anlayıp ilgi gösterecek büyük yatırımcı bulmanın güçlüğü başından belliydi ama bu kadarını beklemiyordum. Görüştüğüm gruplardan birisinin tepe yöneticisinin bana “groupware yazılımları ve sohbet platformları çok daha iyi iş yapar, son kullanıcıya yönelik bir şeyler yapın bunlar çok dönüş sağlamaz” dediğini hatırladıkça hala gülümsüyorum.