Page 66 - bilgem-teknoloji-dergisi-12
P. 66
Bilgi Güvenliği BILGEM
TEKNOLOJI
bu süreçte her risk için aşağıdaki tedavi seçe- mümkün olabilir. Bu yaklaşım sonucunda riski
neklerinden biri seçilmelidir. oluşturan sebep ortadan kalkar. Bir yazılımın
risk oluşturan kısmının yüklenmemesi, belirli
Riski İyileştirme: Riskin olasılık ve etki değer- işlemler için internetin kullanılmaması riskten
lerinin tümüyle ortadan kalkması diyebiliriz. Bu kaçınma için verilebilecek örneklerdir. Riskten
maddeye kritik verilerin depolandığı bir sunu- kaçınma seçeneği düşünülürken iş gereksinim-
cuda bulunan açıklığın yayınlanan bir yama ile leri ve güvenliğin sağlanması konusunda bir
giderilmesi şeklinde örnek verilebilir. denge sağlanmalıdır. İş süreçlerinde ciddi deği-
Riski Azaltma: Riskin olasılık ve etkisini azalt- şiklikler getirecek ve/veya kuruluşun çalışması-
mak için kullanılan risk tedavi tekniğidir. Bu nı olumsuz etkileyecek şekilde riskten kaçınma
teknik seçildiğinde riskin mevcut seviyesin- metodu uygulanmamalıdır.
den kabul edilebilir risk seviyesine getirilmesi
amaçlanır. 5. İzleme ve Gözden Geçirme
Riski Kabul Etme: Riskin olasılık ve etkisinin Bilgi Güvenliği Risk Yönetiminin benimsenmesi,
düşük olduğu ve risk maliyetlerini düzeltmek varlıklarınıza güvenli bir ortam sağlamak için
için gereken zaman ve çabanın, riskin gerçek- kritik öneme sahiptir. Bu nedenle sürekli izleme
leşmesi durumunda oluşacak maliyetlerden ve gözden geçirme çok önemlidir. Kötü niyetli
daha fazla olduğu durumlarda uygundur. Bu kişi ve kuruluşlar, ağınıza ve bilgi varlıklarınıza
durum yapılan risk değerlendirmesi sonucunda, saldırmak için her gün, her saat yeni yöntem-
rafından en çok istenen varlıkların sistematik bir Kurumsal risk yönetimine önceden belirlenmiş kabul edilebilir risk seviye- ler geliştirmektedirler. Bu saldırılara ayak uy-
şekilde analiz edilmesini sağlamaktır. gizlilik, bütünlük ve erişilebilirlik sinin altında kalan riskler için değerlendirilebilir. durmak ve tedbirlerinizi buna göre belirlemek
için varlıklarınızı, tehditlerinizi, kontrollerinizi ve
Kontrollerin Tanımlanması Riski Transfer Etme: Riskin kabul edilebilir risklerinizi sürekli olarak gözden geçirmelisiniz.
Kuruluşunuzda tanımladığınız varlıklarınızı ko- kavramlarını dâhil etmek, etkili bir risk seviyesinin altına düşürülmesi mümkün ol-
rumak adına hali hazırda nelere sahip oldu- bilgi güvenliği risk yönetiminin madığında veya bunu gerçekleştirmek için ge-
ğunuzu öncelikle belirlemeniz gerekiyor. Bu temelini oluşturur. reken kontrollerin uygulanması yüksek maliyet Kaynakça
kapsamda gerçekleştireceğiniz bir denetimle gerektirdiğinde, riskin üçüncü bir tarafa trans- • ISO 27005 Bilgi Güvenliği Risk Yönetimi Standardı
tanımlanmış bir güvenlik açığını, tümüyle dü- feri ele alınır. Örneğin; Bir varlık için sigortalama • BİLGEM BGYS Risk Değerlendirme Kılavuzu
zelterek (iyileştirme), riskin olasılık ve/veya etki veya ikisinin de kombinasyonu olabilir. Nitel işlemi verilebilir. Bu yöntem tercih edildiğinde • https://www.rapid7.com/fundamentals/information-se-
değerlerini azaltarak (azaltma) doğrudan ele analiz daha çok gözleme dayalı, sayısal olarak güvenlik ihtiyaçlarının, kontrol hedeflerinin ve curity-risk-management/
• https://www.isaca.org/resources/isaca-journal/
alabilirsiniz. Örneğin; Sözleşmesi feshedilen bir ölçülemeyen özelliklere ilişkin bir analiz türüdür. ilgili kontrollerin sözleşmelerde yer almasına past-issues/2010/developing-an-information-securit-
kullanıcının belirli bir uygulamaya erişiminin de- Öte yandan nicel analiz ise daha çok istatistik- dikkat edilir. y-and-risk-management-strategy
vam etme riskini belirlediyseniz, bu kapsamdaki sel olarak değerlendirilen ve analiz edilen yön- • https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspeci-
kontrolünüz kullanıcının feshi ile tetiklenen bir temleri kapsamaktadır. Nitel analiz yöntemi, ni- Riskten Kaçınma: Riskli kabul edilen varlı- alpublication800-39.pdf
otomatik yetki kaldırma işlemi olabilir. cel analiz yöntemine göre daha az karmaşık ve ğı kullanmaktan vazgeçerek riskten kaçınmak • https://en.wikipedia.org/wiki/IT_risk_management
daha ucuz bir yöntemdir. Analiz şekli, bağlamı
Telafi edici bir kontrol, riski dolaylı olarak ele oluşturmanın bir parçası olarak geliştirilen risk
alan bir güvenlik kontrolüdür. Aynı örnekten değerlendirme kriterleriyle tutarlı olmalıdır.
devam edersek; Telafi edici bir kontrol, üç aylık
bir erişim inceleme süreci olabilir. Bu inceleme 3. Değerlendirme
sırasında uygulamaya giriş yetkisi olan kullanı- Risk değerlendirmesi “varlıklar”, “güvenlik açık-
cılar kontrol edilerek, yetkisi olmaması gereken lıkları” ve “kontrollerin” bir araya getirilmesidir.
kullanıcılar tepkisel olarak kaldırılır. Bu süreç Risk değerlendirmesi kuruluşunuzdaki riskleri
kuruluşun kullanıcı listesi ile feshedilen kullanıcı sıralamanıza ve risklerin önem derecesini be-
listesinin çapraz kontrolü ile gerçekleştirilir. lirlemenize olanak sağlamaktadır. Hangi riskleri
öncelikli olarak ele alacağınız konusunda size
Çıktılar yardımcı olacaktır. Risk değerlendirmesi rakam-
Yukarıda belirtilen tanımlamalar sonucunda or- larla değil mantıksal yapılarla ilgili olsa da, bunu
taya çıkacak varlık, açıklık ve tehdit listeleri ile bir formül şeklinde göstermemiz gerekiyor. Bu
risk tanımlamaları yapılarak kuruluşun risk lis- formüller kuruluşların neyi değerlendirmeye al-
tesi oluşturulur. mak istediğine göre şekillenebilir. Genelde kulla-
nılan formül şu şekildedir:
2. Analiz Etme Risk = (Tehdit x Güvenlik Açığı (Olasılık x Etki) x
Risk Analizi, varlıkların kritikliğine, bilinen gü- Varlık Değeri) - Güvenlik Kontrolleri
venlik açıklıklarının kapsamına ve kuruluşta
yaşanan önceki olaylara bağlı olarak değişen 4. Tedavi Etme
detaylarda gerçekleştirilebilir. Bir risk analizi Bir riski değerlendirip analiz ettikten sonra, ku-
metodolojisi, koşullara bağlı olarak nitel, nicel ruluş bu riskin tedavi sürecini başlatmalıdır ve
64 65