Risk Yönetim İşlemleri
Risk yönetimi, bir tehdidin etkisini ve bu tehdidi hafifletmek için kontrolleri veya karşı önlemleri uygulama maliyetini ölçen resmi bir süreçtir. Risk tamamen ortadan kaldırılamaz ancak yine de kabul edilebilir bir seviyeye kadar yönetilebilir.
Riski Ele Alma: Bu adım, organizasyonun veya proje gibi belirli bir faaliyetin potansiyel risklerini tanımlama sürecidir. Bu, iç ve dış faktörlerin gözden geçirilmesi, olası tehlikelerin ve fırsatların belirlenmesiyle gerçekleşir. Riskler, bunların kökeni, etkisi, olasılığı ve diğer özellikleri gibi açılardan değerlendirilir ve anlaşılır bir çerçeve içinde tanımlanır.
Risk Değerlendirme: Riskleri değerlendirme aşamasında, tanımlanan risklerin olasılıkları ve etkileri analiz edilir. Bu, her riskin gerçekleşme olasılığını ve olası etkilerini belirlemeyi içerir. Değerlendirme sonucunda, risklerin öncelik sırası belirlenir. Bu, organizasyonun hangi risklere odaklanması gerektiğini ve hangi risklere nasıl yanıt verilmesi gerektiğini belirlemeye yardımcı olur.
Risklere Yanıt Verme: Bu aşamada, belirlenen risklere nasıl yanıt verileceği belirlenir. Önleyici veya düzeltici eylemler alınarak risklerin azaltılması veya kabul edilmesi sağlanır. Ayrıca, risklerin aktarılması (sigorta gibi) da bu aşamada bir seçenek olabilir. Yanıt stratejisi, belirlenen risklerin özelliklerine, organizasyonun risk toleransına ve mevcut kaynaklara dayanarak belirlenir.
Riskleri İzleme: Risk yönetimi bir süreçtir ve risklerin zaman içinde değişebileceği unutulmamalıdır. Bu nedenle, risklerin izlenmesi ve sürekli olarak değerlendirilmesi önemlidir. Bu adım, yeni risklerin tanımlanması, mevcut risklerin durumunun takip edilmesi ve yanıt stratejilerinin etkinliğinin değerlendirilmesini içerir. Bu süreç, organizasyonun güvenlik düzeyini korumak ve iyileştirmek için önemlidir.
Risk Kaynak Türleri
Tehdit değerlendirmesi risk değerlendirmesinin temelidir. Tehdit, bir güvenlik açığının tespit edilip istismar edilmesi potansiyelidir; tehdit vektörü ise saldırganın hedefi etkilemek için kullandığı yoldur. Düşman; bireylerden, gruplardan, kuruluşlardan veya uluslardan gelen tehditler. Kazara; kötü niyetli bir niyet olmaksızın gerçekleşen eylemler. Yapısal; ekipman ve yazılım arızaları. Çevresel; yangın ve su baskını gibi doğal veya insan kaynaklı olabilen dış felaketler.
Risk Analiz Türleri
Nicel Risk Analizi
Niceliksel bir risk analizi, risk analizi sürecine sayılar atar.
Maruz kalma faktörü (EF), belirli bir tehdit nedeniyle kaybedilen dosya sunucusunun yüzdesi olarak ifade edilen öznel bir değerdir. Toplam kayıp meydana gelirse EF 1,0’a (%100) eşittir. Yıllıklandırılmış gerçekleşme oranı (ARO), yıl içinde bir zararın meydana gelme olasılığıdır. Bir kaybın yılda bir defadan fazla meydana gelmesi durumunda ARO %100’den büyük olabilir. Yıllık kayıp beklentisinin (ALE) hesaplanması, yönetime bir kuruluşun dosya sunucusunu korumak için ne kadar harcama yapması gerektiği konusunda rehberlik sağlar.
Nitel Risk Analizi
Niteliksel risk analizi, bir tehdidin etkisine karşı olasılığının grafiğini çizen görüş ve senaryoları kullanır. Örneğin, bir sunucu arızası muhtemel olabilir, ancak etkisi yalnızca marjinal olabilir. Risk matrisi, kuruluşun hangi risklere yanıt geliştirmesi gerektiğini belirlemek için risklerin önceliklendirilmesine yardımcı olan bir araçtır. Sonuçlar sıralanabilir ve kuruluşun herhangi bir eylemde bulunup bulunmadığını belirlemek için bir kılavuz olarak kullanılabilir.
Kontrol Türleri
Admin kontrolleri
Admin kontrolleri, bir kuruluşun hassas bilgilerle uğraşırken uygulamaya koyduğu prosedür ve politikalardan oluşur. Bu kontroller insanların nasıl davranacağını belirler.
Teknik kontroller
Teknik kontroller, riski yönetmek ve koruma sağlamak için uygulanan donanım ve/veya yazılımı içerir.
Fiziksel kontroller
Fiziksel kontroller; sistemleri, tesisleri, personeli ve kaynakları korumak için kullanılan çit ve kilit gibi mekanizmalardır. Fiziksel kontroller insanları veya diğer tehditleri sistemlerden fiziksel olarak ayırır.
Fonksiyonel Güvenlik Kontrolleri
Preventive Security Controls
İstenmeyen ve yetkisiz etkinliklerin gerçekleşmesini durdurur ve/veya yetkili kullanıcılar için kısıtlamalar uygular. Örneğin, bir sisteme kullanıcıya özel ayrıcalıklar atamak, belirli kullanıcıların yetkisiz eylemlere erişmesini ve bunları gerçekleştirmesini önlemek için sınırlar koyduğundan önleyici bir kontroldür. Siber suçluların yararlanabileceği bir bağlantı noktasına veya hizmete erişimi engelleyen bir güvenlik duvarı aynı zamanda önleyici bir kontroldür.
Deterrent Security Controls
Bir şeyin olmasını engellemeyi amaçlar. Siber güvenlik uzmanları ve kuruluşları, bir eylemi veya davranışı sınırlamak veya hafifletmek için caydırıcılardan yararlanır; ancak caydırıcılar bunları tamamen durduramaz. Deterrent Security Control, siber suçluların bilgi sistemlerine ve hassas verilere yetkisiz erişim sağlamasını engeller. Veri hırsızlığı ve kötü amaçlı kod yaymanın yanı sıra, sistemlere yönelik pek çok farklı saldırı türünü caydırmak konusunda da etkili olabilirler.
Detective Security Controls
Detective Security Controls, farklı türdeki yetkisiz etkinlikleri tanımlar. Detective Security Controls, önleyici bir tedbir değildir ve bunun yerine bir güvenlik ihlalinin meydana geldikten sonra keşfedilmesine odaklanır. Tüm dedektiflik sistemlerinin birkaç ortak noktası vardır. Olağandışı veya yasaklanmış etkinlikleri ararlar ve hareket dedektörü veya güvenlik görevlisi gibi çok basit veya izinsiz giriş tespit sistemi gibi karmaşık olabilirler. Tespit edici kontroller ayrıca sistem operatörlerini olası yetkisiz erişim olaylarını kaydetmeye veya uyarmaya yönelik yöntemler de sağlayabilir.
Corrective Security Controls
Corrective Security Controls, sistemi gizlilik, bütünlük ve kullanılabilirlik durumuna geri döndürerek istenmeyen şeyleri ortadan kaldırır. Yetkisiz etkinlik meydana geldikten sonra sistemleri normale döndürebilirler. Kuruluşlar, bir sistem bir tehditle karşılaştıktan sonra düzeltici erişim kontrollerini uygulayacaktır. Örnekler arasında güvenlik politikaları, alarmlar, antivirüs yazılımı, izinsiz giriş tespit sistemleri ve iş sürekliliği planlaması yer alır.
Recovery Security Controls
Recovery Security Controls, bir güvenlik politikasının ihlali sonrasında kaynakları, işlevleri ve yetenekleri normal durumuna geri yükler. Recovery Security Controls, daha fazla hasarı durdurmanın yanı sıra hasarı da onarabilir. Bu kontroller, düzeltici erişim kontrollerine göre daha gelişmiş yeteneklere sahiptir. Kurtarma kontrollerine örnek olarak yedekleme/geri yükleme işlemleri, hata toleranslı sürücü sistemleri, sunucu kümeleme ve veritabanı gölgeleme verilebilir.
Compensative Security Controls
Compensative Security Controls , bir güvenlik politikasını desteklemek amacıyla uygulamayı güçlendirmek için diğer kontrollere seçenekler sunar. Compensative Controls, şartlar altında mümkün olmayan bir kontrolün yerine kullanılan bir ikame de olabilir. Belki bir kuruluş bir bekçi köpeğine sahip olamayabilir, bunun yerine spot ışığı ve havlama sesi olan bir hareket dedektörü yerleştirir. Telafi edici güvenlik kontrollerine örnek olarak, bir kuruluşun uygulamaya koyacağı ideal kontrolün yokluğunda kullanılan güvenlik politikaları, personel denetimi, izleme ve iş görevi prosedürleri verilebilir.
Sonuç
Risk yönetimi ve güvenlik kontrolleri, kuruluşların operasyonel sürekliliği ve itibarını korumak için hayati öneme sahiptir. Bu süreçler, olası tehditleri tanımlamak, değerlendirmek ve azaltmak için gereklidir. Ayrıca, veri güvenliğini ve müşteri güvenini sağlamak için kritik bir rol oynarlar. Etkili risk yönetimi ve güvenlik kontrolleri, kuruluşların yasal ve düzenleyici gereksinimleri karşılamasına ve rekabet avantajı elde etmesine yardımcı olur. Sonuç olarak, bu uygulamaların eksikliği, ciddi finansal kayıplara, itibar zararına ve hatta hukuki sorunlara neden olabilir.