Bilgi Sistemleri Güvenliği

Bilgi Güvenliğinde Risk Yönetimi

Bilgi Güvenliğinde Risk Yönetimi

Bilgi güvenliği yönetiminin ayrılmaz bileşenlerinden biri risk yönetimidir. Kurumun bilgi sistemlerinden, bilgi varlıklarından ve bu varlıkların kullanımından doğabilecek riskleri sistematik biçimde tanıması, değerlendirmesi ve uygun şekilde işlemesi gerekir. Risk yönetimi yalnızca teknik açıklıkları tespit etmekten ibaret değildir; aynı zamanda iş sürekliliğini, kurumsal bilginin korunmasını ve güvenlik kontrollerinin hangi öncelik sırasıyla ele alınacağını belirleyen yönetsel bir yaklaşımdır. Kitabın bu bölümünde risk yönetimi, varlık-zafiyet-tehdit ilişkisi üzerinden açıklanmakta; risk belirleme, risk değerlendirme, kabul edilebilir risk seviyesi ve risk işleme seçenekleri ayrıntılı biçimde ele alınmaktadır.

1) Risk Yönetiminin Bilgi Güvenliğindeki Yeri

Bilgi güvenliği alanında tüm riskleri aynı anda ve aynı düzeyde ortadan kaldırmak mümkün değildir. Bu nedenle kurumların bilgi sistemleri kullanımından kaynaklanan riskleri tanıması, önceliklendirmesi ve bu risklere makul güvence sağlayacak şekilde yaklaşması gerekir. Risk yönetimi tam da bu ihtiyaca cevap verir.

Risk yönetiminin amacı, bilgi sistemlerine ait varlıkların maruz kaldığı riskleri yönetmek ve bu sayede iş süreçlerinin sürekliliğini ve kurumsal bilginin uygun biçimde korunmasını sağlamaktır. Böylece güvenlik kontrolleri rastgele değil, gerçek risklere göre anlamlı ve öncelikli şekilde seçilir.

Bu nedenle bilgi güvenliğinde risk yönetimi, yalnızca destekleyici bir süreç değil, doğrudan güvenlik yönetiminin çekirdek alanlarından biridir.

2) Varlık-Zafiyet-Tehdit İlişkisi

Kitapta risk belirleme sürecinin temelinde varlıklar, zafiyetler ve tehditler arasındaki ilişkinin bulunduğu açıkça görülmektedir. Öncelikle korunması gereken varlıkların belirlenmesi gerekir. Bu varlıklar; sunucu donanımları, depolama ortamları, kullanıcı cihazları, ağ cihazları ve her tür yazılım olabilir. Veri ayrıca ayrı bir varlık olarak sayılmasa bile, bu varlıklar aracılığıyla işlenen, saklanan ve iletilen verinin korunması esas amaçtır.

Varlıklar belirlendikten sonra her bir varlığın yapısından veya kullanımından kaynaklanan zafiyetler tespit edilir. Zafiyet, istismar edilebilecek açıklık veya zayıflık noktasıdır. Daha sonra bu zafiyetlerden yararlanabilecek tehditler belirlenir. Tehdit ise bu açıklıkları kullanarak zarara yol açabilecek olay, kişi veya durumları ifade eder.

Böylece riskin temel bileşenleri ortaya çıkar: korunacak varlık, bu varlığın zafiyeti ve bu zafiyetten yararlanabilecek tehdit. Risk yönetiminin mantığı bu üçlü ilişki üzerine kuruludur.

3) Varlıkların Belirlenmesi

Risk yönetiminde ilk adım varlıkların belirlenmesidir. Kitapta bu aşamada bilgi sistemleri kapsamındaki varlıklar için şu çerçeve verilmiştir: sunucu donanımları, depolama ortamları, kullanıcı cihazları, ağ cihazları ve her türden yazılım.

Buradaki önemli nokta, risk yönetiminin soyut bir alan olmadığıdır. Kurum önce neyi koruyacağını bilmelidir. Hangi varlıklar iş süreçleri için kritikse, hangi sistemler bilgi işliyorsa, hangi cihazlar kurumsal erişim sağlıyorsa, bunların belirlenmesi risk yönetiminin başlangıç şartıdır.

Varlıkları doğru belirleyemeyen kurumlar, risk analizinde de eksik veya yanıltıcı sonuçlara ulaşır. Bu nedenle varlıkların doğru ve kapsamlı biçimde ortaya konulması büyük önem taşır.

4) Zafiyetlerin Tespiti

Varlıklar belirlendikten sonra her bir varlığın yapısından veya kullanımından kaynaklanan zafiyetler tespit edilmelidir. Zafiyet; teknik açıklık, yanlış yapılandırma, yetersiz kontrol, prosedür eksikliği ya da kullanım biçiminden doğan zayıflık olabilir.

Kitabın yaklaşımına göre zafiyetlerin her biri birer istismar noktasıdır. Yani tehditler bu zafiyetlerden yararlanarak kuruma zarar verebilir. Bu nedenle zafiyet tespiti, risk belirleme sürecinin merkezindedir.

Zafiyetler görünmez kaldığında tehditler karşısında alınacak önlemler de eksik kalır. Bu yüzden risk yönetimi, sadece tehditleri düşünmek değil, varlıkların neden savunmasız hale gelebileceğini de analiz etmektir.

5) Tehditlerin Belirlenmesi

Zafiyetler belirlendikten sonra bu açıklıklardan yararlanabilecek tehditler ortaya konulmalıdır. Tehdit, varlığa zarar verme veya güvenliği tehlikeye atma potansiyeli bulunan unsur olarak düşünülebilir. Bu tehdit bir kişi, bir saldırı türü, teknik bir olay veya farklı bir dış etken olabilir.

Tehditler, zafiyetlerle ilişkilendirilmeden ele alındığında risk analizi yüzeysel kalır. Oysa risk belirleme sürecinde önemli olan, hangi tehdidin hangi zafiyetten yararlanarak hangi varlığa zarar verebileceğini görebilmektir. Böylece risk analizi gerçekçi ve işlem yapılabilir hale gelir.

Kitabın vurguladığı yapı tam olarak budur: varlık, zafiyet ve tehdit ilişkisini kurmak.

6) Risk Belirleme Süreci

Kitapta varlıklar, zafiyetler ve tehditlerin tespit edilmesi süreci “risk belirleme” olarak tanımlanmaktadır. Risk belirleme, risk yönetiminin temel aşamasıdır. Çünkü neyin risk oluşturduğunu anlamadan risk değerlendirmesi yapmak mümkün değildir.

Risk belirleme aşamasında kurum; hangi varlığın risk altında olduğunu, bu varlığın hangi zafiyetlere sahip bulunduğunu ve bu zafiyetlerden hangi tehditlerin yararlanabileceğini ortaya koyar. Böylece güvenlik riski soyut bir kavram olmaktan çıkar ve somut hale gelir.

Risk belirleme süreci tamamlanmadan yapılacak değerlendirmeler eksik olur. Bu nedenle risk yönetiminin ilk gerçek çalışma alanı riskin doğru tanımlanmasıdır.

7) Risk Değerlendirmesi

Risk belirleme tamamlandıktan sonra risk değerlendirmesi yapılmalıdır. Kitapta bu aşamada çeşitli yöntemlerin mevcut olduğu ve kurumun risk değerlendirme yöntemini seçmekte özgür olduğu belirtilmektedir. Ancak seçilen yöntemle ilgili belli bir bilgi birikimi oluşmalı ve tüm süreç buna uygun şekilde işletilmelidir.

Risk değerlendirmesi, belirlenen risklerin ne ölçüde önemli olduğunun anlaşılmasını sağlar. Böylece kurum tüm riskleri aynı seviyede görmez; hangilerinin öncelikli olduğunu ve hangilerine nasıl yaklaşılması gerektiğini belirleyebilir.

Risk değerlendirme süreci yazılı dokümantasyonla desteklenmelidir. Kullanılan yöntem, kabul edilen risk seviyesi, varlıkların risk değerleri ve risk işleme kararları kayda geçirilmelidir. Bu durum, sürecin kurumsal hafıza ve denetlenebilirlik açısından da önem taşıdığını gösterir.

8) Kabul Edilebilir Risk Seviyesi

Kitaba göre kurumun risk yönetiminden hedefi sıfır riskli bir ortam olmamalıdır. Bunun yerine kurum tarafından belirli bir risk seviyesi eşik değer olarak belirlenmelidir. Bu eşik değer, kabul edilebilir risk seviyesi veya risk iştahı olarak düşünülebilir.

Kabul edilebilir risk seviyesi, hangi risklerin tolere edilebileceğini, hangilerinin ise mutlaka işleme tabi tutulması gerektiğini belirleyen temel yönetim kararıdır. Bu yaklaşım, risk yönetimini gerçekçi hale getirir. Çünkü her riske aynı maliyetle müdahale etmek mümkün değildir ve her riski sıfırlamaya çalışmak çoğu zaman verimli olmaz.

Dolayısıyla kurum, kendi faaliyet yapısına ve önceliklerine göre kabul edilebilir risk sınırını belirlemeli, bunun üzerindeki riskler için uygun işleme çalışmaları yapmalıdır.

9) Risk İşleme Seçenekleri

Kitapta kabul edilebilir risk seviyesinin üzerinde kalan riskler için risk işleme çalışması yapılması gerektiği belirtilmektedir. Risk işleme seçenekleri dört başlıkta ele alınır:

• Riski azaltma: Çeşitli kontroller yardımıyla risk seviyesini düşürmek.
• Riski engelleme: Riske sebep olan ürünün veya hizmetin kullanımına son vermek.
• Riski paylaşma: Riski üçüncü taraflarla paylaşmak. Örneğin sigorta yaptırmak.
• Riski kabul etme: Risk bilindiği halde ürün veya hizmetin kullanımına devam etmek.

Bu dört seçenek, bilgi güvenliği risk yönetiminin uygulama tarafını oluşturur. Kurum her risk için aynı çözümü seçmek zorunda değildir. Riskin niteliğine, etkisine, maliyetine ve yasal yükümlülüklere göre uygun seçenek belirlenir.

10) Riski Azaltma

Riski azaltma, çeşitli kontroller yardımıyla riskin seviyesini düşürmektir. Kitapta bunun en çok tercih edilen seçenek olduğu belirtilmektedir. Bu noktada geliştirilecek kontroller; politika, prosedür, talimat, yazılım, donanım ve benzeri birçok unsuru içerebilir.

Riski azaltma yaklaşımı, riski tamamen ortadan kaldırmaktan çok, kabul edilebilir seviyeye indirmeyi hedefler. Bu nedenle pratikte en sık kullanılan yöntemlerden biridir.

Kurumun seçtiği kontrolün, riskin niteliğiyle uyumlu ve uygulanabilir olması gerekir.

11) Riski Engelleme

Riski engelleme, riske sebep olan ürünün veya hizmetin kullanımına son verilmesidir. Bu yaklaşım, riskin kontrollerle kabul edilebilir düzeye indirilemediği durumlarda daha anlamlı hale gelir.

Burada amaç, risk kaynağını tümüyle ortadan kaldırmaktır. Ancak bu karar her zaman kolay değildir; çünkü ilgili ürün veya hizmet iş süreçleri için gerekli olabilir. Bu nedenle riski engelleme seçeneği, maliyet, iş ihtiyacı ve risk seviyesi birlikte değerlendirilerek ele alınır.

12) Riski Paylaşma

Riski paylaşma, riskin üçüncü taraflarla paylaşılmasıdır. Kitapta buna örnek olarak sigorta yaptırılması verilmektedir. Bu yaklaşım, risk gerçekleştiğinde doğabilecek zararın tamamının kurum üzerinde kalmamasını hedefler.

Ancak önemli nokta şudur: risk paylaşımı, riskin gerçekleşme olasılığını değiştirmez. Yani risk ortadan kalkmaz; sadece etkisinin bir kısmı başka taraflarla paylaşılır. Bu nedenle risk paylaşımı, teknik ve yönetsel kontrollerin yerine geçen bir yöntem değil, bazı durumlarda tamamlayıcı bir yaklaşımdır.

13) Riski Kabul Etme

Riski kabul etme, riske rağmen ürünün veya hizmetin kullanımına devam etmektir. Kitapta bunun en kötü seçenek olarak değerlendirildiği belirtilmektedir. Çünkü bu durumda risk bilindiği halde hiçbir işlem yapılmadan faaliyete devam edilmektedir.

Bununla birlikte bazı riskler, kabul edilebilir risk seviyesinin altında kaldığında veya müdahale maliyeti çok yüksek olduğunda kabul edilebilir. Ancak bu karar bilinçli, yazılı ve yönetim yaklaşımıyla uyumlu şekilde alınmalıdır. Rastgele veya farkında olmadan oluşan kabulleniş, risk yönetimi değildir.

14) Kontrol Maliyeti ve Gerçekçilik İlkesi

Kitapta önemli bir ilke olarak, kontrolün maliyetinin riskin olası maliyetini aşmaması gerektiği belirtilmektedir. Buradaki istisna, kontrolün yasal mevzuat tarafından zorunlu tutulmasıdır.

Bu yaklaşım, risk yönetiminin gerçekçi ve orantılı olması gerektiğini gösterir. Her riske sınırsız kaynak ayırmak mümkün olmadığı gibi, düşük etkili bir risk için aşırı maliyetli çözüm üretmek de rasyonel değildir. Bu nedenle risk işleme kararlarında maliyet-fayda dengesi gözetilmelidir.

Böylece kurum, hem güvenlik hem verimlilik bakımından dengeli bir yaklaşım geliştirebilir.

Final Özet (Sınavlık)

• Bilgi güvenliğinde risk yönetimi, bilgi sistemlerinden kaynaklanan risklerin yönetilmesini amaçlar.
• Risk belirleme sürecinin temelinde varlık-zafiyet-tehdit ilişkisi vardır.
• İlk adım korunacak varlıkların belirlenmesidir.
• Zafiyetler, tehditlerin yararlanabileceği açıklık veya zayıflıklardır.
• Varlık, zafiyet ve tehditlerin birlikte tespit edilmesi risk belirleme sürecidir.
• Risk değerlendirmesinde kurum kendi yöntemini seçebilir; ancak yöntem tutarlı biçimde uygulanmalıdır.
• Risk yönetiminin hedefi sıfır risk değildir.
• Kabul edilebilir risk seviyesi veya risk iştahı belirlenmeli, bunun üzerindeki riskler işlenmelidir.
• Risk işleme seçenekleri azaltma, engelleme, paylaşma ve kabul etmedir.
• Kontrol maliyeti kural olarak riskin olası maliyetini aşmamalıdır; yasal zorunluluk hali istisnadır.