Bilgi Sistemleri Yönetimi ve Denetimi
Risk Yönetimi
Risk yönetimi; risk türleri, risk analizi ve değerlendirme, risk azaltma teknikleri ve bilgi sistemleri riskleri çerçevesinde kitapta yer alan yaklaşıma sadık kalınarak sınav odaklı biçimde ele alınmaktadır.
Konu İçeriği
Risk Yönetimi
Bilgi sistemleri faaliyetleri yürütülürken yalnızca hedefler, yatırımlar ve performans dikkate alınmaz; aynı zamanda bu faaliyetlerin maruz kaldığı risklerin de kontrol altında tutulması gerekir. Kitapta risk yönetimi, bilgi sistemleri varlıklarının maruz kaldığı risklerin kabul edilebilir seviyelerde tutulması için kullanılan tüm politika, prosedür, süreç ve diğer mekanizmalar olarak ele alınmaktadır. Bu nedenle risk yönetimi, bilgi sistemleri yönetişiminin ayrılmaz ve sürekli çalışan parçalarından biridir.
1) Risk Yönetimi Kavramı
Risk yönetimi, bilgi sistemleri faaliyetlerinin hangi tehditlere, zafiyetlere ve belirsizliklere maruz kalabileceğini anlamak; bu riskleri değerlendirmek; kabul edilebilir seviyede tutacak önlemleri planlamak ve uygulamak anlamına gelir. Burada amaç risksiz bir ortam yaratmak değildir. Kitapta da açıkça belirtildiği gibi risk her zaman kendi içinde bir bilinmezlik içerir ve maruz kalınan risklerin tamamına bütünüyle hâkim olmak mümkün değildir.
Bu nedenle risk yönetiminin amacı, riskleri tamamen sıfırlamak değil; onları işletmenin kabul edebileceği seviyede yönetilebilir hale getirmektir. Bu yaklaşım sınav açısından çok önemlidir.
Risk yönetimi = riskleri tamamen yok etmek değil, kabul edilebilir seviyede tutmaktır.
2) Risk Türleri
Bilgi sistemleri alanında riskler farklı başlıklar altında ortaya çıkabilir. Teknik altyapı sorunları, bilgi güvenliği tehditleri, yetkisiz erişim, veri kaybı, hizmet kesintisi, insan hatası, dış kaynak bağımlılığı, mevzuata uyumsuzluk ve yetersiz kontrol ortamı bunların başlıcalarıdır.
Kitabın yaklaşımı, riskleri sadece teknik arıza veya siber tehdit olarak görmez. Risk yönetimi, iş öncelikleri ve hedefleriyle birlikte ele alınır. Bu yüzden risk türleri değerlendirilirken yalnızca sistem bileşenleri değil, iş süreçleri, kritik varlıklar, insan faktörü ve yönetsel zafiyetler de dikkate alınmalıdır. :contentReference[oaicite:2]{index=2}
IT riskleri yalnızca teknik risklerden ibaret değildir; insan, süreç, kontrol ve uyum boyutları da vardır.
3) IT Riskleri
Bilgi sistemleri riskleri, işletmenin bilgi sistemleri varlıklarını ve bu varlıklar üzerinden yürüyen iş süreçlerini etkileyen risklerdir. Yeni tehditlerin ortaya çıkması, yeni varlıkların edinilmesi, güvenlik zafiyetleri, erişim kontrol eksiklikleri, hizmet sürekliliği sorunları ve uygunsuz yapılandırmalar bilgi sistemleri risklerinin örnekleri arasında yer alır.
Ancak IT risklerinin kritikliği teknik ölçüye göre değil, iş fonksiyonlarına etkisine göre anlaşılmalıdır. Kitapta da işletmenin faaliyetleri, iş öncelikleri ve hedefleri iyi anlaşılmalı; bunların yardımıyla kritik iş, varlık ve süreç belirlenmelidir denilmektedir. Kritiklik ölçütü kesinlikle iş fonksiyonlarına bağlı olmalıdır. :contentReference[oaicite:3]{index=3}
IT riskinin kritiklik ölçütü, teknik büyüklük değil iş fonksiyonuna etkidir.
4) Risk Analizi ve Değerlendirme
Kitapta risk değerlendirme ve analizi için farklı yaklaşımlar bulunabileceği belirtilmektedir. Hangi yöntem seçilirse seçilsin, önemli olan bilgi sistemleri risklerinin kurumsal risk yönetimi kapsamında ele alınması ve ölçülebilir, tekrar edilebilir bir yöntemin benimsenmesidir.
Bu yaklaşım bize şunu söyler: risk analizi keyfî, kişisel veya dağınık yöntemlerle yürütülmemelidir. Ölçülebilirlik ve tekrar edilebilirlik, risk yönetiminin kurumsallaşması için temel koşullardır. Böylece aynı riskler zaman içinde karşılaştırılabilir, gelişmeler izlenebilir ve yönetim kararları daha tutarlı hale gelir. :contentReference[oaicite:4]{index=4}
Risk analizi için tek bir zorunlu yöntem yoktur;
ama seçilen yöntem mutlaka ölçülebilir ve tekrar edilebilir olmalıdır.
5) Risk Yönetimi Adımları
Kitaptaki akış dikkate alındığında risk yönetimi süreci genel olarak şu mantıkla işler: Önce işletmenin faaliyetleri, hedefleri ve kritik iş süreçleri anlaşılır. Ardından kritik varlıklar belirlenir. Bu varlıkların maruz kalabileceği riskler değerlendirilir. Sonrasında riskleri azaltacak kontroller ve diğer önlemler tasarlanır. En son bu kontrollerin etkinliği izlenir ve süreç düzenli aralıklarla yeniden değerlendirilir.
Böylece risk yönetimi bir defalık analiz değil; tekrarlanan ve güncellenen çevrimsel yönetim sürecine dönüşür.
Risk değerlendirmesi yılda en az bir kez ve ayrıca yeni tehditler, yeni varlıklar veya yeni kontroller sonrası tekrarlanmalıdır.
6) Risk Azaltma Teknikleri
Kitapta sadece teknik kontrollerin yeterli olmayacağı, yönetimsel ve idari kontrollerin de hazırlanması gerektiği özellikle belirtilmektedir. Bu nokta çok önemlidir. Çünkü risk azaltma yalnızca güvenlik duvarı, antivirüs veya erişim kontrol sistemi kurmakla sınırlı değildir. Politika, prosedür, eğitim, farkındalık, onay mekanizmaları ve gözetim süreçleri de risk azaltma araçlarıdır.
Buna göre risk azaltma teknikleri iki ana grupta düşünülebilir: teknik kontroller ve yönetimsel-idari kontroller. Etkili risk yönetimi, bu iki yapıyı birlikte kullanır. Ayrıca kontrollerin etkinliği düzenli ölçülmelidir; çünkü yalnızca var olmaları yeterli değildir. :contentReference[oaicite:5]{index=5}
Risk azaltma = teknik kontroller + yönetimsel/idari kontroller + etkinlik ölçümü
7) Farkındalık ve Eğitim
Kitapta bilgi güvenliği eğitiminin sadece bir defaya mahsus olmaması gerektiği, tüm personele belirli periyotlarda güncel olayları da içeren yenilenmiş eğitimler verilmesi gerektiği belirtilmektedir. Bu da risk yönetiminde insan unsurunun ne kadar belirleyici olduğunu gösterir.
Dolayısıyla eğitim, risk azaltma tekniklerinin temel parçalarındandır. Bilinçsiz kullanıcı, güçlü teknik altyapıyı bile zayıflatabilir. Bu nedenle farkındalık programları, kontrol ortamının sürekliliği açısından önemlidir. :contentReference[oaicite:6]{index=6}
8) Risk Yönetimi En İyi Uygulamaları
Kitapta risk yönetimine ilişkin en iyi uygulama örnekleri açık biçimde sıralanmaktadır. Bunlar arasında risk yönetiminin diğer iş süreçlerine entegre edilmesi, risk değerlendirmesinin düzenli tekrarlanması, yalnızca uyum amacıyla yapılmaması, bilgi güvenliği ve risk yönetiminin kurum kültürünün parçası haline getirilmesi ve kritik iş-varlık-süreç ilişkisinin iş hedeflerine göre belirlenmesi yer almaktadır.
Buradaki temel mantık, risk yönetiminin sonradan yapılan formalite faaliyeti olmamasıdır. Risk yönetimi işin doğal parçası haline gelmelidir. :contentReference[oaicite:7]{index=7}
Risk yönetiminin tek amacı uyum değildir.
Amaç, iş hedeflerini koruyacak sürdürülebilir kontrol ortamı kurmaktır.
9) Risk Yönetiminin Değerlendirilmesi
Risk yönetiminin değerlendirilmesinde şu sorular önemlidir: Riskler kurumsal risk yönetimi çerçevesinde ele alınıyor mu? Kullanılan yöntem ölçülebilir ve tekrar edilebilir mi? Risk değerlendirmesi düzenli olarak tekrarlanıyor mu? Teknik ve idari kontroller birlikte ele alınıyor mu? Kontrollerin etkinliği izleniyor mu?
Bu değerlendirme, risk yönetiminin kâğıt üzerinde kalan politika seti mi yoksa gerçekten işleyen yönetim mekanizması mı olduğunu gösterir.
10) Küçük ve Büyük İşletmeler İçin Risk Gerçeği
Kitapta küçüğünden büyüğüne tüm işletmelerin riske açık olduğu açıkça ifade edilmektedir. Bu vurgu önemlidir; çünkü risk yönetimi yalnızca büyük kurumlara özgü lüks bir faaliyet değildir. İşletmenin ölçeği değişse bile risk yönetimi ihtiyacı ortadan kalkmaz.
Sadece yöntem ve uygulama düzeyi kurumun büyüklüğüne ve karmaşıklığına göre değişebilir. Ama risklere maruz kalma gerçeği tüm işletmeler için geçerlidir. :contentReference[oaicite:8]{index=8}
11) Bölümün Sınav Mantığı
Bu bölümde sınav açısından en önemli başlıklar; risk yönetiminin tanımı, risk türlerinin yalnızca teknik alanla sınırlı olmaması, risk değerlendirmesinin kurumsal ve tekrar edilebilir yöntemle yapılması, teknik ve idari kontrollerin birlikte düşünülmesi ve risk yönetiminin sadece uyum amacı taşımadığının bilinmesidir.
Sorular bazen doğrudan tanım, bazen de “hangisi doğru risk yönetimi yaklaşımıdır?” biçiminde gelebilir. Bu yüzden risk yönetiminin çevrimsel ve kurumsal karakteri iyi anlaşılmalıdır.
Final Özet (Sınavlık)
- Risk yönetimi, riskleri tamamen yok etmek değil kabul edilebilir seviyede tutmaktır.
- Bilgi sistemleri riskleri yalnızca teknik risklerden ibaret değildir.
- Risklerin kritiklik ölçütü iş fonksiyonlarına etkisine göre belirlenmelidir.
- Risk değerlendirme yöntemi ölçülebilir ve tekrar edilebilir olmalıdır.
- Risk yönetimi kurumsal risk yönetimi kapsamında ele alınmalıdır.
- Risk değerlendirmesi düzenli olarak ve yeni tehdit/varlık/kontrol değişikliklerinde tekrarlanmalıdır.
- Teknik kontroller kadar yönetimsel ve idari kontroller de gereklidir.
- Kontrollerin etkinliği düzenli olarak ölçülmelidir.
- Risk yönetiminin tek amacı uyum değildir.
- Küçüğünden büyüğüne tüm işletmeler riske açıktır.
Öğrenim Hedefleri
- Risk yönetimi kavramını sınav düzeyinde açıklayabilmek
- Risk türlerini teknik ve yönetsel boyutlarıyla ayırt edebilmek
- Risk analizi ve değerlendirme yaklaşımını açıklayabilmek
- Ölçülebilir ve tekrar edilebilir risk değerlendirme yönteminin önemini kavrayabilmek
- Risk azaltma tekniklerinde teknik ve idari kontrollerin birlikte kullanılması gerektiğini anlayabilmek
- IT risklerinin iş hedefleri ve kritik varlıklarla ilişkisini kurabilmek
- Risk yönetimi en iyi uygulamalarını değerlendirebilmek
- Risk yönetiminin sadece uyum amacı taşımadığını açıklayabilmek
Önemli Notlar
EZBER: Risk yönetimi riskleri tamamen ortadan kaldırmak değil, kabul edilebilir seviyede tutmaktır.
EZBER: Risk değerlendirme yöntemi ölçülebilir ve tekrar edilebilir olmalıdır.
EZBER: IT risklerinin kritiklik ölçütü iş fonksiyonlarına etkidir.
EZBER: Sadece teknik kontroller yeterli değildir; yönetimsel ve idari kontroller de gereklidir.
EZBER: Risk yönetiminin tek amacı uyum değildir.
Bu Konudaki Tüm Sorular
Aşağıda, ilgili konuya ait veritabanında kayıtlı tüm aktif sorular listelenmektedir.