RİSK YÖNETİMİ
Risk yönetimi, bir kuruluşun risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla koruyucu önlemlerin maliyetlerinin dengelenmesi ve organizasyonun hedeflerine ulaşması içi gerekli kritik sistemlerin korunması gibi konularda Bilgi Teknolojileri Yöneticilerinin yararlandığı süreçtir. Bu süreç risk analizi, risk işleme ve değerlendirme ve takip alt süreçlerinden oluşur.
Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik olarak kullanımıdır. Varlıklar belirlendikten sonra, tehditler, açıklıklar ve mevcut kontroller belirlenir. Daha sonra olasılık değerlendirmesi ve etki analizi gerçekleştirilir. Son olarak bulunan riskler derecelendirilerek dokümante edilir.
Varlık, “kuruluş için değerli olan herhangi bir şey” olarak tanımlanır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verilere özgü bir risk analizi yapılacağı düşünülürse varlık, “kuruluşun işlediği Kişisel Veriler ve Kişisel Veri içeren herhangi bir şey” olarak tanımlanabilir.
Varlıkların belirlenmesinde kullanılabilecek bazı bilgi toplama teknikleri mevcuttur. Aşağıdaki tekniklerden biri veya birkaçı varlıkların belirlenmesinde kullanılabilir.
Varlıkların belirlenmesinde ve risk analizi için gerekli bilgilerin toplanmasında anketler kullanılabilir. Anketler Bilgi Teknolojileri sitemini kullanan, tasarlayan ve destekleyen tüm personele uygulanabilir.
Bilgi Teknolojileri sistemini yöneten ve bu sisteme destek sağlayan personel ile yapılacak görüşmeler sistemin nasıl işlediği ve nasıl yönetildiği konularında yararlı bilgiler edinilmesini sağlar. Bu görüşmeler sırasında operasyonun işleyişi ile ilgili edinilen bilgiler sayesinde gözden kaçabilecek bazı varlıklar daha rahat belirlenir.
Politikaların, sistem dokümantasyonun (işletme talimatları ve ağ diyagramı gibi), önceki risk değerlendirme raporlarının incelenmesi varlıkların çoğunun hızlı ve doğru bir şekilde belirlenmesini sağlar.
Ağ tarama araçları gibi otomatik tarama araçları büyük bir sistemde bulunan varlıkların belirlenmesini kolaylaştırır ve bazı varlıkların gözden kaçırılmasını engeller.
Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. En bilinen tehdit kaynakları şunlardır:
Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler.
Çevresel Tehditler: Uzun süreli elektrik kesintisi, hava kirliliği, sızıntılar vs.
İnsan Kaynaklı Tehditler: İnsanlar tarafından yapılan veya tol açılan bilinçli veya bilinçsiz olaylar.
Tehdit değerlendirmesi sırasında hiçbir tehdidin küçümsenerek göz ardı edilmesi doğru değildir. Göz ardı edilen tehdit kurum güvenliğinde zayıflık yaratabilir.
Tehdit değerlendirmesi için gerekli girdi varlık sahiplerinden, kullanıcılardan, Bilgi Teknoloji uzmanlarından, kurumun korunmasından sorumlu kişilerden elde edilebilir. Aşağıdaki tablo Bilgi Teknolojileri sistemlerinde sıklıkla karşılaşılan tehditleri ve bunların kaynaklarını içermektedir (Tehdidin kaynağı bölümünde kullanılan kısaltmalar B: İnsan kaynaklı ve bilerek, K: İnsan kaynaklı ve kazayla, D: Doğal, Ç: Çevresel).
| Tehdit | Tehdidin Kaynağı |
|---|---|
| Deprem | D |
| Sel | D |
| Fırtına | D |
| Yıldırım | D |
| Endüstriyel bilgi sızması | B, K |
| Bombalama veya silahlı saldırı | B |
| Yangın | B, K |
| Güç kesintisi | B, K, Ç |
| Su kesintisi | B, K, Ç |
| Havalandırma sisteminin arızalanması | B, K, Ç |
| Donanım arızaları | K |
| Güç dalgalanmaları | K, Ç |
| Tozlanma | Ç |
| Elektrostatik boşalma | Ç |
| Saklama ortamlarının izinsiz kullanılması | B, K |
| Saklama ortamlarının eskiyip kullanılmaz duruma gelmesi | K |
| Personel hataları | K |
| Bakım hataları eksiklikleri | K |
| Yazılım hataları | B, K |
| Lisansız yazılım kullanılması | B, K |
| Yazılımların yetkisiz kullanılması | B, K |
| Kullanıcı kimlik bilgilerinin çalınması | B, K |
| Zararlı yazılımlar | B, K |
| Yetkisiz kişilerin ağa erişimi | B |
| Ağ cihazlarının arızalanması | K |
| Hat kapasitelerinin yetersiz kalması | B, K |
| Ağ trafiğinin dinlenmesi | B |
| Hat kapasitelerinin yetersiz kalması | B, K |
| Ağ trafiğinin dinlenmesi | B |
| İletim hatlarının hasar görmesi | B, K |
| İletişimin dinlenmesi | B |
| Mesajların yanlış yönlendirilmesi | K |
| Mesajların yetersiz kişilere yönlendirilmesi | B |
| İnkar etme (repudiation) | B |
| Kaynakların yanlış kullanımı | K |
| Kullanıcı hataları | K |
| Personel yetersizliği | K |
Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehdit oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.
Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlenmesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.
Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.
Risk analizinde bir açıklığın gerçekleşme olasılığının belirlenmesi büyük önem taşır ve tespit edilen tüm açıklıklar için olasılık değerlendirmesi yapılmalıdır. Olasılığın belirlenmesi için tehdit kaynağının motivasyonu ve becerisi, açıklığın cinsi, mevcut kontrollerin varlığı ve etkinliği göz önünde bulundurulmalıdır.
Olasılık değerlendirmesi için kurum kaç kademeli bir değerlendirme yapacağını ve kademelerin nasıl belirleneceğini tanımlamalıdır. Üç seviyeli bir olasılık değerlendirmesi için aşağıdaki örnek tablo kullanılabilir.
| Olasılık Seviyesi | Olasılık Tanımı |
|---|---|
| Yüksek | Tehdit kaynağı çok kabiliyetli ve motivasyonu yüksektir, açıklığın gerçeklenmesini engelleyecek kontroller bulunmamaktadır veya etkisizdir. |
| Orta | Tehdit kaynağı kabiliyetli ve motivasyonu yüksektir, açıklığın gerçeklenmesine engel olacak kontroller mevcuttur. |
| Düşük | Tehdit kaynağı daha az kabiliyetli ve motivasyonu daha düşüktür, açıklığın gerçeklenmesini engelleyecek veya çok zorlaştıracak kontroller mevcuttur. |
Risk derecelendirmesi yapabilmek için olasılık değerlendirmesinden sonra gelen adım etki analizidir. Etki analizinde herhangi bir açıklığın gerçeklenmesi halinde yaşanacak olası olumsuz etki seviyesi belirlenir. Bunun için varlığın görevi, kritikliği, varlığın etkilediği verinin hassasiyeti ve varlığın mali değeri göz önüne alınmalıdır. Bu bilgiler daha önceden yapılmış iş etki analizi raporlarından alınabilir. Eğer daha önce yapılmış böyle bir çalışma yoksa sistemin kritiklik seviyesi sistemin (ve sakladığı veya işlediği verinin) bütünlüğünü, gizliliğini ve erişilebilirliğini korumak için gerekli koruma göz önüne alınarak niceliksel olarak çıkarılabilir. Ayrıca sistemin yenilenme maliyeti, çalışmaması durumunda oluşabilecek gelir kaybı gibi bazı niteliksel etkiler de etki analizinde göz önüne alınabilir.
Niceliksel bir etki analizinde olasılık değerlendirmesinde olduğu gibi kurum kaç kademeli bir değerlendirme yapacağını ve kademelerin nasıl belirleneceğini tanımlamalıdır. Üç seviyeli bir etki değerlendirmesi için aşağıdaki örnek tablo kullanılabilir.
| Etki Derecesi | Açıklığın gerçeklenmesi durumunda: |
|---|---|
| Yüksek | Kurumun en önemli varlıkları çok fazla etkilenir veya kaybedilir ve mali zarar çok büyük olur. Kurumun çıkarları, misyonu ve prestiji büyük zarar görebilir veya etkilenebilir. İnsan hayatı kaybı veya ciddi yaralanmalar gerçekleşebilir. |
| Orta | Tehdit kaynağı kabiliyetli ve motivasyonu yüksektir, açıklığın gerçeklenmesine engel olacak kontroller mevcuttur. |
| Düşük | Tehdit kaynağı daha az kabiliyetli ve motivasyonu daha düşüktür, açıklığın gerçeklenmesini engelleyecek veya çok zorlaştıracak kontroller mevcuttur. |
Bu adımın amacı, varlıkları tehdit eden risklere değerler atayıp onları derecelendirmektir.
Uygun kontrollerin seçilmesi burada belirlenen risklere ve seviyelere göre yapılır. Risk bir tehdidin bir açıklığı gerçekleme olasılığının, açıklığın ne kadar kolay gerçekleştirilebildiğinin ve mevcut veya planlanan kontrollerin yeterliliğinin bir fonksiyonudur. Yani kısaca olasılık değerlendirmesinde ve etki analizinde belirlenen değerlere bağlıdır.
Risklerin ölçülebilmesi için risk sınıflandırma matrisi oluşturulmalıdır ve bu sınıflandırma için tanımlamalar yapılmalıdır.
Yukarıda örnek olarak verilen üç seviyeli olasılık değerlendirmesi ve etki analizi için şu şeklide bir risk derecelendirme matrisi oluşturulabilir.
| Etki Seviyesi | ||||
|---|---|---|---|---|
| Düşük | Orta | Yüksek | ||
| Olma Olasılığı | Düşük | Düşük | Düşük | Düşük |
| Düşük | Düşük | Orta | Orta | |
| Düşük | Düşük | Orta | Yüksek | |
Bu matristeki değerleri kurum kendisi belirlemelidir. Bunun için istenirse sayısal değerler kullanılabilir. Örneğin olma olasılıklarına 0 ile 1 arasında, etki seviyesine ise 0 ile 100 arasında değerler atanır. Risk dereceleri için aralıklar belirlenir. Olma olasılığı ve etki seviyesi çarpımının düştüğü aralık risk derecesini belirler. Örneğin bu matrise göre olma olasılığı “Orta” ve etki seviyesi “Yüksek” olan bir açıklığın risk derecesi “Orta” olarak sınıflandırılmıştır.
Risk derecelendirme matrisinde belirlenen risk dereceleri bir açıklığın gerçeklenmesi halinde karşı karşıya olunan riski belirlemektedir. Bu risk derecelerinin tanımlanması yönetimin risklerle ilgili alacağı kararlar açısından önemlidir. Ayrıca bu aşamada kurumun kabul edebileceği risk seviyesi de belirlenmelidir. Belirlenen bu seviyeye göre kurum bazı riskleri kabul ederek karşı önlem almamayı tercih edebilir.
Yukarıdaki risk seviye matrisine uygun olarak aşağıdaki tanımlamalar örnek olarak gösterilebilir.
| Risk Derecesi | Risk açıklaması ve yapılması gerekenler |
|---|---|
| Yüksek | Düzeltici önlemlerin alınması şarttır. Mevcut sistem çalışmaya devam edebilir ama hangi önlemlerin alınacağı ve nasıl uygulanacağı olabildiğince çabuk belirlenmelidir ve önlemler uygulanmalıdır. |
| Orta | Düzeltici önlemlerin alınması gerekmektedir. Hangi önlemlerin alınacağı ve nasıl uygulanacağına dair plan makul bir süre içerisinde hazırlanmalı ve uygulanmaya başlanmalıdır. |
| Düşük | Önlem alınıp alınmayacağı sistem sahibi/sorumlusu tarafından belirlenmelidir. Eğer yeni önlemler alınmayacaksa risk kabul edilmelidir. |
Yapılan risk derecelendirme çalışmalarının sonucunda risklerin azaltılmasını veya ortadan kaldırılmasını sağlayacak kontrol önerileri belirlenmelidir. Önerilecek kontrollerin amacı riski kurumun kabul edebileceği bir değere düşürmek olmalıdır. Önerilecek kontrollerde kontrollerin etkinliği, yasalar ve düzenlemeler, iş yapma biçimine getireceği değişiklikler, kurum politikaları ve güvenlik konuları dikkate alınması gereken başlıca konulardır.
Uygulanabilecek olası kontroller belirlenirken başvurabilecek kaynaklardan biri “TS ISO/IEC 27001:2005 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardıdır. Bu standart, güvenlik politikası, bilgi güvenliği organizasyonu, varlık yönetimi, insan kaynakları güvenliği, fiziksel ve çevresel güvenlik, haberleşme ve işletim yönetimi, erişim kontrolü, bilgi sistemleri edinim, geliştirme ve bakımı, bilgi güvenliği ihlal olayı yönetimi, iş sürekliliği yönetimi ve uyum ana başlıkları altında pek çok kontrol önerisi içermektedir. Ayrıca bu kontrollerin gerçekleştirilmesine ait öneriler ve en iyi uygulamalar için TS ISO/IEC 27002:2005 standardına başvurulmalıdır.
Sonuçların dokümantasyonu risk analizi sürecinde en önemli adımlardan biridir. Bu dokümanlar mevcut risk ve kontrollerin herkes tarafından bilinmesini sağlarlar. Ayrıca bu dokümanlar daha sonraki risk analizlerine girdi teşkil ederler.
Risk analizi süreci tamamlandığında sonuçlar bir rapor olarak dokümante edilmelidir. Bu rapor yönetimin ve süreç sahiplerinin politikalarda, prosedürlerde, bütçede ve sistemin kullanımında veya yönetiminde yapılacak değişikliklerde karar verirken kullanacağı yönetimsel bir rapordur.
Yönetimin riskleri rahat bir şekilde anlayabilmesi için açık ve sistematik olmalıdır. Belirlenen riskler için uygulanacak kontrollere bu rapor göz önünde bulundurularak karar verilecektir.
ISO 27001 Baş Denetçi Serkan KAHRAMAN