Risk analizi, riski tahmin etmek amacıyla yapılan sistematik çalışmalardır. Yapılan risk tahminleri karşı önlemlere karar verilmesi aşamasında önemli bir parametre olarak kullanılırlar. Risk analizi yapılmadan tesis edilen karşı önlemlerin ihtiyacı karşılayamaması veya gereğinden fazla karşılaması ihtimali büyüktür.
1. Bilgi Güvenliği Risk Analizinin Temel Zorlukları
Riskin bir olasılık olması: Risk, kesin ve somut bir değer değildir. Risk bir olasılık olduğu için risk analizi temelde bir olasılık analizidir. Bu nedenle, risk analizi yapılırken tahminler yapılmalıdır. Tahminler, bir risk modeli ile belli bir çerçevede ele alınırlar. Eğer risk modeli nicel ise kullanılan matematikten dolayı zorluklar yaşanmakta, nitel ise risk analizi sürecinde tahminler subjektif olabilmektedir.
Riskin, varlık, açıklık ve tehdit değerlerini girdi olarak alan bir olasılık fonksiyon olması: Risk, hesaplaması basit bir olasılık değeri değildir. Risk, bir varlıktaki bir açıklığın bir tehdit tarafından kullanılma olasılığıdır. Bu olasılık, “Risk=F(Varlık, Açıklık, Tehdit)” formülü ile ifade edilebilir. Bu formüldeki fonksiyon (F) risk modelini temsil etmektedir. Sonuç olarak risk modelinin hesaba katması gereken üç temel parametresi bulunmaktadır.
En temel ve önemli varlık olan bilginin soyut olması: Bilgi kurumlar tarafından risk analizlerinde farkına en zor varılan varlıktır. Bunun yanında, bilgi aynı zamanda en dikkatli analizi yapılması gereken en önemli varlıktır. Sunucular, depolama medyaları gibi fiziksel varlıklar risk analizi yapan kişiler tarafından kolaylıkla tanımlanabilirken, bilgi soyut bir kavram olduğu için tanımlanmasında ve gizlilik, bütünlük, süreklilik değerlerinin verilmesinde güçlükler yaşanabilmektedir.
Bilginin bir çok değişik formda bulunması: Bilgi donanım ve yazılımlar tarafından işlenir, elektronik ve manyetik medyada depolanır, yazılı dokümanlar bilgi içerir, bir kurumda çalışanlar zihinlerinde, düşüncelerinde ve konuşmalarında bilgiyi taşırlar. Sonuç olarak, bilgi elektronik, manyetik, kağıt, ses gibi bir çok değişik formada işlenir. Risk analizinde bir çok farklı formda depolanan bilginin ele alınması gerekmektedir.
Bilgi sistemlerinin karmaşık ve yaygın bir yapıda olması: Bilgi sistemleri, 1970 ve 1980’lerdeki merkezi ve basit yapıda değildirler. Günümüzdeki, tüm kurumlarda, hemen hemen her çalışana bir bilgisayar düşmektedir. Kurumların hemen hemen tüm iş süreçleri, az veya çok bilgi işlem altyapısı ile kesişmektedir.
Varlık, açıklık, tehdit ve karşı önlemler arasındaki ilişkiler: Herhangi bir varlıktaki veya varlık kategorisindeki (Örnek kategoriler: donanım, yazılım, medya, basılı doküman, personel) bir açıklık, başka bir varlık veya varlık kategorisi için tehdide dönüşebilir. Bir tehdit birden çok varlığı veya varlık kategorisini farklı oranlarda etkileyebilir. Bütün ilişkiler, risk analizi metodunda değerlendirilmelidir.
2. İdeal Bilgi Güvenliği Risk Analizinin Özellikleri
Hızlı sonuçlar vermesi: Risk analizi sürecinin uzun sürmesi özellikle iş gücü maliyetlerini artırır. Ayrıca, sürekli gelişen ve değişen bir bilgi işlem altyapısında çok uzun süren risk analizlerinin sonuçları tutarlı olmayabilir. Risk analizi metodunun süresi, kurumun tolere edebileceği bir seviyede olmalıdır.
Maliyet etkin olması: Kurumlar, getirdiği maliyetten dolayı da risk analizi sürecine uzak durabilmektedirler. Genel olarak bilgi güvenliği kurumlar tarafından lüks olarak görülebilmektedir. Bu nedenle, risk analizi sürecinde maliyet etkin araçların kullanılması ve sürecin kendisinin maliyet etkin olması önemli bir beklentidir.
Objektif sonuçlar vermesi: Risk analizi sürecinin farklı kişiler tarafından tekrarlandığı zaman benzer sonuçlar vermesi önemli bir özelliktir. Planlama, uygulama, kontrol etme ve önlem alma döngüsü içerisinde tekrarlanacak olan risk analizinin tutarlı sonuç vermesi bilgi güvenliği yönetim sistemlerinin düzgün bir şekilde yürütülmesinin garantilerinden biridir. [3]
İş süreçleri odaklı olması: Hedefin BT altyapısı olduğu risk analizleri odağını kaybetmiş risk analizleri olarak değerlendirilebilir. Örneğin bilgi işlem altyapısındaki, donanımların gizlilik, bütünlük ve süreklilik değerlerinin ortaya konulduğu ve bu donanımlardaki açıklıkların ve bu donanımları etkileyebilecek tehditlerin ortaya konulduğu ve bunlara göre belli bir risk seviyesinin tespit edildiği bir risk analizi süreci, bu donanım üzerinde hangi iş süreçlerinin işletildiğini hesaba katmadığı için doğru ve tutarlı sonuçlar vermeyecektir. Risk analizinde en temelde incelenmesi gereken iş süreçleridir. Günümüzde, bilgi işlem odaklı risk analizleri bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda gerçekleştirilmekte ve faydası sınırlı olmaktadır.
Bilgi odaklı olması: Süreç odaklı yaklaşıma benzer olarak, bilgiyi göz ardı eden risk analizi süreçleri tutarlı sonuç vermezler. Bu risk analizi metotları bilgiyi işleyen donanım ve yazılımlara öncelik verirler ve sadece bunları değerlendirirler. Bu durumda da risk tahminleri tutarsız olacaktır.
Kurum personelinin katılımına imkan vermesi: Bütün risk analizi sürecinin kurumdaki çalışanlar tarafından gerçekleştirilmesi beklenemez. Ancak, risk analizi sürecinin iş süreçlerinde önemli görevleri olan personelin katılımına imkan verecek bir yapıda olması gerekmektedir. Diğer bir ifadeyle, analizin belli başlı yerlerinde kurum çalışanlarının fikirlerinin ve düşüncelerinin alınması ve bunun risk analizi takımı tarafından değerlendirmeye sokulması gerekmektedir.
Risk modelinin açık olması: Risk modelinin açık olması, kurumların bilgi güvenliği risk analizi metoduna duyduğu güvenli artıracaktır. Ayrıca, kurum ihtiyaçlarını karşılayacak şekilde risk modelinde değişiklikler yapmasına imkan sağlanmış olacaktır.
Kurumsal Bilgi Güvenliği Risk Analizi
Kayıtlar
