RİSK YÖNETİMİ

Risk yönetimi, bir kuruluşun risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla koruyucu önlemlerin maliyetlerinin dengelenmesi ve organizasyonun hedeflerine ulaşması içi gerekli kritik sistemlerin korunması gibi konularda Bilgi Teknolojileri Yöneticilerinin yararlandığı süreçtir. Bu süreç risk analizi, risk işleme ve değerlendirme ve takip alt süreçlerinden oluşur.

RİSK ANALİZİ

Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik olarak kullanımıdır. Varlıklar belirlendikten sonra, tehditler, açıklıklar ve mevcut kontroller belirlenir. Daha sonra olasılık değerlendirmesi ve etki analizi gerçekleştirilir. Son olarak bulunan riskler derecelendirilerek dokümante edilir.

Varlıkların Belirlenmesi

Varlık, “kuruluş için değerli olan herhangi bir şey” olarak tanımlanır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verilere özgü bir risk analizi yapılacağı düşünülürse varlık, “kuruluşun işlediği Kişisel Veriler ve Kişisel Veri içeren herhangi bir şey” olarak tanımlanabilir.

Varlıkların belirlenmesinde kullanılabilecek bazı bilgi toplama teknikleri mevcuttur. Aşağıdaki tekniklerden biri veya birkaçı varlıkların belirlenmesinde kullanılabilir.

1.Anketler

Varlıkların belirlenmesinde ve risk analizi için gerekli bilgilerin toplanmasında anketler kullanılabilir. Anketler Bilgi Teknolojileri sitemini kullanan, tasarlayan ve destekleyen tüm personele uygulanabilir.

2.Birebir Görüşmeler

Bilgi Teknolojileri sistemini yöneten ve bu sisteme destek sağlayan personel ile yapılacak görüşmeler sistemin nasıl işlediği ve nasıl yönetildiği konularında yararlı bilgiler edinilmesini sağlar. Bu görüşmeler sırasında operasyonun işleyişi ile ilgili edinilen bilgiler sayesinde gözden kaçabilecek bazı varlıklar daha rahat belirlenir.

3.Dokümantasyonun İncelenmesi

Politikaların, sistem dokümantasyonun (işletme talimatları ve ağ diyagramı gibi), önceki risk değerlendirme raporlarının incelenmesi varlıkların çoğunun hızlı ve doğru bir şekilde belirlenmesini sağlar.

4.Otomatik Tarama Araçları

Ağ tarama araçları gibi otomatik tarama araçları büyük bir sistemde bulunan varlıkların belirlenmesini kolaylaştırır ve bazı varlıkların gözden kaçırılmasını engeller.

Tehditlerin Belirlenmesi

Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. En bilinen tehdit kaynakları şunlardır:

Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler.

Çevresel Tehditler: Uzun süreli elektrik kesintisi, hava kirliliği, sızıntılar vs.

İnsan Kaynaklı Tehditler: İnsanlar tarafından yapılan veya tol açılan bilinçli veya bilinçsiz olaylar.

Tehdit değerlendirmesi sırasında hiçbir tehdidin küçümsenerek göz ardı edilmesi doğru değildir. Göz ardı edilen tehdit kurum güvenliğinde zayıflık yaratabilir.

Tehdit değerlendirmesi için gerekli girdi varlık sahiplerinden, kullanıcılardan, Bilgi Teknoloji uzmanlarından, kurumun korunmasından sorumlu kişilerden elde edilebilir. Aşağıdaki tablo Bilgi Teknolojileri sistemlerinde sıklıkla karşılaşılan tehditleri ve bunların kaynaklarını içermektedir (Tehdidin kaynağı bölümünde kullanılan kısaltmalar B: İnsan kaynaklı ve bilerek, K: İnsan kaynaklı ve kazayla, D: Doğal, Ç: Çevresel).

Tehdit Tehdidin Kaynağı
Deprem D
Sel D
Fırtına D
Yıldırım D
Endüstriyel bilgi sızması B, K
Bombalama veya silahlı saldırı B
Yangın B, K
Güç kesintisi B, K, Ç
Su kesintisi B, K, Ç
Havalandırma sisteminin arızalanması B, K, Ç
Donanım arızaları K
Güç dalgalanmaları K, Ç
Tozlanma Ç
Elektrostatik boşalma Ç
Saklama ortamlarının izinsiz kullanılması B, K
Saklama ortamlarının eskiyip kullanılmaz duruma gelmesi K
Personel hataları K
Bakım hataları eksiklikleri K
Yazılım hataları B, K
Lisansız yazılım kullanılması B, K
Yazılımların yetkisiz kullanılması B, K
Kullanıcı kimlik bilgilerinin çalınması B, K
Zararlı yazılımlar B, K
Yetkisiz kişilerin ağa erişimi B
Ağ cihazlarının arızalanması K
Hat kapasitelerinin yetersiz kalması B, K
Ağ trafiğinin dinlenmesi B
Hat kapasitelerinin yetersiz kalması B, K
Ağ trafiğinin dinlenmesi B
İletim hatlarının hasar görmesi B, K
İletişimin dinlenmesi B
Mesajların yanlış yönlendirilmesi K
Mesajların yetersiz kişilere yönlendirilmesi B
İnkar etme (repudiation) B
Kaynakların yanlış kullanımı K
Kullanıcı hataları K
Personel yetersizliği K

Açıklıkların Belirlenmesi

Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehdit oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.

Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlenmesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.

  • Açıklık listeleri ve açıklık veri tabanları
  • Önceki Bilgi Teknoloji sistemi denetim raporları, test raporları, hat raporları
  • Önceki risk değerlendirme dokümanları,
  • Üreticiler tarafından yayınlanan dokümanlar,
  • Güvenlikle ilgili web sayfaları ve e-posta listeleri
  • Yazılım güvenlik analizleri
  • Sistem güvenlik taramalarının ve sızma testlerinin sonuçları

Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.

  • Altyapı ve çevreyle ilgili açıklıklar
    • Binada yeterli fiziksel güvenliğin bulunmaması (hırsızlık)
    • Binalara ve odalara girişlerde yetersiz fiziksel kontroller (kasten zarar verme)
    • Eski güç kaynakları (güç dalgalanmaları)
    • Deprem bölgesinde bulunan yapılar (deprem)
    • Herkesin erişebildiği kablosuz ağlar (hassas bilginin açığa çıkması, yetkisiz erişim)
    • Dış kaynak kullanımında işletilen prosedür ve yönetmeliklerin veya şartnamelerin eksikliği/yetersizliği (yetkisiz erişim)
  • Donanımlarla ilgili açıklıklar
    • Periyodik yenilemenin yapılmaması (saklama ortamlarının eskimesi, donanımların bozulması nedeniyle erişimin durması)
    • Voltaj değişikliklerine, ısıya, neme, toza duyarlılık (güç dalgalanmaları, erişim güçlükleri vs.)
    • Periyodik bakım eksikliği (bakım hataları)
    • Değişim yönetimi eksikliği (kullanıcı hataları)
  • Yazılımlarla ilgili açıklıklar
    • Yama yönetimi eksikliği/yetersizliği (yetkisiz erişim, hassas bilginin açığa çıkması)
    • Kayıt yönetim eksikliği/yetersizliği (yetkisiz erişim)
    • Kimlik tanımlama ve doğrulama eksiklikleri (yetkisiz erişim, başkalarının kimliğine bürünme)
    • Şifre yönetimi yetersizliği (yetkisiz erişim, başkalarının kimliğine bürünme)
    • Şifre veri tabanlarının korunmaması (yetkisiz erişim, başkalarının kimliğine bürünme)
    • Erişim izinlerinin yanlış verilmesi (yetkisiz erişim)
    • İzinsiz yazılım yüklenmesi ve kullanılması (zararlı yazılımlar, yasal gerekliliklere uyum)
    • Saklama ortamlarının doğru silinmemesi ve imha edilmemesi (hassas verinin ortaya çıkması, yetkisiz erişim)
    • Dokümantasyon eksikliği/yetersizliği (kullanıcı hataları)
    • Yazılım gereksinimlerinin yanlış veya eksik belirlenmesi (yazılım hataları)
    • Yazılımların yeterli test edilmemesi (yetkisiz erişim, yazılımların yetkisiz kullanımı)
  • Haberleşmeyle ilgili açıklıklar
    • Korunmayan haberleşme hataları (haberleşmenin dinlenmesi)
    • Hat üzerinden şifrelerin açık olarak iletilmesi (yetkisiz erişim)
    • Telefon hatlarıyla kurum ağına erişim (yetkisiz erişim)
    • Ağ yönetimi yetersizliği/eksikliği (trafiğin aşırı yüklenmesi)
  • Dokümanlarla ilgili açıklıklar
    • Dokümanların güvensiz saklanması (hırsızlık)
    • Dokümanların kontrolsüz çoğaltılması (hırsızlık)
    • Dokümanların imha edilmemesi (hırsızlık, hassas bilginin açığa çıkması)
  • Personel ile ilgili açıklıklar
    • Eğitim eksikliği (personel hataları)
    • Güvenlik farkındalığı eksikliği (kullanıcı hataları)
    • Donanımların veya yazılımların yanlış kullanılması (personel hataları)
    • İletişim ve mesajlaşma ortamların kullanımını düzenleyen politikanın eksikliği/yetersizliği (yetkisiz erişim)
    • İşe alımda yetersiz özgeçmiş incelemesi ve doğrulaması (kasten zarar verme)

Olasılık Değerlendirmesi

Risk analizinde bir açıklığın gerçekleşme olasılığının belirlenmesi büyük önem taşır ve tespit edilen tüm açıklıklar için olasılık değerlendirmesi yapılmalıdır. Olasılığın belirlenmesi için tehdit kaynağının motivasyonu ve becerisi, açıklığın cinsi, mevcut kontrollerin varlığı ve etkinliği göz önünde bulundurulmalıdır.

Olasılık değerlendirmesi için kurum kaç kademeli bir değerlendirme yapacağını ve kademelerin nasıl belirleneceğini tanımlamalıdır. Üç seviyeli bir olasılık değerlendirmesi için aşağıdaki örnek tablo kullanılabilir.

Olasılık Seviyesi Olasılık Tanımı
Yüksek Tehdit kaynağı çok kabiliyetli ve motivasyonu yüksektir, açıklığın gerçeklenmesini engelleyecek kontroller bulunmamaktadır veya etkisizdir.
Orta Tehdit kaynağı kabiliyetli ve motivasyonu yüksektir, açıklığın gerçeklenmesine engel olacak kontroller mevcuttur.
Düşük Tehdit kaynağı daha az kabiliyetli ve motivasyonu daha düşüktür, açıklığın gerçeklenmesini engelleyecek veya çok zorlaştıracak kontroller mevcuttur.

Etki Analizi

Risk derecelendirmesi yapabilmek için olasılık değerlendirmesinden sonra gelen adım etki analizidir. Etki analizinde herhangi bir açıklığın gerçeklenmesi halinde yaşanacak olası olumsuz etki seviyesi belirlenir. Bunun için varlığın görevi, kritikliği, varlığın etkilediği verinin hassasiyeti ve varlığın mali değeri göz önüne alınmalıdır. Bu bilgiler daha önceden yapılmış iş etki analizi raporlarından alınabilir. Eğer daha önce yapılmış böyle bir çalışma yoksa sistemin kritiklik seviyesi sistemin (ve sakladığı veya işlediği verinin) bütünlüğünü, gizliliğini ve erişilebilirliğini korumak için gerekli koruma göz önüne alınarak niceliksel olarak çıkarılabilir. Ayrıca sistemin yenilenme maliyeti, çalışmaması durumunda oluşabilecek gelir kaybı gibi bazı niteliksel etkiler de etki analizinde göz önüne alınabilir.

Niceliksel bir etki analizinde olasılık değerlendirmesinde olduğu gibi kurum kaç kademeli bir değerlendirme yapacağını ve kademelerin nasıl belirleneceğini tanımlamalıdır. Üç seviyeli bir etki değerlendirmesi için aşağıdaki örnek tablo kullanılabilir.

Etki Derecesi Açıklığın gerçeklenmesi durumunda:
Yüksek Kurumun en önemli varlıkları çok fazla etkilenir veya kaybedilir ve mali zarar çok büyük olur. Kurumun çıkarları, misyonu ve prestiji büyük zarar görebilir veya etkilenebilir. İnsan hayatı kaybı veya ciddi yaralanmalar gerçekleşebilir.
Orta Tehdit kaynağı kabiliyetli ve motivasyonu yüksektir, açıklığın gerçeklenmesine engel olacak kontroller mevcuttur.
Düşük Tehdit kaynağı daha az kabiliyetli ve motivasyonu daha düşüktür, açıklığın gerçeklenmesini engelleyecek veya çok zorlaştıracak kontroller mevcuttur.

Bu adımın amacı, varlıkları tehdit eden risklere değerler atayıp onları derecelendirmektir.

Uygun kontrollerin seçilmesi burada belirlenen risklere ve seviyelere göre yapılır. Risk bir tehdidin bir açıklığı gerçekleme olasılığının, açıklığın ne kadar kolay gerçekleştirilebildiğinin ve mevcut veya planlanan kontrollerin yeterliliğinin bir fonksiyonudur. Yani kısaca olasılık değerlendirmesinde ve etki analizinde belirlenen değerlere bağlıdır.

Risklerin ölçülebilmesi için risk sınıflandırma matrisi oluşturulmalıdır ve bu sınıflandırma için tanımlamalar yapılmalıdır.

Risk Derecelendirme Matrisi

Yukarıda örnek olarak verilen üç seviyeli olasılık değerlendirmesi ve etki analizi için şu şeklide bir risk derecelendirme matrisi oluşturulabilir.

Etki Seviyesi
Düşük Orta Yüksek
Olma Olasılığı Düşük Düşük Düşük Düşük
Düşük Düşük Orta Orta
Düşük Düşük Orta Yüksek

Bu matristeki değerleri kurum kendisi belirlemelidir. Bunun için istenirse sayısal değerler kullanılabilir. Örneğin olma olasılıklarına 0 ile 1 arasında, etki seviyesine ise 0 ile 100 arasında değerler atanır. Risk dereceleri için aralıklar belirlenir. Olma olasılığı ve etki seviyesi çarpımının düştüğü aralık risk derecesini belirler. Örneğin bu matrise göre olma olasılığı “Orta” ve etki seviyesi “Yüksek” olan bir açıklığın risk derecesi “Orta” olarak sınıflandırılmıştır.

Risk Derecelerinin Tanımı

Risk derecelendirme matrisinde belirlenen risk dereceleri bir açıklığın gerçeklenmesi halinde karşı karşıya olunan riski belirlemektedir. Bu risk derecelerinin tanımlanması yönetimin risklerle ilgili alacağı kararlar açısından önemlidir. Ayrıca bu aşamada kurumun kabul edebileceği risk seviyesi de belirlenmelidir. Belirlenen bu seviyeye göre kurum bazı riskleri kabul ederek karşı önlem almamayı tercih edebilir.

Yukarıdaki risk seviye matrisine uygun olarak aşağıdaki tanımlamalar örnek olarak gösterilebilir.

Risk Derecesi Risk açıklaması ve yapılması gerekenler
Yüksek Düzeltici önlemlerin alınması şarttır. Mevcut sistem çalışmaya devam edebilir ama hangi önlemlerin alınacağı ve nasıl uygulanacağı olabildiğince çabuk belirlenmelidir ve önlemler uygulanmalıdır.
Orta Düzeltici önlemlerin alınması gerekmektedir. Hangi önlemlerin alınacağı ve nasıl uygulanacağına dair plan makul bir süre içerisinde hazırlanmalı ve uygulanmaya başlanmalıdır.
Düşük Önlem alınıp alınmayacağı sistem sahibi/sorumlusu tarafından belirlenmelidir. Eğer yeni önlemler alınmayacaksa risk kabul edilmelidir.

Uygun Kontrollerin Belirlenmesi

Yapılan risk derecelendirme çalışmalarının sonucunda risklerin azaltılmasını veya ortadan kaldırılmasını sağlayacak kontrol önerileri belirlenmelidir. Önerilecek kontrollerin amacı riski kurumun kabul edebileceği bir değere düşürmek olmalıdır. Önerilecek kontrollerde kontrollerin etkinliği, yasalar ve düzenlemeler, iş yapma biçimine getireceği değişiklikler, kurum politikaları ve güvenlik konuları dikkate alınması gereken başlıca konulardır.

Uygulanabilecek olası kontroller belirlenirken başvurabilecek kaynaklardan biri “TS ISO/IEC 27001:2005 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardıdır. Bu standart, güvenlik politikası, bilgi güvenliği organizasyonu, varlık yönetimi, insan kaynakları güvenliği, fiziksel ve çevresel güvenlik, haberleşme ve işletim yönetimi, erişim kontrolü, bilgi sistemleri edinim, geliştirme ve bakımı, bilgi güvenliği ihlal olayı yönetimi, iş sürekliliği yönetimi ve uyum ana başlıkları altında pek çok kontrol önerisi içermektedir. Ayrıca bu kontrollerin gerçekleştirilmesine ait öneriler ve en iyi uygulamalar için TS ISO/IEC 27002:2005 standardına başvurulmalıdır.

Sonuçların Dokümantasyonu

Sonuçların dokümantasyonu risk analizi sürecinde en önemli adımlardan biridir. Bu dokümanlar mevcut risk ve kontrollerin herkes tarafından bilinmesini sağlarlar. Ayrıca bu dokümanlar daha sonraki risk analizlerine girdi teşkil ederler.

Risk analizi süreci tamamlandığında sonuçlar bir rapor olarak dokümante edilmelidir. Bu rapor yönetimin ve süreç sahiplerinin politikalarda, prosedürlerde, bütçede ve sistemin kullanımında veya yönetiminde yapılacak değişikliklerde karar verirken kullanacağı yönetimsel bir rapordur.

Yönetimin riskleri rahat bir şekilde anlayabilmesi için açık ve sistematik olmalıdır. Belirlenen riskler için uygulanacak kontrollere bu rapor göz önünde bulundurularak karar verilecektir.

ISO 27001 Baş Denetçi Serkan KAHRAMAN

s.kahraman@kvkkdanismanlik.com