Bilgi Güvenliği Risk Değerlendirmesi İçin Kontrol Listesi
Bilgi Güvenliği Risk Yönetimi Nedir? Bilgi Güvenliği Risk Değerlendirmesi Nasıl Yapılır?
Bilgi güvenliği risk değerlendirmesi, bilgi sistemlerinin işletilmesinden ve kullanılmasından kaynaklanan varlıklara ilişkin riskleri tanımlamak, tahmin etmek ve önceliklendirmek için kullanılır.
Risk değerlendirmesi öncelikle bir iş kavramıdır ve her şey parayla ilgilidir. Öncelikle kuruluşunuzun nasıl para kazandığını, çalışanların ve varlıkların işletmenin karlılığını nasıl etkilediğini ve hangi risklerin şirket için büyük parasal kayıplara yol açabileceğini düşünmelisiniz. Bundan sonra, kuruluşta en büyük finansal kayıplara yol açabilecek riskleri azaltmak için BT altyapınızı nasıl geliştirebileceğinizi düşünmelisiniz.
Temel risk değerlendirmesi sadece 3 faktör içerir:
- Risk altındaki varlıkların önemi
- Tehdidin ne kadar kritik olduğu
- Sistem bu tehditler karşısında ne kadar savunmasız?
Bu faktörleri kullanılarak kuruluşunuzun para kaybı olasılığı riskini değerlendirebilirsiniz. Risk değerlendirmesi rakamlarla değil mantıksal yapılarla ilgili olsa da, bunu bir formül olarak temsil etmek yararlıdır:
Risk = Varlık x Tehdit x Güvenlik Açığı
Bununla birlikte sıfır kez herhangi bir şeyin değerinin sıfır olduğunu unutmayın. Örneğin, tehdit faktörü yüksekse ve güvenlik açığı seviyesi yüksekse, ancak varlık önemi sıfırsa (başka bir deyişle, sizin için paraya değmezse), para kaybetmek yine sıfır olacaktır.
Riski değerlendirmek için ihtiyacınız olan bilgileri toplamanın birçok yolu vardır.
Örneğin:
- Veri sahipleri ve diğer çalışanlar ile görüşmek,
- Sistemlerin ve altyapının analizi,
- Sistem dokümantasyonu, bakım sözleşmeleri, garanti ve diğer belgelerin incelenmesi
Bilgi güvenliği risk değerlendirmesi adımları:
- Değerli varlıkları belirleyin. Kuruluşta, parasal zarara yol açacak şekilde tehditlerden zarar görebilecek tüm değerli varlıkları bulun. Örnek:
- Sunucular
- İnternet siteleri
- Müşteri iletişim bilgileri
- Ortaklık belgeleri
- Ticaret sırları
- Müşteri kredi kartı verileri
- Olası sonuçları belirleyin. Belirli bir varlığın hasar görmesi durumunda kuruluşun ne kadar mali zararı olacağını belirleyin. İlgilenmeniz gereken bazı sonuçlar şunlardır:
- Veri kaybı
- Sistem veya uygulama kapalı kalma süresi
- Hukuki sonuçları
- Tehditleri ve seviyelerini belirleyin. Tehdit, güvenliğinizi ihlal etmek ve varlıklarınıza zarar vermek için bir güvenlik açığından yararlanabilecek her şeydir. İşte bazı yaygın tehditler:
- Doğal afetler
- Sistem arızaları
- Kazara insan müdahaleleri
- Kötü niyetli insan eylemleri
- Güvenlik açıklarını belirleyin ve bu açıklardan faydalanılma olasılığını değerlendirin. Güvenlik açığı, bazı tehditlerin güvenliğinizi ihlal etmesine ve bir öğeye zarar vermesine izin veren bir zayıflıktır. Sistemlerinizi belirli bir tehditten neyin koruduğunu düşünün. Eğer tehdit gerçekten ortaya çıkarsa, varlıklarınıza gerçekten zarar verme şansı olup olmadığını değerlendirin. Güvenlik açıkları fiziksel (eski ekipman gibi), yazılım tasarımı veya yapılandırmasıyla ilgili sorunlar (gereksiz erişim izinleri veya güncel olmayan yazılımlar gibi) veya insan faktörleri (eğitimsiz veya dikkatsiz personel gibi) olabilir.
- Risk belirleme. Risk, belirli bir tehdidin çevredeki güvenlik açıklarından yararlanma ve bir veya daha fazla varlığa zarar verme ve para kaybına yol açma potansiyelidir. Riski yukarıda belirtilen mantıksal formüle göre değerlendirin ve yüksek, orta veya düşük bir değer atayın. Ardından, maliyetinin bir tahmini ile birlikte her yüksek ve orta risk için bir çözüm geliştirin.
- Risk yönetim planı. Toplanan verileri kullanarak bir risk yönetim planı oluşturun. Örnek:
- Risk stratejisi. Bilgi Teknolojileri altyapısı geliştirmeleri için ve önemli güvenlik açıklarını azaltmak için stratejiler oluşturun.
- Etki azaltma süreçlerini tanımlanmalıdır. Bilgi Teknolojileri güvenlik altyapınızı iyileştirebilirsiniz, ancak tüm riskleri ortadan kaldıramazsınız. Bir felaket olduğunda, olanları düzeltir, neden olduğunu araştırırsınız ve tekrar olmasını önlemeye çalışırsınız veya en azından sonuçları daha az zararlı hale getirirsiniz.
Bilgi Güvenliği Risk Yönetimi
Bilgi güvenliği risk değerlendirmesi bir defalık bir olay değildir. Hem Bilgi Teknolojileri ortamınız hem de tehdit ortamı sürekli olarak değişmektedir, bu nedenle risk değerlendirmesini düzenli olarak yapmanız gerekir. Risk değerlendirme metodolojinizi kodlayan ve risk değerlendirme sürecinin ne sıklıkta tekrarlanması gerektiğini belirten bir risk yönetim politikası oluşturun. Microsoft Siber Güvenlik için Risk Yönetimi isimli dokümanı da ilginizi çekebilir.