Active Directory Security

Bilgi Güvenliği Risk Değerlendirmesi İçin Kontrol Listesi

Bilgi Güvenliği Risk Yönetimi Nedir? Bilgi Güvenliği Risk Değerlendirmesi Nasıl Yapılır?

Bilgi güvenliği risk değerlendirmesi, bilgi sistemlerinin işletilmesinden ve kullanılmasından kaynaklanan varlıklara ilişkin riskleri tanımlamak, tahmin etmek ve önceliklendirmek için kullanılır.

Risk değerlendirmesi öncelikle bir iş kavramıdır ve her şey parayla ilgilidir. Öncelikle kuruluşunuzun nasıl para kazandığını, çalışanların ve varlıkların işletmenin karlılığını nasıl etkilediğini ve hangi risklerin şirket için büyük parasal kayıplara yol açabileceğini düşünmelisiniz. Bundan sonra, kuruluşta en büyük finansal kayıplara yol açabilecek riskleri azaltmak için BT altyapınızı nasıl geliştirebileceğinizi düşünmelisiniz.

Temel risk değerlendirmesi sadece 3 faktör içerir:

  1. Risk altındaki varlıkların önemi
  2. Tehdidin ne kadar kritik olduğu
  3. Sistem bu tehditler karşısında ne kadar savunmasız?

Bu faktörleri kullanılarak kuruluşunuzun para kaybı olasılığı riskini değerlendirebilirsiniz. Risk değerlendirmesi rakamlarla değil mantıksal yapılarla ilgili olsa da, bunu bir formül olarak temsil etmek yararlıdır:

Risk = Varlık x Tehdit x Güvenlik Açığı

Bununla birlikte sıfır kez herhangi bir şeyin değerinin sıfır olduğunu unutmayın. Örneğin, tehdit faktörü yüksekse ve güvenlik açığı seviyesi yüksekse, ancak varlık önemi sıfırsa (başka bir deyişle, sizin için paraya değmezse), para kaybetmek yine sıfır olacaktır.

Riski değerlendirmek için ihtiyacınız olan bilgileri toplamanın birçok yolu vardır.

Örneğin:

  • Veri sahipleri ve diğer çalışanlar ile görüşmek,
  • Sistemlerin ve altyapının analizi,
  • Sistem dokümantasyonu, bakım sözleşmeleri, garanti ve diğer belgelerin incelenmesi

Bilgi güvenliği risk değerlendirmesi adımları:

  1. Değerli varlıkları belirleyin. Kuruluşta, parasal zarara yol açacak şekilde tehditlerden zarar görebilecek tüm değerli varlıkları bulun. Örnek:
    • Sunucular
    • İnternet siteleri
    • Müşteri iletişim bilgileri
    • Ortaklık belgeleri
    • Ticaret sırları
    • Müşteri kredi kartı verileri
  2. Olası sonuçları belirleyin. Belirli bir varlığın hasar görmesi durumunda kuruluşun ne kadar mali zararı olacağını belirleyin. İlgilenmeniz gereken bazı sonuçlar şunlardır:
    • Veri kaybı
    • Sistem veya uygulama kapalı kalma süresi
    • Hukuki sonuçları
  3. Tehditleri ve seviyelerini belirleyin. Tehdit, güvenliğinizi ihlal etmek ve varlıklarınıza zarar vermek için bir güvenlik açığından yararlanabilecek her şeydir. İşte bazı yaygın tehditler:
    • Doğal afetler
    • Sistem arızaları
    • Kazara insan müdahaleleri
    • Kötü niyetli insan eylemleri
  4. Güvenlik açıklarını belirleyin ve bu açıklardan faydalanılma olasılığını değerlendirin. Güvenlik açığı, bazı tehditlerin güvenliğinizi ihlal etmesine ve bir öğeye zarar vermesine izin veren bir zayıflıktır. Sistemlerinizi belirli bir tehditten neyin koruduğunu düşünün. Eğer tehdit gerçekten ortaya çıkarsa, varlıklarınıza gerçekten zarar verme şansı olup olmadığını değerlendirin. Güvenlik açıkları fiziksel (eski ekipman gibi), yazılım tasarımı veya yapılandırmasıyla ilgili sorunlar (gereksiz erişim izinleri veya güncel olmayan yazılımlar gibi) veya insan faktörleri (eğitimsiz veya dikkatsiz personel gibi) olabilir.
  5. Risk belirleme. Risk, belirli bir tehdidin çevredeki güvenlik açıklarından yararlanma ve bir veya daha fazla varlığa zarar verme ve para kaybına yol açma potansiyelidir. Riski yukarıda belirtilen mantıksal formüle göre değerlendirin ve yüksek, orta veya düşük bir değer atayın. Ardından, maliyetinin bir tahmini ile birlikte her yüksek ve orta risk için bir çözüm geliştirin.
  6. Risk yönetim planı. Toplanan verileri kullanarak bir risk yönetim planı oluşturun. Örnek:
    Bilgi Güvenliği Risk Değerlendirmesi Kontrol Listesi
    Bilgi Güvenliği Risk Değerlendirmesi Kontrol Listesi
  7. Risk stratejisi. Bilgi Teknolojileri altyapısı geliştirmeleri için ve önemli güvenlik açıklarını azaltmak için stratejiler oluşturun.
  8. Etki azaltma süreçlerini tanımlanmalıdır. Bilgi Teknolojileri güvenlik altyapınızı iyileştirebilirsiniz, ancak tüm riskleri ortadan kaldıramazsınız. Bir felaket olduğunda, olanları düzeltir, neden olduğunu araştırırsınız ve tekrar olmasını önlemeye çalışırsınız veya en azından sonuçları daha az zararlı hale getirirsiniz.

Bilgi Güvenliği Risk Yönetimi

Bilgi güvenliği risk değerlendirmesi bir defalık bir olay değildir. Hem Bilgi Teknolojileri ortamınız hem de tehdit ortamı sürekli olarak değişmektedir, bu nedenle risk değerlendirmesini düzenli olarak yapmanız gerekir. Risk değerlendirme metodolojinizi kodlayan ve risk değerlendirme sürecinin ne sıklıkta tekrarlanması gerektiğini belirten bir risk yönetim politikası oluşturun. Microsoft Siber Güvenlik için Risk Yönetimi isimli dokümanı da ilginizi çekebilir.

Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu