S İ B E R G Ü V E N L İ K D E N E T İ M İ
359
rının görünümünü sağlayabilir, ancak bu hesaplamalar genellikle
çok hassas olmayan sübjektif olasılık ölçütlerine dayanır. Yönetim,
yüksek / orta / düşük veya kırmızı / sarı / yeşil gibi hashboard veya
heatmap gibi çeşitli isimlerle adlandırılan grafikleri ayrıntılı mate-
matiksel formüllere göre daha kolay anlayabilir ve yorumlayabilir.
Bu nedenle birçok kurum uzman, görüşüne dayanan niteliksel bir
yaklaşım kullanmaktadır. Herhangi bir risk değerlendirmesindeki
amaç, risk değerlendirmesinin daha kolay anlaşılması
için riskin
durumunu bildirmektir. Risk değerlendirme yaklaşımları tipik ola-
rak aşağıdaki yapıları kullanarak çevreyi incelemeyi içerir.
c) Sistemin Kapsamını Belirlemek
Siber güvenlik sisteminin sınırları ve CIA
1
gereklilikleri bilinmeli-
dir. Risk değerlendirmesinde yer alan sistem ve veriler, halihazırda
sistem içerisinde faaliyet gösteren belgelendirilmiş bir ticari amaca,
teknik şartnameye ve kontrollere sahip olmalıdır. Bu gereksinimleri
anlamak ve bunun CIA gerekliliklerine göre düşük, orta veya yük-
sek bir sistem olup olmadığını, risk değerlendirmesi için sistemin
çerçevelenmesine yardımcı olacaktır.
Sistemin doğru şekilde dü-
zenlenememesi, kritik varlıkların güvenlik korumalarından çıkarıl-
masına neden olabilir.
Dostları ilə paylaş: