Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
f) Mevcut Kontrolleri Tanımlamak
Tehditler, riskler ve etkileri tespit edildikten sonra mevcut süreçler- de ne tür kontrollerin olduğunu detaylı olarak tespit ederek bun- ların geçerliliklerini koruyup korumadıkları ve güncellenmeleri gerekip gerekmediği de değerlendirilmelidir. Yeni bir kontrol tasar- larken ve uygularken, amaç bilgi kaynaklarının CIA’sini sağlamak olmalıdır. Kontrol etkinliğini ve sürdürülebilirliği sağlamak genel yönetim sürecinin bir parçası olmalıdır. Kontrol tasarımı, izleme ve test etme, sahiplik dahil olmak üzere bu sürecin temel anahtarıdır. COBIT® 5’i kullanma bu süreçle ilgili özel yetkinlikler ve detaylar sağlar [7]. Ayrıca, Güvenlik için COBIT® 5, ISO/IEC 27001, NIST Siber Güvenlik Çerçevesi gibi kontrol çerçeveleri Yönetişim ve de- taylı kontrol seviyelerinde seçim yapmak için mükemmel olanaklar sağlar. Bunlar daha ayrıntılı satıcı rehberliği ile desteklenebilir. g) Etkileri Belirlemek Bu adım, güvenlik açığının sömürüldüğünü ve kuruluşun yapılan zararı değerlendirip yanıtlayabileceğini varsayar. Finansal bir sis- S İ B E R G Ü V E N L İ K D E N E T İ M İ 361 tem kesintisi maliyetine ilişkin bilgi sağlayabilir veya veri ihlalle- ri konusunda deneyimli / harici kaynaklar, maliyetin kuruluş için yüksek olup olmadığına veya bir zarar yazımı olarak kabul edilip edilmeyeceğine karar verilebilir. Belirli ihlal senaryolarının ger- çekleşmesi durumunda ne tür maliyetlerin olabileceği ve bunlara tahammül edilip edilemeyeceği yani risk profili ile risk iştahının be- lirlenmesi etki analizine dayanır. Etkiler, kurumsal veya kişisel veri veya bilginin yetkisiz bir şekilde ifşa edilmesine, verilerin imhasına, sistem kaybına, itibar kaybına, pazar payının kaybına, hisse değe- rinin düşmesine ve riskin atfedilen varlığın değerine etki edebilir. Bazen, yeni bir ürün projesi, pazarlama planları veya tasarım özel- liklerinin çalışması gibi durumlarda, firmanın masrafları (müşteri gruplarının listesi veya dahili fiyatlandırma listeleri) arttıkça, etki kolayca bilinemeyebilir. Rakip firmaların araştırma ve tasarım ma- liyetleri olmaksızın çalıntı bilgilerle daha düşük bir maliyetle aynı ürünü inşa etmeleri de dikkate alınmalıdır. İstisnai bir güvenlik açı- ğına cevap verecek düzeltici kontrollerin yapılması önemli olmakla birlikte, önleyici kontrollerin bir saldırının olasılığını azaltmak için etkin ve verimli bir şekilde çalışmasını sağlamak daha önemlidir. Bazen olay bittikten sonra düzeltmek çok zor veya imkânsız olabi- lir. Etkin bir risk değerlendirmesi, uygun kontrol düzeylerini belir- lemede yönetimi yönlendirecektir. Ancak, çoklu değişkenlere bağlı olarak önleyici, dedektif ve düzeltici önlemleri uygulamaktan so- rumlu olan yönetimdir. Etki değerlendirme sürecinin ne kadar ob- jektif olduğu, projeksiyonların ne ölçüde makul olduğu konusunda denetim ekibinin değerlendirme yapmasında fayda vardır. Eğer afaki bir şekilde etki değerlendirmelerinin yapıldığı tespit edilirse risk yönetiminin etkin işlemediği kanısına varılabilir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|