Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
b) Siber Güvenlik Risk Değerlendirmesi
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
b) Siber Güvenlik Risk Değerlendirmesi
Yönetim, nihai olarak organizasyon için yapılan risk kararlarına sahiptir. Bunlar siber güvenlik görevlisi (CSO) ve kurumsal yöne- timin risk yönetim süreçleri aracılığıyla alacağı uygun yöne ilişkin rehberlere dayanan kararlar olmalıdır. Risk, şirketin operasyonel alanlarında bulunur ve uygulanan kontroller kurumsal varlıkların korunmasını desteklemelidir. İşletme yöneticisinin, bölümün iş faa- liyetlerini sürdürmesi için gerekli olan gizlilik, bütünlük ve erişilebi- lirlik (CIA) kontrollerinin seviyesinin nasıl belirleneceği konusunda yönlendirilmesi gerekmektedir. Şirketler, ayrıntılı, nicel bir yöntem- den daha düşük bir maliyetle yeterli bir risk ölçümü sağlayabilecek niteliksel bir risk değerlendirme sürecinden yararlanabilir. Kanti- tatif yöntemler, riskle ilgili kesin ölçümlerin veya parasal miktarla- S İ B E R G Ü V E N L İ K D E N E T İ M İ 359 rının görünümünü sağlayabilir, ancak bu hesaplamalar genellikle çok hassas olmayan sübjektif olasılık ölçütlerine dayanır. Yönetim, yüksek / orta / düşük veya kırmızı / sarı / yeşil gibi hashboard veya heatmap gibi çeşitli isimlerle adlandırılan grafikleri ayrıntılı mate- matiksel formüllere göre daha kolay anlayabilir ve yorumlayabilir. Bu nedenle birçok kurum uzman, görüşüne dayanan niteliksel bir yaklaşım kullanmaktadır. Herhangi bir risk değerlendirmesindeki amaç, risk değerlendirmesinin daha kolay anlaşılması için riskin durumunu bildirmektir. Risk değerlendirme yaklaşımları tipik ola- rak aşağıdaki yapıları kullanarak çevreyi incelemeyi içerir. c) Sistemin Kapsamını Belirlemek Siber güvenlik sisteminin sınırları ve CIA 1 gereklilikleri bilinmeli- dir. Risk değerlendirmesinde yer alan sistem ve veriler, halihazırda sistem içerisinde faaliyet gösteren belgelendirilmiş bir ticari amaca, teknik şartnameye ve kontrollere sahip olmalıdır. Bu gereksinimleri anlamak ve bunun CIA gerekliliklerine göre düşük, orta veya yük- sek bir sistem olup olmadığını, risk değerlendirmesi için sistemin çerçevelenmesine yardımcı olacaktır. Sistemin doğru şekilde dü- zenlenememesi, kritik varlıkların güvenlik korumalarından çıkarıl- masına neden olabilir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|