Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
d) Tehditleri Tanımlamak
Tehditler, hasarı önlemek için yeterli kontroller mevcut değilse, CIA’yı etkileme potansiyeline sahip tehlikelerdir. Bunlar, insan teh- ditlerinden (örn. Dikkatsizlik, insan hatası, casusluk, hassas veri if- şası, sosyal medya istismarları, sabotaj, dolandırıcılık) çevresel teh- ditlere (örn. Güç / ısıtma, havalandırma, klima [HVAC] dalgalan- ması, kablo kesintileri) kadar uzanabilir. teknik tehditlere (hırsızlık, hassas medya bertarafı, sunucu odaları, kırık su boruları, yangın), (örneğin, oturum açma, kötü amaçlı kod, yetkisiz erişim, oturum devralma, mobil medya kaybı, donanım / yazılım hatası, uzaktan erişim). - Kuruluş kendisine özgü tehditleri tespit etti mi? Örneğin, eğer veri merkezi tehlikeli maddelerin taşındığı bir tren yolunun ya- kınındaysa, bu muhasebeleştirilmiş midir? 1 Confidentiality, Integrity, Availability ifadelerinin kısaltılmasıdır. D R . A H M E T E F E 360 - Ya da hacktivizm ilgisini çekebilecek faaliyetlerde yer alan kuru- luş mu? Her kurumun, faaliyet gösterdiği sektöre ve saldırganın güdülerine dayanan tehditleri değerlendirmesi gerekir. e) Güvenlik Açıklarını Tanımlamak Güvenlik açıkları risk değerlendirme süreci için son derece önemli- dir. Özellikle, güvenlik açıkları bir istismarın gerçekleşmesi için fır- sat sağlar; mantıksal olarak, bu nedenle ve tanım gereği, bir güven- lik açığı olmadan, herhangi bir risk yoktur, bir korunmasızlıkla risk potansiyel olarak çok büyük olabilir. Sistem yazılımı, prosedürleri ve dahili kontrollerdeki bu güvenlik açıklarının çoğu uygulanma- yan bir kontrolün sonucudur. Birisi bir sanat müzesine gitme ve du- vardan değerli bir resim çekmeyi arzulayabilir; ancak, ön kapıdan değerli bir sanat eseriyle çıkma yeteneğinin, bir dizi alarm ve hır- sızlığı durduran güvenlik görevlileriyle karşılaşacağından şüphe- lenirdi. Bunlar uygun kontrollerle hafifletilen güvenlik açıklarıdır. Öyleyse, soru, zayıflıkların dürüst bir şekilde riski değerlendirmek için gözden geçirildiği örgüte sahip mi? Bu güvenlik açıkları yıldan yıla gözden geçirilmeksizin kabul edildi ve kabul edildi mi? Yüklə 3,91 Mb. Dostları ilə paylaş:
|