Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
h) Risk Seviyesini Belirlemek
Risk genellikle, ortaya çıkma olasılığını ve etki değerleriyle birlikte derecelenerek belirlenir ve mevcut tehdit, güvenlik açıkları ve kont- rol ortamı durumunu kabul ederek bir risk seviyesinin tespit edil- mesine olanak sağlar. Organizasyon ek kontrollerin uygulanması yoluyla riski azaltma fırsatına sahiptir. Bu kontroller uygulandıktan sonra kontrol edilmeyen risk, kalan (residual) risk olarak tanımlan- maktadır. Kuruluş, kalan bakiye risk kabul edilebilir düzeye inene kadar kontrolleri uygulamalı ve yönetim riski resmi olarak kabul D R . A H M E T E F E 362 etmeye istekli olmalıdır. Her şeyde risk vardır ve makul olan ise kabul edilebilir maliyetle orantılı bir fayda sağlayan bir risk düzeyi bulmaktadır. Yani kabul edilebilir risk düzeyindeki fırsatları değer- lendirmek gerekir. Örneğin, sanal özel ağlar (VPN’ler) ve iki fak- törlü kimlik doğrulaması gibi BT kontrollerinin uygulanması, uy- gulanmayan güvenlik açıklarını kaldırarak, çoğu kuruluş için kabul edilebilir bir düzeye erişebilmeleri için, araya girme (in-themiddle) veya gizlice dinleme (sniffing) saldırıları riskini azaltır. Oldukça gizli ve stratejik bir devlet kurumu için bu kontrol yeterli olmayabi- lir ve özel ağlara ve artırılmış erişim yetkisine yönelik kısıtlamalar bilgi sisteminin ve varlıkların CIA gereksinimlerine dayanan gerek- li bir kontrol olabilir. Denetçiler tarafından risk seviyesi belirleme sürecinin işleyişi değerlendirilmelidir. i) Siber Güvenlik Risk Tepkisini Anlamak Risk, dikkatin gerekli olduğu seviyeye yükseldiğinde (örneğin, yüksek veya orta riskli ya da birden fazla düşük riskli bir kombinas- yonda), yönetim, hangi yaklaşımı benimseyeceğine karar vermeli- dir. En belirgin yaklaşım, riski azaltmak için insanlara, teknolojiye veya süreçlere yatırım yapmaktır. Ancak, bu organizasyonun sahip olmadığı kaynak ve para gerektirir. Organizasyon ayrıca bu süreç- te birçok risk alanını ortaya çıkarmış olabilir ve birkaç yıl boyunca fonların izin verdiği ölçüde (büyük olasılıkla) öncelikli olarak azal- tılması planlanmalıdır. Alternatif olarak, riski çözmek için başka se- çenekler de vardır. Risk, şirketin risk iştahına uyuyorsa olduğu gibi kabul edilebilir. Diğer bir deyişle şirket, olayın gerçekleşmeyeceği ihtimalini, muhtemelen etkinin düşük olması ya da tehdit olasılığı- nın önemsiz olması ihtimalini göz önünde bulundurmak istemek- tedir. Örneğin, bir kuruluş fidye yazılımını hedefleyen yeni bir kötü amaçlı yazılım son nokta koruma ürününe yatırım yapamayabilir çünkü düşük maliyet olarak algılamış olabilir (yedekleme bantla- rından geri yükleme, iş istasyonu bölümlere ayrılmış bir ağ üze- rindedir) veya diğer tehdit önleme mekanizmaları vardır. Bunlara örnek olarak son kullanıcı kimlik avı eğitimi bilinci ve e-posta tara- ması teknolojisi olarak kötü amaçlı bağlantılar için yeniden yazma ve test etme gibi kontroller verilebilir. Riskin kabul edildiği durum- larda, etkin bir yöntem, üst düzey yönetim seviyesinde birisinin iş gerekçeleri, gelecekteki etki azaltma planları ve imzanın destekledi- ği riskleri kabul etmesidir. S İ B E R G Ü V E N L İ K D E N E T İ M İ 363 Kuruluş, sunucunun artık yamaları almayan veya üretici tarafından desteklenmeyen bir işletim sisteminin hizmetten çıkarılması riskini ortadan kaldırmaya karar verebilir. Riski azaltmak için diğer tespit edici veya önleyici kontrolleri ekleyerek riski sınırlandırmaya karar verebilir. Cihazda veri sızması göründüğünde uyarı vermek için ağ günlüklerinde bulunan süreç alarmlarına eklenebilir. Siber sigorta yaptırmak, riski başka bir tarafa aktarma yoluyla azaltmanın başka bir yoludur. Bu, riski azaltmayacak veya nihai sorumluluğu transfer etmeyecek olsa da, meydana geldiğinde olayın mali etkisini azal- tabilir. Yeterli finansmanı sağlamak için, siber güvenlik iyileştirme planlarının tipik olarak bir süre içinde yürütülmesi gerekmektedir. Kuruluşlar, kritik güvenlik açıkları gibi belirli inceleme türlerinin, varlığa ve kuruluşa bağlı olarak yedi, 30 veya 90 gün içinde ele alın- masını beklemelidir. Bu örneklerin, güvenlik açıklarının zaman di- limlerinde ele alındığından emin olmak için denetçiler tarafından gözden geçirilmesi gerekir; Aksi takdirde, tehdidin uygun şekilde ele alınması için süreçlerde veya beklentilerde değişiklikler tespit edilmelidir. Bilgi Güvenliği için COBIT 5, ISO/IEC 27001 ve NIST Siber Güvenlik Çerçevesi gibi çerçeveler, kabul edilebilir bir düze- ye indirilmesini sağlamak için siber güvenlik riskinin yönetişimini teşvik eden araçlardır. Yüklə 3,91 Mb. Dostları ilə paylaş:
|