EN
EN

6 Farklı Risk Değerlendirme Metodolojisi


Kuruluşlar günümüzde birçok farklı siber tehdittin etkisi altındadır ve bilgi sistemleri farklı risklere sahiptir.  Kuruluşun hedef ve hizmetlerine göre bazı riskler diğer risklere göre daha büyüktür. Veyahut bazı riskleri azaltma veya yok etme çözümü pahalı olabilmektedir. Burada riskleri ve öncelikleri doğru belirleyip doğru yere kaynak harcamak gerekmektedir.

Risk belirlemede farklı yöntemler bulunmaktadır. Her birinin faydalı veya sakıncaları vardır. Bu metodolojilerin hiçbiri mükemmel değildir. Her birinin güçlü ve zayıf yönleri vardır. Kuruluşlar genellikle bu yaklaşımları birleştiren risk değerlendirmeleri gerçekleştirir.

Yönetim kurulu düzeyinde ve yönetici onayları en önemli kriter ise yaklaşımınız nicel yöntemlere yönelecektir. Çalışanlardan ve diğer paydaşlardan destek almanız gerekiyorsa daha nitel yaklaşımlar daha iyi olabilir. Varlığa dayalı değerlendirmeler, BT organizasyonunuzla doğal olarak uyumlu hale gelirken, tehdide dayalı değerlendirmeler günümüzün karmaşık siber güvenlik ortamına hitap eder.

Kuruluşunuzun maruz kaldığı riskleri sürekli olarak değerlendirmek, hassas bilgileri günümüzün siber tehditlerinden korumanın tek yoludur.

Risk Değerlendirmesi Nasıl Yapılır?

Risk değerlendirmesi, kuruluşların var olan ve olabilecek risklere yönelik nasıl biz yol izleyeceklerini belirleme şeklidir. Karar vericilerin, kuruluşun risklerinin aciliyetini ve riski hafifletme çabalarının ne kadara mal olacağını anlamaları gerekir. Risk değerlendirmeleri bu önceliklerin belirlenmesine yardımcı olur. Her bir riskin potansiyel etkisini ve olasılığını değerlendirirler. Karar vericiler daha sonra kuruluşun stratejisi, bütçesi ve zaman çizelgeleri bağlamında hangi hafifletme çabalarına öncelik verileceğini değerlendirebilir.

- Siber güvenlik risk değerlendirmesi, bir siber saldırıdan etkilenebilecek bilgi varlıklarını (donanım, sistemler, dizüstü bilgisayarlar, müşteri verileri ve fikri mülkiyet gibi) tanımlar. Daha sonra bu varlıkları etkileyebilecek riskleri tanımlar.
- Genellikle risk tahmini ve değerlendirmesi yapılır.  Ardından tanımlanan riskleri tedavi etmek için kontrollerin seçimi yapılır.
- Kuruluş bağlamındaki herhangi bir değişikliği tespit etmek ve tüm risk yönetimi sürecine ilişkin bir genel bakış sağlamak için risk ortamını sürekli olarak izlemek ve gözden geçirmek esastır.

Risk Değerlendirme Yöntemleri Nelerdir?

1. Nicel

Kantitatif yöntemde risk belirleme sürecinde analitik değerlendirmeler yapılır. Varlık ve risklere parasal değer atanır. Ortaya çıkan risk değerlendirmesi üst yönetimin anlayacağı şekilde finansal olarak sunulur. Maliyet-fayda analizleri, karar vericilerin hafifletme seçeneklerine öncelik vermesini sağlar.

Fakat nicel değerlendirme her zaman uygun bir yöntem olamayabilir.Bazı varlıklar veya riskler kolay ölçülemez. Bunlara sayısal değerlendirme yapmak doğru olmayan sonuçlara neden olabilir. Nitel yöntemler karmaşıktır ve bazı kuruluşlar nicel risk değerlendirmelerinin gerektirdiği dahili uzmanlığa sahip değildir.

2. Nitel

Nitel yöntemlerde paydaşlardan alınan fikirlerle araştırmacı bir yöntem kullanılır. Kuruluş genelindeki çalışanlarla görüşülür. Çalışanlar, bir sistemin çevrimdışı olması durumunda işlerini nasıl yapacaklarını veya yapıp yapmayacaklarını paylaşırlar. Değerlendiriciler riskleri Yüksek, Orta veya Düşük gibi kaba ölçeklerde sınıflandırmak için bu girdiyi kullanır. Niteliksel bir risk değerlendirmesi, risklerin bir kuruluşun operasyonlarını nasıl etkilediğine dair genel bir tablo sunar.

Kuruluş genelindeki kişilerin niteliksel risk değerlendirmelerini anlama olasılığı daha yüksektir. Öte yandan bu yaklaşımlar doğası gereği özneldir. Değerlendirme ekibi, kolayca açıklanabilen senaryolar geliştirmeli, önyargıdan kaçınan sorular ve görüşme metodolojileri geliştirmeli ve ardından sonuçları yorumlamalıdır.

3. Yarı Nicel

Bazı kuruluşlar nicel ve nitel yöntemleri birleştirerek kullanır. Bu yaklaşımda sayısal bir risk değeri atamak için 1-10 veya 1-100 gibi sayısal bir ölçek kullanır. Alt üçte birlik puan alan risk maddeleri düşük riskli, orta üçte birlik orta riskli ve yüksek üçte birlik yüksek riskli olarak gruplandırılır.

Nicel ve nitel metodolojileri harmanlamak, nicel değerlendirmenin yoğun olasılık ve varlık-değer hesaplamalarını önlerken, nitel değerlendirmeden daha analitik değerlendirmeler üretir. Yarı nicel yöntemler daha objektif olabilir ve risk kalemlerini önceliklendirmek için sağlam bir temel sağlar.

4. Varlığa Dayalı

Kuruluşlar genellikle BT riskini değerlendirmek için varlığa dayalı bir yaklaşım benimsemektedir. Ayrıca gündemimizde olan Bilgi ve İletişim Güvenliği Rehberi varlık grubu genelinde bir değerlendirme yapmaktadır. Varlıklar bir kuruluşun bilgilerini işleyen donanımlar, yazılımlar, ağlar ve verilerdir. Genellikle aşağıda verilen dört adım takip edilir:

- Tüm varlıkların envanteri çıkarılır.

- Mevcut kontrollerin etkinliği değerlendirilir.

- Her varlığın tehditleri ve güvenlik açıklıkları belirlenir.

- Her bir riskin potansiyel etkisi değerlendirilir.

Varlık tabanlı yaklaşımlar, bir BT departmanının yapısı, operasyonları ve kültürü ile uyumlu oldukları için popülerdir. Bir güvenlik duvarının risklerini ve kontrollerini anlamak kolaydır.

Ancak varlığa dayalı yaklaşımlar eksiksiz risk değerlendirmeleri üretemez. Bazı riskler bilgi altyapısının parçası değildir. Politikalar, süreçler ve faktörler kuruluşu yama uygulanmamış bir güvenlik duvarı kadar tehlikeye maruz bırakabilir.

5. Güvenlik Açığı Tabanlı

Güvenlik açığına dayalı metodolojiler, risk değerlendirmelerinin kapsamını bir kuruluşun varlıklarının ötesine genişletir. Bu süreç, ulusal kuruluşların belirlediği sistemlerdeki bilinen zayıflıkların ve eksikliklerin veya bu sistemlerin içinde çalıştığı ortamların incelenmesiyle başlar. Değerlendiriciler buradan, açıklardan yararlanmaların potansiyel sonuçlarıyla birlikte bu güvenlik açıklarından yararlanabilecek olası tehditleri belirler. Güvenlik açığı tabanlı risk değerlendirmelerini bir kuruluşun güvenlik açığı yönetimi süreciyle ilişkilendirmek, etkili risk yönetimi ve güvenlik açığı yönetimi süreçlerini gösterir.

Bu yaklaşım varlığa dayalı bir değerlendirmeden daha fazla risk yakalasa da bilinen güvenlik açıklarına dayalıdır ve bir kuruluşun karşı karşıya olduğu tüm tehditleri yakalayamayabilir.

6. Tehdit Tabanlı

Tehdit tabanlı yöntemler, bir kuruluşun genel risk duruşunun daha eksiksiz bir değerlendirmesini sağlayabilir. Bu yaklaşım, risk oluşturan koşulları değerlendirir. Varlıklar ve kontrolleri bu koşullara katkıda bulunduğundan bir varlık denetimi değerlendirmenin bir parçası olacaktır.

Tehdit temelli yaklaşımlar, fiziksel altyapının ötesine bakar. Örneğin, tehdit aktörlerinin kullandığı teknikleri değerlendirerek, değerlendirmeler hafifletme seçeneklerine yeniden öncelik verebilir. Siber güvenlik eğitimi, sosyal mühendislik saldırılarını azaltır. Varlığa dayalı bir değerlendirme, çalışan eğitimi yerine sistemik kontrollere öncelik verebilir. Tehdit temelli bir değerlendirme ise siber güvenlik eğitiminin sıklığını artırmanın riski daha düşük maliyetle azalttığını ortaya çıkarabilir.

Kaynak: Drata

Yazar: Nazlıcan Hatice Tanın / BeyazNet Bilgi Sistemleri Denerim Uzmanı