Risk Analizi ve Faydaları

Özetçe

Bilgi Güvenliği Farkındalık Programları veya Bilgi Güvenliği Farkındalık Eğitimleri ile Günümüzde birçok şirket veya kurum, bilgilerinin önemini daha iyi anlamakta ve bu verileri korumak için Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak istemektedir. Bu süreci de sertifikalandırmak için ISO 27001 sertifikasyon programlarına başvurmaktadır. ISO 27001 Sertifikasyon programı, kurum içerisindeki risklerin tamamının analiz edilmesini ve bu analiz sonrasında risk oluşturacak veya oluşturmayacak bilgilerin sınıflandırılmasını, risk gruplarına göre koruma politikası geliştirmeyi hedeflemektedir. Risk içeren bilgi veya belgelerin tutulduğu fiziksel veya sistemsel ortamların gözden geçirilmesi, Bilgi Güvenliği Yönetim Sistemi standartlarına göre bilginin risk durumunun analiz edilmesi ve sonrasında kritik olarak sınıflandırılan belgelerin korunması veya yedeklenmesini hedeflemektedir. Bilgi Güvenliği Yönetim Sistemi, kritik verilerin zarar görmesini, gizliliğinin ifşa edilmesini, çalınmasını, bütünlüğünün yitirilmesini, belirli erişilebilirlik standartları çerçevesinde erişilmesini düzenlemektedir. Risk analizi, olası tehditlerin tanınmasını, oluşturacağı risklerin raporlanmasını ve sonrasında o riskler için önlem alınmasını sağlaması açısından, yaşanabilecek olası tehditlerde riski minimuma indirmeyi hedeflemektedir.

Giriş

Risk, bir olay veya bir olgunun içinde, onun doğası gereği var olan ve gerçekleştiği zaman kesinlikle zarar veren bir durumdur. Risk aslında bir somut değer değil, birden fazla değişkeni olan bir olasılık değeridir.

Standardın 4.2.3.-d maddesinde “iş hedefleri ve iş süreçlerindeki değişikliklere göre risk değerlendirmesinin gözden geçirilmesi” yer aldığı üzere, yukarda tanımı yapılan risk kavramının değerlendirilmesi ve ilgili maddeye göre prosedürlerin geliştirilmesi gerekmektedir. Risk analizi Bilgi Güvenliği Yönetim Sistemi kurmanın hayati öneme sahip bir parçasıdır. Riski tanımadan, o riske karşı önlem almak mümkün değildir.

Risk Analiz Yöntemleri

Risk analizi, riski tahmin etmek amacıyla yapılan sistematik çalışmalardır. Risk analizinin amacı, olası risk tahminlerinin oluşturduğu risk faktörlerine göre tedbir almak ve yaşanabilecek olası risklerden doğacak zararı minimuma indirmeyi hedeflemektir.

Olası risk, bir varlıkta mevcut olarak bulunan bir zafiyetin tehdit olarak kullanılması ihtimalidir. Yani Risk; varlık, zafiyet ve tehdit olmak üzere 3 adet parametreye bağlıdır. Burada mevcut parametrelerin değerlerinin değişkenliği, ilgili risk faktörünün de artmasına ya da azalmasına sebep olabilmektedir. Örneğin, varlıkta mevcut olan zafiyetin yol açabileceği risk faktörü zafiyetin kritikliğine göre değişebilmektedir. Çok ciddi bir zafiyet barındıran sistemin risk faktörü, riskin etken maddesi yüksek olduğundan dolayı artmakta, basit zafiyetler barındıran sistemin risk faktörü, riskin etken maddesi düşük olduğundan dolayı azalmaktadır.

 

 Risk  For mülü  =  f(Varlık,  Zafiyet,  Tehdit)
F: Risk Modeli
Varlık: Korumaya çalıştığımız bilgi ve bilgi kaynakları
Zafiyet: BGYS’de mevcut olan açık kapılar, sömürülmeye açık kaynaklar
Tehdit: Risk unsurunu oluşturacak olan tehlike

 

Risk analizinde ilk akla gelen sunucular veya teknik alt yapılar olsa da, risk analizinde en büyük bölümü kapsam ve insan ilişkilerinden oluşmaktadır. Kurum içinden dışarıya veri çıkartma veya veri ifşası konusunu güvenlik duvarları üzerinden birkaç kural tanımı ile engellemek kolay iken, bunun ekran görüntüleriyle, USB bellekler ile ya da kâğıda yazarak ifşasını engellemek çok daha zordur. Bu da bilgi güvenliğinin teknik boyutundan çok, sosyal boyutunun zor olduğunu gözler önüne sermektedir.

Risk analizlerinde, risk modellemeleri yapabilen, riski sanallaştırabilen yazılımlar mevcuttur. Bu yazılımlar, Bilgi Güvenliği Yönetim Sistemi kapsamındaki risk analizlerinde kullanılabilmektedir. Fakat ülkemizde bu tarz yazılımlar, maliyet açısından çok yüksek rakamlara mal olması sebebiyle tercih edilmemektedir. CRAMM (CCTA Risk Analysis and Management Metod) ve Risk Watch ürünleri bunlardan birer örnektir.

Ülkemizde son dönemlerde Bilgi Güvenliği Yönetim Sistemi’ne olan talebin artması sevindirici bir gelişmedir. Fakat çoğu zaman yanlış anlaşılan konulardan dolayı birçok süreç sıkıntıya düşme durumunda kalmaktadır. Bilgi Güvenliği Yönetim Sistemi’ni oluşturmak, bir “bilgi işlem departmanı” görevi değildir. Bilgi Güvenliği Yönetim Sistemi çerçevesinde, bilgi işlem departmanına da belli görevler düşmektedir. Bu görevler, sistem üzerinde sağlanabilecek kısıtlamaların, kontrollerin sağlanması olmaktadır. Bunun dışında, bilginin sahibi, o bilgiyi üreten kişi olduğundan, Bilgi Güvenliği Yönetim Sistemi, bilginin sahiplerini, dolayısıyla en üst kademe yöneticilerinden en alt kademe personellerine kadar tüm herkesi kapsayan ve herkesin destek vermesi gereken bir yönetim sistemidir. Bilgi işlem birimi tarafından alınacak tüm engellere rağmen, riskin ana unsurunu oluşturan personeller tarafından bilerek veya bilmeyerek veri sızdırılması zincirin en zayıf halkasından güvenliğe başlamamız gerektiğini gözler önüne sermektedir.

Metotlar

  • Nicel Risk Analiz Metodu

Risk hesaplanırken farklı yöntemler kullanılabilir. Nicel anlamda bir riskin hesaplanması, geçmişte yaşanmış veya yaşanması muhtemel risklerin istatistiksel olarak hesaplanmasıdır. Bu yöntem objektif ve daha kararlı olduğu için tercih edilmektedir. Fakat geçmişe dönük bir veri olmaması durumunda nicel risk analizi yapmak bir hayli güç olmaktadır.

  • Nitel Risk Analiz Metodu

Riskin ve riskin işletmeye/kuruma olan etkisinin tahmini olarak hesaplanması işidir. Sayısal değerlere dayanmayan bu tahmin metodunun bazı dezavantajları bulunmaktadır. Kişisel yoruma veya bakış açısına göre değişkenlik göstermesi, standart bir analiz raporunun ortaya konulamaması bu risk analiz türünü zor ve değersiz kılmaktadır.

 

  • Yarı Nicel Yarı Nitel Metot

Elde edilebilecek kadar sayısal değerlerin bir araya getirilmesinin ardından, sayısal değerler üzerinden mantıksal tahminler yürütme işlemine denilmektedir. En sık kullanılan ve yararlı olan analiz metodu yöntemi de budur. Elde olan verilerin tehdit gruplarına göre yorumlanarak sınıflandırılması, bunlar sayısal verileri elde edildikten sonra risk matrisine tabi tutularak önceliklerin belirlenmesi konusunda faydalı olmaktadır. Sınıflandırma işleminin tamamlanmasının akabinde, tehdit raporu hazırlanarak olası riskler üzerinde değerlendirme yapılır.

 

Risk Kategorileri

Riskler belirli kategorilere göre sınıflandırılmaktadır. Bu sınıflandırmanın amacı, risk grupları hakkında risk seviyelerinin daha kolay belirlenmesinin sağlanmasıdır.

  • Organizasyon Yapısı

Bu kapsamda mevcut organizasyon yapısı ve mimarisi incelenerek güvenlik konusunun kişi ve kademeler arasında ne ölçüde paylaşılacağı ve sorumluluk dağılımlarının incelenmesi ve yeniden düzenlenmesi gerekmektedir. Görev tanımlarında kişilerin üstlendikleri görevlerin oluşturabilecekleri risk durumları da değerlendirilmeli, bilgi güvenliği alanında kritik iş yapacak pozisyonla alakalı kişi arayışına gidilirken bu ölçüt de göz ardı edilmemelidir. Mülakatlarda veya mülakat sonrasında kişi hakkında detaylı araştırma yapılmalı, o pozisyon için uygunluğu değerlendirilmelidir. Sonrasında da kişi ile ayrı bir gizlilik sözleşmesi yapılmalıdır.

  • Personel Güvenliği

Bu kapsamda insani durumlardan kaynaklanan riskler değerlendirilmeli ve kategorize edilmelidir. Hırsızlık, bilgi kaynaklarının izinsiz veya 3. Kişiler tarafından kullanımı, kötüye kullanım gibi etkenler değerlendirilmeli ve raporlanmalıdır. Personellerin farkındalık seviyeleri ve bilinçli ya da bilinçsiz olası tehditleri değerlendirilmeli ve yeniden düzenlenmelidir. Personellerin farkındalık düzeylerinin artırılması için çalışmalar yapılmalı ve personellerden kaynaklanabilecek riskler minimize edilmelidir.

  • Çevresel Güvenlik

Bu kapsamda bilgi güvenliği ekipmanlarının ve bilginin güvende tutulabilmesi için gerekli fiziksel koşulların ne durumda olduğu raporlanmalıdır. Fiziksel olarak yapılacak yetkisiz erişimler ve bilgi sistemlerinin konumlandırıldığı noktanın tehlike durumları değerlendirilmeli ve yeniden düzenlenmelidir. Bilgi varlıklarına yakın olası çevresel faktörler değerlendirilerek, çevresel güvenlik sağlanmalıdır. Çevresel güvenlik tehditleri ortaya konulduktan sonra riskler kabul edilecek seviyede ise, önlemler alınarak risk kabul edilmeli veya riskin durumuna göre bilgi varlıkları taşınmalıdır. Bilgi varlıklarının mevcut durumunda ise ulaşım ve erişim kontrolleri sağlanmalıdır.

  • İletişim ve Operasyon Güvenliği

Bu kapsamda iletişim kaynaklarının güvenliğinin sağlanması doğru ve güvenlik olarak çalışması değerlendirilmeli ve raporlanmalıdır. Sistemlerde yaşanacak olan hatalarda veya devre dışı kalma durumlarında riski minimuma indirmek ve bilgi tutarlılığını korumak için, kesinti durumları değerlendirilmeli ve yeniden düzenlenmelidir. İletişim güvenliğini sağlamak veya olası risk durumunda iletişimi başka hatlar üzerinden sağlayacak alternatifler el altında bulundurulmalıdır. Bir kaynakta sıkıntı yaşandığında, erişimi farklı kaynaklar üzerine güvenli bir şekilde dağıtarak bilgiye erişimi kesintisiz veya maksimim tolere edilebilir kesintilerle devam ettirmeye çalışılmalıdır.

  • Erişim Kontrolü

Bu kapsamda yöneticiler ve personellerin erişim hakları olan bölümlerin kontrollerinin sağlanması hedeflenmektedir. Kişilerin bilgi sistemlerine yetkisiz erişimlerinin engellenmesi ve var olan erişimlerin kontrol altına alınması için süreç kontrol edilmelidir. Personellerin yetkisiz erişimler yapmaması veya var olan yetkilerini kötüye kullanmamaları için sürekli olarak kontrol altına tutmak gerekmektedir. Personelin kötü niyeti, kötüye kullanımı, hesabının 3. Şahıslar tarafından ele geçirilmesi, bilgisayarının zararlı yazılımlara maruz kalması gibi riskler değerlendirilmeli ve yeniden düzenlenmelidir. Görev tanımlarında yapılacak olan erişim seviyesi tespitleri konu hakkında kolaylık sağlamaktadır.

  • Sistem Geliştirme ve Yönetimi

Bu kapsamda bilişim projelerinin güvenli bir şekilde sağlanması amacına yönelik olarak, kullanıcıyı gizlilik, bütünlük ve erişilebilirlik kapsamında korumayı hedefleyen destek operasyonlarının güvenli yürüdüğünden emin olunması değerlendirilmelidir. Bu kapsamda, gerekli kontroller ve olası riskler değerlendirilmeli ve yeniden düzenlenmelidir. Projelerin geliştirme aşamasından önce, planlama aşamasında bilgi güvenliği düşünülerek bir tasarım yapılmalıdır. Bilgi güvenliği hiçe sayılarak hazırlanan projeler, şirket veya kurum için faydalı bir durum olarak gözükse de, bilgi kaybı, ifşa gibi durumlarda şirket için zarara dönüşmektedir.

  • İş Süreklilik Yönetimi

Bu kapsamda, kritik zamanlarda, felaket durumlarında sistemdeki iş sürekliliğinin sağlanması ve yönetilebilmesi gibi konular değerlendirilmelidir. Bilgilerin yedeklerinin alınması, alınan yedeklerin farklı ortamlarda saklanarak olası felaket durumlarında tekrardan yapılandırılarak tolere edilebilir maksimum zaman içerisinde tekrardan yayın ortamına alınabilmesi işi ve bu kapsamda yaşanabilecek olan olası riskler değerlendirilmeli ve yeniden düzenlenmelidir. Yaşanacak olan felaket durumlarına karşı kriz yönetim planı hazırlanarak, iş sürekliliğinin olası tehditlerde veya gerçekleşen risklerde nasıl uygulanacağı maddeler halinde yazılmalıdır. Bir risk gerçekleştiğinde, kimlerin hangi görevleri alacağı, kimlerin hangi sistemlerle ilgileneceği gibi senaryolar yazılı olarak personellere bildirilmelidir. Bu personeller tatile gideceklerinde veya şehir dışında olacakları zaman kendisinin yerine kendisi kadar bilgiye sahip olan bir başka personeli eğiterek, tehdit durumunda görev almasını sağlamalıdır. Tehdit durumunda bir kriz yönetim planının olması, tehdit gerçekleştiğinde soğukkanlı olmayı sağlamaktadır. Tehdidin gerçekleşmesi durumunda çoğu zaman tehditten daha fazla veriyi, tehdide müdahale ederken kaybetmekteyiz. Telaş, panik, korku halinde yapılan çalışmalar olumlu bir fayda sağlamaktan daha çok olumsuz kayıplara sebep olmaktadır.

  • Uyumluluk Kapsamı

Bu kapsamda bilgi sistemlerinin güvenlik kurallarının ihlalinin önlenmesine yönelik güvenlik politikalara ve standartlarına uygun olmasının değerlendirilmesidir. Uyumluluk sağlanmaması üzerinden doğabilecek olası riskler tespit edilmeli, değerlendirilmeli ve yeniden düzenlenmelidir. Uyumluluk kapsamı sürekli olarak insanlara eğitimlerle hatırlatılmalı, şirket içinde yapılabilecek küçük çaplı testler ile kontrolleri sağlanmalıdır. Uyumluluk kapsamı dışında kalan haller tekrardan gözden geçirilmeli ve risk analizi kapsamı buna göre genişletilmelidir.

Risk Analiz Raporu Kapsamı

Risk analiz raporları ISO 27001:2013’te bize bildirilen kapsamda ve konu başlıklarında hazırlanmalıdır. İlgili sertifikasyonda belirtilen konular,

1. Konu
2. Kapsam
3. Kullanılan Metot ve Yöntemler
4. Yapılan Çalışmalar
5. Tehlike ve Açık Listesinin Nasıl Oluşturulduğu
6. Risklerin Atanması
7. Risk Önceliklendirme
8. Mevcut Güvenlik Listesi
9. Kabul Edilebilir Risklerin Açıklanması
10. Ekler
10.1. Varlık Listesi
10.2. Risk – Tehdit Matrisi
10.3. Tehdit Listesi
10.4. Mevcut Güvenlik Önlemler
10.5. ISO27001:2013 Güvenlik Politika Prosedür, Standart, Form veya Talimat Listesi
10.6. Gözden Geçirme Süresi
10.7. Tehlike, açık, risk ve önerilen önlemlerin tespitinde ISO 27001 Standardı maddelerinin tümü göz önüne alınmalıdır. Uygulanması söz konusu olmayan standart maddeleri belirlenecektir.

 

Süreç Tabanlı Risk Analizi Yöntemi

Risk analizi belirlenmiş olan Bilgi Güvenliği Yönetim Sisteminin kapsamı içerisinde yer alan bir unsurdur. Risk analizi olmayan bir Bilgi Güvenliği Yönetim Sistemi gerçekten çok uzakta yer almaktadır.

  • Kapsamın Belirlenmesi
  • Süreçlerin belirlenmesi ve modellenmesi
  • Varlıkların belirlenmesi
  • Açıkların belirlenmesi
  • Tehditlerin belirlenmesi
  • Riskin belirlenmesi
  • Risk analizi raporu

Bu süreç modeli, girdileri çıktılara dönüştüren faaliyetler bütünüdür. Bu süreçte güvenlik içerisine alınacak olan sistemin tam olarak kapsamının belirlenmesi, modellemesinin yapılması, güvenlik içerisine alınacak olan varlıkların tamamının belirlenmesi gerekmektedir. Varlıklara ait açıklıklar veya zafiyetlerin listelenerek göz önünde bulundurulması, bu açıklıkların ne düzeyde tehdit oluşturduğunu, tehditlerin bize karşı nasıl riskler meydana getirdiğinin raporlanarak göz önünde bulundurulması ve risk analizi yapılması sürecidir.

 

Fayda ve Sonuç

Bilgi Güvenliği Yönetim Sistemlerinin kurulma ve yönetilme amacı, varlıkları güven içinde tutmaktır. Güvenlik konusu akla ilk geldiğinde düşünecek olan da riskler ve tehditlerdir. Güvenliği üst düzeye çıkartmak için tehditlerin veya risklerin analizinin yapılması gerekmektedir. Ne olduğunu bilmediğimiz bir tehdit için, kapsamlı bir güvenlik planı hazırlamamız oldukça güç olacaktır.

 

Varlıkların güvenliğini sağlayabilmek için, riskin gözler önüne serilmesi gerekmektedir. Bu süreç Risk Analizi olarak adlandırılmaktadır.

 

Risk analizinin bize faydası ise,

Varlıkları listelemek, varlıklara göre yetkilendirmeleri ve erişimleri kontrol etmek, oluşabilecek riskleri ve tehditleri gözler önüne sererek, olası riskler ve tehditler için önceden hazırlıklı olmayı sağlamaktır.

Tehditlerin önceden tespitinin, tatbikatının yapılması, tehdit anında uygulanacak olan yönergelerin belirlenmiş olması olası risk durumunda minimum zararla tehdidi geçirmemize fayda sağlayacaktır.

Bilgi Güvenliği konusunda, “güvenlik” kelimesi bir önlem değil, bir süreçtir. Bir defaya mahsus olarak yapılmış bir güvenlik politikası, her geçen gün güncelliğini ve gücünü yitirecektir. Güvenliğin ve risk tespitlerinin bir süreç haline getirilmesi, sürekli güvence altında kalmamızı sağlayacaktır.

 

Kaynakça

  1. 1. Coles S., Moulton R. Operationalizing IT risk management. Computers & Security 2003, Vol.

22, No. 6, pp. 487-93.

  1. 2. ISO/ Information technology – Security techniques — Information security management systems – Requirements, ISO/IEC 27001, 2013
  2. 3. http://www.sibersan.com/iso-27001-risk-analizi-asamasi/ (03.12.2016)
  3. 4. http://www.bsigroup.com/Documents/iso-27001/resources/BSI-ISO27001-mapping-guide- UK-EN.pdf (05.12.2012)
  4. 5. https://wwlinkedin.com/company/riskwatch (12.12.2016)
  5. 6. https://en.wikipedia.org/wiki/CRAMM (12.12.2016)
  6. 7. Orhan Çalık,(2013) ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardındaki

Değişiklikler ve Yenilikler

http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/iso-27001-2013-bilgi-guvenligi- yonetim-sistemi-standardindaki-degisiklikler-ve-yenilikler.html (12.12.2016)

  1. 8. Şimal Çınar,(2013) ISO 27001 Standardının 2013 revizyonunda neler değişiyor? http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/iso-27001-2013-ve-iso-27002-2013-te- neler-degisiyor.html (12.12.2016)
  2. 9. https://wwbilgiguvenligi.gov.tr/bt-guv.-standartlari/risk-tabanli-bilgi-guvenligi- olcumu.html (11.12.2016)
  3. 10. Information Security & Business Continuity Academy

http://www.iso27001standard.com/

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir