Bilgi Güvenliği Bakış Açısı İle BT Risk Yönetimi

0
5122
views
Her ortamın güvenlik açıkları ve tehditleri vardır. Yapılması gereken, bu tehditleri tespit etme, gerçekte meydana gelme olasılığını,yaratabilecekleri hasarı değerlendirme ve daha sonra çevredeki genel risk seviyesini kuruluşun kabul edilebilir olarak tanımladığı seviyeye indirgemek için uygun adımları atmaktır. Bu yazıda BT Risk Yönetimi konusu incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

 

A) Risk Terminolojisi

Risk kavramını daha iyi anlamak için bir takım tanımların bilinmesine ihtiyaç vardır. Bu kavramlardan zafiyet, tehdit ve sömürme kavramları ile ilgili detaylı bilgilendirme için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.

Risk Unsurları
Risk Unsurları

 

 

Risk tanımı ile ilgili temel kavramlar aşağıdaki gibi özetlenebilir.

  • Varlık (Asset): Varlık, korumaya çalıştığınız, sizin için değerli olan kaynaklardır. Veriler, sistemler, binalar, çalışanlar vb. olabilir. Çalışanlar, sizin en değerli varlığınızdır.
  • Varlık Değerlemesi (Asset Valuation): Varlık Değerlendirmesi, varlığa atanan maddi değerdir. Bir varlığın değiştirilmesi, yönetilmesi, onarılması gibi değerleri de içerebilir.
  • Tehdit (Threat): Tehdit, bir kuruluş ya da varlık için istenmeyen sonuçlara neden olacak her türlü potansiyel olay, tehdit olarak isimlendirilir.
  • Zafiyet (Vulnerability): Zafiyet, bir tehdidin zarar vermesine izin veren zayıflık, kusur, boşluk anlamına gelir. Bir zafiyet istismar edilirse, varlıklarda kayıp veya hasar meydana gelebilir.
  • Risk: Risk, bir tehdidin bir varlığa zarar vermek için güvenlik açığından yararlanma ihtimali veya olasılığıdır. Diğer bir deyişle risk; bilginin gizlilik, bütünlük veya erişilebilirliğinin (CIA) kaybolma potansiyelidir. Bilgi güvenliği unsurları ile ilgili detaylı bilgilendirme için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.

Risk = Threat × Vulnerability

Genellikle yukarıdaki formül ile hesaplanır.

  • Koruma (Safeguards): Koruma ya da karşı önlem, güvenlik açığını ortadan kaldıran, azaltan veya bir ya da birden fazla tehdide karşı koruma sağlayan önlemlerdir. (Yama geçişi, konfigürasyon değişikliği, güvenlik görevlisi işe alma gibi)
  • Saldırı (Attack): Saldırı, bir kuruluşun güvenlik altyapısındaki güvenlik açığından yararlanma; varlıkların zarar görmesine, kaybolmasına veya ifşa edilmesine yönelik kasıtlı bir girişimdir.
  • İhlal (Breach): İhlal, bir güvenlik mekanizmasının bir tehdit unsuru tarafından atlatılmasıdır.

 

B) Risk Yönetimi Süreci

Risk kavramı özetle verilere veya diğer kaynaklara zarar verme, onları yok etme veya ifşa etme olasılığı olarak tanımlanmıştı. Risk Yönetimi ise, riski tanımlama ve değerlendirme, kabul edilebilir bir seviyeye düşürme ve bu seviyede kalmasını sağlama sürecidir.

Risk yönetimi kısaca;

  • Varlıklara zarar verebilecek tehditleri belirlemek,
  • Riskleri önlem maliyetini de içerecek şekilde değerlendirmek,
  • Riski azaltmak veya ortadan kaldırmak için uygun maliyetli çözümler uygulamaktır.
Risk Yönetim Süreci
Risk Yönetim Süreci

 

Not: Kurumsal risklere bütünsel (holistic) olarak bakılmalıdır. Sadece teknik göz ile bakılmamalıdır.

 

C) Risk Analizi / Değerlendirmesi

Risk yönetiminin hedeflerine ulaşma sürecidir. Bu süreç;

  • Her tehdit faktörünün oluşma olasılığını,
  • Meydana gelmesi durumunda oluşacak zararı değerlendirmeyi,
  • Her bir riske karşı önlem alınma maliyetini değerlendirmeyi,
  • Üst yönetime sunmak üzere fayda/maliyet raporu oluşturmayı içerir.

Uygun varlık değerlendirmesi olmadan riskleri önceliklendirmek ve olası zararları karşılaştırmak mümkün değildir!

Risk değerlendirme süreci, üst yönetim sorumluluğunda olan fakat genellikle güvenlik uzmanlarına/ekiplerin devredilen bir süreçtir. Hangi risklerin kabul edileceği, risk değerlendirme süreci sonunda üst yönetimin vermesi gereken karardır.

 

Risk analizinin 4 ana hedefi vardır:

  1. Varlık değerlerini belirleme,
  2. Tehditlerin, zafiyetleri sömürme olasılığını belirleme,
  3. Potansiyel tehditlerin, iş süreçleri üzerindeki etkisini belirleme,
  4. Fayda/Maliyet analizi yapma

Bu hedeflere ulaşmak için 2 yolla risk değerlendirme metodolojisi geliştirilmiştir: Nicel ve Nitel

 

C.1) Nicel / Somut (Quantitative) Risk Analizi

Rakamsal değerler ile yapılan değerlendirmedir. Varlık değerlendirmesi ve bunların üzerindeki tehditlerin tanımlanması ile başlar. Sonrasında risk gerçekleşme potansiyeli ve sıklık değerleri belirlenir. Bu değerler,riske karşı alınacak önlemler için harcanacak maliyeti hesaplamada kullanılır.

Nicel / Somut risk analizi, halihazırda öncelik verilen riskleri her bir sayısal derecelendirmeyi verecek şekilde analiz etmektir. Önceliklendirme işlemi için de genellikle Nitel / Soyut riska analizinin sonuçları kullanılır. Yani (genellikle) önce Nitel, sonra da Nicel risk analizi gerçekleştirilir.

 

Bu değerlendirme 6 ana adımdan oluşmaktadır:

Nicel (Quantitative) Risk Analizi Adımları
Nicel (Quantitative) Risk Analizi Adımları

 

  1. Assign Asset Value (AV): Varlık envanterini oluşturulur ve varlıklara değer atanır. Örneğin, IT tarafında bir risk değerlendirme yapılacaksa kurumun güvenlik mimarisinin de analiz edilmesi ve varlık envanterinin elde edilmesi gerekir.
  2. Calculate Exposure Factor (EF): Tehditleri listelenir ve her tehdit için Riske Maruz Kalma Faktörü (risk gerçekleşmesi durumunda varlıkta oluşacak zarar miktarı) hesaplanır.
  3. Calculate single loss expectancy (SLE): Her tehdit için tek kayıp beklentisini hesaplanır. Yani, SLE, riskin her gerçekleşmesinde beklenen parasal zarardır. Bu değer varlık değeri (AV) ve Riske maruz kalma faktörü (EF) ile doğru orantılıdır.
  4. Assess the annualized rate of occurrence (ARO): Her tehdidin tek bir yıl içinde gerçekleşme olasılığını, yani yıllık gerçekleşme oranını (ARO) hesaplamak için bir tehdit analizi yapılır.
  5. Derive the annualized loss expectancy (ALE): Yıllık kayıp beklentisi (ALE) hesaplanarak tehdit başına toplam kayıp potansiyeli elde edilir. Yani, ALE, 1 yıl boyunca varlığa zarar verme riski nedeniyle kuruluşun gerçekleşmesini beklediği parasal zarardır.
  6. Perform cost/benefit analysis of countermeasures: Riske karşı alınacak önlemler için fayda/maliyet analizi yapılır. Alınacak önlemler uygun maliyetli olmalıdır. Alınacak önlem, risk oluşması durumundaki maliyet değerinden fazla ise riskin kabul edilmesi daha uygun olacaktır.

 

Alınacak önlemin efektif olup olmayacağı aşağıdaki formül ile hesaplanabilir:

Value of the safeguard to the company = ALE1 (Koruma Öncesi) – ALE2 (Koruma Sonrası) – ACS (annual cost of safeguard/ Yıllık Koruma Bedeli)

** Çıkan sonuç negatif ise koruma efektif değildir! Detaylar için “C.5) Yatırım Getirisi (Return On Investement (ROI)” başlığı incelenebilir.

 

Örnek vermek gerekirse, bir tesiste yangın çıkma senaryosunu inceleyelim.

  • Tesisin değerinin (AV) 500.000 TL olduğunu varsayalım.
  • Yangın olması durumunda tesisin %70’inin tahrip olacağı belirlenirse, binanın yangına maruz kalma faktörü (EF) %70’tir.
  • Bu durumda, tek zarar beklentisi (SLE), 350.000 TL (500.000 * 0.70) olur.
  • Uzmanlar binada her 30 yılda bir yangın olacağını tahmin ederse, yangın tehdidinin gerçekleşme oranı (ARO) 1/30 olur.
  • Bu durumda yıllık kayıp beklentisi (ALE), 11.666 TL (350000 * 0,033) olur.
  • Önlem için ödenecek yıllık masraf 15.000 TL ise risk kabul edilebilirken, 10.000 TL ise önlemler uygulanabilir.

 

Ayrıca riske karşı alınacak koruma/önlem değerinin hesaplanmasında aşağıdaki faktörler de göz önüne alınmalıdır:

  • Satın alma, geliştirme ve lisanslama maliyeti
  • Uygulama ve özelleştirme maliyeti
  • Yıllık işletme, bakım, yönetim vb. maliyeti
  • Yıllık onarım ve yükseltme maliyetleri
  • Verimlilik artışı veya kaybı
  • Test ve değerlendirme maliyeti

 

Nicel( Quantitative) Risk Analizi Formülleri
Nicel( Quantitative) Risk Analizi Formülleri

 

Örnek Hesaplama Tablosu
Örnek Hesaplama Tablosu

 

Not: Sadece maliyet değil, regülatif zorunluluklar da düşünülerek karar verilmelidir. Bazı durumlarda, bir korumaya para harcamak, bir varlık ifşası veya kaybı durumunda karşılaşılacak yasal yükümlülük riskine göre daha mantıklı olabilir.

 

C.2) Nitel / Soyut (Qualitative) Risk Analizi

Olası zararlara dolar rakamları atamak yerine tehditler, maliyetler ve etkileri, bir ölçek kullanılarak (Low, Medium, High gibi) değerlendirilir. Birçok teknik kullanılabilir. Bu teknikler aşağıdaki gibi sıralanabilir.

  1.  Beyin fırtınası / Senaryolar
  2. Delphi tekniği (Anonim değerlendirme)
  3. Storyboarding
  4. İlgili gruplar
  5. Anketler
  6. Sorular
  7. Kontrol / Denetim listeleri
  8. Birebir toplantılar
  9. Röportajlar

 

Risk Analiz Matrisi
Risk Analiz Matrisi

 

C.3) Nitel && Nicel Analiz Karşılaştırma

Nicel analiz (Quantitative), Nitel analize (Qualitative) göre daha zordur. Örneğin; Veri Merkezi’nde deprem nedeni ile hasar görme riskini hesaplamak için;

  • Nicel Analiz (Quantitative Risk Analysis): Bina, sunucular, network ekipmanları, rack kabinler, monitörler vb. hepsinin değerinin maddi olarak ($) hesaplanması gerekir.
  • Nitel Analiz (Quantitative Risk Analysis): Olasılık / Likelihood değeri 2 (Likely) ve oluşma durumunda etki değeri / Consequence 4 (Major) olarak hesaplandığında Risk Analiz Matrisi riski «Extreme Risk» olarak çıkar.

Not: Genellikle tamamen nicel ya da tamamen nitel bir yaklaşım ihtiyacı tamamı ile karşılamadığı için, bu iki risk analizi yaklaşımı hibrit bir yaklaşımda kullanılabilir.

  • Maddi duran varlıklar (parasal değerler) için nicel değerlendirme kullanılabilir.
  • Maddi olmayan varlıklar (öncelikli değerler) için nitel bir değerlendirme kullanılabilir.

Not: Bir kayıp tehdit gerçekleştiği anda (Loss Potential) olabileceği gibi, zamanla (Delayed Loss) da gerçekleşebilir.

 

C.4) Toplam Sahip Olma Maliyeti (Total Cost of Ownership (TCO))

Korumanın toplam maliyetidir. Personel saatlik çalışma maliyeti, satıcı bakım ücretleri, yazılım abonelikleri vb.dahil olmak üzere başlangıç maliyetleri (genellikle bir kerelik sermaye maliyetleri) ve yıllık bakım maliyetlerinin toplamıdır.

Örneğin bir şirkette laptop şifreleme işlemi için hesaplama yapmak gerekirse;

  • Laptop şifreleme yazılımı $100/laptop olmak üzere 1000 laptop için $100,000;
  • Satıcı yıllık destek ücreti %10 olmak üzere $10,000;
  • Laptop başı 4 saat olmak üzere 1000 laptop için 4000 adam/saat yazılım yüklenmesi;
  • Adam/saat bedeli $70 olmak üzere 4000 adam/saat bedeli $280,000.

 

3 yıl için TCO değerini hesaplamak gerekirse;

  • Yazılım bedeli: $100,000
  • Satıcı destek bedeli: $10,000 × 3 = $30,000
  • Yazılım kurulum adam/saat bedeli: $280,000
  • 3 yıl için Toplam Sahip Olma (TCO) Bedeli: $410,000 olarak hesaplanır.
  • Yıllık TCO Bedeli ise: $410,000/3 = $136,667 olarak belirlenir.

 

C.5) Yatırım Getirisi (Return On Investment (ROI))

Bir koruma uygulayarak tasarruf edilen para miktarıdır. TCO (Toplam sahip olma maliyeti) değeri, ALE (Yıllık zarar beklentisi) değerinden daha düşükse pozitif ROI değeri vardır ve iyi bir seçim yapılmıştır anlamına gelir.

C.4 başlığında yer alan örnek üzerinden ilerlemek gerekirse;

  • Yıllık TCO Bedeli ise: $410,000/3 = $136,667 olarak hesaplanmıştı.

 

ALE değeri hesaplaması (Koruma Öncesi):

  • Varlık Değeri (AV) : Laptop(donanım) $2500 + İçerisindeki verilerin değeri $22500 = $25,000
  • Riske maruz kalma faktörü (EF) : %100
  • Kayıp Beklentisi(SLE) : AV x EF = $25,000
  • Tehdidin 1 yıl içinde gerçekleşme beklentisi (ARO) : 11
  • Yıllık Kayıp Beklentisi (ALE1) : $275,000

 

ALE değeri hesaplaması (Koruma Sonrası):

  • Varlık Değeri (AV) : Laptop(donanım) $2500 + İçerisindeki verilerin değeri $22500 = $25,000
  • Riske maruz kalma faktörü (EF) : %10
  • Kayıp Beklentisi(SLE) : AV x EF = $2,500
  • Tehdidin 1 yıl içinde gerçekleşme beklentisi (ARO) : 11
  • Yıllık Kayıp Beklentisi (ALE2) : $27,500

 

Bu hesaplamalara göre ROI değeri aşağıdaki gibi hesaplanabilir.

ROI Değeri = ALE1 – ALE2 – TCO
= $275,000 – $27,500 – $136,667
= $110,833

Değer pozitif çıktığı için olumlu ve akıllıca bir yatırım olarak kabul edilebilir.

 

C.6) Bütçe ve Metrikler

Personel büyüklüğü veya bütçesi ne olursa olsun, tüm kuruluşlar sınırlı miktarda bilgi güvenliği projesi üstlenebilirler. Bu nedenle kuruluş için risklerin değerlendirilmesi ve önceliklendirilmesi gereklidir. Bu aşamada Toplam Sahip Olma Maliyeti (TCO) ve Yatırım Getirisi (ROI) hesaplamaları yapılacak bütçe hesaplarını etkilemektedir.

Metrikler maliyetli risklerin belirlenmesi ve uygulanan kontrollerin etkinliğini göstermede yardımcı olurlar.

The CIS (Center for Internet Security) Benchmarks’ta yer alan bazı metrikler aşağıdaki şekildedir.

  • Uygulama Güvenliği Metrikleri
    • Uygulama Sayısı
    • Kritik Uygulamaların Oranı
    • Risk Değerlendirme Kapsamı
    • Güvenlik Testi Kapsamı
  • Konfigürasyon Değişikliği Yönetimi Metrikleri
    • Değişiklikleri Tamamlama Zamanı
    • Güvenlik İncelemesi ile Yapılan Değişikliklerin Yüzdesi
    • Güvenlik İstisnaları İçeren Değişikliklerin Yüzdesi
  • Finansal Metrikler
    • Bilgi Güvenliği Bütçesinin BT Bütçesine oranı
    • Bilgi Güvenliği Bütçe Tahsisi
  • Olay Yönetimi Metrikleri
    • Olay Bulma Zamanı
    • Olay Oranı
    • İç Kontrollerle Tespit Edilen Olayların Yüzdesi
    • Güvenlik Olayları Arasındaki Ortalama Süre
    • Ortalama İyileşme Süresi
  • Yama Yönetimi Metrikleri
    • Yama Politikasına Uyum
    • Yama Yönetimi Kapsamı
    • Ortalama Yama Zamanı
  • Zafiyet Yönetimi Metrikleri
    • Güvenlik Açığı Tarama Kapsamı
    • Ciddi Güvenlik Açıkları Bilinmeyen Sistemlerin Yüzdesi
    • Güvenlik Açıklarını Azaltmak İçin Ortalama Süre
    • Bilinen Güvenlik Açığı Örneklerinin Sayısı

CIS kontrolleri ile ilgili detaylı bilgilendirme için kaynaklardaki CISecurity bağlantısı incelenebilir.

 

D) NIST SP 800-30 Risk Değerlendirme Adımları

ABD Ulusal Standart ve Teknoloji Enstitüsü’nün (National Institute of Standards and Technology – NIST) yayınladığı SP 800-30’a (Special Publication 800-30, Risk Management Guide for Information Technology Systems) göre risk değerlendirmesi 4 adımdan oluşmaktadır.

NIST 800-30 Risk Değerlendirme Adımları
NIST 800-30 Risk Değerlendirme Adımları

 

D.1) Adım – 1: Hazırlık Yapmak (Prepare)

Bu adımda gerçekleştirilen çalışmalar aşağıdaki gibi sıralanabilir.

  • Amacı belirlemek,
  • Kapsamı belirlemek,
  • Değerlendirme ile ilgili kısıtlamalar ve varsayımları belirlemek,
  • Değerlendirmeye girdi olarak kullanılacak bilgi kaynaklarını (tehdit, zafiyet, olasılık değerleri) belirlemek,
  • Risk modelini ve analitik yaklaşımları belirlemek,

 

D.2) Adım – 2: Yönetmek (Conduct)

Bu adımda gerçekleştirilen çalışmalar aşağıdaki gibi sıralanabilir.

  • Tehdit kaynaklarını belirle,
  • Bu kaynaklar tarafından oluşturulabilecek tehdit olaylarını belirle,
  • Güvenlik zafiyetlerini belirle,
  • Oluşma olasılıklarını belirle,
  • Kurumsal operasyonlar, varlıklar, çalışanlar vb. üzerindeki etkisini belirle,
  • Zafiyetler, olasılıklar ve etki değerlerinin kombinasyonu sağlanarak risk değerini hesapla

 

D.3) Adım – 3: Sonuçları İletin (Communicate Results)

Bu adımda gerçekleştirilen çalışmalar aşağıdaki gibi sıralanabilir.

  • Risk değerlendirme sonuçlarını ilgili kişilere ilet,
  • Riskle ilgili bilgileri, paydaşlarla paylaş.

 

D.4) Adım – 4: Değerlendirmeyi Sürdür (Maintain Assesment)

Bu adımda gerçekleştirilen çalışmalar aşağıdaki gibi sıralanabilir.

  • Risk değerlendirmelerinde tanımlanan risk faktörlerini sürekli olarak izle.
  • Kuruluşlar tarafından yürütülen izleme faaliyetlerini yansıtan risk değerlendirme bileşenlerini güncelle.

 

E) Risk İşleme Yöntemleri

Risk Analizi tamamlandıktan sonra alınabilecek 4 farklı seçenek vardır:

Risk İşleme Yöntemleri
Risk İşleme Yöntemleri

 

E.1) Riski Azaltmak (Risk Mitigation / Reduction)

Riskin azaltılması, riskin kabul edilebilir bir seviyeye düşürülmesi anlamına gelir. Riski azaltmaya “risk reduction”, riski azaltma sürecine “reduction analysis” de denir. Örneğin, IPS / AV kullanımı riskin gerçekleşme olasılığını (likelihood) azaltan tedbirlerdendir.

 

E.2) Transfer Etmek (Risk Transfer)

Riskin oluşturacağı zararı bir başka kurum ya da kişiye aktarmaktır. Dış kaynak kullanımı ya da sigorta yaptırmak örnek olarak verilebilir.

 

E.3) Riski Kabul Etmek (Risk Acceptance)

Önlemlerin, risk oluştuğunda oluşan zarardan daha fazla olması durumunda gerçekleşir. Ayrıca yönetim, riskin gerçekleşmesi durumunda sonuçları ve kaybı kabul etmeyi kabul ettiği anlamına gelir.

Riskin kabulü, bir korumanın neden uygulanmadığını, karardan kimin sorumlu olduğunuve riskin gerçekleşmesi halinde, genellikle imzalı bir kanıt doküman ile kayıptan kimin sorumlu olacağını belirten açıkça yazılı bir beyan gerektirir. Yani risk kabulünde karar verme süreci (decision-making process) dokümante edilmelidir.

 

E.4) Riskten Kaçınmak (Risk avoidance)

Riski reddetme/ görmezden gelme/ kaçınma durumları olarak tanımlanabilir.

Anlık mesajlaşma uygulamalarının birçok riski bulunmaktadır. Bir şirketin, bu uygulamanın kullanımına ihtiyacı yok ise kullanımına izin vermemesi, bu uygulamanın çalışmasını durdurması riskten kaçınma anlamına gelir.

DDOS tehditine karşın, internete açık olan NTP servisinin kapatılması da riskten kaçınma örneğidir.

Benzer olarak veri kaçaklarını önlemek için DLP teknolojisinin satın alımı da riskten kaçınmak için alınan bir aksiyondur.

 

F) Artık Risk Kavramı

Riskler önceliklendirildikten sonra kontroller değerlendirilir, seçilir, sorumluları atanır, planlanır ve uygulanır. Uygulanan kontroller sonrasında risk kalmış ise bu riske “Artık (Residual) Risk” denir.

Toplam risk aşağıdaki formülle belirlenir.

Threats * Vulnerabilities * Asset Value = Total Risk

Veya

Risk * Asset Value = Total Risk

 

Toplam Risk ile Artık Risk arasındaki fark Controls Gap (Kontrol Boşluğu) olarak bilinir. Diğer bir deyişle, Kontrol boşluğu, koruma tedbirleri uygulanarak azaltılan risk miktarıdır.

Total Risk – Controls Gap = Residual Risk

 

G) Kontrollerin Uygulanması

Yapılan risk değerlendirme çalışmalarının sonucunda risklerin azaltılmasını veya ortadan kaldırılmasını sağlayacak kontrol önerileri belirlenmelidir. Önerilecek kontrollerin amacı riski kurumun kabul edebileceği bir değere düşürmek olmalıdır.

Güvenlik Kontrolleri
Güvenlik Kontrolleri

 

Güvenlik kontrolleri ile ilgili detaylı bilgilendirme için kaynaklardaki Siberportal bağlantısı [iii] incelenebilir.

 

H) İzleme ve Ölçme

Riskleri izleme ve ölçme kapsamında aşağıdaki hususlar önem arz etmektedir.

  • Risklere karşı alınacak güvenlik kontrolleri izlenebilecek ve ölçülebilecek faydalar sağlamalıdır.
  • Güvenlik kontrollerinin etkinliği ölçülmez, değerlendirilmez ise tam olarak bir güvenlik sağlamaz.
  • Genellikle alınacak önleme dair başarı veya başarısızlık ölçümleri elde etmek için, alınacak önlem öncesi ve sonrası olayların izlenmesi ve kaydedilmesi gerekir.
  • Güvenlik kontrolünün haklı bir şekilde uygulandığının doğrulanması için, riskte önemli ölçüde iyileştirme sağlaması gereklidir.
  • İzleme ve ölçme metriklerinin belirlenmesinde ISO/IEC 27004 (Guideline for information security management measurement and metrics framework) standardından da yararlanılabilir.

 

I) Sürekli İyiliştirme

Sürekli iyileştirme kapsamında aşağıdaki hususlar önem arz etmektedir.

  • Tehditler ve zafiyetler sürekli değişeceği için, risk değerlendirmesinin de periyodik olarak yapılması gereklidir. Bu da güvenlik ihtiyaçlarının sürekli güncellenmesi, değişmesi ve iyileştirilmesi anlamına gelmektedir.
  • Sürekli iyileştirme; fırsatları tanımlama, tehditleri azaltma, kaliteyi artırma gibi sürekli gelişim olarak düşünülebilir.
  • ITIL dahil olmak üzere farklı süreç iyileştirme modelleri vardır. ITIL, BT hizmet yönetimi için bir dizi en iyi uygulamaların kullanılmasıdır. Bu sayede BT hizmetleri kuruluşa en az risk, maliyet ve kesinti süresi ile gerçekleştirilebilir.

 

J) Risk Yönetim Çerçeveleri (Risk Managment Frameworks – RMF)

Risk çerçeveleri, risklerin nasıl değerlendirileceği, çözüleceği ve izleneceği konularında kılavuzluk yapar.

 

J.1) NIST RMF (SP 800-37r1)

CISSP in referans aldığı en önemli çerçeve NIST-800-37’dir.

  • Adım-1: Sistemleri bir etki analizine göre sınıflandırın.
  • Adım-2: Güvenlik kontrol kümelerini seçin.
  • Adım-3: Seçilen güvenlik kontrollerini uygulayın.
  • Adım-4: Uygun değerlendirme prosedürlerini kullanarak güvenlik kontrollerini değerlendirin.
  • Adım-5: Yetkilendirme süreci oluşturun.
  • Adım-6: Bilgi sistemlerine uygulanan güvenlik kontrollerini sürekli olarak izleyin.
NIST SP-800-37r1
NIST SP-800-37r1

 

Bu çerçeve için kaynaklardaki NIST bağlantısı incelenebilir.

 

J.2) ISO 31000:2018

Bu standart bizim kontrolümüz dışında durumlar söz konusu olabileceğini ve bunların olumsuz (örn. Finansal kayıp) veya olumlu (örneğin iş fırsatı) sonuçları olabileceğini kabul eder. NIST RMF’den farklı olarak, bu çerçeve bilgi sistemlerine odaklanmamıştır, ancak bir kuruluşa daha geniş bir şekilde uygulanabilir.

 

J.3) ISACA Risk IT

ISACA tarafından akademik ve kurumsal risk profesyonellerinden oluşan bir çalışma grubu ile işbirliği içinde geliştirilen bu çerçeve, ISO 31000 gibi genel çerçeveler ile NIST gibi BT merkezli olanlar arasındaki boşluğu kapatmayı amaçlamaktadır.

 

J.4) Diğerleri

Risk yönetimi için aşağıdaki çerçeveler de kullanılabilir.

  • CRAMM (CCTA Risk Analysis and Management Method)
  • Failure Modes and Effect Analysis
  • The Facilitated Risk Analysis Process (FRAP): Bir sistem, iş segmenti, uygulama veya süreçteki riski belirlemenin en etkili yolunun dar bir risk değerlendirmesi olduğu savunur/destekler. Böylece risk analizine gerek olup olmadığı konusunda yön gösterir.
  • The Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE): Varlık tabanlı risk yönetimi yapan ve risk tabanlı stratejik görüş sağlayan bilgi güvenliği risk değerlendirmesi tekniğidir. Octave yöntemi esnektir. Şirketin yapısı, büyüklüğü, iş alanına göre farklı şekillerde (Self-Directed) uygulanabilir.
  • The Security Officers Management and Analysis Project (SOMAP)
  • Factor Analysis of Information Risk (FAIR)
  • Threat Against Risk Assessment (TARA)

Diğer RMF incelemeleri için kaynaklardaki CsoOnline bağlantısı incelenebilir.

 

Kaynaklar:

[i] https://www.siberportal.org/blue-team/securing-information/vulnerability-threat-risk-and-exploit-concepts-in-information-security/
[ii] https://www.siberportal.org/blue-team/securing-information/bilgi-guvenligi-unsurlari-cia-ve-digerleri/
[iii] https://www.siberportal.org/blue-team/securing-information/bilgi-guvenligi-bakisi-ile-guvenlik-kontrollerinin-siniflandirilmasi/

Bilgi Güvenliği Bakış Açısı ile Kurumsal Güvenlik Mimarisi

CIS Benchmarks


https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r1.pdf



https://www.varonis.com/blog/risk-management-framework/

https://www.iso27001security.com/html/27004.html
https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
https://docplayer.biz.tr/2841171-Bgys-risk-yonetim-sureci-kilavuzu.html

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.