McAfee Secure sites help keep you safe from identity theft, credit card fraud, spyware, spam, viruses and online scams



Güvenlik riskini anlamak ve yönetmek İnan TAPTIK

Güvenlik Riskini Anlamak ve Yönetmek

İnan TAPTIK


Tüm aksiyonlar, sonuçları belirsiz olduğundan, bir derecede risk içerir. Şu anda bile bir risk alıyorsunuz: Bu makalenin içeriği, okumaya harcadığınız zaman ve çabaya değecek mi? Bu makale size organizasyonunuzun karşılaştığı risklerle ilgili faydalı bir anlayış sunacak mı yoksa daha faydalı bir işe ayrılacak zamanı mı harcamış olacaksınız ?
Bilgi güvenliği bilgi teknolojisi kullanmaktan doğan risklerin yönetimini içerir. Bu yüzden riski anlamak ve yönetmek, bu alandaki yöneticiler için özellikle önemlidir. Bu kolay bir çözümü olmayan karmaşık bir problem olarak önümüze çıkmaktadır.


Riski Anlamak
Riskin birçok değişik anlamı olabilir, ama bilgi teknolojisi alanında bilgi güvenliğinin iki bileşeni vardır: Bir olayın olma olasılığı ve olayın etkileri. Olma olasılığı, çoğu zaman yüzdesel ihtimal olarak tanımlanabilirken, etki çoğu zaman olaya eşlik eden finansal zararla tanımlanabilir. Bir olayın olma ihtimalinin yüzdesini olaya bağlı finansal zararla çarpmak bize belli bir olaya bağlı riski, sayıya dökmek için bir yol sunabilmektedir.

Her şey için bir ekonomik değer belirlemek mümkündür , Dolayısıyla hemen her aktiviteyle bağlantılı riski sayıya dökmek mümkündür. Çalışmalar göstermiştir ki, örneğin ortalama bir insan için insan hayatının bedeli yaklaşık 6 m i ly on Dolardır. (Harvard'lı iki Prof.Viscusi ile Aldy'nin 2003 yılında yaptığı (The Value of a Statistical Life' adlı çalışmaya göre). ABD'de bir yılda bir otomobil kazasında ölme ihtimali 8000'de birdir. Bu iki değeri birleştirerek tipik bir Amerikan sürücüsünün araba kullanmakla taşıdığı riskin yılda kabaca 333 Dolar olduğunu söyleyebiliriz. Eğer tipik bir sürücü yılda 1000 seyahat yapıyorsa, her seyahatte kabaca $0.33 risk alıyor demek anlamına gelmektedir.

Ancak bilgi teknolojileri alanında, çoğu zaman olasılıklar veya olaylardan kaynaklanan kayıplarla ilgili kesin bilgiye sahip olamamaktayız. Bu da geleneksel risk yönetimi metodolojilerini bilgi güvenliğine uygulamayı problematik hale getirmektedir. Bilgi güvenliği organizasyonları ve kurumsal risk yönetimi oragnizasyonlarının birleşme trendi devam ettikçe, bu sonunda problemler doğurabilir. Birçok bilgi güvenliği yatırımı fonlama için diğer risk yönetimi projeleriyle rekabet ederken sorgulanabilir. Birçok diğer aktivitenin yarattığı riskler kolayca anlaşılabilirken, bir e-posta ile hassas bilgi göndermenin riskini sayıya dökmek zordur.

Riski Yönetmek
Bir kez bir teknolojiyi kullanmakla ilişkili riskleri anladıktan sonra, riski nasıl yöneteceğimize karar vermemiz gerekmektedir. Riskleri yönetmenin 4 genel yolu vardır:
Kaçınmak , Azaltmak , Transfer ve Kabul etmek .

Kaçınmak
Bir riskten kaçınmaya karar verirsek, basitçe o riski yaratan teknolojiyi kullanmamayı tercih edebiliriz. Bazı durumlarda bazı teknolojilerle ilişkili risklerden kaçınmak uygun olmayabilir ve kaçınmaktan başka alternatif düşünmek zorunda kalınabilir.
Azaltmak
Eğer bir riski azaltmaya karar verirsek, bir olayın ya olma olasılığını ya da etkilerini azaltmak için önlem alabiliriz. Birçok güvenlik teknolojisi yatırımı aynı davranışı gösterir, kurulduktan sonra ardında bazı risklere bırakırlar ve arta kalan bu riskleri anlamak orjinal riski anlamak kadar önemlidir.
Transfer
Eğer riski transfer etmeye karar verirsek, riski kabul edecek bir başkasını bulmamız gerekir. Sigorta satın almak bunu yapmanın bir yolu olduğu kadar belli bir teknolojinin operasyonunu dışarıya yaptırmak da başka bir yoldur. Riski transfer etmek çoğu zaman sonuçların belirsizliğini azaltır , ama muhtemelen transfer ettiğimiz riskten biraz daha fazla bir maliyet içerir. Öyleyse, bir sigorta poliçesi kayıp beklentisine ilaveten sigorta şirketinin operasyonu için gerekli bazı ilave masrafları da yansıtmaktadır.Öte yandan, bunu yaparak bir tahmin edilebilirlik derecesi elde etmekteyiz.
Kabullenme
Risklerle uğraşmanın son yolu hiçbir şey yapmayarak riski kabul etmektir .Çoğu zaman riski azaltmanın maliyeti riskin kendini geçmiş olur. Bu durumda ilgili riski kabul etmek mantıklı olur. Birçok kurum, aksiyonlarının tüm çıkarımlarını anlamaksızın, birçok riskle uğraşmaktadır ; hiçbir şey yapmamak riski yönetmenin otomatik yoludur. Ama her zaman en iyi yolu değildir.

Davranışsal Yönler
Bilgi güvenliği, risk yönetimi kurallarının bilgi teknolojisine uygulanması olduğu için, daha geniş bir alan olan risk yönetiminin bilgi güvenliğine uygulanıldığında faydalı sonuçlar vermesini beklemeliyiz. Risk homeostasis konsepti böyle bir kural olabilir. Risk homeostasis teorisi, efektif bir bilgi güvenliği programı için bu tip programların tasarımı ve implementasyonunda atlanan bir şey olan çalışanların davranışlarını değiştirmemiz gerektiğini söylemektedir. Risk homeostasis teorisi bize insanların hayatlarında belli bir derece riskle rahat hissettiklerini ve insanların risk yaşamaktan elde ettikleri kazanımları anlamanın riski yönetmenin önemli bir parçası olduğunu söylemektedir. Yani eğer bir şekilde bir risk tipi azalırsa, insanlar davranışlarını bunu telafi edecek şekilde ayarlamakta ve belki de bu sırada ilave riskler almaktadırlar. Araştırmalar bunu birçok durumda, özellikle de birçok hazır verisi olan otomobil güvenliğiyle ilgili geçerli olduğunu gösteriyor. Yani eğer bir düzenleme otomobillere yeni bir güvenlik özelliğini şart koşarsa, sürücülerin davranışları ilave güvenliği telafi etmekte, ve ilave risk alarak toplam ölüm sayısını sabit tutmaktadırlar.
Emniyet kemeri kullanımı, hava yastığı ve ABS frenin kullanılmaya başlamasını sağlayan yasalar üzerine yapılan çalışmalar bu etkinin gerçek ve ölçülebilir olduğunu göstermektedir.Sürücüler emniyet kemeri takarken, kendini daha güvende hissetmekte, karşılığında daha atak kullanmakta ve daha çok yaya ve bisikletlinin ölümüne sebebiyet vermektedirler . Benzer şekilde, hava yastığı ve ABS donanımlı arabaların sürücüleri güvenlik teknolojilerinin faydalarını aşan derecede ilave risk almaktadırlar.

Eğer risk homeostasis insan davranışının kaçılamayan bir parçasıysa, öyleyse bilgi teknolojisin için de geçerli olmasını bekleyebiliriz. Riski minimize etmenin geleneksel teknikleri mühendislik,eğitim yürürlüğe koymadır. Öte yandan, risk homeostasis teorisi bize kullanıcıların motivasyonunun dikkate alınacak en önemli faktör olduğunu söylemektedir; ancak geleneksel yaklaşımlar bu konuya değinmek için çok az şey yapmakta veya hiçbirşey yapmamaktadır ve otomobil güvenliği programlarındaki gibi riskin azalmak yerine,sadece farklı bir aktiviteye kaydırılması gibi sonuçlara tabi olabilirler.
Risk homeostasis teorisi, davranışı etkilemek için motivasyonu bir kullanma yolu olarak sunmaktadır, ve araştırmalar başarılı risk azaltım programlarının bir dizi ortak özelliğini bulmuştur. Teşvikler bu tip programlarda önemli bir rol oynamakta, ve davranış değiştirmede yürürlüğe koymanın tek başına olduğundan daha etkili olmaktadır. Etkili olmak için teşviklerin büyük olması gerekmemektedir, ama sadece istenen sonuçlara erişmeye çalışmak yerine istenen sonuçları ödüllendirmelidir. Yani örneğin, organizasyona bulaşmış olan virüs sayısını ölçmek, antivirüs programı yüklü bilgisayarları oranını ölçmekten daha iyidir.Efektif bir teşvik programı uygulayarak, çalışanlarınızın davranışını değiştirme şansını maksimize ederek bilgi güvenliği risklerinin minimize edilmesini sağlayabilirsiniz . Mevcut bilgi güvenliği politikasının durumu ve gelecekteki yönü gözden geçirilirken böyle unsurlar ciddi bir şekilde düşünülmelidir.

Riski Riskle Değişmek
Bir riski yönetmek için en iyi yaklaşıma karar vermek her seçimin çıkarımlarını anlamayı gerektirir ve ilk başta umduğumuzdan daha zor çıkar. Bu zorluğun bir kısmı bir riski azaltırken başka bir riski arttırma olasılığından kaynaklanmaktadır. Örneğin kamu sağlığı ve güvenlik kuralları bunun nasıl olabileceğine örnek oluşturabilir. Riskleri yönetmek zor olabilir ve yapılan tercihlerin beklenmedik yan etkileri olabilir. Bilgi güvenliği de bu problemden muaf değildir.

Bilgi Güvenliğinde Riski Riske Değişmek
Bilgi Güvenliğinde düzenlemelerinin ortaya koyabileceği dört genel riski riske değiştirme tipi vardır. bilgi güvenliği uygulayıcılarının yönettiği riskler içinde herbiri için benzer vakalar görebiliriz. Bir riski riske değişme durumu bireylerin emniyet kemeri, hava yastığı, veya ABS fren örneklerinde olduğu gibi risk azaltan teknoloji kullandıklarından dolayı veya risk azaltıcı düzenlemelerin etkilerinden ötürü kendilerini daha rahat hissederek riskli davranışlarını arttırmalarından kaynaklanmaktadır. Benzer şekilde, antivirüs yazılımı kullanan bilgisayar kullanıcıları kendilerini bilgisayar virüslerinden güvende hissederek e-postalardaki tehlikeli eklerle ilgili daha dikkatsiz olma eğilimi gösterirler.

Ayrıca bir düzenleme, bir riski azaltırken bir diğerini arttırılabilmektedir. Örneğin sakarini yasaklamak sakarine bağlı bazı sağlık sorunlarını azaltmış olabilir ama bazı beslenmelerde sakarinin yerine şeker koymak obeziteye bağlı sağlık sorunlarını arttırmıştır. Benzer şekilde, belli bir güvenlik ürününü kullanmak bazılarını azaltırken yeni açıklar ortaya çıkarabilir. Tüm bilgi güvenliği ürünlerinin Ortak Kriterler standardı sertifikalı olmasını şart koşmak ve değerlendirilmiş bir konfigürasyonda faaliyet göstermek bazı riskleri azaltırken diğerlerini arttırabilir. Bunun sebebi Ortak Kriterlerin sertifikalı ürünlerin kullanıcılarının patch yüklemesine veya yazılım güncellemesine ve değerlendirilmiş bir konfigurasyonda kalmalarına izni vermemesidir. Bu da kurulu sistemleri Ortak Kriterler sertifikasyonunun alınmasından sonraki açıkların istismarına açık bırakmaktadır veya bir bilgi güvenliği ürünü rolünü mükemmelen yerine getirirken kötüye kullanılmaya açık ara bellek taşması açıklarına sebep olabilir . Veya kuvvetli şifreler kullanılmışsa, insanlar onları hatırlayabilmek için bir kenara yazmaya başlamakta ve şifreleri ele geçirilmesi daha kolay hale getirmektedir.
Riski azaltmak için uygulamaya sokulan programlar da başka riskleri, orjinal riskin azaldığından fazla arttıran aktivitelerle sonuçlanabilir. Yeni inşaat gerektiren düzenlemeler bunun bir örneğidir , çünkü inşaat aktivitesi, inşaat sonucu azalacak riskten daha tehlikeli olabilir . Öyleyse, su rezervindeki zehirli kimyasalları azaltmak için atık su tesisi inşa edilmesi gerekiyorsa, inşaatta çalışacak işçilerin riski; tesisi faydalarına üstün gelebilir . Bilgi güvenliği teknolojilerini yaymak veya desteklemek benzer bir şekilde yeni açıklar doğurabilir. Örneğin, danışmanlara ve diğer yüklenicilere kurumsal networklere erişim hakkı vermek, bu erişimi kötü niyetli aktivitelerde kullanmaları veya geçici erişim hakları olan networkleri başka türlü yıkmaları riskini de beraberinde getirmektedir.

Sanal Risklere Karşılık Gerçek Riskler
Risklerin tümü kolayca algılanabilir, ölçülebilir, ve anlaşılabilir değildir, ve çoğu zaman riskleri algılanabilme kolaylığına göre üç kategoriye ayırmak yararlı olabilmektedir. Bazı riskler direkt olarak algılanabilirler. Yüksek bir uçurumun en tepesinde duran bir kişi uçurumun tepesinde olmakla alakalı tehlikeyi direkt olarak algılayabilir veya hızlı akan bir trafiğin kenarında duran bir kişi trafiğin tam yanında olmakla ilgili tehlikeyi direkt olarak algılayabilir. Kolay algılanan riskler, kolay yönetilebilir. Aslında o kadar kolay yönetilirler ki, herkes kendi risk yöneticisi haline gelip, organizasyonel politikalarla kolayca çelişir hale gelebilir . Çok az güvenlik riski kolayca algılanıp ölçülebilir. Örneğin, bir websitesinin tahrifata uğradığını kolayca söyleyebiliriz ama bir web sitesinin tam olarak nasıl tehlikeye düşürüldüğünü anlamak, ilave teknoloji olmaksızın neredeyse imkansızdır.
Diğer riskler sadece bilim veya teknolojinin yardımıyla anlaşılabilir. Hastalıkların virüs veya bakteri ile oluştuğunu anlamak bu kategoriye girmektedir. Patojenleri kendimiz göremeyiz ama bir mikroskop yardımıyla görülmeye hazır hale gelirler . Bilim ve teknoloji yoluyla algılanabilen risk tartışması risk yönetimi hakkındaki mevcut bilginin temelini domine etmektedir. Bazı bilgi güvenliği riskleri bu kategoriye düşse de hepsi değil. Örneğin, çoğu ihlal teşebbüsünü, ihlal teşebbüs tespiti teknolojisiyle algılayabilmekteyiz.
Diğer riskler sanal riskler veya bilim ve teknolojinin haklarında kesin bir anlayış sunamadığı risklerdir . Bu risklerin boyutu anlaşılamadığı için bunlara " risk " demektense " belirsizlik " demek daha uygun olabilir.Bir olayın olma şansının olduğunu biliyorsanız, bu bir risktir; bilmiyorsanız bir belirsizliktir. Öyleyse, bilgi güvenliğinin önemli bir parçası risk yönetimi yerine belirsizlik yönetimi olarak düşünülebilir. Çünkü birçok olayın olma olasılığı bilgi güvenliği yöneticileri için bilinmezdir.

Bir e-postanın İnternet üzerinden yolunun kesilerek okunma ihtimali nedir?
Bir hasmınızın web sunucunuzdaki bir ara bellek taşmasını kötüye kullanma ihtimali nedir ?

Sanal risk olayında, insanların neye inandıkları kime inandıklarına ve karşılığında kime güvendiklerine bağlıdır . Araştırmalar insanların risklerin yaratıcılarına ve düzenleyicilere daha az güvendiği (en güvenilir bilgiye sahip olan kişiler gibi görünmelerine rağmen) ve arkadaşlara ve aileye (en az güvenilir bilgiye sahip olma eğilimlerine rağmen) ilginç bir yön seyretmektedir. Bu da bazı sanal risklerin, bunu destekleyecek çok az dayanak olmasına rağmen, gerektiğinden fazla ciddiye alınmasına yol açmaktadır. Birçok bilgi güvenliği açığı sanal risk kategorisine girdiği için bilgi güvenliği profesyonelleri bu potansiyel önyargıyı anlamalı ve onlara karar vermede yardımcı olacak en güvenilir bilgiyi araştırıp bulmalıdır. Güvenlik satıcıları tarafından birçok çalışma yapılmış ve yayınlanmıştır. Onların sanal risk değerlendirmelerine güvenmeli misiniz ?

Özet

Herhangi bir bilgi teknolojisini kullanmak bir derece risk içerir ve teknolojiyi kullanmakla ilişkili riski anlamak kadar bu riskleri yönetme yollarını anlamak da önemlidir. Riskleri ve onları yönetmenin en iyi yollarını anlamak da zor bir problemdir. Bilgi güvenliği alanında, bu problem özellikle zordur, çünkü kararları dayandıracak kesin bilgi çok azdır. Ama risk yönetmekle ilgili karmaşıklıkları anlayarak mümkün olabildiğince iyi kararlar vermek mümkün olabilmektedir.