Güvenlik Nedir?

  • Güvenlik risk yönetimidir
  • Bir sistem, yazılımı ihtiyaçlarınız ve beklentileriniz doğrultusunda çalışıyorsa güvenlidir
  • Güvenlik, bulunurluk, kararlılık, erişim denetimi, veri bütünlüğü ve doğrulamadır.

Güvenlik ve İnsan

Güvenlik, teknoloji kadar insan ve o insanların teknolojiyi nasıl kullandığı ile ilgilidir.

Güvenlik sadece doğru teknolojinin kullanılmasından daha ileride bir hedeftir.

Doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılmasıdır.

Teknoloji Tek Başına Yeterli mi ?

Eğer teknolojinin tek başına güvenlik probleminizi çözülebileceğini düşünüyorsanız, güvenlik probleminiz ve güvenlik teknolojileri tam anlaşılmamış demektir.”   Bruce Schneier – Şifreleme Uzmanı

Güvenlik Yönetimi

Gizlilik, Bütünlük, Erişilebilirlik

  •  Gizlilik

Kuruma özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin sahip olması

  • Bütünlük

Kurumsal bilgilerin yetkisiz değişim veya bozulmalara karşı korunması

  • Erişilebilirlik

Kurumsal bilgi ve kaynakların ihtiyaç duyan kişilerce sürekli erişilebilir durumda olması

Risk Değerlendirmesi

  • Kurumsal işleyişi etkileyebilecek olan risklerin belirlenmesi ve değerlendirilmesi sürecidir.
  • Bir risk değerlendirmesi yapılmadan, kurumsal işleyişin politika, prosedür ve uygulamalarıyla ne kadar korunduğu belirlenemez.
  • Risk yönetimi konusunda yetkililere -tercihen üst yönetim- ihtiyaç duyulmaktadır.
  • Üst yönetimin onayı ile sürecin önemi ve verimi artacak, çalışanlar politika ve prosedürlere daha fazla önem verecektir.

Risk Yönetimi

  • Kurumun karşı karşıya olduğu risklerin belirlenmesi,
  • Varlıkların zaafiyetlerinin ve karşı karşıya oldukları tehditlerin belirlenmesi,
  • Ortaya çıkan riskin nasıl yönetileceği ve nasıl hareket edileceğinin planlanması sürecidir

Risk Yönetimi

Aşamalar

  • Risk yönetim ekibi kurma
  • Tehdit ve zaafiyetleri doğrulama
  • Organizasyon varlıklarının değerlerini belirleme
  • Riske karşı yapılacak hareketleri belirleme

Kavramlar

  • Tehdit
  • Zaafiyet
  • Kontroller

Risk Yönetimi Kavramları

  • Tehdit

Organizasyonu olumsuz etkileyebilecek olan insan yapımı veya doğal olaylar

  • Zaafiyet

Varlıkların sahip olduğu ve istismar edilmesi durumunda güvenlik önlemlerinin aşılmasına neden olan eksiklikler

  • Kontroller

Zaafiyetlerin boyutunu azaltıcı, koruyucu veya etkilerini azaltıcı önlemler

  • Caydırıcı Kontroller
  • Saptayıcı Kontroller
  • Önleyici Kontroller
  • Düzeltici Kontroller

Risk Yönetim Kontrolleri

Guvenlik-Risk-Yonetimi

Risk Yönetim Takımı

  • Tek başına yapılabilecek bir iş değildir, yardımcılar ve diğer önemli departmanlardan çalışanlar ile yapılmalıdır. Böylece riski görmek ve kavramak daha kolay olacaktır.

Potansiyel Gruplar ;

  • Bilişim Sistemleri Güvenliği
  • Bilişim Teknolojileri ve Operasyon Yönetimi
  • Sistem Yöneticileri
  • İnsan Kaynakları
  • İç Denetim
  • Fiziksel Güvenlik
  • İş Devamlılığı Yönetimi
  • Bilgi Varlıklarının Sahipleri

Tehditleri Belirleme

  • Doğal Olaylar
  • Deprem, Sel, Kasırga
  • İnsan Yapımı Olaylar
    • Dış Kaynaklı Olaylar
    • Virüs, Web Sayfası Değişimi, Dağıtık Servis Engelleme
    • İç Kaynaklı Olaylar
    • Çalışanlar
    • E-Posta Okuma, Kaynaklara Yetkisiz Erişim, Bilgi Hırsızlığı
    • Eski Çalışanlar
    • Önceki Hakların Kullanımı, Bilgi Hırsızlığı, Gizli Bilgilerin İfşası

Zaafiyet, Tehdit ve Risk

Tehdit Tipi Tehdit Zaafiyet/İstismar Oluşan Risk
İç Kaynaklı İnsan Yapımı Çalışan Kötü yetkilendirme ve izleme sistemi olmayışı Veri değişimi veya yok edilmesi
Dış Kaynaklı İnsan Yapımı Saldırgan Hatalı güvenlik duvarı yapılandırması Kredi kartı bilgilerinin çalınması
Doğal Yangın Kötü yangın söndürme sistemi İnsan hayatı kaybı
Dış Kaynaklı İnsan Yapımı Virüs Güncellenmemiş anti-virüs sistemi İş devamlılığının aksaması
Teknik İç Tehdit Sabit Disk Bozulması Veri yedeği alınmaması Veri kaybı, çok miktarda iş kaybı

Varlıkların Değerlerini Belirleme

  • Gerçek risk yönetimi için hangi varlığın kurum için daha değerli olduğu doğru biçimde belirlenmelidir.
  • Sayısal/Nicel Risk Değerlendirmesi yapılacak ise varlıklara para birimi cinsinden değer atanmalıdır.
  • Eğer Sayılamayan/Nitel Risk Değerlendirmesi yapılacak ise varlıkların önceliklerinin belirlenmesi yeterlidir; ancak çıkacak sonuçların sayısal olmayacağı da ön görülmelidir.

Nicel Risk Değerlendirmesi

  • Sayısal risk değerlendirme yöntemidir, sayılar ve para birimleri ile risk belirlenir.
  • Sürecin tüm elemanlarına sayısal değer verilmelidir.
  • Varlık, Etki Düzeyi, Korunma Verimliliği, Korunma Maliyeti vb.
  • Temel kavramlar ve formüller ile risk değerlendirmesi yapılır.
  • Tekil Kayıp Beklentisi (SLE)
  • Tekil Kayıp Beklentisi = Varlık Değeri x Etki Düzeyi
  • Yıllık Gerçekleşme İhtimali (ARO)
  • Tehditin bir yıl içinde gerçekleşme ihtimali
  • Yıllık Kayıp Beklentisi (ALE)
  • Yıllık Kayıp Beklentisi = Tekil Kayıp Beklentisi x Yıllık Gerçekleşme İhtimali

Nitel Risk Değerlendirmesi

  • Nicel tanımlama tüm varlıklara veya tehditlere kolayca uygulanamaz, Nitel tanımlama ise öncelik ve önem seviyelerine göre değerlendirmedir.
  • Değerlendirme çıktısı sayısal olmayacaktır, bu durum üst yönetim tarafından önceden bilinmelidir.
  • Soru/Cevap veya Öneriler ile öncelikler belirlenebilir
  • Örnek Önceliklendirme Değerleri : Düşük/Orta/Yüksek
  • Düşük : Kısa sürede telafi edilebilen durumlar için
  • Orta : Organizasyonda orta düzey maddi hasar oluşturan, giderilmesi için maddi harcamalar gereken durumlar için
  • Yüksek : Organizasyon sonlanması, müşteri kaybı veya yasal olarak önemli kayıp oluşturacak durumlar için *NIST 800-026

Riske Karşı Davranışı Belirleme

  • Riskin Azaltılması
    • Bir önlem uygulanarak veya kullanılarak riskin azaltılması
  • Riskin Aktarılması
    • Potansiyel hasar veya durumların sigorta ettirilmesi
  • Riskin Kabul Edilmesi
    • Riskin gerçekleşmesi durumunda oluşacak potansiyel kaybın kabul edilmesi
  • Riskin Reddedilmesi
    • Riskin inandırıcı bulunmaması ve gözardı edilmesi

Risk Hesaplaması

Riske karşı davranış belirlenmesinde varlık değeri, hasar boyutu, önlem ve sigorta maliyeti, alınan önlemlerin maliyet etkinliği dikkatle değerlendirilmelidir.

  • Tehdit x Zaafiyet x Varlık Değeri = Toplam Risk
  • Toplam Risk – Önlemler = Arta Kalan Risk
http://www.bulentkaraman.com/wp-content/uploads/2016/05/Guvenlik.jpghttp://www.bulentkaraman.com/wp-content/uploads/2016/05/Guvenlik-100x100.jpgBilgi BankasıBlogEğitim AkademisiHaberlerTeknoloji HaberleriBilgi Bankası,Güvenlik,Güvenlik Nedir,Risk,Risk Yönetimi,Tehdit,Teknoloji,ZaafiyetGüvenlik Nedir? Güvenlik risk yönetimidir Bir sistem, yazılımı ihtiyaçlarınız ve beklentileriniz doğrultusunda çalışıyorsa güvenlidir Güvenlik, bulunurluk, kararlılık, erişim denetimi, veri bütünlüğü ve doğrulamadır. Güvenlik ve İnsan Güvenlik, teknoloji kadar insan ve o insanların teknolojiyi nasıl kullandığı ile ilgilidir. Güvenlik sadece doğru teknolojinin kullanılmasından daha ileride bir hedeftir. Doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılmasıdır. Teknoloji Tek Başına Yeterli...Kurumsal Çözümler | Bülent Karaman