Güvenlik Hakkında
Güvenlik Nedir?
- Güvenlik risk yönetimidir
- Bir sistem, yazılımı ihtiyaçlarınız ve beklentileriniz doğrultusunda çalışıyorsa güvenlidir
- Güvenlik, bulunurluk, kararlılık, erişim denetimi, veri bütünlüğü ve doğrulamadır.
Güvenlik ve İnsan
Güvenlik, teknoloji kadar insan ve o insanların teknolojiyi nasıl kullandığı ile ilgilidir.
Güvenlik sadece doğru teknolojinin kullanılmasından daha ileride bir hedeftir.
Doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılmasıdır.
Teknoloji Tek Başına Yeterli mi ?
Eğer teknolojinin tek başına güvenlik probleminizi çözülebileceğini düşünüyorsanız, güvenlik probleminiz ve güvenlik teknolojileri tam anlaşılmamış demektir.” Bruce Schneier – Şifreleme Uzmanı
Güvenlik Yönetimi
Gizlilik, Bütünlük, Erişilebilirlik
- Gizlilik
Kuruma özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin sahip olması
- Bütünlük
Kurumsal bilgilerin yetkisiz değişim veya bozulmalara karşı korunması
- Erişilebilirlik
Kurumsal bilgi ve kaynakların ihtiyaç duyan kişilerce sürekli erişilebilir durumda olması
Risk Değerlendirmesi
- Kurumsal işleyişi etkileyebilecek olan risklerin belirlenmesi ve değerlendirilmesi sürecidir.
- Bir risk değerlendirmesi yapılmadan, kurumsal işleyişin politika, prosedür ve uygulamalarıyla ne kadar korunduğu belirlenemez.
- Risk yönetimi konusunda yetkililere -tercihen üst yönetim- ihtiyaç duyulmaktadır.
- Üst yönetimin onayı ile sürecin önemi ve verimi artacak, çalışanlar politika ve prosedürlere daha fazla önem verecektir.
Risk Yönetimi
- Kurumun karşı karşıya olduğu risklerin belirlenmesi,
- Varlıkların zaafiyetlerinin ve karşı karşıya oldukları tehditlerin belirlenmesi,
- Ortaya çıkan riskin nasıl yönetileceği ve nasıl hareket edileceğinin planlanması sürecidir
Risk Yönetimi
Aşamalar
- Risk yönetim ekibi kurma
- Tehdit ve zaafiyetleri doğrulama
- Organizasyon varlıklarının değerlerini belirleme
- Riske karşı yapılacak hareketleri belirleme
Kavramlar
- Tehdit
- Zaafiyet
- Kontroller
Risk Yönetimi Kavramları
- Tehdit
Organizasyonu olumsuz etkileyebilecek olan insan yapımı veya doğal olaylar
- Zaafiyet
Varlıkların sahip olduğu ve istismar edilmesi durumunda güvenlik önlemlerinin aşılmasına neden olan eksiklikler
- Kontroller
Zaafiyetlerin boyutunu azaltıcı, koruyucu veya etkilerini azaltıcı önlemler
- Caydırıcı Kontroller
- Saptayıcı Kontroller
- Önleyici Kontroller
- Düzeltici Kontroller
Risk Yönetim Kontrolleri
Risk Yönetim Takımı
- Tek başına yapılabilecek bir iş değildir, yardımcılar ve diğer önemli departmanlardan çalışanlar ile yapılmalıdır. Böylece riski görmek ve kavramak daha kolay olacaktır.
Potansiyel Gruplar ;
- Bilişim Sistemleri Güvenliği
- Bilişim Teknolojileri ve Operasyon Yönetimi
- Sistem Yöneticileri
- İnsan Kaynakları
- İç Denetim
- Fiziksel Güvenlik
- İş Devamlılığı Yönetimi
- Bilgi Varlıklarının Sahipleri
Tehditleri Belirleme
- Doğal Olaylar
- Deprem, Sel, Kasırga
- İnsan Yapımı Olaylar
- Dış Kaynaklı Olaylar
- Virüs, Web Sayfası Değişimi, Dağıtık Servis Engelleme
- İç Kaynaklı Olaylar
- Çalışanlar
- E-Posta Okuma, Kaynaklara Yetkisiz Erişim, Bilgi Hırsızlığı
- Eski Çalışanlar
- Önceki Hakların Kullanımı, Bilgi Hırsızlığı, Gizli Bilgilerin İfşası
Zaafiyet, Tehdit ve Risk
| Tehdit Tipi | Tehdit | Zaafiyet/İstismar | Oluşan Risk |
| İç Kaynaklı İnsan Yapımı | Çalışan | Kötü yetkilendirme ve izleme sistemi olmayışı | Veri değişimi veya yok edilmesi |
| Dış Kaynaklı İnsan Yapımı | Saldırgan | Hatalı güvenlik duvarı yapılandırması | Kredi kartı bilgilerinin çalınması |
| Doğal | Yangın | Kötü yangın söndürme sistemi | İnsan hayatı kaybı |
| Dış Kaynaklı İnsan Yapımı | Virüs | Güncellenmemiş anti-virüs sistemi | İş devamlılığının aksaması |
| Teknik İç Tehdit | Sabit Disk Bozulması | Veri yedeği alınmaması | Veri kaybı, çok miktarda iş kaybı |
Varlıkların Değerlerini Belirleme
- Gerçek risk yönetimi için hangi varlığın kurum için daha değerli olduğu doğru biçimde belirlenmelidir.
- Sayısal/Nicel Risk Değerlendirmesi yapılacak ise varlıklara para birimi cinsinden değer atanmalıdır.
- Eğer Sayılamayan/Nitel Risk Değerlendirmesi yapılacak ise varlıkların önceliklerinin belirlenmesi yeterlidir; ancak çıkacak sonuçların sayısal olmayacağı da ön görülmelidir.
Nicel Risk Değerlendirmesi
- Sayısal risk değerlendirme yöntemidir, sayılar ve para birimleri ile risk belirlenir.
- Sürecin tüm elemanlarına sayısal değer verilmelidir.
- Varlık, Etki Düzeyi, Korunma Verimliliği, Korunma Maliyeti vb.
- Temel kavramlar ve formüller ile risk değerlendirmesi yapılır.
- Tekil Kayıp Beklentisi (SLE)
- Tekil Kayıp Beklentisi = Varlık Değeri x Etki Düzeyi
- Yıllık Gerçekleşme İhtimali (ARO)
- Tehditin bir yıl içinde gerçekleşme ihtimali
- Yıllık Kayıp Beklentisi (ALE)
- Yıllık Kayıp Beklentisi = Tekil Kayıp Beklentisi x Yıllık Gerçekleşme İhtimali
Nitel Risk Değerlendirmesi
- Nicel tanımlama tüm varlıklara veya tehditlere kolayca uygulanamaz, Nitel tanımlama ise öncelik ve önem seviyelerine göre değerlendirmedir.
- Değerlendirme çıktısı sayısal olmayacaktır, bu durum üst yönetim tarafından önceden bilinmelidir.
- Soru/Cevap veya Öneriler ile öncelikler belirlenebilir
- Örnek Önceliklendirme Değerleri : Düşük/Orta/Yüksek
- Düşük : Kısa sürede telafi edilebilen durumlar için
- Orta : Organizasyonda orta düzey maddi hasar oluşturan, giderilmesi için maddi harcamalar gereken durumlar için
- Yüksek : Organizasyon sonlanması, müşteri kaybı veya yasal olarak önemli kayıp oluşturacak durumlar için *NIST 800-026
Riske Karşı Davranışı Belirleme
- Riskin Azaltılması
- Bir önlem uygulanarak veya kullanılarak riskin azaltılması
- Riskin Aktarılması
- Potansiyel hasar veya durumların sigorta ettirilmesi
- Riskin Kabul Edilmesi
- Riskin gerçekleşmesi durumunda oluşacak potansiyel kaybın kabul edilmesi
- Riskin Reddedilmesi
- Riskin inandırıcı bulunmaması ve gözardı edilmesi
Risk Hesaplaması
Riske karşı davranış belirlenmesinde varlık değeri, hasar boyutu, önlem ve sigorta maliyeti, alınan önlemlerin maliyet etkinliği dikkatle değerlendirilmelidir.
- Tehdit x Zaafiyet x Varlık Değeri = Toplam Risk
- Toplam Risk – Önlemler = Arta Kalan Risk
Bir cevap yazın