Risk Kategorileri ve Değerlendirme← İçindekiler

Risk Kategorileri ve Değerlendirme

B

Riskleri tanımladın. Şimdi sıra onları sıralamada. Her risk aynı önceliği taşımaz. Bütçesi sınırlı, zamanı kısıtlı bir kurumun her riski aynı ciddiyetle ele alması imkansızdır. Ölçemiyorsan yönetemezsin.

Özlü kural: Kaynak sınırlı, risk sonsuz. Önceliklendirmeyen, her yere yarım dokunur.

42.1 Risk Kategorileri

BT risklerini kategorize etmek, gözden kaçanı önler. Başlıca kategoriler:

Bütçe riskleri

BT güvenliğine ayrılan bütçenin yetersiz olması. Ucuza kaçılan güvenlik çözümleri, ciddi açıklar bırakır.

Bilgi güvenliği riskleri

Sosyal mühendislik, iç tehdit, kurumsal casusluk, dış saldırganlar. En bilinen ama en alt edilen kategori.

Operasyonel riskler

Süreçlerin, personelin ve günlük işleyişin yarattığı riskler. Mutsuz bir çalışan, bakımsız bir sistem, eksik bir prosedür.

Organizasyonel riskler

Yapısal değişiklikler, yönetici dönüşümleri, rol belirsizlikleri. Yeni gelen CISO’nun farklı bir iş yapış kültürü getirmesi bile risktir.

Regülasyonel riskler

KVKK, GDPR gibi düzenlemelere uyum sağlayamama. Mevzuat değiştikçe sistemlerin güncellenmemesi.

Kaynaksal riskler

Çip krizi, personel açığı, kaliteli eleman kaybı. İhtiyaç duyulan teknolojiye veya insana zamanında ulaşamama.

Takvimsel riskler

Proje takviminden sapmalar. Bir projenin gecikmesi, bağlı diğer projeleri ve bütçeyi zincirleme etkiler.

Stratejik riskler

Kurumun hedeflerine ulaşmasını engelleyebilecek yanlış kararlar. Değişen ortama uyum sağlayamama.

Tedarik zinciri riskleri

Üçüncü parti yazılım ve hizmetlerin yarattığı riskler. Kullanılan bir bileşen hacklenirse, sen de hacklenmiş olursun.

Teknolojik riskler

Eski altyapılar, modernize edilemeyen sistemler. Sorunsuz çalışan ama güncellenemez hale gelmiş miras sistemler.

42.2 Risk Tanımlama Yöntemleri

Riskleri tespit etmek için kullanılan başlıca yöntemler:

  • Zafiyet değerlendirmesi: Nessus, OpenVAS gibi araçlarla aktif tarama. Sistemlerdeki açık noktalar belirlenir, bir şey bozulmaz.
  • Sızma testi: Bulunan zafiyetlerin gerçekten sömürülebilir olduğunu kanıtlama. Bilgi toplama, tarama, sömürme, raporlama adımlarından oluşur.
  • Red teaming: Gerçek bir saldırgan gibi davranarak sisteme sızma. Doğaçlama ve TTP simülasyonu içerir.
  • Güvenlik değerlendirmesi: Tüm kaynaklardan kapsamlı değerlendirme alma.
  • BT denetimleri: GRC (Governance, Risk, Compliance) ekiplerince yürütülen denetimler.
  • SWOT analizi: Güçlü yanlar, zayıflıklar, fırsatlar, tehditler. İş odaklı stratejik bakış.
  • İş etkisi analizi: Bir risk gerçekleşirse iş süreçleri ne kadar etkilenir?

42.3 Niteliksel ve Niceliksel Değerlendirme

İki farklı değerlendirme yöntemi vardır:

Niteliksel (Qualitative)

Etki ve olasılık matrisi kullanır. Tahmine dayalı, öznel ama uygulaması kolaydır.

Risk Skoru = Olasılık × Etki

Düşük-orta-yüksek etiketleriyle hızlı önceliklendirme yapılır.

Niceliksel (Quantitative)

Veri ve formüller kullanır. Objektif ama uygulaması zordur. Beş temel değişken:

  • Varlık Değeri (VD): Varlığın parasal değeri
  • Maruz Kalma Faktörü (MKF): Risk gerçekleştiğinde oluşacak kayıp oranı
  • Solo Kayıp Beklentisi (SKB): Tek olayda beklenen kayıp = VD x MKF
  • Yıllık Meydana Gelme Sıklığı (YMGS): Bir yıl içinde gerçekleşme sıklığı
  • Yıllık Kayıp Beklentisi (YKB): Yıllık beklenen kayıp = SKB x YMGS

Örnek: Değeri 100.000 TL olan bir sunucu, her 10 yılda bir sel riskiyle karşı karşıya. Sel durumunda sunucunun %40’ı zarar görüyor.

  • VD = 100.000 TL
  • MKF = 0,40
  • SKB = VD × MKF = 100.000 × 0,40 = 40.000 TL
  • YMGS = 0,1 (10 yılda bir)
  • YKB = SKB × YMGS = 40.000 × 0,1 = 4.000 TL

Yıllık kayıp beklentin 4.000 TL. Koruma çözümü yıllık 8.000 TL’ye mal oluyorsa, riski kabul etmek mantıklı. 2.000 TL’ye mal oluyorsa, korumak mantıklı. Hesap kitap yapmadan karar verme.

Bunu Yap
  • Risk kategorilerini gözden geçir, eksik kategori olmasın
  • Niteliksel ve niceliksel yöntemleri birlikte kullan
  • Risk bağımlılıklarını düşün: bir risk diğerlerini tetikler
Bunu Yapma
  • Sadece teknik araçlarla riski tam olarak ölçtüğünü san
  • İştah ve tolerans seviyelerini belirmeden hareket et

Bilgi Kontrolü

S3. Asgari ücretten hallice maaş verdiğiniz personele zam yapmak yerine, lüx otellerde şirket eğlencesi düzenlemek aşağıdaki risk kategorilerinden hangisine girmez?

a. Operasyonel Risk
b. Kaynaksal Risk
c. Takvimsel Risk
d. Taktiksel Risk ✓

S5. Aşağıdakilerden hangisi Anası - Danası (Parent - Child) bağımlılığı taşımaz?

a. Adalet mülkün temelidir. (Hz. Ömer)
b. Anasına bak, kızını al; tarağına bak, bezini al.
c. Faiz sebep, enflasyon neticedir. ✓
d. Sakın bir çiviyi küçümseme! Bir çivi bir nalı, nal bir atı, at bir komutanı, komutan bir orduyu, ordu koca bir ülkeyi kurtarır! (Cengiz Han)

S6. Keyfimize göre değil de hesap kitap yaparak değerleme yaptığımız risk değerlendirme tipi hangisidir?

a. Tipitip
b. Niteliksel
c. Niceliksel ✓
d. Matematiksel

İlgili Bölümler