Risk Yönetimi Notları

Share
experience-3Darısı diğer okurlarımın başına diyerek ilk deneyim paylaşımımı başlatıyorum. Buna ek olarak sitemde sorduğum her soru için ayrı bir yazı daha yazacağımı da belirtmek ister, soruları cevaplayan katılımcılara teşekkür ederim. Şunu unutmamak gerekir ki best practices denilen şey deneyim paylaşımı ile başlar.Bu deneyim paylaşımı bu başlığın başından sonuna anlatımını değil, konunun püf noktalarını, dikkat edilecek noktaları içerir.

risk1.  Risk; kurumun stratejik, mali ve operasyonel hedeflerini gerçekleştirmesini engelleyecek, her türlü olayın gerçekleşme olasılığıdır. Kurumun hedeflerini gerçekleştirebilmesi için makul bir güvence sağlamak üzere, olası olay veya durumların önceden belirlenmesi, değerlendirilmesi ve kontrol edilmesinden oluşan bir süreçtir.

2.  Aşağıda yapısı verilen ve Sharepoint ortamında gerçekleştirilmiş olan Risk Yönetimi aracı, Risk Yönetimi ihtiyaçlarını karşılayabilecek en basit ve ilkel yapıyı bize sağlayabilmektedir. Risk yönetiminin profesyonelce yapılması ve sürdürülmesi hedefleniyorsa ve zaman ve maliyetler uygunsa kesinlikle profesyonel bir araç kullanılması gereklidir. Aşağıdaki bu satır yapısına sahip bir araçta şirketin risk metodolojisine, sektörüne ve envanter kütlesine bağlı olarak kurumsal bir firma da binlere yakın risk analizi satırı olması olağandır.

İlişkiler:

risk1

Şekil 1 – İlişkiler Diyagramı

Tasarım:

risk2

Şekil 2 – Risk Yönetimi Menüsü

risk3

Şekil 3 – Risk Analizi Tablosu – Risk Kaydı

risk4

Şekil 4 – Risk Giderme Tablosu – Görev Kaydı

risk5
Şekil 5 – Zaafiyetler Listesi

risk6
Şekil 6 – Tehditler Listesi

risk7

Şekil 7 – Kontroller Listesi

3.  Bir kurumun içindeki bir organizasyonel yapı veya hizmet bütünü için yapılan Bilgi Güvenliği Politikası (BGP) çalışmasında ISO27001 kontrolleri (veya ISO17799’un maddeleri) birer başlık olarak kullnılabilir. Bu yaklaşım bilgi güvenliği politikasının oluşturulmasında yardımcı olamak amacıyla uygulanabilir.

4.  En üstte kurumun politikası vardır. Bu politika detay içermez, genel müdürün imzası ile yayınlandığı için teknik detay içermemelidir. Ancak alt politikalar (yani birimlere ait olanlar) detay içerir. Örenğin “Uzak Masa bağlantısı SSH kullanılarak ve VPN kanallarından yapılır” gibi.
Risk analizi sonucu ilgili önlemler alındıktan sonra hataların tekrarını önlemek için bunları politika maddesi haline getirebilirsin. Misal: “eğitimlerin sıklığı ve düzeni” gibi

5.  ISO20000 süreci içinde geçen Bilgi Güvenliği Yönetimi Süreci, ISO17799 standardını refere eder. Bilgi güvenliği ilk olarak BS7799 ismi ile İngiliz standartı olarak çıkmıştır. Daha sonra ISO17799 ismiyle uluslar arası bir standart olmuştur. Mart.2006 Tarihiyle de artık ISO27001 adıyla revize olarak ismi değişmiştir. ISO2000 ise Aralık.2005 tarihli bir standart olduğu için ISO17799’a referans vermiştir, aslında konu ISO27001 kapsamındadır.
Bu bakış açısı ile her iki kitap içindeki kontrol maddelerini de risk yönetimine kontrol maddeleri olarak yazabiliriz:

  • ISO270001 amaçları veriyor.
  • ISO270002’nın kontrolleri bu amaçlara ulaşmak için gerekli en iyi pratikleri veriyor.

6.  Varlık değerini hesaplarken soru listesi oluşturmak doğru olandır. Bunlar kuruma göre hazırlanır. Burada varlığın maddi değeri bu sorulardan sadece biridir ancak kurum isterse en yüksek ağırlık olabilir. Kurum çalışanları ile varlıkların değerlerini nasıl belirlediklerini bir görüşme ile saptıyoruz. Bu cümlelerden sorular oluşturyor ve ağırlıklar veriyoruz. Pilot yapıp bir kaç varlıkta soruları cevaplayıp sonuçları alıyoruz ve sonuçları çalışanlara gösteriyoruz. Böylece yapılan işin(yukarıdaki soruların) mantıklı sonuç verip vermediğine bakıyoruz. sonuçlar doğru değilse soruların ağırlıkları ile oynuyoruz veya yeni sorular ekliyor/çıkartıyor/değiştiriyoruz.

7.  Risklerin Analizin özetle ve dikkat edilecek noktalarıyla adımları:

1) Varlıkların Çıkarılması: “Neyi korumak istiyoruz ?” sorsunun cevabı olan varlıkların listesi alınır. Ana başlıklar aşağıdaki gibidir;

  • Donanımlar
  • Yazılımlar
  • Sözleşmeler
  • Çalışanlar

2) Varlık Değerlerinin Çıkarılması: (Yukarıda bahsedilmiştir)

3) Kalıtsal Riskler: Riskin kontoller uygulanmadan önceki yalın halidir. Sadece etki(=Varlık Değeri x Tehdit) ve olasılık değerleri vardır.

4) Risk Değerlendirme: Risk değeri hesaplandıktan sonra ortaya çıkan rakamsal değerler bir matris üzerine konur ve kurumun metolojisi gereği hangilerinin kritik hangilerinin kabul edilebilir olduğu kararı verilir. Bunun üzerine riskler kategorilendirilir: Kaçın, Azalt, Devret, Kabul Et. Bu kategorilere dayanarak aksiyon alınır veya alınmaz.

5) Kontroller: (Yukarıda bahsedilmiştir)

6) İş atamaları: Riskin üstesinden gelme metodunu belirlendikten sonra bu metodun nasıl uygulanacağı ortaya konmalıdır. Bunun için saptanan çözümler kaynak ihtiyaçları (insan, zaman, bütçe) ve öncerilen çözüm şeklinde ortaya konur ve uygun olan seçilerek icraya başlanır. Bu işler bir proje kadar büyük olabileceği gibi birkaç dakikalık operasyonel iş kadar basitte olabilir. Her konuda olduğu gibi işin büyüklüğü farketmesizin mutlaka işin bir sorumlusu olmalıdır. İş yerine getirildikten sonra planlanan risk düşüşün ne derece gerçekleştirildiği kontrol edilmelidir.

7) Artık Riskler: Kontroller uygulandıktan sonra sonra geriye kalan riskler.

1, 2, 3 Bir defa
4, 5, 6 Yılda en az 2 defa
7 kendiliğinden ortaya çıkmaktadır.

8.  Olasılık neyin olasılığı olduğu ortaya konmalıdır: bir araba kazasında, kazanın olma olasılığımı ? kaza sonucu ölüm olasılığı mı ? Metodolojiye göre ölüm olasılığı yani tehditin değil zafiyetin olasılığıdır.

9.  Genelde kontroller olasılığı düşürür, etkiyi değil.

10.

risk8 

  • Tehdit: Bir zafiyeti kullanarak istenmeyen durumların oluşması. Dışarıdan gelen. Örnek: trafik kazası, deprem tehditi.
  • Zaafiyet: Kendi başına zarar veremeyen ama tehdit tarafından suistimal edilen. Sizinle ilgili olan. Örnek: insanın ölümlü olması, Binanın depreme karşı dayanıksız oluşu
  • Varlık: “Neyi korumaya çalışıyoruz ?” sorusunun cevabıdır. Örnek:Kurum imajı, server, maaş bilgileri vb
  • Etki: “Tehdit, varlık üzerinde gerçekleşirse ne olur ?” sorusunun cevabıdır. Etkiyi, işe olan etkisi olarak düşünmek gereklidir. Deprem sonucu binanın yıkılmasından çok, bina yıkılırsa bunun işe etkisi ne olur demeliyiz.
  • Zayıflıklara karşı Önlemler alıyoruz. Bu sayede olasılığı düşürüyoruz.
  • Örnek :
    Varlık: Dizüstü bilgisayar
    Varlık Değeri: İşe Özel, Şirkete Özel,Gizli veya kişisel bilgilerin varlığı
    Zayıflık: Kolay taşınabilir olması, USB bağlantılarının güvenliksiz oluşu
    Tehdit: Hırsızlık
    Risk: Tehdidin eyleme dönüşmesiyle, gizli bilgilerin kaybı ve bilgi birikimi kaybı sonucunda zararın oluşması

11.  Olasılık neyi ifade eder ?

  • Tehditin olma olasılığı mı ? Örnek:Depremin olma olasılığı.
  • yoksa Etkinin olma olasılığı mı ? Örnek:Deprem sonucu oluşacak hasarın.

Metodoloji “Etkinin olasılığını al” der; Bir Tehditi risk analizi satırı olarak değerlendirmeye alıyorsan değerlendirme kapsamında onu olmuş olarak düşündüğün için tehditin olasılığı %100 dür. Bu nedenle Tehdit’in olasılığı değil Ekinin olasılığı alınır. Buda kendi içinde oluşabilecek tehditler bazında maddelendirilebilir. Araba kazası örneğini ele alacak olursak; Ölüm olasılığı %70, Yaralanma olsılığı %20, sağ kurtulma olasılığı %10 gibi.

12.  Deprem örneğine geri dönecek olursak Konyada olmak ile İstanbul da olmak arasında da bir fark olması gerekir. İlk bakıldığında Tehditin olma olasılığı denilen konuyu bize hatırlatsa da aslında bizim mevcut deprem riski satırımızı biri Konya, diğeri İstanbul için ikiye bölmemiz gerekmektedir.

13.  Risk satırlarını oluştururken dikkat edilecek konular;

  • Birden fazla varlık üzerinde bir tehdit varsa, bunu tekrar tekrar yazacaksan ve alacağın önlem aynı ise bunları tek bir satırda toplayabilirsin.
  • “Bu risk ile ilgili müşterinin/yönetimin ne yapmasını istiyorsun ?” sorusu cevaplanmalıdır.
    ÖrnekYönetim: Deprem tehditi varsa cihazlar üzerinde bina varlığına risk yaz ve bina güçlendirmeyi önleyici faaliyet yap.
    ÖrnekMüşteri: Bir network uzmanı müşterinin router’larının out-of-support olduğunu haliyle çıkan sorunlarda erişimin maliyetli olduğunu, çok sorun çıkardığını, network yükünde bir bottle-neck oluşturduğunu söyledi. Bu durumda bu router’ların değiştirilmesi gerektiğini önleyici faaliyet olarak söyleyebilirsin.
  • Varlıkları seçerken “Nereyi dikkate almak istiyorsun ?” sorusu cevaplanmalıdır: Binayımı (yukarıdaki deprem örneğinde ki gibi), şube bazında mı(yerleşim yeri bazında) ? Şehir bazında mı (istanbul/Konya anlamında) vb
  • Herşeyin riskini hesaplamaya gerek yoktur.

14.  Risk analizi neden yapılır:

  • Yönetimin desteğini alamadığımız bir konuda desteği almak için.
  • Müşteri tarafında yaşanan sıkıntının çözülmesi için.

15.  Nelerin riski hesaplanmalıdır:

  • Varlık değerlerinin hesaplanması sonucu kritik varlık olduğu kabul edilen varlıklar,
  • Müşterinin/Yönetimin önlemini almasını istediğimiz iş sürekliliği ve ulaşılabilirlik açısından risk altında olan varlıklar.
    Örnek:Çok Yoğunsunuz çok iş var ama kaynak az. Bu durumu risk yönetimi ile ortaya koyabilir ve konunun çözümü için üst yönetimin desteğini isteyebilirsiniz.
  • Servis sağlayıcıya verdiği hizmette maliyet oluşturan, karlılığını tehdit eden; müşteriye veya servis sağlayıcıya ait olan varlıkların ortaya çıkarılması ve aksiyon alınması. Örnek:Cisco 3600 router, 10 yılı aşkın bir teknoloji olduğu için sıkça fan ve power problemi veriyor.

16.  Gerçek Zayıflığın ne olduğunu bilmek gerekir:
Örnek:Cisco 3600 Router 10 yıllık bir ürün olup end-of-support olmasının riski; destek alamamak mı ?, kesintiye neden olması mı ? Bu sorunun cevabı yine teknik takıma/müşteriye aittir. Kendisi bu routerla ilgili sorun yaşadığında oluşan gerçek sıkıntı nedir ?

17.  Risk yönetimi ile çıkarılan Risk Analizi tablosu sonucu ne olacak ?

  • Yönetime rapor sunulacak
  • Politikalar çıkarılacak/güncellenecek
  • Değişiklik gerçekleşecek
  • Ulaşılabilirlik planları güncelenecek
  • Sürdürülebilirlik planları güncellenecek

Bu dökümanın hazırlanmasında emeği bulunan hocam Betül Ertem Yıldız’a teşekkür ederim.

Share

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Copy Protected by Chetan's WP-Copyprotect.