Risk konusunu merak edenler, Risk konusuna giriş seviyesinde bilgiye ihtiyacı olanlar, daha önce Risk konusunda bir şeyler öğrenmiş konuyu pekiştirmek isteyenler, ISO27001 ve/veya KVKK projelerinde risk analizlerini hesaplamak isteyenler” bu yazımızın hedef kitlesi olarak kabul edebiliriz. Bu yazının amacı;
- Risk hakkında temel tanımları belirlemek ve tanımlamak,
- Risk hesaplama yöntemine karar vermek,
- Risk hesaplamada farkındalığa ufak bir katkı vermek.
Risk Nedir?
Zarar uğrama tehlikesi. (TDK – Güncel Türkçe Sözlük)
Risk, tehlikeli durumların meydana getirebileceği zararın olma ihtimaline göre belirlenmiş değerdir. (İİE)
Risk konusunda ilk bilinmesi ve unutulmaması gereken;
- Risk hesaplamasına baz teşkil eden puanlama sistemi firmadan firmaya/kişiden kişiye değişiklik gösterebilir,
- Firmaların riskleri bir birinden farklıdır.
Şimdi Risk için temel tanımları yapmaya başlayabiliriz.
- Risk İçin Gerekli Temel Tanımlar
Risk için;
- Varlık
- Süreç
- Zayıflık
- Tehdit
- Olasılık
- Gizlilik
- Bütünlük
- Erişilebilirlik (Kullanılabilirlik) tanımlarının doğru kavranması gerekiyor.
- Varlık
Bir işi yapmak için kullanılan her şeydir.
Örnek : Kalem, Dosya, Dolap, Bilgisayar, makine gibi.
Unutmayınız! Risk çalışmasını hangi konuda yapıyorsanız, konuya ilişkin varlıklar üzerinde bulunan riskler işlenir.
- Süreç
Bir işin yapılması ile ilgili tüm adımlar dizisidir.
Örnek : Yedekleme süreçleri, işe alma süreçleri, kalite kontrol süreçleri, iletişim süreçleri gibi.
Unutmayınız! Risk çalışmasını hangi konuda yapıyorsanız, konuya ilişkin süreçler üzerinde bulunan riskler işlenir.
- Zayıflık
Varlık yada sürecin zarar görmesine sebebiyet verecek eksikliktir.
Örnek : Koruması Olmayan Depo, Basit Şifrelerin Kullanılması, Elektrik Şebekesinin Kararsız Olması, Eğitim Eksikliği gibi.
Unutmayınız! Zayıflık yönetilmezse tehdit gerçekleşir ve zararlara sebep olur.
- Tehdit
Varlıklar, Süreçler üzerinde gerçekleşen istenmeyen zarar verici ya da yok edici olaylardır.
Örnek : Yangın, Deprem, Ekipman Çalınması, Yazılım Hatası, Elektrik Kesintisi, Siber Saldırılar, Pandemi gibi.
- Olasılık
Varlık veya süreçler üzerindeki tehditlerin gerçekleşme olasılığıdır.
Örnek : Cep Telefonunu kaybetme olasılığı, Siber Saldırı olma olasılığı gibi.
Unutmayınız! Bir olayın bu güne kadar olmaması, bundan sonra da olmayacağı anlamına gelmez. Olasılık belirleme kişiden kişiye, firmadan firmaya farklılık gösterir.
- Gizlilik
Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır.
Örnek: Şifreli e-posta gönderimi ile e-postanın ele geçmesi halinde dahi yetkisiz kişilerin e-postaları okuması engellenebilir.)
- Bütünlük
Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır.
Örnek: Veri tabanında saklanan verilerin özel loglama ile tutulması. Tüm değişikliklerin izlenebilmesi.
- Erişilebilirlik (Kullanılabilirlik)
Bir varlığın yetkili varlıklarca talep edildiğinde erişilebilir ve kullanılabilir olma özelliğidir.
Örnek: Uzaktan çalışan personelin yurt dışında saat farkı sebebiyle bile olsa, kurumsal uygulamalara erişebilmesi.
Şimdi verilen tanımları örnek bir senaryo yardımıyla açıklayalım;
ABC A.Ş. çalışanlarına cep telefonu veriyor. Cep telefon için Satınalma departmanına istekte bulunuluyor. Satınalma departmanı aldığı telefonu kutusuyla birlikte kullanıcıya teslim ediyor. Kullanıcılar telefona kurumsal mail adreslerini kuruyor. Aynı zamanda uzaktan doküman yönetim sistemine erişilebiliyor. Cep telefon kullanıcıları terminal, otel, havaalanı gibi ortak alanlarda internet bağlantısı yapabiliyor.
Varlık | Zayıflık | Tehdit | Olasılık | Gizlilik | Bütünlük | Erişilebilirlik |
Cep Telefonu | Cep telefonu kullanma prosedürünün olmaması | Ortak ağlarda (havaalanı, otel, terminal) internet bağlanma | Böyle bir tehdit yılda ikiz kez başımıza gelebilir. | Başımıza geldiğinde bilgimiz açığa çıkar. | Bütünlük bozulmaz. | Erişilebilir durumda olmaya devam ederiz. |
Basit şifre, basit PIN, basit desen kullanımı | Cep Telefonunun unutulması veya kaybolması | Böyle bir tehdit yılda bir kez başımıza gelebilir. | Başımıza geldiğinde bilgimiz açığa çıkar. | Veritabanına bağlanarak bilgilerin bütümlüğü bozulabilir. | Erişimimiz bozulur. | |
Yetkilendirme eksikliği | Cep Telefonu kullanıcılarının her türlü yazılımı cihaz üzerine kurabilmesi | Böyle bir tehdit başımıza her an gelebilir. | Başımıza geldiğinde bilgimiz açığa çıkar. | Bütülük bozulmaz. | Erişilebilir durumda olmaya devam ederiz. |
Örnek senaryonun Varlık açısından risk değerlendirmesi tabloda mevcuttur.
Şevket DOĞAN
DPO, Lead Auditor, Consultant |