Varlık Değeri Nasıl Hesaplanır?
Bir önceki yazımızda Risk Temel Tanımlarının üzerinden kısaca geçmiştik. Varlık, Süreç, Zayıflık, Tehdit, Olasılık, Gizlilik, Bütünlük, Erişilebilirlik kavramlarının tanımı yapmış, ABC A.Ş. örneğini vermiştik.
Bu yazımızda, Risk Hesap formülündeki parametrelerden biri olan Varlık Değerinin, nasıl hesaplanacağını örnekleriyle anlatmaya çalışacağız.
Bir bilgi varlığı/sürecinin Varlık Değerini hesaplamak için varlığın/sürecin Gizlilik/Bütünlük/Erişilebilirlik kavramlarına yönelik etkilerin puanlama (sayısallaştırma) işlemine giriş yapmadan önceki yazımızdaki örnek olaya bir daha bakalım.
ABC A.Ş. çalışanlarına cep telefonu veriyor. Cep telefon için Satınalma departmanına istekte bulunuluyor. Satınalma departmanı aldığı telefonu kutusuyla birlikte kullanıcıya teslim ediyor. Kullanıcılar telefona kurumsal mail adreslerini kuruyor, aynı zamanda Web Tabanlı doküman yönetim sistemine erişilebiliyor. Cep telefon kullanıcıları terminal, otel, havaalanı gibi ortak alanlarda internet bağlantısı yapabiliyor.
Bu firmanın cep telefonlarından herhangi birinin kaybolacağını, çalınacağını varsayalım. Böyle bir olayda, Gizlilik/Bütünlük/Erişilebilirlik yönünden etkisini bir tablo yardımıyla değerlendirmeye çalışalım.
Kurumsal cep telefonundan herhangi biri, yetkisiz birilerinin eline geçtiğinde, ABC A.Ş.’nin az ya da çok etkilenecektir. Bu etki, telefon üzerindeki bilgiye göre değişiklik gösterir. Bu durumda biz etkiyi aşağıdaki gibi gruplayabiliriz. Kuruma uygun farklı isimlerde vermeniz mümkün. Vereceğimiz isimlerin hesaplama açısından hiçbir önemi bulunmuyor. Önemli olan ismin karşısında etkiyi nasıl tanımlamış olduğumuz.
Etki | Alternatif Tanım1 | Alternatif Tanım2 | Alternatif Tanım3 |
Çok Düşük | Sıradan | Beyaz | Seviye 1 |
Düşük | Az Zararlı | Sarı | Seviye 2 |
Orta | Karşılanabilir | Yeşil | Seviye 3 |
Yüksek | Büyük | Mavi | Seviye 4 |
Çok Yüksek | Çok Etkili | Kırmızı | Seviye 5 |
Aşağıdaki şekilde alternatifli tanımlamaları ve karşılık gelen etkiyi örnek olaylarla açıklamaya çalışalım.
Dikkat edecek olursanız, Etkiler sütunu tanımlamaları firmanıza uymayabilir. Etkileri farklı bir şekilde tanımlayabilirsiniz. Tanımlamaların firma büyüklüğü ile ilgisi bulunmazken, sektörün önemi oldukça büyüktür.
Alternatif Tanım1 | Alternatif Tanım2 | Alternatif Tanım3 | Etkiler | Örnek Olay | |
Çok Düşük | Sıradan | Beyaz | Seviye 1 | Ticari ve/veya kişisel veri açığa çıkmaz. | Cep telefonu kayboldu, telefonun şifresi karmaşık ve uzaktan mobil cihaz yönetim programıyla veriler silinebilmekte. |
Düşük | Az Zararlı | Sarı | Seviye 2 | Ticari ve/veya kişisel veri açığa çıkmaz. Çıksa bile kurumu etkilemez. | Cep telefonu kayboldu, üzerinde basit şifre var. Bu nedenle içindeki verilere ulaşılabilir. Mobil cihaz içinde kurumsal veya kişisel veri bulunmamakta. Sadece kurum çalışanlarına ait kurumsal telefon numaraları bulunmakta. |
Orta | Karşılanabilir | Yeşil | Seviye 3 | Ticari ve/veya kişisel veri açığa çıkmaz. Çıktığında kurum bundan etkilenir. Etki bir süre sonra telefi edilebilir. | Cep telefonu kayboldu, üzerinde basit şifre var. Bu nedenle içindeki verilere ulaşılabilir. Mobil cihaz içinde kurumsal etkinlik fotoğrafları bulunuyor. Fotoğrafların bir yedeği firmanın File server sisteminde bulunuyor. Fotoğraflara yetkisiz erişimde bulunan kişi/kişiler bu fotoğraflarla ilgili bir şeyler yapmadılar. |
Yüksek | Büyük | Mavi | Seviye 4 | Ticari ve/veya kişisel veri açığa çıkar. Açığa çıkan veri kurumu etkiler. Etki bir süre sonra telafi edilebilir. | Cep telefonu kayboldu, üzerinde basit şifre var. Bu nedenle içindeki verileri ulaşılabilir. Telefonda kurumsal e-mail kuruluydu. E-mail üzerinde Satınalma talepleri ve sözleşmeleri bulunmaktaydı. |
Çok Yüksek | Çok Etkili | Kırmızı | Seviye 5 | Ticari ve/veya kişisel veri açığa çıkar. Açığa çıkan veri kurumu etkiler. Etki telafi edilemez ya da uzun vadede telafi edilir. | Cep telefonu kayboldu, üzerinde basit şifre var. Bu nedenle içindeki verilere ulaşılabilir. Son yapılan ürünlere ait çizimler telefonda bulunmakta. |
Buradaki örnek olaylar, etkilerin tanımlarını daha iyi anlamak için verilmiş.
Şimdi yapmamız gereken yaptığımız tanımlamaya uygun puanlama yapmak. Bunun için 1-5 arasında veya 1-100 arasında puanlama sistemi kullanabiliriz. Önemli olan etki ile puanlama arasında mantıklı bir ilişkinin kurulabilmesi. Burada tercih edilen, kurumun kendi yapısına uygun bir kalıcı puanlama sistemi kurabilmesidir.
Etki | Etkiler | Puanlama1 | Puanlama2 |
Çok Düşük | Ticari ve/veya kişisel veri açığa çıkmaz. | 1 | 10 |
Düşük | Ticari ve/veya kişisel veri açığa çıkmaz. Çıksa bile kurumu etkilemez. | 2 | 25 |
Orta | Ticari ve/veya kişisel veri açığa çıkmaz. Çıktığında kurum bundan etkilenir. Etki bir süre sonra telefi edilebilir. | 3 | 40 |
Yüksek | Ticari ve/veya kişisel veri açığa çıkar. Açığa çıkan veri kurumu etkiler. Etki bir süre sonra telafi edilebilir. | 4 | 60 |
Çok Yüksek | Ticari ve/veya kişisel veri açığa çıkar. Açığa çıkan veri kurumu etkiler. Etki telafi edilemez ya da uzun vadede telafi edilir. | 5 | 100 |
Böylece gizlilik ile ilgili bir sistematik geliştirmiş olduk. Şimdi bunları Bütünlük ve Erişilebilirlik içinde yapalım ve üçünü birden tek bir matriste gösterelim.
Şevket DOĞAN
DPO, Lead Auditor, Consultant |