Proaktif risk değerlendirmesi ve stratejik plan

Risk değerlendirmesi, kuruluşlara yalnızca belirli tehditlere göre uyarlanmış uygun kontrolleri uygulama yetkisi vermekle kalmaz aynı zamanda stratejik bir öncelik olarak önlemenin önemini de vurgular. Kuruluşlar, veri güvenliği için önleyici tedbirleri güvenlik riski yönetiminin ilk aşamasına entegre ederek güvenlik açıklarını proaktif bir şekilde ele alabilir ve potansiyel tehditleri azaltabilir.

Risk değerlendirme süreci, potansiyel risklerin kapsamlı bir şekilde anlaşılmasını sağlamak için varlıkların kapsamlı bir şekilde tanımlanmasını, tehditlerin analizini ve güvenlik açıklarının değerlendirilmesini içerir. Bu temel adım, BT uzmanlarının risk azaltma, atama, kaçınma veya kabul etme konusunda bilinçli kararlar almalarına rehberlik etmek için çok önemlidir. Ayrıca paydaşlarla bu risklerin yönetilmesi ve önlenmesindeki proaktif rolleri hakkında net bir iletişim kurulmasını gerektirir.

Özellikle veri işleme operasyonlarının tanımlanması ve potansiyel iş etkilerinin değerlendirilmesi yoluyla veri güvenliği risklerinin nüanslarının anlaşılması çok önemlidir. Bu, uyumlu bir güvenlik yönetimi stratejisinde hem kurumsal hem de teknik kontrollerden yararlanarak verilerin etkili bir şekilde korunmasını sağlamak için tehditlerin olasılığını belirlemeye ve riskleri değerlendirmeye zemin hazırlar.

Güvenlik riski yönetiminin dört temel aşaması

Risk Değerlendirmesi

Bu makalede ele aldığımız ilk aşama risk değerlendirmesidir. Farklı maliyet ve karmaşıklık seviyelerine sahip birçok risk değerlendirme yöntemi vardır. Temel süreç şunlardan oluşur:

• Varlık tanımlama: Varlığın niceliksel (maliyet veya gelire katkı gibi) ve/veya niteliksel (göreceli önem gibi) değeri de dahil olmak üzere kuruluşun korunması gereken tüm varlıklarının (hem maddi hem de maddi olmayan) belirlenmesi.
• Tehdit analizi: Olası olumsuz doğal ve/veya insan kaynaklı koşulları veya olayları, potansiyel etki veya sonuçları ve meydana gelme olasılığı ve sıklığını tanımlayın.
• Güvenlik açığı değerlendirmesi: Bir varlıkta hangi koruma önlemlerinin ve/veya kontrollerin eksik veya zayıf olduğunu, dolayısıyla bir tehdidi potansiyel olarak daha zararlı, maliyetli, muhtemel veya sık hale getirdiğini belirleyin.

Risk tedavisi

Riskleri değerlendirdikten sonra BT yöneticilerinin birkaç seçeneği vardır:

• Politika ve kontroller aracılığıyla tehdidin etkisini veya olasılığını azaltan risk azaltma;
• Riskin sigortacı gibi üçüncü bir tarafa devredildiği risk devri;
• Riskten kaçınma; varlığın iyileştirilmesi, elden çıkarılması veya riske neden olan faaliyetin durdurulması yoluyla riskin tamamen ortadan kaldırılmasını içerir.

Risk kabulü

Bu, uygulanan risk işleme önlemlerinin resmi yönetim onayı ve daha fazla veya pratik olarak hafifletilemeyen, atanamayan veya önlenemeyen herhangi bir artık (veya kalan) riskin kabul edilmesidir.

Risk iletişimi

Uygun paydaşların, belirli risklerle ilgili bireysel rolleri ve sorumlulukları da dahil olmak üzere, alınan risk işleme ve/veya risk kabul kararlarından haberdar edilmesi gerekir.

Sürecin ilk aşaması: Risk değerlendirmesi

Risk değerlendirmesi, risk yönetimi sürecinin ilk aşamasıdır. Risk değerlendirmesi, varlıklarınızın tanımlanması, tehditlerin analiz edilmesi ve güvenlik açıklarının değerlendirilmesinden oluşur.

Özellikle veri güvenliği risklerinin değerlendirilmesi şunları içerir:

• Veri işleme operasyonlarınızın belirlenmesi (veri varlıklarınızın işletmeniz tarafından nasıl ve nerede kullanıldığını belirlemek için)
• Potansiyel iş etkisinin belirlenmesi (verilerinizin tehlikeye girmesi durumunda)
• Olası tehditlerin belirlenmesi ve olasılığın değerlendirilmesi (sıklık da dahil olmak üzere gerçekleşme olasılığı)
• Riskin değerlendirilmesi (verilerinizi korumak için hangi önlemlerin veya kontrollerin uygulanması gerektiğini değerlendirmek için)

Adım 1: Veri işleme faaliyetlerinizi belirleyin

Bir kuruluştaki veriler, yalnızca verilerin içeriğine göre değil aynı zamanda verilerin kuruluş içinde kullanılma şekline göre de farklı risk profillerine sahiptir. Bu nedenle, risk değerlendirme sürecine başlarken işletmenizde verilerin nasıl işlendiğini anlamak önemlidir. Örneğin, tipik bir KOBİ aşağıdaki veri işleme faaliyetlerinden bazılarına veya hepsine sahip olabilir:

• Çalışan bordrosu yönetimi, işe alma ve elde tutma, eğitim kayıtları, disiplin işlemleri ve performans değerlendirmeleri gibi insan kaynakları.
• Müşteri bilgileri, satın alma ve satış siparişleri, faturalar, e-posta listeleri, pazarlama ve reklam verileri ve satıcı sözleşmeleri gibi müşteri yönetimi, pazarlama ve tedarikçiler.
• Çalışan güvenliği erişim kayıtları, ziyaretçi kayıtları ve video izleme gibi personel güvenliği ve fiziksel güvenlik.

Her bir veri işleme operasyonu için aşağıdakileri göz önünde bulundurun:

• Hangi kişisel veriler işleniyor?
• Sürecin amacı nedir?
• İşleme nerede gerçekleşiyor?
• Süreçten kim sorumludur?
• Verilere kimin erişimi var?

Adım 2: Potansiyel iş etkisini belirleyin

Ardından, bir veri ihlali veya tehlikeye girmesinin potansiyel etkisini belirlemeniz gerekir. Bir ihlal veya tehlikeye atma, verilerin gizliliğini (örneğin, yetkisiz erişim), verilerin bütünlüğünü (örneğin, yetkisiz değişiklik) veya verilerin kullanılabilirliğini (örneğin, bir fidye yazılımı saldırısı) etkileyebilir.

Kuruluşlar verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumalıdır. Bilgi güvenliğinde bu, C-I-A üçlüsü olarak bilinir.

Tipik bir risk değerlendirmesinde, belirli bir riskin potansiyel etkisi tipik olarak fiziksel bir varlığın (örneğin bir sunucu, fotokopi makinesi veya bir araç) kaybı veya imhası gibi kuruma verilen zarar açısından ifade edilir.

Veri güvenliğine yönelik bir riskin işletme üzerindeki etkisi diğer risk etkilerine benzer ancak etki dolaylı olabilir. Hassas kişisel veriler söz konusu olduğunda verileri ihlal edilen veya tehlikeye giren birey doğrudan mağdurdur. Bu gibi durumlarda, bireyin kimliği veya finansal varlıkları çalınabilir ve/veya mahremiyeti ihlal edilebilir. İşletme üzerindeki etki daha az doğrudan olmakla birlikte yine de çok maliyetlidir ve (diğerlerinin yanı sıra) şunları içerebilir:

• Müşteri ve gelir kaybı
• Marka hasarı ve olumsuz halkla ilişkiler
• Düzenleyici para cezaları ve davalar
• İhlal bildirimleri ve kredi izleme hizmetleri
• Adli analiz ve kurtarma

İş etkisi Düşük, Orta veya Yüksek olarak sınıflandırılabilir. Ancak bu etki seviyelerinin her birinin gerçek tanımı her işletmeye özgü olacaktır ve hem nesnel (nicel) hem de öznel (nitel) ölçümleri içermelidir.

Adım 3: Olası tehditleri belirleyin ve olasılığı değerlendirin

Tehdit, kişisel veya hassas verilerin gizliliğini, bütünlüğünü veya kullanılabilirliğini olumsuz yönde etkileme potansiyeline sahip doğal veya insan kaynaklı herhangi bir olay veya durum olabilir. Buna siber güvenlik saldırıları, kazara kayıp veya ifşa, içeriden gelen tehditler, yangın ve sel, deprem ve tsunami, şiddetli hava koşulları (kasırga veya hortum gibi), sivil huzursuzluk, iş anlaşmazlıkları ve daha fazlası dahil olabilir.

İşletmeler, veri işleme faaliyetlerine yönelik olası tehditleri belirlemeli ve her bir olası tehdidin ihtimalini (gerçekleşme sıklığı dahil) değerlendirmelidir. Veri işleme için kullanılan ağ ve teknik kaynaklardan (yazılım/donanım) kaynaklanan tehditler, ilgili süreç ve prosedürlerden kaynaklanan tehditler, ilgili insan kaynaklarından kaynaklanan tehditler ve işleme ölçeğinden kaynaklanan tehditler dahil olmak üzere iyi tanımlanmış alanlardaki tehditleri kapsadığınızdan emin olun. Belirlenen her tehdit için olasılık, iş etkisiyle aynı şekilde sınıflandırılabilir: Düşük, Orta veya Yüksek.

Adım 4: Risk değerlendirmesi sonrası

Tüm veri işleme operasyonlarınızı (ve işlenen verileri) tanımladıktan, bir ihlalin veya tehlikenin potansiyel iş etkisini belirledikten ve olası tehditleri ve bunların gerçekleşme ihtimalini ve sıklığını tespit ettikten sonra, her bir operasyonla ilişkili riski değerlendirebilir ve uygun süreç ve organizasyonel koruma kontrollerini belirleyebilirsiniz.

Risk değerlemesine göre, risk temelli bir yaklaşım kullanarak işletmelerinizi ve veri işleme operasyonlarınızı uygun şekilde güvence altına almak için kurumsal ve süreç kontrolleri uygulanmalıdır.

Organizasyonel ve süreç kontrollerinin keşfedilmesi

Etkili bir önleme öncelikli yaklaşım teknik çözümlerden daha fazlasını gerektirir. Teknik kontrollerin uyumlu bir güvenlik yönetimi stratejisini destekleyecek şekilde düzgün bir şekilde dağıtılmasını, yapılandırılmasını ve işletilmesini sağlamak için idari ve organizasyonel kontroller oluşturmanız gerekir.        

Bazı kurumsal kontrol örnekleri şunlardır:

• Özel ve hassas kişisel veriler: Şifreleme ve DLP yazılımı gibi teknik kontrolleri ihtiyatlı bir şekilde kullanın.
• Veri dokümantasyonu ve denetimi: Verilerin neden toplandığını, nasıl kullanıldığını ve nasıl korunduğunu belgeleyin.
• Güvenlik politikaları: Kişisel verilerin korunmasına ilişkin bireysel rolleri ve sorumlulukları açıkça tanımlayın.
• İnsan kaynakları: İnsan kaynakları tarafından toplanan kişisel verilerin uygun şekilde korunduğundan emin olun.
• Bir güvenlik olgunluk modeli kullanmak: Belirli alanlardaki güvenlik yeteneklerinizi belirleyin ve bulunduğunuz yer ile olmanız gereken yer arasındaki boşlukları tespit edin.
• Çalışanlarınızı eğitin ve test edin: Güvenlik farkındalığı eğitimi verin ve öğrenmeyi pekiştirmek için çalışanları test edin.
• Tasarım ve varsayılan olarak veri korumasının uygulanması: Kişisel verilerin toplanması, işlenmesi ve depolanmasını en aza indirecek önlemlerin uygulanması.