← İçindekiler Risk Kategorileri ve Değerlendirme
Riskleri tanımladın. Şimdi sıra onları sıralamada. Her risk aynı önceliği taşımaz. Bütçesi sınırlı, zamanı kısıtlı bir kurumun her riski aynı ciddiyetle ele alması imkansızdır. Ölçemiyorsan yönetemezsin.
Özlü kural: Kaynak sınırlı, risk sonsuz. Önceliklendirmeyen, her yere yarım dokunur.
42.1 Risk Kategorileri
BT risklerini kategorize etmek, gözden kaçanı önler. Başlıca kategoriler:
Bütçe riskleri
BT güvenliğine ayrılan bütçenin yetersiz olması. Ucuza kaçılan güvenlik çözümleri, ciddi açıklar bırakır.
Bilgi güvenliği riskleri
Sosyal mühendislik, iç tehdit, kurumsal casusluk, dış saldırganlar. En bilinen ama en alt edilen kategori.
Operasyonel riskler
Süreçlerin, personelin ve günlük işleyişin yarattığı riskler. Mutsuz bir çalışan, bakımsız bir sistem, eksik bir prosedür.
Organizasyonel riskler
Yapısal değişiklikler, yönetici dönüşümleri, rol belirsizlikleri. Yeni gelen CISO’nun farklı bir iş yapış kültürü getirmesi bile risktir.
Regülasyonel riskler
KVKK, GDPR gibi düzenlemelere uyum sağlayamama. Mevzuat değiştikçe sistemlerin güncellenmemesi.
Kaynaksal riskler
Çip krizi, personel açığı, kaliteli eleman kaybı. İhtiyaç duyulan teknolojiye veya insana zamanında ulaşamama.
Takvimsel riskler
Proje takviminden sapmalar. Bir projenin gecikmesi, bağlı diğer projeleri ve bütçeyi zincirleme etkiler.
Stratejik riskler
Kurumun hedeflerine ulaşmasını engelleyebilecek yanlış kararlar. Değişen ortama uyum sağlayamama.
Tedarik zinciri riskleri
Üçüncü parti yazılım ve hizmetlerin yarattığı riskler. Kullanılan bir bileşen hacklenirse, sen de hacklenmiş olursun.
Teknolojik riskler
Eski altyapılar, modernize edilemeyen sistemler. Sorunsuz çalışan ama güncellenemez hale gelmiş miras sistemler.
42.2 Risk Tanımlama Yöntemleri
Riskleri tespit etmek için kullanılan başlıca yöntemler:
- Zafiyet değerlendirmesi: Nessus, OpenVAS gibi araçlarla aktif tarama. Sistemlerdeki açık noktalar belirlenir, bir şey bozulmaz.
- Sızma testi: Bulunan zafiyetlerin gerçekten sömürülebilir olduğunu kanıtlama. Bilgi toplama, tarama, sömürme, raporlama adımlarından oluşur.
- Red teaming: Gerçek bir saldırgan gibi davranarak sisteme sızma. Doğaçlama ve TTP simülasyonu içerir.
- Güvenlik değerlendirmesi: Tüm kaynaklardan kapsamlı değerlendirme alma.
- BT denetimleri: GRC (Governance, Risk, Compliance) ekiplerince yürütülen denetimler.
- SWOT analizi: Güçlü yanlar, zayıflıklar, fırsatlar, tehditler. İş odaklı stratejik bakış.
- İş etkisi analizi: Bir risk gerçekleşirse iş süreçleri ne kadar etkilenir?
Riskler tek başına oluşmaz; bir risk diğerlerini doğurur. Buluta geçiş bir fırsattır ama beraberinde personel eğitimi, kontrol eksikliği, gizlilik ve uyumluluk sorunlarını getirir. Bir riski değerlendirirken “bu hangi riskleri tetikler?” sorusunu sor.
42.3 Niteliksel ve Niceliksel Değerlendirme
İki farklı değerlendirme yöntemi vardır:
Niteliksel (Qualitative)
Etki ve olasılık matrisi kullanır. Tahmine dayalı, öznel ama uygulaması kolaydır.
Risk Skoru = Olasılık × Etki
Düşük-orta-yüksek etiketleriyle hızlı önceliklendirme yapılır.
Niceliksel (Quantitative)
Veri ve formüller kullanır. Objektif ama uygulaması zordur. Beş temel değişken:
- Varlık Değeri (VD): Varlığın parasal değeri
- Maruz Kalma Faktörü (MKF): Risk gerçekleştiğinde oluşacak kayıp oranı
- Solo Kayıp Beklentisi (SKB): Tek olayda beklenen kayıp = VD x MKF
- Yıllık Meydana Gelme Sıklığı (YMGS): Bir yıl içinde gerçekleşme sıklığı
- Yıllık Kayıp Beklentisi (YKB): Yıllık beklenen kayıp = SKB x YMGS
Örnek: Değeri 100.000 TL olan bir sunucu, her 10 yılda bir sel riskiyle karşı karşıya. Sel durumunda sunucunun %40’ı zarar görüyor.
- VD = 100.000 TL
- MKF = 0,40
- SKB = VD × MKF = 100.000 × 0,40 = 40.000 TL
- YMGS = 0,1 (10 yılda bir)
- YKB = SKB × YMGS = 40.000 × 0,1 = 4.000 TL
Yıllık kayıp beklentin 4.000 TL. Koruma çözümü yıllık 8.000 TL’ye mal oluyorsa, riski kabul etmek mantıklı. 2.000 TL’ye mal oluyorsa, korumak mantıklı. Hesap kitap yapmadan karar verme.
- Risk kategorilerini gözden geçir, eksik kategori olmasın
- Niteliksel ve niceliksel yöntemleri birlikte kullan
- Risk bağımlılıklarını düşün: bir risk diğerlerini tetikler
- Sadece teknik araçlarla riski tam olarak ölçtüğünü san
- İştah ve tolerans seviyelerini belirmeden hareket et
Bilgi Kontrolü
S3. Asgari ücretten hallice maaş verdiğiniz personele zam yapmak yerine, lüx otellerde şirket eğlencesi düzenlemek aşağıdaki risk kategorilerinden hangisine girmez?
a. Operasyonel Risk
b. Kaynaksal Risk
c. Takvimsel Risk
d. Taktiksel Risk ✓
S5. Aşağıdakilerden hangisi Anası - Danası (Parent - Child) bağımlılığı taşımaz?
a. Adalet mülkün temelidir. (Hz. Ömer)
b. Anasına bak, kızını al; tarağına bak, bezini al.
c. Faiz sebep, enflasyon neticedir. ✓
d. Sakın bir çiviyi küçümseme! Bir çivi bir nalı, nal bir atı, at bir komutanı, komutan bir orduyu, ordu koca bir ülkeyi kurtarır! (Cengiz Han)
S6. Keyfimize göre değil de hesap kitap yaparak değerleme yaptığımız risk değerlendirme tipi hangisidir?
a. Tipitip
b. Niteliksel
c. Niceliksel ✓
d. Matematiksel