Risk Temelleri← İçindekiler

Risk Temelleri

B

Bir kurumun en kritik sorusu: “Bize nasıl zarar verebilirler?” Cevabı bilen, sorunu yaşamadan önlem alır. Bilmeyen, olay olduktan sonra kriz yönetmek zorunda kalır. Aradaki fark: zaman, para ve itibardır.

Özlü kural: Riski tanımlamayan sorunu yaşar. Sorunu yaşayan kriz yönetir. Kriz yönetimi ise pahalı, yıpratıcı ve utanç vericidir.

41.1 Risk ve Sorun

Risk, gelecekte gerçekleşme ihtimali olan belirsiz bir durumdur. Olabilir de olmayabilir de. Her risk kötü değildir; organizasyonlar kendilerini geliştirmek için bilinçli risk alabilir. Yeni bir teknolojiye geçmek, yeni bir pazar hedeflemek birer pozitif risk örneğidir. Bunlar birer fırsattır.

Sorun, gerçekleşmiş veya şu anda gerçekleşen risktir. Artık belirsizlik yok; durum oldu.

Senaryo: Domain Düştü

Kurumsal domainin yenileme süresi dolmak üzere. Bu bir risktir. Yenilersen risk ortadan kalkar. Ama envanterin yok, domain takibi yapmıyorsun. Süre doldu, fark etmedin. Domain düştü, bir başkası tarafından kaydedildi. Şimdi tüm itibarın o kişinin elinde! Risk, sorun oldu. Şimdi kriz yönetiyorsun.

41.2 Risk Yönetimi Nedir?

Riski tanımlama, değerlendirme, izleme ve kabul edilebilir düzeye çekme sürecine risk yönetimi denir. Bu, dört adımlı bir döngüdür:

  1. Tanımlama: Riskleri bul ve kaydet
  2. Değerlendirme ve Değerleme: Olasılık ve etki puanla, önceliklendir
  3. Risk Savunması Planlama: Her riske bir yanıt seç (kabul, azaltma, transfer, kaçınma)
  4. İzleme ve Kontrol: Yanıtları uygula, riskleri düzenli takip et

Sınırsız bütçe yok. Risk yönetimi, korunacak çok şey varken sınırlı kaynakları en kritik yerlere harcamayı sağlar.

41.3 Riskin Formülü

Riski anlamak için dört kavram gerekir:

  • Varlık: Değeri olan her şey. Personel, donanım, yazılım, veri, itibar, fikri mülkiyet.
  • Tehdit: Bir varlığa zarar verebilecek şey. Saldırgan, kötü amaçlı yazılım, doğal afet, insan hatası.
  • Zafiyet: Bir varlığın sömürülmeye açık yanı. Güncellenmemiş yazılım, zayıf parola, eğitimsiz personel.
  • Sömürü: Zafiyetten faydalanma eylemi. Tehdit, zafiyeti kullanır.

Bir tehditin bir zafiyeti sömürmesi durumunda oluşabilecek potansiyel kayba risk denir:

Risk = Tehdit × Zafiyet

Bir hırsız (tehdit), açık kapıyı (zafiyet) sömürür ve evdeki değerli eşyaları (varlık) çalar. Ancak her tehdit zafiyet gerektirmez; deprem veya sel gibi doğal tehditler varlığı doğrudan etkiler.

Riskin büyüklüğünü ölçmek için olasılık ve etki devreye girer:

Risk Skoru = Tehdit × Zafiyet × Olasılık × Etki

41.4 Risk İştahı ve Toleransı

ISO 31000 Risk Yönetimi Standardı temelinde riskleri üç seviyede değerlendirebilirsin. İçten dışa doğru halkalar hayal et:

  • Risk İştahı: Organizasyon için optimum, kabul edilebilir risk seviyesi. “Ne kadar risk göze alabiliriz?” sorusunun cevabıdır.
  • Risk Toleransı: İştahı aşan ama organizasyon kaynaklarıyla tolere edilebilen riskler. “Kabul edilemez ama yönetebiliriz.”
  • Kritik Riskler: Toleransı da aşan, derhal müdahale gerektiren riskler.

Sınırsız bütçe ve kaynak yok. Korunacak çok şey var ama her şeyi aynı öncelikle koruyamazsın. Risk iştahını net tanımlamak, kaynakları doğru yerlere harcamayı sağlar.

41.5 Varlık Türleri

Varlıklar ikiye ayrılır:

  • Fiziki varlıklar: Nakit, bina, personel, bilgisayar, sunucu, ağ cihazları.
  • Fiziki olmayan varlıklar: Patent, marka, ticari sır, yazılım kodu, müşteri veritabanı, itibar.

Çoğu kurum fiziki varlıkları korur ama fiziki olmayan varlıkları unutur. Oysa bir müşteri veritabanının veya ticari sırrın değeri, binadaki bilgisayarlardan çok daha yüksektir.

41.6 Tehdit Kategorileri

Tehditler üç ana kategoriye ayrılır:

Doğal Tehditler

  • Deprem, orman yangını, sel, fırtına

Kasıtsız Tehditler

  • İnsan hatası, kazalar
  • Elektrik kesintisi, elektrik yangını, çevresel sorunlar
  • Sistem veya yazılım hataları

Kasıtlı Tehditler

  • İç tehdit (mutsuz çalışan, sızdırma)
  • Kötü amaçlı yazılım
  • Sosyal mühendislik
  • Kurumsal casusluk
  • Dış saldırganlar

41.7 BT Güvenlik Açıkları

Genel BT zafiyetleri altı kategoriye ayrılır:

  • Ağ zafiyetleri: Yanlış yapılandırılmış güvenlik duvarı, açık portlar, şifresiz protokoller.
  • İşletim sistemi zafiyetleri: Güncellenmemiş sistemler, varsayılan ayarlar, gereksiz hizmetler.
  • Protokol zafiyetleri: Güvenlik tasarımında eksiklikler (eski protokoller, şifresiz iletişim).
  • Uygulama zafiyetleri: Kod hataları, enjeksiyon açıkları, zayıf kimlik doğrulama.
  • Şifreleme zafiyetleri: Zayıf algoritmalar, kısa anahtarlar, hatalı uygulama.
  • Süreç zafiyetleri: Erişim politikası eksikliği, denetim kayıtlarının tutulmaması, personel eğitimsizliği.
Bunu Yap
  • Varlık envanterini çıkar: neyin değerli, nerede, kimin sorumluluğunda
  • Her varlık için olası tehdit ve zafiyetleri düşün
  • İç tehdidi dış tehditle aynı ciddiyetle ele al
Bunu Yapma
  • Teknik araçların yeterli olduğunu düşün, insan faktörünü atla
  • Fiziki olmayan varlıkları envanter dışı bırak
  • Riski yalnızca BT departmanının sorunu olarak gör

Bilgi Kontrolü

S1. Risk ve sorunu birbirinden ayıran nedir?

a. Kader
b. Gerçekleşme ✓
c. Zaman
d. Meseleleri mesele etmemek

S2. Bir tehditin bir zafiyeti sömürmesi durumunda oluşabilecek potansiyel kayıp, zarar veya yıkıma ne denir?

a. Geçmiş olsun
b. Allah korusun
c. Risk ✓
d. Sorun

İlgili Bölümler