SİBER GÜVENLİK RİSK DEĞERLENDİRMESİ

 

1.GİRİŞ

1.1 Siber Güvenlik Risk Değerlendirmesinin Önemi

Teknolojinin hızla ilerlemesi, siber tehditlerin sürekli değişmesi ve dijitalleşmenin artmasıyla birlikte, kuruluşlar potansiyel olarak iş hedefleri üzerinde olumsuz etkiler yaratabilecek daha büyük siber güvenlik riskleriyle karşı karşıya kalmaktadır. Bu nedenle, kuruluşların siber güvenlik risklerini etkin bir şekilde yönetmeleri zorunlu hale gelmiştir.

Siber güvenlik risk değerlendirmesi (bundan sonra "risk değerlendirmesi" olarak anılacaktır), bir kuruluşun kurumsal risk yönetim sürecinin ayrılmaz bir parçasıdır. Risk değerlendirmesi yaparak kuruluşlar şunları gerçekleştirebilir:

• Tehdit aktörlerinin kötü niyetli eylemleri sonucunda ortaya çıkabilecek ve istenmeyen ticari sonuçlara yol açabilecek "nelerin yanlış gidebileceğini" belirlemek.
• Maruz kaldıkları siber güvenlik risk seviyelerini tespit etmek. Risk seviyelerinin doğru anlaşılması, kuruluşların en öncelikli risklere karşı yeterli kaynak ve eylem planları geliştirmesini sağlar.
• Kuruluş içinde risk bilinci oluşturan bir kültür yaratmak. Risk değerlendirmesi, çalışanların teknoloji riskleri ve iş hedefleriyle uyumlarına dair düşünmelerini teşvik eden, yinelemeli bir süreçtir.

1.2 Gözlenen Genel Sorunlar

Kuruluşlar risk değerlendirmesinin kurumsal risk yönetimi uygulamalarının önemli bir parçası olduğunu kabul etmelerine rağmen, uygun bir risk değerlendirmesi yapma konusunda genellikle zorluklar yaşamaktadır. Sıkça karşılaşılan eksiklikler şunlardır:

• Zayıf ifade: "Neyin yanlış gidebileceğini" açıklayan risk senaryoları, spesifik tehdit olaylarını, güvenlik açıklarını, varlıkları ve sonuçları net bir şekilde tanımlamadan belirsiz ve genel kalmaktadır. Bu nedenle, risklerin kapsamını anlamak, kurumsal bağlamla ilişkilendirmek veya bunları ele almak için gereken hedefe yönelik önlemleri belirlemek zorlaşmaktadır.
• 
  
• Uyumluluk odaklı yaklaşım: Birçok kuruluş, riskleri yalnızca güvenlik kontrollerinin (veya eksikliklerinin) standartlara uyum sağlayıp sağlamadığına göre değerlendirir. Bu uyum odaklı yaklaşım, “kontrol listesi” mantığına yol açarak, tüm uyumluluk gereksinimlerinin karşılandığı durumlarda bile risklerin göz ardı edilmesine neden olabilir.
• 
  
• Risk toleransının belirlenmemesi: Kuruluşlar genellikle siber güvenlik risk yönetimini kurumsal risk yönetim programlarına entegre etmemektedir. Bu, siber güvenlik risk toleransının göz ardı edilmesine ve yönetimin, iş hedeflerine ulaşırken kabul edilebilecek risk seviyesini belirlemekte zorlanmasına neden olur.
• 
  
• Risk olasılığının yanlış tahmin edilmesi: Kuruluşlar, risk olasılığını geçmiş veya beklenen olaylara dayanarak tahmin etme eğilimindedir. Ancak, siber güvenlik olaylarının geçmişteki sıklığına dayalı tahminler, özellikle yeterli veri olmadığında yanıltıcı olabilir. Siber güvenlik bağlamında, bir olayın olasılığı geçmiş verilerden bağımsızdır.
• 
  
• Yanlış önlemler alınması: Kuruluşlar, siber güvenlik risklerini azaltmaya yönelik geniş bir yaklaşım benimseyebilir ve bu da riskin temel nedenini ele almayan kontrol mekanizmalarının uygulanmasına yol açabilir. Bu durum genellikle risk senaryolarının yetersiz anlaşılmasından veya yanlış ifade edilmesinden kaynaklanmaktadır.

2. RİSK BAĞLAMINI OLUŞTURUN

Risk bağlamını oluşturmak, risk değerlendirmesi yapmak için önemli bir ön koşuldur. Bu adım, risk değerlendirme sürecine dahil olan iç ve dış paydaşların, riskin nasıl çerçevelendiği, dikkate alınması gereken risk toleransı ve risk sahibinin sorumlulukları hakkında ortak bir anlayış geliştirmesini sağlar.

2.1 Riski Tanımlayın

Siber güvenlik riskinin farklı tanımları olabilir. Bu nedenle, risk değerlendirmesine başlamadan önce, siber güvenlik riskine dair ortak bir tanım yapmak önemlidir. Bu rehber belgenin amaçları doğrultusunda risk, aşağıdaki şekilde tanımlanır:

1. Belirli bir tehdit olayının, bir varlığın güvenlik açığından yararlanma olasılığı.
2. Tehdit olayının gerçekleşmesi durumunda ortaya çıkabilecek etki.

Bu formüle göre risk şu şekilde hesaplanır:

Risk = Fonksiyon (Olasılık, Etki)

Tanımda yer alan her risk faktörü aşağıda açıklanmıştır:

• Tehdit Olayı: Bir tehdit vektörü aracılığıyla, bir varlığa zarar verme potansiyeline sahip herhangi bir olaydır. Siber güvenlik bağlamında tehdit olayları, tehdit aktörlerinin kullandığı taktikler, teknikler ve prosedürlerle (TTP) karakterize edilebilir.

• Güvenlik Açığı: Bir varlığın tasarımında, uygulanmasında veya işletilmesinde; ya da bir sürecin iç kontrolündeki bir zayıflıktır.

• Olasılık: Belirli bir tehdit olayının, belirli bir güvenlik açığından yararlanma ihtimalidir. Bu olasılık, keşfedilebilirlik, kullanılabilirlik ve tekrarlanabilirlik gibi faktörlere dayanarak tahmin edilebilir.

• Etki: Güvenlik açığından yararlanan bir tehdit olayının neden olacağı zararın büyüklüğüdür. Bu zarar, bir ulus, kuruluş veya birey açısından değerlendirilebilir.

2.2 Risk Toleransını Belirleyin

Risk toleransı, belirli bir iş hedefine ulaşmak için kabul edilebilecek risk düzeyi olarak tanımlanır. Risk toleransının belirlenmesi, yönetimin kuruluşun ne kadar riski kabul edebileceğini belirlemesine olanak tanır.

İyi tanımlanmış bir risk toleransı şunları içermelidir:

• Belirli risk türlerinin nasıl ele alınacağı ve takip edileceği beklentileri.
• Kabul edilebilir riskin sınırları ve eşikleri.

Aşağıda, bir risk tolerans tablosu örneği yer almaktadır. Bu tablo, her kuruluşun bağlamına göre uyarlanmalıdır.

Risk Seviyesi	Risk Toleransı Açıklaması
Çok Yüksek	Bu risk seviyesi kabul edilemez ve ilgili faaliyetlerin derhal durdurulmasını gerektirebilir. Hafifletme veya aktarım stratejileri hemen uygulanmalıdır.
Yüksek	Bu risk seviyesi kabul edilemez. 1 ay içinde riskin azaltılmasına yönelik stratejiler geliştirilmelidir.
Orta-Yüksek	Bu risk seviyesi kabul edilemez. 3-6 ay içinde risk azaltma stratejileri geliştirilmelidir.
Orta	Uygulanabilir tedavi stratejileri yoksa bu risk seviyesi kabul edilebilir. Ancak risk düzenli olarak izlenmelidir.
Düşük	Uygulanabilir tedavi stratejileri yoksa bu risk seviyesi kabul edilebilir ve periyodik olarak izlenmelidir.

2.3 Rolleri ve Sorumlulukları Tanımlayın

Bir risk değerlendirme çalışmasında paydaşların rollerinin net bir şekilde tanımlanması önemlidir. Bu, paydaşların süreçteki rollerini anlamalarına yardımcı olur. Kilit roller şunlardır:

• Organizasyon Başkanı: Kuruluşun en üst düzey yetkilisi olarak, risklerin uygun şekilde yönetilmesini sağlar ve kalan tüm riskleri kabul etme sorumluluğunu taşır.

• İş Sahibi: İş birimlerinin hedeflerine ulaşmasını sağlamak ve sistem kesintilerinin iş üzerindeki etkisini değerlendirmekle sorumludur.

• Risk Yönetimi Fonksiyonu: Kuruluş genelinde risk yönetiminden sorumlu kişidir. Teknik ve iş birimleri arasında köprü görevi görür ve tutarlı risk yönetim kararlarının alınmasını sağlar.

• Teknoloji ve Operasyon Fonksiyonu: Kuruluşun teknolojik altyapısının bakım ve operasyonlarından sorumlu kişidir. Sistemlerin güvenliğini ve işleyişini gözetler.

• Siber Güvenlik Fonksiyonu: Siber güvenlik kontrollerinin uygulanmasından sorumlu kişidir. Potansiyel tehditleri tespit eder, risk olasılıklarını değerlendirir ve uygun önlemleri tavsiye eder.

3.RİSK DEĞERLENDİRMESİ

Risk değerlendirmesi, bir organizasyonun veya sistemin maruz kalabileceği potansiyel tehditleri belirlemek ve bu tehditlerin olasılığını ve etkisini analiz ederek risk yönetimi stratejilerini oluşturmak için kritik bir süreçtir. İşte risk değerlendirmesi için önemli adımlar ve analizler:

3.1 Adım 1: Risk Tanımlama

Görev A: Varlıkları Tanımlama

Varlıkları tanımlamadan risk yönetmek mümkün değildir. Risk değerlendirmesinin ilk adımı, tüm fiziksel ve mantıksal varlıkların envanterinin çıkarılmasıdır. Kritik varlıklar şunlardır:

• Kraliyet Mücevherleri: İş hedeflerine ulaşmada kritik olan varlıklardır. Örneğin, bir elektrik santralindeki türbini kontrol eden PLC, kritik iş hedeflerinden biridir.
• Basamak Taşları: Saldırganların kritik varlıklara erişmeden önce kontrol etmeye çalışacakları ara varlıklardır. Örneğin, bir Active Directory sunucusu, birden fazla sunucuya erişim sağlayan bir geçiş noktasıdır.

Ayrıca, varlıkların birbirleriyle olan ilişkilerini ve iletişim yollarını gösteren bir ağ mimarisi şeması hazırlanmalı ve kritik varlıklar bu diyagramda işaretlenmelidir.

Görev B: Tehditleri Tanımlama

Tehditleri belirlemek, varlık envanteri üzerinden yapılır. Varlıklara karşı gelebilecek tehditler ve bu tehditlerin istismar edebileceği güvenlik açıkları sistematik olarak analiz edilmelidir. Siber saldırılar genellikle Siber Öldürme Zinciri modeli çerçevesinde sınıflandırılabilir.

Görev C: Risk Senaryoları Oluşturma

Risk senaryoları, varlıklar, tehditler, güvenlik açıkları ve potansiyel sonuçları içeren "ne yanlış gidebilir?" sorusuna yanıt verir. Bu, aşağıdaki unsurlara dayanarak oluşturulmalıdır:

• Varlık
• Tehdit olayı
• Güvenlik açığı
• Sonuç

3.2 Adım 2: Risk Analizi

Risk analizi, risk senaryolarının olasılık ve etki bakımından değerlendirilmesi sürecidir.

Görev A: Olasılığı Belirleyin

Bir riskin gerçekleşme olasılığı keşfedilebilirlik, sömürülebilirlik ve tekrarlanabilirlik faktörlerine dayanarak belirlenir:

• Keşfedilebilirlik: Varlığın güvenlik açığı ne kadar kolay keşfedilebilir?
• Sömürülebilirlik: Güvenlik açığı ne kadar kolay istismar edilebilir?
• Tekrarlanabilirlik: Aynı saldırı ne kadar kolay yeniden üretilebilir?

Bu faktörler için her birine bir puan verilerek, ortalama bir olasılık puanı elde edilir.

Bu adımlar, siber güvenlik risklerinin anlaşılması ve yönetimi için gerekli temel süreçleri oluşturur.

******

Bir siber güvenlik risk senaryosunun olasılık puanını hesaplamak için aşağıdaki adımları izleyebilirsiniz:

1. Keşfedilebilirlik, Sömürülebilirlik ve Tekrarlanabilirlik gibi 3 olasılık faktörü için ayrı ayrı puan verin:

   • Her bir faktör için 1 ile 5 arasında bir puan atayın:
     • 5: Yüksek Olasılık
     • 4: Büyük Olasılık
     • 3: Mümkün
     • 2: Olası Olmayan
     • 1: Nadir

2. Faktörlerin Puanlarının Ortalamasını Alın:

   • Üç faktörün puanlarını toplayın ve ortalamasını hesaplayın.$$\text{Ortalama Puan}=\frac{\text{Ke}\stackrel{¸}{\text{s}}\text{fedilebilirlik Puanı}+\text{S}\ddot{\text{o}}\text{m}\ddot{\text{u}}\text{r}\ddot{\text{u}}\text{lebilirlik Puanı}+\text{Tekrarlanabilirlik Puanı}}{3}$$

3. Ortalamayı En Yakın Tam Sayıya Yuvarlayın:

   • Ortaya çıkan ortalama puanı en yakın tam sayıya yuvarlayın. Bu, risk senaryosunun nihai olasılık puanı olacaktır.

4. Olasılık Puanını Değerlendirin:

• 5: Yüksek Olasılıklı (Riskin gerçekleşme olasılığı çok yüksektir)
• 4: Büyük Olasılıklı (Riskin gerçekleşmesi oldukça muhtemeldir)
• 3: Mümkün (Risk gerçekleşebilir)
• 2: Olası Olmayan (Riskin gerçekleşme olasılığı düşüktür)
• 1: Nadir (Riskin gerçekleşme olasılığı çok düşüktür)

Olasılık Değerlendirme Tablosu

Olasılık	Keşfedilebilirlik	Sömürülebilirlik	Tekrarlanabilirlik
Büyük ölçüde olası (5)	Hedefin güvenlik açığı: - Kamuya açık kaynaklardan aranarak keşfedilebilir (örn. Shodan, ExploitDB) - Harici ağlardan (internet dahil) keşfedilip saldırıya uğrayabilir	Saldırı: - Erişim hakları olmadan yapılabilir - Teknik bilgi olmadan halka açık araçlarla gerçekleştirilebilir	Saldırı: - Özel yapılandırma veya olay koşulu olmadan tekrarlanabilir - Yayınlanan istismarların herhangi bir özelleştirme olmadan tekrar edilebilir
Büyük olasılıkla (4)	Hedefin güvenlik açığı: - Hedef araştırılarak keşfedilebilir (örneğin port taramaları) - Bitişik ağlardan veya alt ağlardan keşfedilebilir ve saldırıya uğrayabilir	Saldırı: - Kısıtlı erişim haklarıyla yapılabilir - Temel teknik bilgiyle halka açık araçlarla gerçekleştirilebilir	Saldırı: - Belirli bir konfigürasyon olduğunda tekrarlanabilir - Yayınlanan istismarların minimum düzeyde özelleştirilmesiyle tekrarlanabilir
Mümkün (3)	Hedefin güvenlik açığı: - Hedefin tepkileri, davranışları incelenerek keşfedilebilir (örneğin ağ koklama) - Aynı alt ağdan keşfedilip saldırıya uğrayabilir	Saldırı: - Yönetici veya ayrıcalıklı haklarla gerçekleştirilebilir - Orta düzeyde teknik bilgi gerektiren halka açık araçlarla yapılabilir	Saldırı: - Belirli öngörülebilir olay koşullarında tekrarlanabilir - Hedefe özel özelleştirmeler ile tekrar edilebilir
Olası olmayan (2)	Hedefin güvenlik açığı: - Varlık çalıştırılarak veya etkileşime girilerek keşfedilebilir - Mantıksal yerel erişimle keşfedilip saldırıya uğrayabilir	Saldırı: - Ayrıcalık erişim haklarıyla (örn. admin/root/SYSTEM) yapılabilir - İleri düzeyde teknik bilgi gerektiren halka açık veya özel araçlarla gerçekleştirilebilir	Saldırı: - Belirli rastgele olay koşulları altında tekrarlanabilir - Birden fazla istismarın zincirlenmesi gerekebilir
Nadir (1)	Hedefin güvenlik açığı: - Plan incelemesi veya kaynak kodu ile keşfedilebilir - Fiziksel erişimle keşfedilip saldırıya uğrayabilir	Saldırı: - Çok faktörlü kimlik doğrulama gerektiren ayrıcalıklı haklarla yapılabilir - Uzman düzeyde teknik bilgi ve özel araçlar gerektirir	Saldırı: - Birden fazla istismarın zincirlenmesi gerekir - Hedef üzerinde çoğaltılamaz, ancak hedefe özgü yayınlanmamış bir istismar ile tekrarlanabilir

Görev B: Etkiyi Belirleme

Bir risk senaryosu gerçekleştiğinde varlıkların (veri, ekipman, operasyonlar) gizliliği, bütünlüğü ve kullanılabilirliği tehlikeye girebilir. Bu riskin etkisi üç düzeyde değerlendirilebilir: Ulusal, Örgütsel ve Bireysel. Etkiyi daha net değerlendirebilmek için 1’den 5’e kadar bir ölçek kullanılarak riskin büyüklüğü belirlenir.

Etki Seviyeleri

1’den 5’e kadar olan etki seviyeleri, riskin ne kadar büyük olduğuna dair bir derecelendirme sağlar:

• 5 - Çok Şiddetli: Etkinin maksimum olduğu, geniş çaplı olumsuz sonuçlar doğuran durumlar.
• 4 - Şiddetli: Ciddi etkiler, iş sürekliliğini ve güvenliği tehlikeye atan sonuçlar.
• 3 - Orta Düzeyde: Ölçülü fakat fark edilebilir etkiler, bazı operasyonel kesintiler.
• 2 - Küçük: Önemsiz ya da düşük şiddette etkiler, operasyonel aksaklıklar minimal.
• 1 - İhmal Edilebilir: Etkinin düşük olduğu ve genellikle göz ardı edilebilecek sonuçlar.

1. Ulusal Düzeyde Etki

• 5 - Çok Şiddetli: Ulusal güvenliğe doğrudan tehdit; ekonomik kriz, enerji veya iletişim sistemlerinde büyük çöküşler.
• 4 - Şiddetli: Ulusal güvenlik ve ekonomiyi ciddi şekilde etkileyen olaylar; kritik altyapılarda kesintiler.
• 3 - Orta Düzeyde: Bazı bölgelerde veya sektörlerde sınırlı ekonomik zarar; altyapıların geçici olarak durması.
• 2 - Küçük: Ulusal düzeyde minimal aksaklıklar veya sınırlı etkiler.
• 1 - İhmal Edilebilir: Ulusal güvenlik veya ekonomiye hiçbir etkisi olmayan küçük olaylar.

2. Örgütsel Düzeyde Etki

• 5 - Çok Şiddetli: İşletme sürekliliğini kesintiye uğratan; büyük finansal kayıplar ve itibarın ağır şekilde zarar görmesi.
• 4 - Şiddetli: Ciddi iş kesintileri, itibar kaybı, müşteri güveninin kaybı; finansal kayıplar önemli seviyede.
• 3 - Orta Düzeyde: İş operasyonlarında gecikmeler veya aksaklıklar; itibar hafif şekilde zedelenir.
• 2 - Küçük: Küçük operasyonel kesintiler; finansal veya itibar kaybı ihmal edilebilir düzeyde.
• 1 - İhmal Edilebilir: Örgüt üzerinde neredeyse hiç etkisi olmayan küçük operasyonel aksaklıklar.

3. Bireysel Düzeyde Etki

• 5 - Çok Şiddetli: Can kayıpları ve ağır yaralanmalar; bireylerin hayatını tehlikeye atan sonuçlar.
• 4 - Şiddetli: Ciddi yaralanmalar; bireysel güvenliği tehdit eden durumlar.
• 3 - Orta Düzeyde: Bireylerin güvenliği üzerinde sınırlı ancak fark edilebilir etkiler.
• 2 - Küçük: Küçük çaplı yaralanmalar veya bireysel güvenliğe minimal etkiler.
• 1 - İhmal Edilebilir: Bireyler üzerinde neredeyse hiç etkisi olmayan olaylar.

Örnek Değerlendirme Tablosu

Etki Düzeyi	Ulusal Düzey	Örgütsel Düzey	Bireysel Düzey
5 (Çok Şiddetli)	Ulusal güvenlik ve ekonomi ciddi şekilde zarar görür	İş operasyonları tamamen durur, büyük finansal kayıplar	Can kaybı ve ağır yaralanmalar
4 (Şiddetli)	Kritik altyapıların kesintiye uğraması, güvenlik riskleri	Ciddi iş aksaklıkları, itibar kaybı	Ciddi yaralanmalar
3 (Orta Düzeyde)	Bölgesel veya sektör bazlı ekonomik zararlar	İş operasyonlarında sınırlı kesintiler	Hafif yaralanmalar
2 (Küçük)	Ulusal güvenliğe minimal etki	Küçük operasyonel aksaklıklar	Küçük yaralanmalar
1 (İhmal Edilebilir)	Etki neredeyse yok	İş operasyonlarına etkisi ihmal edilebilir düzeyde	Bireyler üzerinde etkisi yok denecek kadar az

Darbe Değerlendirme Tablosu

Bu tablo, bir olayın gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkisini derecelendirmek için kullanılır. Etki seviyeleri 1’den 5’e kadar sınıflandırılmış olup, 5 "Çok Şiddetli" ve 1 "İhmal Edilebilir" etkiyi temsil eder.

Etki Seviyeleri

Darbe Değerlendirme	Gizlilik	Bütünlük	Kullanılabilirlik
Çok Şiddetli (5)	Yetkisiz bilgilere erişim, organizasyon, bireyler veya ulus üzerinde istisnai derecede ciddi olumsuz etkiler yaratabilir.	Bilginin yetkisiz değiştirilmesi veya yok edilmesi, organizasyon, bireyler veya ulus üzerinde istisnai derecede ciddi olumsuz etkiler yaratabilir.	Organizasyon, bireyler veya ulus üzerinde istisnai derecede ciddi olumsuz etkiler yaratabilir.
Şiddetli (4)	Yetkisiz bilgilere erişim, organizasyon, bireyler veya ulus üzerinde ciddi olumsuz etkiler yaratabilir.	Bilginin yetkisiz değiştirilmesi veya yok edilmesi, organizasyon, bireyler veya ulus üzerinde ciddi olumsuz etkiler yaratabilir.	Organizasyon, bireyler veya ulus üzerinde ciddi olumsuz etkiler yaratabilir.
Ilıman (3)	Yetkisiz bilgilere erişim, organizasyon, bireyler veya ulus üzerinde bazı olumsuz etkiler yaratabilir.	Bilginin yetkisiz değiştirilmesi veya yok edilmesi, organizasyon, bireyler veya ulus üzerinde bazı olumsuz etkiler yaratabilir.	Organizasyon, bireyler veya ulus üzerinde bazı olumsuz etkiler yaratabilir.
Küçük (2)	Yetkisiz bilgilere erişim, organizasyon veya bireyler üzerinde sınırlı olumsuz etkiler yaratabilir.	Bilginin yetkisiz değiştirilmesi veya yok edilmesi, organizasyon veya bireyler üzerinde sınırlı olumsuz etkiler yaratabilir.	Organizasyon veya bireyler üzerinde sınırlı olumsuz etkiler yaratabilir.
İhmal Edilebilir (1)	Yetkisiz bilgilere erişim, organizasyon veya bireyler üzerinde ihmal edilebilir düzeyde etki yaratabilir.	Bilginin yetkisiz değiştirilmesi veya yok edilmesi, organizasyon veya bireyler üzerinde ihmal edilebilir düzeyde etki yaratabilir.	Organizasyon veya bireyler üzerinde ihmal edilebilir düzeyde etki yaratabilir.

Her risk senaryosu, gizlilik, bütünlük ve kullanılabilirlik alanlarında farklı etki derecelerine sahip olacak şekilde değerlendirilebilir. En yüksek etki derecesi nihai puan olarak alınmalıdır.

Adım 3: Risk Değerlendirmesi

Risk değerlendirmesi, risklerin önemini belirlemek ve anlamak için yapılan bir süreçtir ve aşağıdaki adımları içerir:

Görev A: Riski Belirleyin ve Önceliklendirin

Bu adımda, riskler belirlenir ve önceliklendirilir. Risk, belirli bir tehdit olayının bir varlığın güvenlik açığından yararlanma olasılığı ve bunun sonucunda ortaya çıkan etki ile hesaplanır. Riski belirlemek ve önceliklendirmek için genellikle bir risk matrisinden yararlanılır.

Risk Matris Kullanımı:

1. Olasılık ve Etki: Risk seviyesi, Risk Analizi adımında (Bölüm 4.2) belirlenen "Olasılık" ve "Etki" çarpımı kullanılarak hesaplanır.

2. Risk Matris Örneği:

   Şekil 5, bir risk matrisinin nasıl kullanılacağını gösteren bir örnektir. Bu matris genellikle 5x5 bir tablo şeklindedir ve aşağıdaki şekilde organize edilir:

   • Olasılık: 1 (Nadir) - 5 (Büyük ihtimalle)
   • Etki: 1 (İhmal Edilebilir) - 5 (Çok Şiddetli)

   Matrisin her hücresi, belirli bir risk senaryosunun risk seviyesini belirlemek için kullanılır.

Risk değerlendirme sürecinde, risk seviyelerini kuruluşun risk tolerans seviyeleri ile karşılaştırmak ve bu karşılaştırmaya göre risk tedavi stratejileri oluşturmak kritik öneme sahiptir. Aşağıdaki adımlar, bu süreci nasıl yürütebileceğinizi gösterir:

Adım 1: Risk Seviyelerini Belirleyin

Risk matrisini kullanarak her bir risk senaryosunun olasılık ve etki kombinasyonlarına göre risk seviyesini hesaplayın.

Adım 2: Risk Tolerans Seviyelerini Tanımlayın

Kuruluşunuzun risk tolerans seviyelerini belirleyin. Bu seviyeler, kabul edilebilir risk limitlerini ve bu limitlerin üzerinde olan risklerin ne kadar öncelikli olduğunu tanımlar. Örneğin:

• Yüksek Risk: Tolerans seviyesi 15 ve üzeri.
• Orta Risk: Tolerans seviyesi 10-14.
• Düşük Risk: Tolerans seviyesi 9 ve altı.

Adım 3: Riskleri Tolerans Seviyesi ile Karşılaştırın

Her bir risk senaryosunun risk seviyesini kuruluşun risk tolerans seviyeleri ile karşılaştırın.

• Yüksek Risk: Risk seviyesi tolerans seviyesinin üzerindedir ve hemen tedavi edilmelidir.
• Orta Risk: Risk seviyesi tolerans seviyesine yakın veya biraz üzerinde olabilir, dikkat edilmelidir.
• Düşük Risk: Risk seviyesi tolerans seviyesinin altındadır ve önceliklendirme gerektirmeyebilir.

Adım 4: Risk Tedavi Önceliklerini Belirleyin

Risklerin önceliklendirilmesi, riski azaltmak için gerekli adımların ne zaman ve nasıl atılacağını belirler. Risk tedavi stratejilerini aşağıdaki gibi planlayabilirsiniz:

1. Yüksek Riskler:

   • Öncelik: Bu riskler derhal ele alınmalıdır. Öncelikli tedavi, riskin mümkün olan en kısa sürede azaltılmasını sağlamalıdır.
   • Beklenen Süre: Hızlı tedavi ve yanıt süresi gerektirir. Genellikle haftalar veya aylar içinde çözülmelidir.

2. Orta Riskler:

   • Öncelik: Bu riskler, yüksek riskler kadar acil olmayabilir ancak zamanında ele alınmalıdır.
   • Beklenen Süre: Orta vadeli tedavi planları ile ele alınmalıdır. Genellikle birkaç ay içinde çözülmelidir.

3. Düşük Riskler:

   • Öncelik: Bu riskler, risk yönetim planlarına dahil edilmelidir ancak acil çözüm gerektirmeyebilir.
   • Beklenen Süre: Uzun vadeli veya düzenli gözden geçirme ve iyileştirme süreçleri ile ele alınabilir. Genellikle yılda bir veya düzenli aralıklarla gözden geçirilmelidir.

Adım 5: Risk Tedavi Planlarını Oluşturun

• Riskleri tedavi etme planlarını ve stratejilerini oluşturun, sorumluları belirleyin ve tedavi sürelerini netleştirin.
• Risk tedavi sürecini izleyin ve düzenli olarak gözden geçirin.

Bu adımlar, risklerinizi sistematik bir şekilde yönetmenize ve kuruluşunuzun risk tolerans seviyelerine uygun olarak etkili risk tedavi stratejileri oluşturmanıza yardımcı olacaktır.

GÖREV B:  BELGE RİSKİ

Risk Kaydı'nın her bileşenini detaylandırmak, risk yönetim sürecinin etkinliğini artırır. İşte Risk Kaydı'nın içermesi gereken her bir bileşeni nasıl düzenleyebileceğinize dair bir örnek:

1. Risk Senaryosu:

   • Tanım: Bir dış saldırganın, güvenlik açığı bulunan eski bir yazılımı hedef alarak müşteri verilerine erişim sağlaması.
   • Detaylar: Eski yazılımın bilinen bir güvenlik açığı var ve saldırgan bu açığı kullanarak sisteme giriş yapabilir.

2. Tanımlama Tarihi:

   • Örnek Tarih: 1 Eylül 2024
   • Açıklama: Risk senaryosu ilk kez tanımlandığı tarih.

3. Mevcut Önlemler:

   • Örnek: “Yazılımın en güncel sürümü kullanılmakta, düzenli güvenlik taramaları yapılmakta. Ancak, bazı eski sürümler hala mevcut olabilir.”

4. Mevcut Risk:

   • Örnek: “Şiddetli etki (4) ve büyük ihtimalle olasılık (4). Risk seviyesi: 16. Mevcut önlemlerle birlikte mevcut riskin değerlendirilmesi.”

5. Tedavi Planı:

   • Örnek: “Eski yazılım sürümlerinin kaldırılması ve tüm sistemlerde güncellenmiş sürümlerin uygulanması. Planlanan süre: 2 hafta. Ayrıca, geçici güvenlik önlemleri (örneğin, geçici yamanın uygulanması) alınacaktır.”

6. İlerleme Durumu:

   • Örnek: “Eski sürümlerin kaldırılması tamamlandı. Güncelleme süreci %50 tamamlandı. Geçici güvenlik önlemleri uygulanmış durumda.”

7. Artık Risk:

   • Örnek: “Ilıman etki (3) ve mümkün olasılık (3). Risk seviyesi: 9. Tedavi planının uygulanması sonrası mevcut risk seviyesi.”

8. Risk Sahibi:

   • Örnek: “Sistem Güvenliği Müdürü, risklerin izlenmesi ve tedavi planının uygulanmasını sağlamakla sorumludur.”

Risk Kaydı'nı düzenli olarak gözden geçirmek ve güncellemek, risk yönetim sürecinin etkinliğini korur ve organizasyonun güvenlik durumunu güncel tutar. Bu süreç, risklerin zamanında yönetilmesini ve organizasyonun güvenlik hedeflerine ulaşmasını sağlar.

4.RİSKLERE YANIT VERİN

Risklere yanıt verirken dört ana seçenekten biri seçilmelidir: kabul, kaçınma, aktarım veya hafifletme. Her bir seçeneğin kullanım durumu ve örnekleri:

1. Kabul: Riski azaltmak için ek önlem almadan mevcut riski kabul etme. Risk, kuruluşun risk tolerans seviyesine düştüğünde kabul edilir. Örneğin, düşük etkili bir güvenlik açığının mevcut durumunda herhangi bir ek önlem alınmadan riski kabul etme.

2. Kaçınmak: Riski ortaya çıkaran faaliyetlerin durdurulması. Risk, riskten kaçınma stratejisi ile tamamen ortadan kaldırılır. Örneğin, çevrimiçi ödeme işlemlerini durdurarak, ödeme sistemlerini ele geçirme riskinden kaçınmak.

3. Aktarmak: Riskin bir kısmını başka taraflarla paylaşmak. Bu genellikle riskin etki bileşenini azaltır. Örneğin, siber sigorta satın alarak riskin bir kısmını sigorta şirketine devretmek.

4. Hafifletmek: Riski azaltmak için önlemler almak. Güvenlik kontrolleri veya teknik çözümler ile risk seviyesini düşürmek. Örneğin, ağ trafiğini kontrol eden bir güvenlik duvarı kullanarak dış tehditlere karşı koruma sağlamak.

Üst yönetim, seçilen risk yanıtlarını onaylamalı ve kalan riskleri kabul etmek için bilinçli kararlar vermelidir. Ayrıca, uygulanacak güvenlik kontrollerinin, hedeflenen riskleri uygun bir şekilde ele aldığından emin olunmalıdır. Kontrollerin uygun ve etkili olabilmesi için şu kriterler göz önünde bulundurulmalıdır:

• Riskin olasılığını azaltmalı.
• Riskin etkisini azaltmalı.

Bu yaklaşımlar, risklerin kuruluşun tolerans seviyesine uygun şekilde yönetilmesini sağlar.