Bilgi güvenliği, günümüzde kurumlar için kritik bir öneme sahip olan bir konudur. Kurumlar hem maddi kayıpları hem de itibar kayıplarını önlemek için bilgi güvenliği risklerini yönetmek zorundadır. Verilerin sızdırılması, yetkisiz erişim, veri kaybı gibi güvenlik ihlalleri hem maddi hem de itibari zararlara yol açabilir. Bilgi güvenliği risk analizi, bu riskleri belirlemek ve etkilerini azaltmak için önemli bir adımdır.
Bu yazıda, bilgi güvenliğinde risk yönetimi ve risk analizi metodolojileri hakkında genel bir literatür araştırması yapacağız. Özellikle ISO, NIST ve PCI-DSS gibi üç popüler risk analizi metodolojisinin bu alanda ne gibi yaklaşımlar sunduğunu inceleyeceğiz.
Risk nedir?
Risk, kurumun zarar, kayıp, tehlike veya hasar olmasına yönelik belirsizlik içeren unsur, etken veya gelecekte ortaya çıkabilecek iç ve dış etkenlerin kurumun amaç ve hedeflerini gerçekleştirmesi üzerindeki olumlu veya olumsuz etkileri şeklinde tanımlanmaktadır.
Risk= Tehdidin Olma İhtimali * Tehdidin Etkisi
Risk Yönetim Teknikleri
Risk yönetimi, belirsizlikleri tanımlama, değerlendirme, azaltma veya kabul etme ve yönetme sürecini içerir. Bu süreç, bir dizi yöntem ve metodolojiyi içerebilir:
Riski Azaltma: Varlığın risk değerini düşürmek için önlemler almaktır.
Riski Transfer Etme: Sigorta gibi bir işlem yapılarak riskin başka birine devredilmesi işlemidir.
Riski Kabul Etme: Riskin ortaya çıkması durumunda oluşacak kayıpları kabul etmektir.
Riski Reddetme: Riski oluşturacak sistem veya servisi kullanmayarak riski kabul etmeme durumu.
Risk yönetimi, hem negatif riskleri (tehlike) minimize etmeye hem de pozitif riskleri (fırsat) değerlendirmeye ve kullanmaya yönelik stratejiler geliştirmeye odaklanır.
Risk Analizi Metodolojileri
ISO (Uluslararası Standartlar Örgütü)
ISO (International Organization for Standardization) tarafından geliştirilen bilgi güvenliği standartları, kurumların bilgi güvenliği risklerini yönetmelerine yardımcı olmak için kullanılan önemli kaynaklardan biridir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliği yönetim sistemlerinin kurulması, uygulanması, izlenmesi ve sürdürülmesi için bir çerçeve sunan uluslararası bir standarttır. Risk yönetimi sürecini kapsamaktadır ve bilgi varlıklarının korunması için risk analizi ve değerlendirme yöntemlerini belirler. Ayrıca bir kuruluşun bilgi güvenliği politika ve süreçlerini belirlemesine ve uygulamasına da rehberlik eder.
ISO 27002 Bilgi Güvenliği İyileştirme Standardı, ISO 27001’in destekleyici bir standardıdır ve bilgi güvenliği kontrolleri için ayrıntılı bir kılavuz sunar. Bu standart, kurumlara farklı bilgi güvenliği konularında nasıl kontroller uygulayacaklarını anlamalarına yardımcı olur.
ISO 31000 Risk Yönetimi Standardı, risk yönetimi süreçlerini genel olarak tanımlayan bir standarttır. Bu standart, kurumların her türlü riski, bilgi güvenliği riskleri dahil, yönetmelerine yardımcı olur. Riskleri tanımlama, değerlendirme, yönetme ve izleme süreçlerini kapsar. Bilgi güvenliği risk yönetimi metodolojilerinin temelini oluşturabilir. Bu standart, bilgi güvenliği risk yönetimini içeren kurumların daha geniş risk yönetimi çabalarına rehberlik edebilir.
NIST (Ulusal Standartlar ve Teknoloji Enstitüsü)
NIST (National Institue of Standards and Technology), Amerika Birleşik Devletleri’nde bilgi güvenliği alanında otorite olarak kabul edilen bir kurumdur. Risk analizi için NIST SP 800-30 revize standardı kullanılır. Bu standardın temel amacı, risklerin belirlenmesi, değerlendirilmesi ve risklere uygun önlemlerin alınması için bir metodoloji sunmaktır. NIST SP 800-30, bir kurumun risk tolerans düzeylerini belirlemesine ve risk yönetimi stratejilerini geliştirmesine yardımcı olur.
PCI-DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı)
PCI-DSS (Payment Card Industry Data Security Standard), finansal işlemlerde kullanılan kredi kartı verilerinin güvenliğini sağlamak amacıyla oluşturulmuş bir standarttır. Bu standardın bir bileşeni olan PCI-DSS gereklilik 12.2, ödeme kartı işleyen kurumların risk analizi yapmalarını ve güvenlik önlemlerini uygulamalarını gerektirir. PCI-DSS, risk analizi ve değerlendirme süreçlerini içeren bir metodoloji sunar. Bu standart, kredi kartı bilgilerinin korunması, ağ güvenliği, güvenlik politikaları ve süreçler gibi bir dizi gereksinimi kapsar.
Bilgi güvenliğinde risk yönetimi ve risk analizi, kurumların güvenlik açıklarını belirlemek ve uygun önlemleri almak için önemli bir adımdır. ISO, NIST ve PCI-DSS gibi standartlar, kurumlara risk analizi metodolojileri ve güvenlik önlemleri konusunda rehberlik sağlar. Bu metodolojiler, bilgi güvenliğinin sağlanması için de önemli bir temel oluşturur ve kurumların risklere karşı etkili bir şekilde korunmasını sağlar.
Kaynakça
-Kara, M., Kurumsal Bilgi Güvenliği, (1. basım), İstanbul: Papatya Yayıncılık Eğitim,2018
https://www.pcisecuritystandards.org/document_library/?category=pcidss&document=pci_dss
https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final
https://csrc.nist.gov/News/2012/NIST-Special-Publication-800-30-Revision-1
