spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Kurumsal Bilgi Güvenliğinde Etkin Risk Analizi Yazdır E-posta
Bilge Karabacak, TÜBİTAK BİLGEM   
18.05.2009

Bu çalışmada, bilgi güvenliği risk analizinin temel zorluklarına ve bilgi güvenliği risk analiz metodundan beklenen temel özelliklere yer verilmiştir. Bu zorlukları aşacak ve özellikleri karşılayacak ayrıntıya girmeyen çerçeve bir metot önerisi getirilmiştir.

Risk analizi, riski tahmin etmek amacıyla yapılan sistematik çalışmalardır. Yapılan risk tahminleri karşı önlemlere karar verilmesi aşamasında önemli bir parametre olarak kullanılırlar. Risk analizi yapılmadan tesis edilen karşı önlemlerin ihtiyacı karşılayamaması veya gereğinden fazla karşılaması ihtimali büyüktür.

Bilgi güvenliği risk analizi konusunda akademik yayınlarda bir çok metot önerilmiştir. Akademik yayınlar dar problem alanlarına yönelmekte ve belli bir durum için daha etkin çözüm önerileri getirmeye çalışmaktadır.  Bu nedenle akademik yayınlardaki öneriler kurumsal beklentileri karşılayacak düzeyde olmamaktadır. [1] Bilgi güvenliği risk analizi sürecini otomatikleştirmeye ve kolaylaştırmaya yönelik bir çok ticari yazılım mevcuttur.  Ticari yazılımlar ise her kurum tarafından tercih edilmemektedir. Bunun nedenleri arasında, yazılımın pahalı bulunması, tam olarak kurumun ihtiyaçlarına yönelmemesi, yazılımın karmaşık olması ve kurumun yazılım çerçevesinde  kalmak istememesi  yer almaktadır [2].

Akademik yayınlar ve ticari yazılımlar risk analizi sürecinin belli başlı zorluklarına değinirler, bu zorlukların nasıl aşılabileceği, risk analizi sürecinin nasıl etkin ve kolay yürütülebileceği konusunda öneriler getirirler.

1. Bilgi Güvenliği Risk Analizinin Temel Zorlukları

Riskin bir olasılık olması: Risk, kesin ve somut bir değer değildir. Risk bir olasılık olduğu için risk analizi temelde bir olasılık analizidir. Bu nedenle, risk analizi yapılırken tahminler yapılmalıdır. Tahminler, bir risk modeli ile belli bir çerçevede ele alınırlar. Eğer risk modeli nicel ise kullanılan matematikten dolayı zorluklar yaşanmakta, nitel ise risk analizi sürecinde tahminler subjektif olabilmektedir.

Riskin, varlık, açıklık ve tehdit değerlerini girdi olarak alan bir olasılık fonksiyon olması: Risk, hesaplaması basit bir olasılık değeri değildir. Risk, bir varlıktaki bir açıklığın bir tehdit tarafından kullanılma olasılığıdır.  Bu olasılık, “Risk=F(Varlık, Açıklık, Tehdit)” formülü ile ifade edilebilir. Bu formüldeki fonksiyon (F) risk modelini temsil etmektedir. Sonuç olarak risk modelinin hesaba katması gereken üç temel parametresi bulunmaktadır.

En temel ve önemli varlık olan bilginin soyut olması: Bilgi kurumlar tarafından risk analizlerinde farkına en zor varılan varlıktır. Bunun yanında, bilgi aynı zamanda en dikkatli analizi yapılması gereken en önemli varlıktır.  Sunucular, depolama medyaları gibi fiziksel varlıklar risk analizi yapan kişiler tarafından kolaylıkla tanımlanabilirken, bilgi soyut bir kavram olduğu için tanımlanmasında ve gizlilik, bütünlük, süreklilik değerlerinin verilmesinde güçlükler yaşanabilmektedir.

Bilginin bir çok değişik formda bulunması: Bilgi donanım ve yazılımlar tarafından işlenir, elektronik ve manyetik medyada depolanır, yazılı dokümanlar bilgi içerir, bir kurumda çalışanlar zihinlerinde, düşüncelerinde ve konuşmalarında bilgiyi taşırlar. Sonuç olarak, bilgi elektronik, manyetik, kağıt, ses gibi bir çok değişik formada işlenir. Risk analizinde bir çok farklı formda depolanan bilginin ele alınması gerekmektedir.

Bilgi sistemlerinin karmaşık ve yaygın bir yapıda olması: Bilgi sistemleri, 1970 ve 1980’lerdeki merkezi ve basit yapıda değildirler. Günümüzdeki, tüm kurumlarda, hemen hemen her çalışana bir bilgisayar düşmektedir. Kurumların hemen hemen tüm iş süreçleri, az veya çok bilgi işlem altyapısı ile kesişmektedir.

Varlık, açıklık, tehdit ve karşı önlemler arasındaki ilişkiler: Herhangi bir varlıktaki veya varlık kategorisindeki (Örnek kategoriler: donanım, yazılım, medya, basılı doküman, personel) bir açıklık, başka bir varlık veya varlık kategorisi için tehdide dönüşebilir. Bir tehdit birden çok varlığı veya varlık kategorisini farklı oranlarda etkileyebilir. Bütün ilişkiler, risk analizi metodunda değerlendirilmelidir.

2. İdeal Bilgi Güvenliği Risk Analizinin Özellikleri

Hızlı sonuçlar vermesi: Risk analizi sürecinin uzun sürmesi özellikle iş gücü maliyetlerini artırır. Ayrıca, sürekli gelişen ve değişen bir bilgi işlem altyapısında çok uzun süren risk analizlerinin sonuçları tutarlı olmayabilir. Risk analizi metodunun süresi, kurumun tolere edebileceği bir seviyede olmalıdır.

Maliyet etkin olması: Kurumlar, getirdiği maliyetten dolayı da risk analizi sürecine uzak durabilmektedirler. Genel olarak bilgi güvenliği kurumlar tarafından lüks olarak görülebilmektedir. Bu nedenle, risk analizi sürecinde  maliyet etkin araçların kullanılması ve sürecin kendisinin maliyet etkin olması önemli bir beklentidir.

Objektif sonuçlar vermesi: Risk analizi sürecinin farklı kişiler tarafından tekrarlandığı zaman benzer sonuçlar vermesi önemli bir özelliktir. Planlama, uygulama, kontrol etme ve önlem alma döngüsü içerisinde tekrarlanacak olan risk analizinin tutarlı sonuç vermesi bilgi güvenliği yönetim sistemlerinin düzgün bir şekilde yürütülmesinin garantilerinden biridir. [3]

İş süreçleri odaklı olması: Hedefin BT altyapısı olduğu risk analizleri odağını kaybetmiş risk analizleri olarak değerlendirilebilir. Örneğin bilgi işlem altyapısındaki, donanımların gizlilik, bütünlük ve süreklilik değerlerinin  ortaya konulduğu ve bu donanımlardaki açıklıkların ve bu donanımları etkileyebilecek tehditlerin ortaya konulduğu ve bunlara göre belli bir risk seviyesinin tespit edildiği bir risk analizi süreci, bu donanım üzerinde hangi iş süreçlerinin işletildiğini hesaba katmadığı için doğru ve tutarlı sonuçlar vermeyecektir. Risk analizinde en temelde incelenmesi gereken iş süreçleridir. Günümüzde, bilgi işlem odaklı risk analizleri bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda gerçekleştirilmekte ve faydası sınırlı olmaktadır.

Bilgi odaklı olması: Süreç odaklı yaklaşıma benzer olarak, bilgiyi göz ardı eden risk analizi süreçleri tutarlı sonuç vermezler. Bu risk analizi metotları bilgiyi işleyen donanım ve yazılımlara öncelik verirler ve sadece bunları değerlendirirler. Bu durumda da risk tahminleri  tutarsız olacaktır.

Kurum personelinin katılımına imkan vermesi: Bütün risk analizi sürecinin kurumdaki çalışanlar tarafından gerçekleştirilmesi beklenemez. Ancak, risk analizi sürecinin iş süreçlerinde önemli görevleri olan personelin katılımına imkan verecek bir yapıda olması gerekmektedir. Diğer bir ifadeyle, analizin belli başlı yerlerinde kurum çalışanlarının fikirlerinin ve düşüncelerinin alınması ve bunun risk analizi takımı tarafından değerlendirmeye sokulması gerekmektedir.

Risk modelinin açık olması: Risk modelinin açık olması, kurumların bilgi güvenliği risk analizi metoduna duyduğu güvenli artıracaktır. Ayrıca, kurum ihtiyaçlarını karşılayacak şekilde risk modelinde değişiklikler yapmasına imkan sağlanmış olacaktır.

3. Çerçeve Metot Önerisi

Bu bölümde, bilgi güvenliği risk analizinin zorluklarını göz önüne alan ve risk analizi sürecinden beklenen özellikleri yerine getirebilecek bir risk analizi metodunda yer alabilecek hususlara tablo-1 ve tablo-2’de değinilmiştir.

Zorluk Ne şekilde önüne geçilebilir?

 Riskin karmaşık bir olasılık olması

 Nicel olması

 Bilginin soyut olması ve çok değişik formlarda olması

 Süreçsel yaklaşımlar

 Bilgi sistemlerinin karmaşık ve yaygın bir yapıda olması

 Süreçsel yaklaşımlar

 Varlık, açıklık, tehdit ve karşı önlemler arasındaki ilişkiler

  Nicel olması, süreçsel yaklaşımlar

Tablo 1: Temel zorluklar ve ne şekilde önüne geçilebilecekleri

Özellik Nasıl karşılanır?

 Kurum personelinin katılımına imkan vermesi

 Anketler

 Hızlı sonuçlar vermesi

 Risk modelinin karmaşık olmaması

 Maliyet etkin olması

 Ticari olmaması

 Objektif sonuçlar vermesi

 Nicel olması

 İş süreçleri odaklı olması

 Süreçsel yaklaşımlar

 Bilgi odaklı olması 

 Süreçsel yaklaşımlar

Tablo 2: Temel özellikler ve nasıl karşılanacakları

Sonuç olarak, süreçleri dikkate alan ve modelleyen, kurum bünyesinde çalışanların fikirlerini anketler yardımıyla ele alan,  karmaşık matematiksel araçları içermeyen nicel bir risk analizi yöntemi günümüzde kurumların ihtiyacını karşılabilecektir.

Kaynaklar

[1] Coles R.S., Moulton R. Operationalizing IT risk management. Computers & Security 2003, Vol. 22, No. 6, pp. 487-93.

[2] Sommer P.  Industrial espionage: analysing the risk, Computers & Security, 1994, Vol. 13, No. 7, pp. 558-563

[3] ISO/IEC. Information technology – Security techniques -- Information security management systems – Requirements, ISO/IEC 27001, 2005


Favori olarak ekle (2) | Görüntüleme sayısı: 8479

Yorumlar (1)
1. 21-05-2009 21:42
 
Ellerinize sağlık cok güzel yazı olmuş keyifle okudum..
 
ismail aksoy

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB