D
Kurumsal Güvenlik Çerçevesinde Siber Saldirilarin Risk Analizi
Kurumlarin basarili bir siber güvenlik sistemi olusturabilmeleri için öncelikle sistematik yaklasim kapsaminda etkin bir risk yönetimi kurmalari gerekmektedir.
Risk yönetimi kurumlarin tüm faaliyetleri kapsaminda muhtemel meydana
gelebilecek tehlikelerin belirlenmesinde, degerlendirilmesine, kontrol edilmesine ve nezaretine yönelik sistematik ve sürekli bir faaliyettir.
Tehlikelerin belirlenmesi risk yönetimin temelini olusturur.
Makalede risk degerleri AHP (Analytic Hierarchy Process) yöntemi kullanilarak sayisallastirilmistir Bu yöntemde öncelikle karar verici tarafindan problemin çözümünde önemli olan faktörler belirlenir. Müteakiben, belirlenen faktörler AHP yöntemi ile düzenlenerek kriterler, alt kriterler ve alternatiflerden olusan hiyerarsik yapi olusturulur.
Hiyerarsi olusturulduktan sonra her bir alternatif, kriterlere göre ikili olarak karsilastirilir ve tüm sistem üzerindeki etkisi ortaya
konur.
Anahtar Kelimeler — Sistematik yaklasim, risk yönetimi, risk analizi.
I. GIRIS
Günümüzün teknoloji dünyasinda bilgi sistemleri ve agGyapilari daha açik bir ifade ile siber uzay kurumlarin temel ilgi alanlari arasina girmis ve her geçen gün bu ilgi daha da artmaktadir.
Siber tehditlerin etkilerinin bu kadar derin olmasi kurumlari
Bu tehditlere karsi çok etkin çözümler ve
tehditlere karsi etkili yöntemler ortaya koymaya zorlamaktadir.
Muhtemel tüm siber tehditlerin hepsine birden ayni etkiyi gösterecek bir siber güvenlik mekanizmasi kurmak fizibilite açisindan çok zor oldugu ve sürdürülebilir olmadigi için yapilmasi en öncelikli is sistematik bir yaklasim ile etkin
bir risk yönetimi saglamaktir.
Kurumlarda yogun teknoloji kullanimi beraberinde bu kurumlarin siber tehditlerle basarili bir sekilde mücadele etmesini zorunlu hale getirmistir. Siber tehditlerle bas edemeyen kurumlar, esas ilgi alanlari ne olursa olsun, deger ve itibar kaybetmeye, olumsuz baski görmeye, kurum içi idari
tahkikatlara, yasal sorusturmalara hatta is dünyasindan
silinmeye mahkûm olabilirler[1].
Bu çalismada muhtemel saldirilarda hedef alinabilecek
kurumlarin nasil bir saldiriya maruz kalinacagi yönünde
tehditler belirlenmis ve risk yönetimi ile risk azaltma tedbirleri
belirlenerek siber risklerle mücadelede bir metodoloji ortaya
konulmustur.
Kurumlarin basarili bir siber güvenlik sistemi olusturabilmeleri için öncelikle sistematik yaklasim kapsaminda etkin bir risk yönetimi kurmalari gerekmektedir.
Risk yönetimi kurumlarin tüm faaliyetleri kapsaminda muhtemel meydana
gelebilecek tehlikelerin belirlenmesinde, degerlendirilmesine, kontrol edilmesine ve nezaretine yönelik sistematik ve sürekli bir faaliyettir.
Tehlikelerin belirlenmesi risk yönetimin temelini olusturur.
Makalede risk degerleri AHP (Analytic Hierarchy Process) yöntemi kullanilarak sayisallastirilmistir Bu yöntemde öncelikle karar verici tarafindan problemin çözümünde önemli olan faktörler belirlenir. Müteakiben, belirlenen faktörler AHP yöntemi ile düzenlenerek kriterler, alt kriterler ve alternatiflerden olusan hiyerarsik yapi olusturulur.
Hiyerarsi olusturulduktan sonra her bir alternatif, kriterlere göre ikili olarak karsilastirilir ve tüm sistem üzerindeki etkisi ortaya
konur.
Anahtar Kelimeler — Sistematik yaklasim, risk yönetimi, risk analizi.
I. GIRIS
Günümüzün teknoloji dünyasinda bilgi sistemleri ve agGyapilari daha açik bir ifade ile siber uzay kurumlarin temel ilgi alanlari arasina girmis ve her geçen gün bu ilgi daha da artmaktadir.
Siber tehditlerin etkilerinin bu kadar derin olmasi kurumlari
Bu tehditlere karsi çok etkin çözümler ve
tehditlere karsi etkili yöntemler ortaya koymaya zorlamaktadir.
Muhtemel tüm siber tehditlerin hepsine birden ayni etkiyi gösterecek bir siber güvenlik mekanizmasi kurmak fizibilite açisindan çok zor oldugu ve sürdürülebilir olmadigi için yapilmasi en öncelikli is sistematik bir yaklasim ile etkin
bir risk yönetimi saglamaktir.
Kurumlarda yogun teknoloji kullanimi beraberinde bu kurumlarin siber tehditlerle basarili bir sekilde mücadele etmesini zorunlu hale getirmistir. Siber tehditlerle bas edemeyen kurumlar, esas ilgi alanlari ne olursa olsun, deger ve itibar kaybetmeye, olumsuz baski görmeye, kurum içi idari
tahkikatlara, yasal sorusturmalara hatta is dünyasindan
silinmeye mahkûm olabilirler[1].
Bu çalismada muhtemel saldirilarda hedef alinabilecek
kurumlarin nasil bir saldiriya maruz kalinacagi yönünde
tehditler belirlenmis ve risk yönetimi ile risk azaltma tedbirleri
belirlenerek siber risklerle mücadelede bir metodoloji ortaya
konulmustur.
II. SIBER RISK YÖNETIMI
Eski çaglarda yasayan insanlar ve liderler, riski sanstan
kaynaklanan ve insanin kontrol edemedigi unsurlarin sebep
oldugu bir kavram olarak algilamislardir. Yüzyillar önce risk,
insan kontrolü disindaki sansin engellenemez olusumu olarak
kabul edilmistir [2]. Riskin, “insanlarin sahip olduklari
degerlerin, insan faaliyetleri veya olaylarin sonuçlari
nedeniyle zarar görmesi olasiligi” seklinde yaygin bir tanimi
mevcuttur [3]. Yine baska bir tanima göre, belirli bir zaman
araliginda belirli bir hedefe ulasamama ve dolayisiyla zarara
ugrama olasiligi olarak tanimlanan riskin en belirgin
özellikleri; ‘tam ve net olarak bilinememesi, zamanla
degiskenlik göstermesi, olumsuz sonuçlar dogurma olasiligina
sahip olmasi ve yönetilebilir olmasi
seklinde siralanabilmektedir [4].
Risk yönetimi ise bütün kurumlarin tüm faaliyetleri
kapsaminda, muhtemel meydana gelebilecek tehlikelerin
belirlenmesine, degerlendirilmesine, kontrol edilmesine ve
nezaretine (denetleme ve degerlendirme) yönelik sistematik ve
sürekli bir faaliyettir[5].
Risk yönetiminin hedefi, karar vericiler için riskleri görünür
ve ölçülebilir hale getirmek ve sübjektifligi azaltmaktir.
Risk yönetiminin tehlikeleri tanimlama, tehlikeleri
degerlendirme, risk tedbirleri gelistirme ve risk kararlarini
alma, risk tedbirlerini uygulama ile nezaret ve degerlendirme
olmak üzere bes asamasi vardir.
KURUMSAL GÜVENLIK ÇERÇEVESINDE SIBER SALDIRILARIN RISK ANALIZI
tehlikeyi ortadan kaldirmak veya tehlikeli bir olay ile ilgili
riski azaltmak maksadiyla bir veya daha fazla kontrol tedbiri
gelistirilir. Tedbirler gelistirilirken sadece tehlikenin kendisi
degil, tehlikenin sebepleri de düsünülür. Olasi senaryolarin
tahlil edilmesi her bir hareket tarzi için risk azaltma tedbirleri
gelistirmek için uygun ortam saglar [10].
Kalan risk, tehlikenin giderilmesi için alinan tedbirlere
ragmen ortamda hâlâ mevcut olan risktir. Tehlikeleri gidermek
için tedbirler belirlenip seçildiginde tehlikeler ikinci
asamadaki gibi yeniden degerlendirilir ve risk seviyesi tekrar
gözden geçirilir. Bu süreç, kalan risk seviyesi kabul edilebilir
hâle gelene kadar tekrar edilir [11].
Tedbirler belirlendikten sonra risk karari alinir; risk kabul
edilebilir, sartli kabul edilebilir ve ya kabul edilemez.
Eger risk kabul edilebiliyorsa, riskin seviyesinin bize olan
olumsuz etkisi çok az demektir. Bu tür durumlarda risklerin
yönetilmesine ve risk azaltma tedbirleri alinmasina gerek
yoktur. Bununla birlikte ilave yük getirmiyorsa bu riskler de
yönetilebilir ve risk azaltma tedbirleri uygulanabilir.
Sartli kabul edilebilir ise mutlaka risk azaltma tedbirleriyle
riskin seviyesi azaltilmali ve riskin seviyesi kabul edilebilir
düzeye indirilmelidir. Riskin kabul edilebilir düzeyinden kasit,
kurum yöneticisinin kabul edebilecegi risk seviyesidir.
Belirlenen bütün tedbirlere ragmen risk kabul edilebilir
düzeye indirilemiyorsa, risk kabul edilemez. Bazi durumlarda
risk azaltma tedbirlerine ragmen risk seviyesi, kurum
yöneticisinin belirledigi riski kabul etme esiginin üstünde
kalabilir. Eger yönetici, riski bu haliyle kabul edemeyecekse
bu tehlikeye maruz kalinmayacak veya bu riske daha düsük
seviyede maruz kalinabilecek alternatif planlamalar
yapilmalidir.
Eski çaglarda yasayan insanlar ve liderler, riski sanstan
kaynaklanan ve insanin kontrol edemedigi unsurlarin sebep
oldugu bir kavram olarak algilamislardir. Yüzyillar önce risk,
insan kontrolü disindaki sansin engellenemez olusumu olarak
kabul edilmistir [2]. Riskin, “insanlarin sahip olduklari
degerlerin, insan faaliyetleri veya olaylarin sonuçlari
nedeniyle zarar görmesi olasiligi” seklinde yaygin bir tanimi
mevcuttur [3]. Yine baska bir tanima göre, belirli bir zaman
araliginda belirli bir hedefe ulasamama ve dolayisiyla zarara
ugrama olasiligi olarak tanimlanan riskin en belirgin
özellikleri; ‘tam ve net olarak bilinememesi, zamanla
degiskenlik göstermesi, olumsuz sonuçlar dogurma olasiligina
sahip olmasi ve yönetilebilir olmasi
seklinde siralanabilmektedir [4].
Risk yönetimi ise bütün kurumlarin tüm faaliyetleri
kapsaminda, muhtemel meydana gelebilecek tehlikelerin
belirlenmesine, degerlendirilmesine, kontrol edilmesine ve
nezaretine (denetleme ve degerlendirme) yönelik sistematik ve
sürekli bir faaliyettir[5].
Risk yönetiminin hedefi, karar vericiler için riskleri görünür
ve ölçülebilir hale getirmek ve sübjektifligi azaltmaktir.
Risk yönetiminin tehlikeleri tanimlama, tehlikeleri
degerlendirme, risk tedbirleri gelistirme ve risk kararlarini
alma, risk tedbirlerini uygulama ile nezaret ve degerlendirme
olmak üzere bes asamasi vardir.
KURUMSAL GÜVENLIK ÇERÇEVESINDE SIBER SALDIRILARIN RISK ANALIZI
tehlikeyi ortadan kaldirmak veya tehlikeli bir olay ile ilgili
riski azaltmak maksadiyla bir veya daha fazla kontrol tedbiri
gelistirilir. Tedbirler gelistirilirken sadece tehlikenin kendisi
degil, tehlikenin sebepleri de düsünülür. Olasi senaryolarin
tahlil edilmesi her bir hareket tarzi için risk azaltma tedbirleri
gelistirmek için uygun ortam saglar [10].
Kalan risk, tehlikenin giderilmesi için alinan tedbirlere
ragmen ortamda hâlâ mevcut olan risktir. Tehlikeleri gidermek
için tedbirler belirlenip seçildiginde tehlikeler ikinci
asamadaki gibi yeniden degerlendirilir ve risk seviyesi tekrar
gözden geçirilir. Bu süreç, kalan risk seviyesi kabul edilebilir
hâle gelene kadar tekrar edilir [11].
Tedbirler belirlendikten sonra risk karari alinir; risk kabul
edilebilir, sartli kabul edilebilir ve ya kabul edilemez.
Eger risk kabul edilebiliyorsa, riskin seviyesinin bize olan
olumsuz etkisi çok az demektir. Bu tür durumlarda risklerin
yönetilmesine ve risk azaltma tedbirleri alinmasina gerek
yoktur. Bununla birlikte ilave yük getirmiyorsa bu riskler de
yönetilebilir ve risk azaltma tedbirleri uygulanabilir.
Sartli kabul edilebilir ise mutlaka risk azaltma tedbirleriyle
riskin seviyesi azaltilmali ve riskin seviyesi kabul edilebilir
düzeye indirilmelidir. Riskin kabul edilebilir düzeyinden kasit,
kurum yöneticisinin kabul edebilecegi risk seviyesidir.
Belirlenen bütün tedbirlere ragmen risk kabul edilebilir
düzeye indirilemiyorsa, risk kabul edilemez. Bazi durumlarda
risk azaltma tedbirlerine ragmen risk seviyesi, kurum
yöneticisinin belirledigi riski kabul etme esiginin üstünde
kalabilir. Eger yönetici, riski bu haliyle kabul edemeyecekse
bu tehlikeye maruz kalinmayacak veya bu riske daha düsük
seviyede maruz kalinabilecek alternatif planlamalar
yapilmalidir.