Siber Güvenlik Risk Değerlendirmesi Nedir? Adım Adım Siber Güvenlik Risk Analizi Süreçleri
Siber güvenlik risk analizi kısaca işletmenin siber güvenlik kontrollerini gerçekleştirmesi ve olası güvenlik zafiyetlerini gidermesi anlamına gelir.
Siber güvenlik değerlendirmeleri kontrol listesi oluşturarak değil, işletmenin iş hedeflerine göre gerçekleştirilmeli ve ağın zayıf yönlerine odaklanarak analiz yapılmalıdır. Güvenlik risk değerlendirmesi ile birlikte BT alanındaki güvenlik açıklarından iş kaybına neden olan tehditlere kadar bir dizi analiz süreci gerçekleştirebilirsiniz. Kapsamlı bir değerlendirme süreci sayesinde güvenlik çalışmalarını öncelikli hale getirerek daha geniş bir güvenlik programı oluşturabilirsiniz. Peki, siber güvenlik risk analizi neden ve nasıl yapılır? Gelin siber güvenlik risk değerlendirmesine dair merak edilen konu başlıklarını birlikte keşfedelim.
Siber Risk Nedir? Siber Güvenlik Risk Değerlendirmesi Neden Yapılır?
Siber güvenlik analizleri kurumların çeşitli siber risklere karşı hazır olup olmadığını anlamak için son derece faydalıdır. Değerlendirme sonucunda belirlenen güvenlik zafiyetlerinin en aza indirilmesi temel hedeftir. Ayriyeten siber güvenlik analizleri ile şirket sahiplerini, hissedarları ve yönetim kurulundaki kişileri kurum siber güvenliği hakkında bilgilendirmek ve olası güvenlik operasyonları için onay almak mümkün olur.
BT alanında güvenlik risk değerlendirmeleri daha geniş bir süreci, yani siber risk değerlendirmesini kapsar. Buna göre BT risk değerlendirmeleri sadece siber güvenlik açıklarını değil, aynı zamanda siber risk unsurlarını da dikkate alır. Dünyaca ünlü teknolojik araştırma ve danışmanlık firması Gartner, siber risk konusunu “bilgi teknolojileri ekiplerinin başarısızlığı veya kötüye kullanılması nedeniyle ortaya çıkan planlanmamış olumsuz sonuçlar” (1) şeklinde açıklar. Hem güvenlik değerlendirmesi hem de siber risk analizlerinin siber tehditlerin dinamik doğası gereği düzenli aralıklarla gerçekleştirilmesi gerekir.
Siber Güvenlik Risk Analizi Aşamaları Nelerdir?
Siber güvenlik risk analizi; risk belirleme, tehditleri tanımlama, güvenlik açıklarını anlama ve olay olasılıklarını inceleme gibi temel aşamalar içerir. İşte kapsamlı bir siber güvenlik risk analizi için takip edilmesi gereken adımlar:
1- BT Varlıklarını Belirleyin
Kurumun bilgi teknolojileri varlıkları arasında yazıcı ve dizüstü bilgisayar gibi ekipmanların yanı sıra müşteri iletişim bilgileri ve e-posta mesajları gibi önemli veriler bulunur. BT varlıklarını tam olarak tanımlamak için tüm departmanlardan ilgili verileri talep edebilir, kurum sistemlerinin ve verilerin bir araya getirilmesini sağlayabilirsiniz. Ardından bu varlıkları büyüklüklerine, önemlerine veya risk gruplarına göre sınıflandırabilirsiniz.
2- Siber Tehditleri Tanımlayın
Siber tehdit kuruma zarar verebilecek her türlü potansiyel unsur şeklinde tanımlanabilir. Potansiyel tehdit ve saldırı türleri arasında kötü amaçlı yazılımlardan fidye yazılımlarına ve DDoS saldırılarına kadar birçok farklı unsur yer alabilir. Dış tehdit aktörlerine ek olarak eğitimsiz yönetici ve personel hataları da siber tehdit olarak tanımlanabilir.
3- Güvenlik Açıklarını Belirleyin
Güvenlik açığı, herhangi bir tehdidin kurumunuza zarar verebilecek türden bir zayıflığıdır. Kurumlarda güvenlik açıkları genellikle analiz ve denetim raporları, NIST veritabanı, bilgi güvenliği testi, sızma testi ve otomatik güvenlik açığı arama araçları vasıtasıyla gerçekleştirilir.
4- Mevcut Kontrolleri Analiz Edin
Olası bir tehdidin güvenlik açığından faydalanma ihtimalini azaltmak için mevcut kontrolleri analiz edebilirsiniz. Bu konuda gerçekleştirebileceğiniz teknik kontrol örnekleri arasında şifreleme, izinsiz sisteme giriş tespit araçları ve çok faktörlü kimlik doğrulama gibi sistemler yer alır. Ek olarak güvenlik politikaları, fiziksel ve çevresel faktörler ile çeşitli idari prosedürler de bu aşamaya dahil edilebilir. Hem teknik hem de teknik olmayan diğer kontroller tespit edici ve önleyici olmak üzere farklı kategorilere ayrılabilir.
5- Tehdit Olasılığını Belirleyin
Her bir güvenlik açığının istismar edilme olasılığını belirlemek kapsamlı bir değerlendirme adına önemlidir. Güvenlik açığının doğası, tehdit kaynağının türü ve kapasitesi gibi faktörleri değerlendirme sırasında dikkate alabilirsiniz. Kurumlar genellikle tehdit olasılığını belirlemek için düşük, orta ve yüksek gibi kategoriler kullanmayı tercih eder.
6- Tehdidin Yaratabileceği Etkiyi Analiz Edin
Kurumun herhangi bir BT varlığının kaybolduğu veya tehlikeye girdiği bir olayda potansiyel sonuçları değerlendirin. Bu aşamada dikkat edilmesi gereken noktalar şu şekildedir:
- Varlığın rolü ve buna bağlı süreçler
- Varlığın kuruluş açısından değeri
- Varlığın duyarlılığı
Bu tip bir değerlendirme için iş etki analizi ya da görev etki analizi raporu hazırlayabilirsiniz. Raporda kurumun bilgi varlıklarına verilen zararı bütün yansımaları ve etkileriyle ölçebilirsiniz. Ayrıca olası etki ve sonuçlarını düşük, orta ve yüksek risk kategorisinde sınıflandırabilirsiniz.
7- Riskleri Önceliklendirin
Her tehdit veya güvenlik açığı için BT sisteminize yönelik risk düzeyini bu aşamada belirleyebilirsiniz. Risk düzeyini aşağıdaki kriterler doğrultusunda gerçekleştirmeniz mümkün:
- Tehdidin güvenlik açığından yararlanma olasılığı
- Her bir tehdidin yaklaşık maliyeti
- Riskin ortadan kaldırılmasına veya azaltılmasına yönelik olan güvenlik kontrollerinin yeterliliği
Yukarıdaki kriterleri göz önünde aldıktan sonra risk düzeyi matrisinden yararlanabilirsiniz. Tehdidin ortaya çıkma ihtimali yüksekse 1.0, ihtimal orta derecedeyse 0.5, düşük bir olasılığa sahipse 0.1 gibi puanlar verebilir, ardından riski tehdit olasılık değeri ile çarparak yüksek, orta veya düşük şeklinde sınıflandırabilirsiniz.
8- Eylemleri Belirleyin
Risk düzeyini temel alarak olası riskleri azaltmak için eylem planı hazırlayın. Her risk düzeyi için farklı eylem planları oluşturabilirsiniz:
- Yüksek: Düzeltici önlemlere yönelik eylemler derhal hayata geçirilmelidir.
- Orta: Belirli bir zaman dilimi içinde düzeltici eylem planları geliştirilmelidir.
- Düşük: BT ekibi riski kabul edip etmeyeceğine veya eylem planı hazırlayıp hazırlamayacağına karar vermelidir.
9- Sonuçları Belgeleyin
Risk değerlendirme sürecinin son adımında yönetim kurulunun bütçe, operasyonlar ve daha pek çok konuda bilinçli karar alabilmesi için kapsamlı raporlar oluşturulmalıdır. Raporda; her bir tehdidin tanımı, güvenlik açıkları, risk altındaki varlıklar, riskin meydana gelme olasılığı, kontrol eylemleri ve maliyet analizi detaylı bir şekilde yer almalıdır. Risk analizi raporu sayesinde temel iyileştirme adımlarını anlamak daha kolay hale gelir.
Kurumlar için siber güvenlik risk değerlendirme süreçleri güvenlik yönetim stratejilerinin temelini oluşturur. BT güvenlik açıklarınızı net bir biçimde kavrayarak siber saldırılara karşı daha iyi pozisyon alabilirsiniz. Ayrıca şirketinizin ağ ve güvenlik operasyonlarını tek bir noktadan yönetmenize imkan veren Timus Sıfır Güven Yaklaşımı sistemini kullanarak BT operasyonlarında verimliliği artırabilir, siber saldırı ve yazılımlara karşı korunabilirsiniz.
Sıkça Sorulan Sorular
Siber risk analizi faydaları şu şekilde sıralanabilir:
- Mevcut güvenlik değerlendirmesi hakkında fikir sahibi olmak
- Güvenlik açıklarını iyileştirmek
- Siber saldırı riskini azaltmak
- Tehditlerden doğan maliyet ve itibar kaybını azaltmak
Şirketlerin karşı karşıya kaldığı siber risk unsurları aşağıdaki gibidir:
- Hassas veya önemli verilerin sızması
- Kimlik avı saldırıları
- DDoS saldırıları
- Tedarik zinciri saldırıları
- Donanım arızaları
- Yanlış yapılandırılmış ayarlar
- Doğal afetler
- İnsan hataları
- Güvenliği ihlal edilmiş kimlik bilgileri
Siber güvenlik risk değerlendirmesinin temel bileşenleri şu şekildedir:
- Kurumların BT varlıkları, ilgili iş süreçleri ve operasyonlardan oluşan katalog,
- BT varlıklarının her birine yönelik potansiyel tehditlerin ortaya çıkma olasılıklarının listesi,
- BT varlıklarının kaybının ve güvenliğinin ihlal edilmesine neden olabilecek güvenlik açıkları analizi,
- Risk azaltmak adına halihazırda kullanılan güvenlik kontrol listesi,
- Siber güvenlik tehdidinin gerçekleşmesi durumunda kurumun karşı karşıya kalacağı mali sonuçların analizi.