Bilgi (Teknoloji) Risk Yönetimi

Bilgi (Teknoloji) Risk Yönetimi (IRM – Information Risk Management), temelinde çalıştığınız kurum/grup tarafındaki tüm iş kolları ve bağlı kuruluşlar için kurulup, özenle işletilmesi gereken küresel bir sigorta programıdır. Bu sigorta; bilgi ve destekleyici iş uygulamaları, Bilgi Teknolojileri (BT) süreçleri, veri tabanları ve tüm bu sistemleri üzerinde barındıran altyapılar üzerinde işletilmeli ve uygun şekilde korunmaları için risk tabanlı bakış açısı ile ele alınmalıdır.

Ayrıca, Bilgi (Teknoloji) risklerini yönetmek, şirketinizin stratejinizi, girişimlerinizi ve hedeflerinizi yerine getirmesi için kritik öneme sahiptir. Sonuç olarak, Bilgi (Teknoloji) Risk Yönetimi; şirketinizin hedeflerine ulaşmasını, başarılı olmak için doğru konumlanmayı ve karmaşık siber saldırılar gibi beklenmeyen olaylara karşı dayanıklı sağlayacaktır.

Bu noktada, doğru bir organizasyon yapısı ile görev/sorumlulukları doğru tanımlanacak Bilgi Risk Yönetimi Ekibi; ikinci savunma hattının bir parçası olarak,

1.	Risk Tanımlama
2. Risk Değerlendirme
3. Risk Azaltma
4. Risk İzleme
5. Operasyonel Risk ve Olaylar Hakkında Raporlama

sorumluluklarını üstlenir. BT Riskleri, IRM ekibinin birincil odak noktasıdır, ancak IRM işlevinin ayrıca bilgi riskinin bir unsur olduğu için;

  • Kontrol ve İşleme Riski
  • Dolandırıcılık Riski
  • İş Sürekliliği Riski
  • Yetkisiz faaliyet Riski

faaliyetlerinde de risk belirleme ve yönetme süreçlerine katılması gerekir. IRM ekibi tüm bu çalışmalarını organizasyonun başında olan CIRO (Chief Information/IT Risk Officer) ile işletmelidir.

CIRO için ana faaliyet ve sorumluluklarını aşağıdaki şekilde özetleyebiliriz:
– Bilgi Risk Yönetiminde liderlik eder ve yön verir,
Kurumun iş birimleri genelinde IRM faaliyetlerini koordine eder,
– Kurum stratejisi ile uyumlu risk yönetimi stratejileri oluşturur,
– IRM Politikaları, standartlar, yöntemler ve araçları sağlar,
– BT risk ve kontrol durumunu konsolide eder, analiz eder, Yönetim Kuruluna raporlar,
– IRM eğitimini, öğretimini ve farkındalığını teşvik eder,

Bu roller ve kapsam dahilinde, Bilgi (teknolojisi) Riski Yönetimi özetle; yetersiz bilgi güvenliği nedeniyle gizlilik, bütünlük ve erişilebilirliğin (GBE – CIA: confidentiality, integrity, and availability) kaybıyla sonuçlanan finansal veya itibar kaybı riskidir. Ve CIA temelinde oluşturulmuş bir Bilgi Riski Yönetimi; rekabet avantajınızı, nakit akışınızı, karlılığınızı, düzenleyici/yasal uyumluluğunuzu ve saygın şirket imajınızı korumak için temel esasları sağlayacaktır.

Bu esas temelinde doğru tanımlanmış bir Bilgi (Teknoloji) Risk Yönetimi Programı;

  • Sürekli gelişen teknoloji sonucunda ortaya çıkan yeni tehditlere karşı hızlı ve riski tamamen ortadan kaldıracak şekilde önlem alınması,
  • Veri güvenliğinin üst seviyede dikkate alınması ve gerekli sistemsel önlemlerin alınması incelemelerin yapılması,
  • İç veya dış tehditlerin belirsizliği sebebiyle sıfır güven (Zero Trust) ile hareket edilmesi,
  • Şirket çalışanlarının veya iş birliği içerisinde olunan diğer insan kaynağının değişim gösteren bilgi güvenliği riskleri nedeniyle farkındalığının en üst seviyede tutulması sağlar.

Kuruluşunuzun günlük iş faaliyetlerinde risk yönetimi ile tam uyumu, iş stratejilerinin başarılı bir şekilde uygulanması için gereklidir ve tüm ilgili risklerin tanımlanmasını, değerlendirilmesini, hafifletilmesini, izlenmesini ve raporlanmasını sağlamalısınız. Bu noktada Bilgi (Teknoloji) Risk Yönetimi ortamındaki alt risk alanlarını incelemekte fayda olacaktır. Bu alt risk alanları bize riskleri doğru tanımlama, değerlendirme ve izleme noktasında fayda sağlayacaktır.

  1. Yönetişim Kontrolleri; bize BT Risk alt-risk alanlarıyla ilişkili risklerin azaltılması için bir ön koşuldur. Temel kontrollerin temel unsurları arasında varlık sahipliği, bilgi varlık sınıflandırması, BT mimarisi, yapılandırma yönetimi, operasyonel prosedürler ve sorumluluklar, sözleşme yönetimi ve dış kaynaklar, politika/prosedürlerin yayınlanması, bunlara uyum ve bilgi güvenliği farkındalığı gibi temel yönetişim alanları vardır.
  2. Erişim Yönetimi; bir varlığa veya sisteme yalnızca yetkili kişilere erişim verme sürecini ifade eder. Kullanıcı erişim kontrolleri, kullanıcı tanımlama, kimlik doğrulama ve kaydı ile ayrıcalık yönetiminin etkili ve verimli bir şekilde gerçekleştirilmesini sağlamalıdır. Kullanıcı erişim kontrollerinin temel unsurları arasında kullanıcı erişim yönetimi, görevler ayrılığı ilkesi, bilgi erişim kısıtlamaları ve kimlik ve erişim yönetimi yer alır.
  3. Altyapı Güvenliği; iş faaliyetlerini destekleyen temel uygulamaların ve BT altyapısının uygun ve amaca uygun olmasını sağlama ve şirketin operasyonel süreçleri yürütebileceği güvenli bir ‘platform’ sağlama uygulamasını ifade eder. Platform güvenlik kontrollerinin temel unsurları arasında işletim sistemi sıkılaştırmaları, ağ güvenliği ve erişim kısıtları, genel uygulama ve veri tabanı güvenliği, iş uygulaması güvenliği ve istemci/mobil cihazların sıkılaştırması yer alır.
  4. BT Direnci; Altyapı/uygulama sistemlerinin arızalanmayacak şekilde tasarlanması ve uygulanmasıdır. BT Dayanıklılığı kontrolleri kesintilerin önlenmesini hedefler.
    • BT donanım ve yazılım bileşenleri ve veri merkezleri, bir bileşen arızalanırsa, bir yedek bileşen veya prosedür, o varlığın erişilebilirlik sınıflandırması gereksinimine göre normal operasyonel seviyeye geri dönebilecek şekilde tasarlanmalıdır.
    • BT hizmet dayanıklılığı süreci, bir olayın işletmenin etkilenen bir parçası üzerindeki etkisini en aza indirmeli ve önleyici ve kurtarma kontrollerinin bir kombinasyonu yoluyla bilgi varlıklarının kaybından kabul edilebilir bir seviyeye kadar kurtarmalıdır.
    • İş Sürekliliği Planlaması ve BT felaket kurtarma planlaması ve testi gibi bir krize veya felakete yanıt verme ve kurtarma ile ilgili süreklilik kontrolleri, İş Sürekliliği sürecinin bir parçası olarak ele alınmalıdır.
  5. Güvenlik izleme faaliyetleri; şirket bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini etkileyecek faaliyetleri tespit etme ve bunlara yanıt verme sürecini ifade eder. Bu tür faaliyetler, temel güvenlik kurallarında yetkisiz değişiklikler, hassas bir sisteme giriş yaparken oluşacak başarısız girişimler ve kötü amaçlı yazılımlar gibi olayların tespitini içerir, ancak bunlarla sınırlı değildir. Güvenlik izlemenin temel unsurları arasında, güvenlik olayları ve olay izleme, teknik durum uyumluluğu ve sızma testleri konusunda kurumsal sorumluluklar, politikalar, prosedürler, süreçler, yazılım işlevleri ve teknik ortamlar çerçevesi yer alır. İzleme, birinci savunma hattının günlük operasyonlarına yerleştirilmelidir. Güvenlik olayları ve tespit edilen güvenlik ihlalleri derhal Bilgi (Teknoloji) Risk Yönetimi ile paylaşılmalıdır.

Ana risk yönetimi yapımızı destekleyecek 5 alt risk grubu dışında, dikkatle ele almamız gereken başka bir husus, risk değerlendirme yöntemlerimiz ve yaklaşımlarımız olacaktır.

Bu noktada; belirlenecek risk değerlendirme türlerini aşağıdaki şekilde toplayabilirim.

  • Genel Risk Değerlendirmeleri,

    Şirketin stratejik hedefleri, ödeme gücü gerekliliklerini engelleyebilecek risklerin etkisini ve olasılığını değerlendirmeyi amaçlamalıdır. Hem finansal (örneğin iş, yatırım, sigorta) riskleri, hem de finansal olmayan (örneğin uyumluluk, operasyonel veya bilgi) risklerini kapsar. Bu değerlendirme yönteminde önemli olan; iş biriminin faaliyet gösterdiği ortamlardan kaynaklanan içsel ve artık risk seviyelerini (örneğin dolandırıcılık, finansal ve dolandırıcılık gibi) hesaba katarak hesaplanmalıdır. Genel risk değerlendirme sürecini; organizasyonun stratejisi ile başlayarak, ileriye dönük kısa, orta ve uzun vadeli hedefleri baz alınarak 5 yıllık süreçte ele alınmalıdır.

    • Detaylı Risk Değerlendirmeleri,

    Detaylı Risk Değerlendirmesi;

    • Kritik ve yüksek riskler için,
    • Olaylar ve vakalar (bir kuruluşun içinde veya dışında) doğrultusunda,
    • Dış kaynak kullanımlarında (bulutlar vb. dahil),
    • Temel Kontrol İzleme ve (dahili veya harici) denetim sonuçlarında,
    • Yeni mevzuat, politikalar, (endüstri) standartları, bir kuruluş üzerinde büyük etkisi olan mahkeme kararları,
    • Yeni BT sistemleri veya mevcut olanlarda değişikliklerde,
    • Yeni ürünler veya mevcut olanlarda değişikliklerde,
    • Yeni veya değiştirilmiş süreçler ve önemli değişiklikler gibi iş geliştirmeleri durumlarında ele alınması gereken bir süreç akışıdır.

    Bu değişikliklerin genellikle bir program veya projenin parçası olarak uygulandığını unutmayalım ve Bilgi Riski Yönetiminin bu süreçlerin önemli bir paydaşı olarak süreçlere dahil olması esastır. Bu nedenle, Risk değerlendirmeleri böyle bir program veya projenin parçası olarak gerçekleştirilebilir.

    Bu noktada, işletilecek detaylı akış için;

    Atatürk ün dediği gibi;

    “Ben bir işte nasıl başarılı olacağımı düşünmem. O işe neler engel olur diye düşünürüm. Engelleri kaldırdım mı, iş kendi kendine yürür.”

    İşte, şirket hedefler, strateji ve bağlı sistemlerini etkileyecek risklerin doğru tanımı ve yönetilmesi, kurumları mutlak başarıya götürecek temel yöntemdir.

    Leave a Reply

    Your email address will not be published. Required fields are marked *