Bilgi Teknolojileri Risk Yönetimine Genel Bakış. Barış Bağcı, CISA

Transkript

1 Bilgi Teknolojileri Risk Yönetimine Genel Bakış Barış Bağcı, CISA Günümüzde bireysel ya da kurumsal ekonomik her türlü gelişme internet ve bilgi teknolojileri sistemlerine daha da fazla bağlı hale gelmektedir. Bunun sonucu olarak sistemler üzerindeki riskler daha fazla fark edilmekte ve önemli olarak görülmektedir. Bilgi sistemleri üzerindeki güvenlik açıkları ya da hatalar ciddi iş krizlerine ve itibar kayıplarına yol açmaktadır. Bu sebeple pek çok düzenleyici kuruluş yeni uyum zorunlulukları getirmektedir. Dünya üzerinde olduğu gibi Türkiye de de şirket Yönetim Kurulu üyelerinin yanıtını duymak istedikleri soru çok açıktır; bilgi sistemleri üzerindeki riskleri nasıl azaltabilir ve yatırım getirisini nasıl artırabiliriz. Aslında sorunun cevabı, bilgi sistemleri risklerine iş risk yönetimi çerçevesi içerisinde bakmakta yatmaktadır. Bilgi teknolojileri riskleri kurumdaki tüm risklerin bir parçası olarak belirlenmeli, ölçülmeli ve yönetilmelidir. Bilgi risklerini yönetmek ve dengelemek için uygulanan yaklaşıma bilgi teknolojileri risk yönetimi adı verilmektedir. Pek çok şirket BT riskleri konusunda çok az bilgi sahibidir. Bilgi her kuruluş için kritiktir ve çoğunluğu BT sistemlerinde oluşturulur, işlenir, iletilir ve saklanır. Bunun sonucu olarak, BT riskleri sadece BT birimlerinin sorumluluğunda değil, aynı zamanda tüm kurumun sorumluluğundadır. BT birimleri daha çok sistemlerin güvenliği ve erişilebilirliği ile ilişkili risklerle ilgilenmektedir. Oysa ki bilgi sistemleri riski sadece bilgi güvenliği riski anlamına gelmemektedir. İş organizasyonu ile ilişkili riskler çeşitlidir. Örneğin, büyüme ihtiyacı ve artan verimlilik kurumun mevcut sisteminin artan talep ile baş edememesi riski ile sonuçlanır. Rekabet üstünlüğünü sürdürebilme ihtiyacı yavaş ve yetersiz sistem performansı ile tehlikeye atılabilir. Bunlara ilaveten, değişen iş şartlarının zorunlu kıldığı kurum altyapısındaki değişiklikler, sistemin beklenmedik ve geri getirilemeyecek bir şekilde çökmesi riski ile sonuçlanabilir. İş organizasyonları, yasal ve düzenleyici gereksinimlere (örn. Basel II) uyum konusunda da artan bir hızda endişelenmektedir. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından yayınlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik uyarınca bankalara Cobit te (Control Objectives For Information and related Technology) yer alan usul ve esaslar uygulanmalıdır. Bu kapsamda Cobit in önemli konu başlıklarından olan Bilgi Sistemleri Riskinin Değerlendirilmesi ve Yönetimi kontrol hedefinin de bankalarda uygulanması beklenmektedir. Cobit, bir bilgi sistemleri yönetişim çerçevesi olarak, bilgi sistemleri ilişkili risklerin yönetilmesi için referans oluşturmaktadır. Cobit in kurum yönetimlerine sağladığı temel destek konularından birisi de bilgi sistemleri risklerinin uygun bir şekilde yönetilmesidir. Yönetimlerin odaklanması gereken 5 temel alandan birisi risk yönetimi olarak belirlenmiştir. Cobit kontrol güvencesi dahilinde bilgi sistemleri risklerinin değerlendirilmesi ve yönetilmesi için gerekli kontroller açıklanmıştır. Risk yönetim çerçevesi Cobit referans alınarak kurulabileceği gibi CMM, ITIL, ISO gibi yaklaşımlarla da destelenebilmektedir. 1

2 Cobit in risk yönetimi kapsamı içerisinde incelediği hususlar, risk yönetim çerçevesinin oluşturulması, risk kapsamının kurulması, olay belirleme, risk değerlendirme, risk yanıtlama ve risk aksiyon planlarının yürütülmesi ve izlenmesidir. Bilgi teknolojileri risklerinin değerlendirilmesi ve yönetilmesi için bir risk yönetim çerçevesi oluşturulmalı ve sürdürülmelidir. Risk yönetim çerçevesi, genel ve üzerinde anlaşılmış BT risk seviyelerini, risk karşılama stratejilerini ve artakalan riskleri (residual risk) içermelidir. Organizasyonun hedefleri üzerinde herhangi bir potansiyel etkinin oluşturacağı beklenmedik olaylar önceden belirlenir, analiz edilir ve değerlendirilir. Artakalan riskleri kabul edilebilir bir seviyeye ulaştırmak için risk karşılama stratejileri uygulanır. Değerlendirmenin sonuçları, paydaşların risklere kabul edilebilir seviyeden tolerans göstermeleri için anlaşılabilir ve finansal terimlerle izah edilebilir olmalıdır. BDDK tarafından yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ Taslağı nın 5. maddesinde yer aldığı üzere bankalar, bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri tanımlamalı, analiz etmeli, izlemeli ve yönetmek üzere gerekli önlemleri almalıdır. Bilgi sistemlerine ilişkin risklerin yönetilmesi, kurumsal bilgi sistemleri yönetiminin önemli bir bileşeni olarak ele alınmalıdır. Bankaların, risk yönetimlerini ve politikalarını, bilgi teknolojilerinin kullanımına bağlı olarak gözden geçirmesi ve bilgi sistemleri kullanımından kaynaklanan risklerin yönetimini içerecek şekilde yenilemesi gerekmektedir. Bilgi teknolojilerinden kaynaklanan riskler bilinen bankacılık risk sınıfları arasına yeni bir risk sınıf eklememektedir. Bilgi teknolojilerinin yönetimi ve izlenmesine yönelik çalışmalardan edinilen veriler bankanın risk yönetim çerçevesinin bir parçası haline gelmeli ve bilgi teknolojilerinden kaynaklanan riskleri de içeren bütünleşik bir risk yönetim yaklaşımı uygulanmalıdır. Bankaların, kendi risk profiline, kurumun operasyonel yapısına, yönetim kültürüne ve ilgili diğer yasal yükümlülüklerle belirtilen çerçeveye uygun olarak risk yönetimini oluşturulması ve bilgi teknolojileri risklerini de bu kapsamda değerlendirmeye alması gereklidir. Belirlenecek sıklıkta veya bilgi sistemlerindeki önemli değişikliklerden önce risk analizlerini tekrarlamalı ve analizlere ilişkin yazılı politikalar belirlemelidir. 2

3 Risk Nedir? Risk, zarar verici bir aktiviteye açık olma potansiyeli olarak tanımlanabilir. Tehditler, zayıflıklar, etkiler ve olabilirlik riskin bileşenleridir. Bilgi Sistemleri Riski Nedir? Bilgi sistemleri riski, iş süreçlerini olumsuz yönde etkileyecek şekilde otomasyon sisteminin, ağ veya diğer kritik BT kaynaklarının kaybedilmesi potansiyelidir. Risklerin başarılı bir şekilde belirlenmesi, analiz edilmesi ve izlenmesi için risk yönetim politikaları ve bu politikaları destekleyen dokümanlar oluşturmalıdır. Risk yönetim farkındalığı yaratmak ve tüm kurum geneline uygun bir risk protokolü oluşturabilmek ve paylaşabilmek için risk yönetim komitesi kurulması tercih edilen yöntemlerdendir. Organizasyonların veri ve bilgi teknolojileri altyapılarına artan bağımlılıkları sebebiyle, pek çok organizasyon, BT risklerini iş riskleri yönetim stratejileri içerisinde ele alma yaklaşımını benimsemektedir. Organizasyonların aşağıdaki konular üzerinde çalışma yaptıkları görülmektedir; Bilgi değerlerine yönelik risklerini azaltmak için gereken harcamalara ilişkin fizibilite çalışmaları Bilgi değerleri risklerinin iş risklerine uygun belirlenmesi Bilgi değerleri risklerini yönetebilmek için gereken maliyet Mevcut risk yönetiminin etkinliği Kendi sektöründe karşılaştırmalı değerlendirmeler yapabilme Risk Yönetim Çerçevesinin Oluşturulması Yapısal bir risk yönetimi kurulması, karar verme kabiliyetini artırmakta, bilgi değerlerini korumakta, operasyonları güvenli hale getirmekte, organizasyonun yasa ve yükümlülüklere uyumunu desteklemektedir. Hedef sadece riski yok etmek değil, kaçınılmaz bir şekilde karşımıza çıkan riskleri yönetebilmek ve olumsuz sonuçlardan kaçınabilmek için fırsatlar oluşturabilmektir. Bu durum kurumların geleceği düşünmelerini, riskleri değerlendirirken proaktif bir yaklaşım sergilemelerini ve aynı zamanda riski yönetmek ile beklenen faydaların sağlanması arasındaki maliyet dengelerinin korunmasını gerektirmektedir. Kritik bilgi sistemleri değerlerini belirlemek için BT, iş süreçleri yöneticileri, denetçiler ve hukuk birimlerinin yakın bir çalışma yapması gerekmektedir. Bilgi sistemleri zayıflıklarının belirlenmesi, ilgili risklerin önceliklendirilmesi ve uygun risk karşılama stratejisi geliştirmek ve gerçekleştirmek için böyle bir çalışmaya ihtiyaç duyulmaktadır. Risk yönetimi etkinlik açısından iç ve dış gruplar tarafından izlenmelidir. Risk yönetimi ve yanıtlanması ile ilgili sorumluluklar dağıtılmalı, kurum risk iştahı açık bir şekilde belirlenmeli, gerektiğinde risk sözlüğü oluşturulmalı, risk yönetiminde kullanılan araçlar, izleme ve raporlama yaklaşımları belirlenmelidir. 3

4 Risk yönetim prensipleri geniş bir ilgi alanına sahip olmakla birlikte, pek az organizasyon bilgi sistemleri risk yönetim programlarını oluşturmuştur. Oysa son yıllarda artan sayıda organizasyon BT risk yönetimi adına Cobit, ITIL, ISO gibi uluslararası standart ve yaklaşımları bilgi sistemleri yönetimlerine adapte etmektedir. En iyi bilgi sistemleri risk yönetimi programları, iyi tanımlanmış kontrolleri, iyi seçilmiş teknolojileri ve en iyi uygulama süreçlerini birleştirerek kullanmaktadır. Bilgi Sistemleri Risk Yönetimi Risk yönetimi, risk belirlemek, değerlendirmek ve riski kabul edilebilir bir seviyeye indirmek için aksiyon alma sürecidir. Bilgi sistemleri risk yönetimini, her biri farklı öneme sahip ancak birbirini etkileyen ve destekleyen beş temel fonksiyonla yerine getirmek mümkündür; Risk Belirleme Risk Analizi Risk Değerlendirme Riske Müdahale Etme Risk Yönetimini İzleme Bilgi sistemleri risk yönetim süreci, servisler ile iş birimleri arasında iletişim kurmalı, organizasyona uygun, yapısal ve tekrar edilebilir, uluslararası en iyi uygulamalara yatkın ve bu konuda denetim sahibi iç ve dış birimlerce kontrol edilebilir olmalıdır. BT risk alanları aşağıdaki gibi ifade edilebilir; BT yönetim ve strateji riski : BT stratejilerinin iş stratejileri ile uyumlu olmaması ve paylaşılmaması sonucu BT nin iş ile ilişkili bir birim olarak çalışmaması riski BT beceri ve teknolojik gelişme riski : BT nin iş birimlerini sektörün önde gelenleri arasında tutacak ve iş yeteneklerini geliştirecek yenilikleri gerçekleştirmek konusunda başarısız olması riski BT mimari riski : BT nin iş birimlerinin ihtiyaçlarının verimli, maliyet-etkin ve iyi kontrol edilebilir şekilde olmasını destekleyecek etkin, standart ve sürdürülebilir alt yapısının olmaması riski İş sürekliliği riski : BT nin kritik operasyon ve süreçleri devam ettirememesi riski Uyumluluk riski : BT nin yasal düzenleyicilerin gerekliliklerini yerine getirecek desteği verememesi riski BT kaynakları riski : BT nin insan ve finansal kaynaklarını uygun hazırlık ve planlama ile yönetememesi riski 4

5 Tedarikçi yönetim riski : BT organizasyonlarının tedarik, dış kaynak alım ve servis sağlayıcılar ile uygun ilişki kuramaması riski 3. parti ilişkileri riski : İş ortamının ve bilgilerin 3. parti kişi ve kuruluşlarca paylaşılması riski Proje geliştirme riski : BT nin kötü proje planlaması ve yönetimi sonucu oluşan riskler Değişiklik gerçekleştirme riski : Teknoloji ortamının uygun bir şekilde değiştirilememesi riski BT itibarı ve müşteri memnuniyeti riski : BT nin, iş isteklerini, hizmet seviyesi anlaşmalarını ve BT desteğini uygun şekilde karşılayamaması riski Bilgi riski : Hassas ve önemli iş bilgilerinin uygun şekilde yönetilememesi ve saklanamaması riski BT güvenliği riski : BT alt yapısı ve kaynaklarının tehditlere karşı zayıflıklara sahip olması riski Online/Web riski : BT nin web varlığını devam ettirememesi riski Risk yönetimi planlaması, olası etkileri azaltmak amacıyla tehditleri ve zayıflıkları izleme ve kontrol etmeyi amaçlamalıdır. Riskleri yönetebilmek için önceliklerin ve risklerin neler olduğunun bilinmesi gerekmektedir. Bu sebeple, önem dereceleri ve riskler gerçekleştiğinde oluşan etkiler göz önüne alınarak, kabul edilebilir risk toleransı ve bu duruma uygun kontroller tanımlanmalıdır. Rollerin ve sorumlulukların tanımlanması ve rehberlik ve talimatların sağlanması için politika, prosedür, kılavuzlar ve standartlar geliştirilmelidir. Bilgi sistemleri değerlerine yönelik tehditler, zayıflıklar ve etkiler sabit değildir ve zaman içerisinde değişiklik göstermektedir. Bu sebeple tehditlerin, zayıflıkların ve potansiyel etkilerin sadece bir defaya mahsus değerlendirilmemesi, tekrarlayan bir düzende değerlendirilmesi için, tüm tanımlamaların tekrarlayan bir yapıda oluşturulması gerekmektedir. Etkin bir risk yönetim sürecini belirleyen başlıca konular şunlardır; Erişim, kimlik doğrulama, yetkilendirme kontrolü Organizasyonel yapı Olay yönetimi BT politika yönetimi Denetleme/Değerlendirme Eğitim ve farkındalık oluşturma Operasyonel tasarım Değer envanteri oluşturma, sınıflandırma ve yönetimi Risk Belirleme Risk belirleme işlemi, iş liderleri ile, belirli bir iş kolunu etkileyecek (bilinen ve potansiyel) tehditlerin, yükümlülüklerin ve saldırılara açık olma durumunun değerlendirilmesidir. Kurumun büyüklüğüne, organizasyon yapısına ve tanımlanmış rollere göre değişmekle birlikte bilgi sistemleri risk belirleme çalışmalarının katılımcıları departman/bölüm yöneticileri, CFO (Chief Financial Officer), İnsan Kaynakları Yöneticisi, Bilgi Sistemleri Yöneticisi, CIO (Chief Information Officer), Hukuk ve İç Denetim çalışanları, Bilgi Güvenliği Yöneticisi ve Risk Yöneticisi olabilecektir. 5

6 Bilgi sistemleri kaynakları ve verileri işe yaptıkları etkiye göre belirlenmeli ve sınıflandırılmalıdır. Bu fonksiyonel alan, tüm bilgi sistemleri kaynaklarının bilinmesi ve uygun şekilde önceliklendirilmesi ile sadece risk yönetimine değil aynı zamanda felaket kurtarma planına da destek vermektedir. Kaynaklar için başvuru noktası olarak kullanılmak üzere kaynak sahibi ve konu uzmanı tanımlanmaktadır. Risk belirleme çalışmaları sonucunda risk kayıtları oluşturulmalıdır. Risk kayıtları, bir risk numarasını, riskin sahibini, riskin sınıfını, riskin açık ifadesini ve riskin değerini (yüksek, orta, düşük vb.) içermelidir. Risk belirleme çalışmaları sırasında kullanılabilecek teknikler arasında olay analizi, tehdit modelleme, saldırıya açık olma analizi, senaryolar ve beyin fırtınaları sayılabilir. Bilgi Teknolojileri Değerleri Nedir? Bilgi teknolojileri değerleri, organizasyon için önemi olan, somut veya soyut bilgi sistemleri bileşenleridir. Bilgi sistemleri değerleri, donanım, yazılım, veri, binalar, altyapı olabileceği gibi ürünler, bilgi kaynakları, müşteri ilişkileri veya itibar da değerler arasında sayılabilir. Riski analiz etmek için, öncelikle her bir değere uygun güvenlik ihtiyaçları maliyeti belirlenmelidir. Değer maliyeti, yeniden oluşturma veya yerine koyma maliyeti olabileceği gibi iş fonksiyonları için önemi, verilerin veya varlıkların kaybedilmesi veya zarar görmesi veya iş fırsatlarının kaçırılması olabilecektir. Bu maliyetlerin tespit edilmesine etki değerlendirmesi adı verilmektedir. Tehdit Nedir? Her risk, bilgi sistemleri değerinin gizliliği, bütünlüğü veya erişilebilirliğini olumsuz yönde etkileyen belirli bir tehditle ilişkilidir. Tehdit, zarar oluşması olasılığı olarak değerlendirilebilir. Örneğin virüs bir tehdittir. Tehditler organizasyon dışından gelebileceği gibi içinden de gelebilmektedir. Herhangi bir zayıflık olmadığı durumda tehdidin kaynağı bir risk oluşturmamaktadır. Bu adımda potansiyel tehdit kaynakları belirlenmeli ve bilgi sistemleri için tehdit olabilecek durumlara ait ifadeler listelenmelidir. En belirgin tehdit kaynakları şunlardır; Çevresel (sel, yıldırım, fırtına, deprem vb.) Organizasyonel eksiklikler (tam tanımlanmamış sorumluluklar vb.) İnsan hataları (şifreleri kağıt üzerine yazma, yanlışlıkla dosya silme vb.) Teknik hatalar (donanım arızaları, kısa devre, sabit disk arızalanması vb.) Planlanmış eylemler (hack leme, e-dolandırıcılık, zararlı kod kullanımı, hırsızlık vb.) Önemli tehdit kaynaklarının yıkıcılık, casusluk veya sadece insan hataları ve kazalar olduğu görülmüştür. İlk iki durumda tehdidin gücü iki önemli etkene bağlıdır: tehdidin motivasyon nedeni ve bilgi sistemi değerinin cazibesi. Tehdide Açıklık Nedir? Tehdide açıklık, bilgi sistemi kaynakları ve/veya süreçleri için tehdidin gerçekleşmesine sebep olabilecek bir zayıflıktır. Bir virüsün tehdit oluşturabilmesi için, antivirüs yazılımı bulunmaması gibi bir tehdit açıklığına ihtiyacı vardır. Tehdidin zayıflıktan yararlanarak oluşturduğu olaya ilişkin maliyet, etki olarak adlandırılmaktadır. Bu maliyetler artan 6

7 masraflar (cezalar, işgücü, ekipman değişimi, yasal ücret vb.) veya olumsuz tanınma sonucu azalan gelir (anlaşmaların, saygınlığın azalması vb.) olabilmektedir. Tehdide açıklıklar, bilgi teknolojileri sisteminin tüm bölümlerinde, örneğin donanımda, yazılımda, organizasyonel yapıda, altyapıda veya personelde olabilmektedir. Zayıflıklar değişik tipte görülebilmektedir: Fiziksel (erişim kontrolü olmaması, koruma olmaması vb.) Mantıksal (güvenlik yamaları veya anti virüs yazılımları olmaması vb.) Ağ (ağ segmentasyonu veya güvenlik kapıları olmaması, güvenilirliği olmayan partilerin bağlanması vb.) Organizasyonel eksiklikler (sorumluluklarının tam tanımlanmamış olması, denetim izlerinin tutulmuyor olması vb.) Çevresel (düzensiz güç kaynakları, su baskını olasılığına elverişli lokasyon vb.) Olabilirlik Nedir? Olabilirlik, tehdidin gerçekleşmesi olasılığıdır ve sistem mimarisi, sistem ortamı, bilgi sistemlerine erişim kontrolleri, motivasyon, tehdidin gücü, açıkların varlığı ve mevcut kontrollerin etkinliği gibi pek çok faktöre bağlıdır. Bilgi sistemleri için risklerin belirlenmesi, sistem veri işleme ortamının iyi anlaşılmasını gerektirmektedir. Bu sebeple risk değerlendirmesi yapılmadan önce sistemle ilişkili bilgiler toplanmalıdır. Bu bilgileri aşağıdaki gibi sınıflandırmak mümkündür; Donanım Yazılım Sistem arayüzleri (içeri ve dışarı bağlantı noktaları vb.) Veri ve bilgi BT sistemine destek veren ve sistemi kullanan kişiler Sistem görevleri (BT sistemi tarafından gerçekleştirilen süreçler) Sistem ve veri kritikliği (sistemin organizasyon için değeri veya önemi vb.) Sistem ve veri hassaslığı Risk Analizi Risk analizi, belirlenmiş risklerin, iş kolu hakkında detaylı bilgiye sahip, iş kolunun devamlılığı için sorumlulukları olan orta seviye yöneticilerle ve çalışanlarla birlikte detaylı incelenmesidir. Potansiyel katılımcılar, iş sürekliliği takım üyeleri, bölüm/birim takım liderleri, teknik uzmanlar, iş yöneticileri ve proje yöneticileri olabilir. Bilgi sistemleri değerlerine ilişkin riskler, nasıl kontrol edilecekleri ve yönetilecekleri belirlenmek üzere analiz edilir. Bu analiz sonucu sadece temel ve kalıcı (inherent) riskler değerlendirilmez aynı zamanda uzatmalı (prolonged) veya artakalan (residual) riskler de (konfigürasyon ve değişiklik kontrolleri veya süreçlerin kullanılmaması vb.) incelenir. Risk analizi, iş süreçlerinin etkilendiği bilgi sistemleri değerlerinin bütünüyle değerlendirildiği bir çalışmadır. 7

8 Risk Sınıflandırma Riskler, organizasyonların bilgi sistemleri risklerini anlamaları, analiz etmeleri ve azaltma stratejileri düzenlemeleri amacıyla organizasyona olan etkilerine göre sınıflandırılabilir. Risk sınıflandırması aşağıdaki şekilde olabilmektedir; Güvenlik riski bilgi değiştirilebilir, erişilebilir veya yetkisiz kişilerce kullanılabilir Erişilebilirlik bilgi veya uygulamalara bir sistem hatası veya doğal bir felaket sonucu erişilemeyebilir Geri Kazanılabilirlik Sistem kaybı veya çökmesi sonrasında BT sistemleri bilgiyi zamanında geri getiremeyebilir Performans riski sistemler, uygulamalar veya personelin veya tüm BT nin beklenenin altında performans göstermesi sonucu iş üretkenliği veya değeri azalabilir Ölçeklenebilirlik BT sistemleri, organizasyonun değişen bilgi gereksinimlerini karşılaması için geliştirilemeyebilir veya değiştirilemeyebilir Uyumluluk riski bilgi tutma ve işleme, düzenlemelere ve BT veya iş politika gereksinimlerine uygun gerçekleştirilemeyebilir Yukarıdaki 6 temel kategori, organizasyonlarda görülen bilgi sistemleri risklerinin öğelerini sınıflandırabilmektedir. Ancak bu 6 temel kategori içerisinde genel bir önceliklendirme yapabilmek mümkün değildir. Her organizasyon kendi özel BT risk profiline sahiptir ve her organizasyon önceliklendirmeyi kendi iş değerlerine göre yapmalıdır. Risk Değerlendirme Risk değerlendirmesi, bilgi sistemi değerleri sınıflandırmasının uygunluğunu ve uygun kontrollerin uygulanıp uygulanmadığını ele almalıdır. Bilgi sistemleri risk değerlendirmesi sadece risk yönetiminin değil aynı zamanda iş sürekliliği ve güvenlik planlamasının da önemli bir parçasıdır. Risk değerlendirmesi, iş süreçleri bağımlılıklarını ve risk oluşumunda etkilenen değerleri hesap etmektedir. Risk değerlendirmesi esnasında göz önüne alınan kriterler, iş öncelikleri, kuruma olan etkinin büyüklüğü, önemlilik, maliyet ve faydalar, paydaş endişeleri ve yasal gereksinimler olabilmektedir. Uygun risk değerlendirmesi için temel bazı varsayımlar yapılmaktadır. Bu varsayımlar aşağıdaki gibi ifade edilebilir; 8

9 İş kolu tanımlanmış olmalıdır İş kolu bir otomasyona sahip olmalıdır Otomasyon, iş kolunun çalışma yapısı içinde kritik kabul edilmelidir İş sahibi tanımlanmış olmalıdır Risk değerlendirme sürecine yardımcı olacak personel belirlenmiş olmalıdır İş kolu BT dışındaki risklere açık olmalıdır Program servislerinin verilmesini kontrol eden yasal parametreler anlaşılır olmalıdır Riske Müdahale Etme Riske müdahale yöntemleri aşağıdaki gibi sınıflandırılabilir: Azaltma Transfer Sakınma Tutma Riske müdahale kararı, iş liderleri ve orta seviye yönetici ve çalışanlarla birlikte yapılan bir çalışmadır. Riske karşı işleyişi ölçmek için ölçekler oluşturmalı ve risk planları hazırlanmalıdır. Risk planları kayıtlarında risk numarası, alınacak aksiyon, görevin kime atandığı, tamamlanma zamanı, statüsü gibi bilgiler yer alabilmektedir. Risk planlarının işleyişi ilgili sorumlu tarafından düzenli olarak takip edilmeli ve aksiyonların sonuçları değerlendirmelidir. Riske müdahale edildikten sonra kalan riskler artakalan risk (residual risk) olarak adlandırılmaktadır. Örneğin disk kriptolama ile dizüstü bilgisayarların çalınması sonucu oluşan veri gizliliğine ilişkin risk azaltılabilir. Ancak disk kriptolama için kullanılan yöntemin kırılması riski her zaman mevcuttur ve artakalan bir risktir. Bununla birlikte kriptolama kullanılmaması öncesine göre daha az bir riskten bahsetmek mümkündür. Artakalan risklerin yönetim tarafından kabul edilmesi gerekmektedir. Bu sebeple, risk kabulü her zaman için bir yönetim kararıdır. Risk paylaşılması, karar verici mercilere ve paydaşlara, potansiyel riskler ve kontroller hakkında bilgi verilmesidir. Paydaşların durumuna göre paylaşım kurum içi veya kurum dışı olabilmektedir. Risk paylaşılması oldukça önemli bir konudur ve risk yönetim sürecinin bir parçası olmalıdır. 9

10 Risk Yönetiminin İzlenmesi Kurumlar bilgi sistemleri risk değerlendirmelerinin yanı sıra risk yönetiminin izlenmesi faaliyetlerini de iç ve/veya dış denetçilere yaptırmaktadırlar. Yapılan değerlendirmeler sonucu riskler belirlenmekte ve tespit edilen bulguların düzeltilmesi aktiviteleri ile reaktif bir yaklaşım izlenmektedir. Bununla birlikte, iş birimlerinin kendileri ile ilgili bilgi sistemleri değerleri için öz değerlendirmeler yapmaları ve denetçiler tespit etmeden riskleri belirlemeleri ve önlemler almaları (proaktif) tercih edilen bir yaklaşımdır. Ancak pek çok kurum bilgi teknolojileri ve öz değerlendirme konusunda yeterli derecede bilgiye sahip bulunmamaktadır. Risk yönetimi izlenmeli ve gerektiğinde değişiklikler yapılmalıdır. Risk yanıtlarının etkin bir şekilde gerçekleştiğini belirlemek için politika ve prosedürler oluşturulmalı ve uygulamalar iç ve dış denetimlerce kontrol edilmelidir. Risk belirleme aşamasında yapılacak izleme, değerine (yüksek-düşük) göre risk sayısının, risk kaydının varlığının/güncelliğinin, süreç sıklığının ve kalitesinin belirlenmesi ve tanımlanmamış risklerin tespit edilmesi ile mümkün olabilmektedir. Risk belirleme aşamasında Üst Yönetim ve Yönetim Kurulu nun endişeleri paylaşılmalı ve yeni risk oluşumları ve mevcut risklerin olabilirliğindeki artış raporlanmalıdır. Risk değerlendirmesi aşamasında yapılacak izleme ile yüksek ve orta dereceli risk sayısı, risk profili varlığı, önceliklendirmenin hangi sıklıkta gözden geçirildiği ve risk hesaplaması uygunluğu incelenmelidir. Risk değerlendirme aşamasında Üst Yönetim ve Yönetim Kurulu ndan girdiler (öncelikleri ve endişeleri) sağlanmalı ve önceliği yüksek riskler, kabul edilen riskler, etkin olmayan kontroller ve azaltma gerektiren riskler raporlanmalıdır. Riske müdahale aşamasında yapılacak izleme ile aksiyon planının varlığı ve güncelliği (kim atanmış, ne zaman tamamlanacak), planın işleyişinin uygunluğu ve riske karşı alınan aksiyonların etkinliği belirlenmelidir. Üst Yönetim, Yönetim Kurulu ve İç Denetim tarafından izleme ve denetlemeler sağlanmalı ve riske karşı alınacak aksiyonlar nelerdir ve uygun aksiyonlar alınmakta mıdır bilgisi paylaşılmalıdır. Başarının anahtarı Başarılı bir risk yönetim programı üst yönetimin sorumluluk almasına, bilgi teknolojileri ekibinin tam desteğine ve katılımına, risk değerlendirme ekibinin yetkinliğine, organizasyon üyelerinin farkındalığına ve işbirliğine bağlıdır. Risk değerlendirme ekibi belirlenen sistemler üzerinde risk değerlendirme metodolojilerini uygulayabilmeli, kritik riskleri belirlemeli, organizasyona uygun ve ihtiyacı karşılayan maliyet-etkin uygulamalar önerebilmelidir. Organizasyon üyeleri ise tanımlanan prosedürleri takip ettikleri ve uygulanan kontrollere uyum gösterdikleri sürece risk yönetim sürecine katkıda bulunacaktır. Önümüzdeki dönemde, tüm üst düzey yöneticilerin ajandalarında BT risk yönetimi daha fazla yer alacaktır. Bilgi sistemleri yatırımlarından beklenen faydaların elde edilebilmesi için kurumların planlarında, BT riskleri konusunda, organizasyonlarında farkındalıklar yaratma ve bilgi sistemleri risklerinin değerlerlendirilmesi çalışmaları bulunması kaçınılmazdır. 10

11 Kaynaklar: Hughes, Greg. IT Risk Management Report, Symantec Corporation, Vol. 1, February 2007 Rasmussen, Michael. Taking Control of IT Risk, Forrester Research, 2005 Weeks, Gerry. IT Risk Management Framework, ISACA Minnesota Chapter, April 2006 Rees, Steve. IT Risk Assessment Framework, ISACA Willamette Valley Chapter, November 2006 Ward, Jeremy. Information Risk Management, Cybersecurity KTN Annual Conference, June 2007 Stoneburner, Gary. Goguen, Alice. Feringa, Alexis. Risk Management Guide for Information Technology Systems, NIST Special Publication , July 2002 European Network and Information Security Agency, Risk Assessment and Risk Management Methods: Information Packages for Small and Medium Sized Enterprises (SMEs), March 2006 Hughes, Greg. Five Steps to IT Risk Management Best Practices. Risk Management Magazine, July 2006 Enterprise Security and Risk Management Office. Risk Management Guide, Information Technology Services, Revision 1.7, March 2007 IT Governance Institute, CobiT 4.1, 2007 Bankacılık Denetleme ve Düzenleme Kurumu. Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik, Mayıs 2006 Bankacılık Denetleme ve Düzenleme Kurumu. Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ, Haziran 2007 Barış Bağcı Deloitte Kurumsal Risk Hizmetleri 11