Risk değerlendirme metodolojisi, etkili bilgi güvenliğinin temel direğidir ve kuruluşların bilgi varlıklarına yönelik bilgi güvenliği risklerini tanımlamasına, ölçmesine ve azaltmasına olanak tanıyan çok sayıda risk metodolojisi vardır. Ancak hepimizin bildiği gibi risk özneldir.
Kişisel deneyim, konu bilgisi ve anekdot niteliğindeki kaynakların tümü karışık sonuçlara yol açabilir. Bilgiye yönelik riskleri nasıl anlamlandırdığımız ve bu bilgileri anlamlı bir şekilde nasıl sunduğumuz, risk değerlendirmesinin devreye girdiği yerdir ve işletmenin riskleri tanımlamasını, potansiyel etkileri belirlemesini ve risk seviyesini, uygun kontrolleri ve bir risk derecesi hesaplamak için.
İşletmeniz için doğru risk değerlendirme metodolojilerinin belirlenmesi birkaç faktöre bağlı olacaktır. Bunlar, işletmenin faaliyet gösterdiği sektörü, büyüklüğünü ve kapsamını ve tabi olduğu uyum düzenlemelerini içerebilir.
Doğru Uyum
Sözleşmede belirtilmedikçe, risk metodolojisi işletmeye uygun olmalıdır, tersi değil. Bilgilerin toplanması, işlenmesi, saklanması, paylaşılması ve elden çıkarılması sırasında karşılaşılan risklerin net bir şekilde anlaşılması, bu risklerin ister kendi ister müşteri verilerine yönelik bir ihlalin etkisine göre uygun şekilde yönetilmesini sağlamanın anahtarıdır.
Ayrıca niteliksel mi yoksa niceliksel bir yaklaşım mı yoksa her iki yöntemin bir kombinasyonunu mu aradığınıza ve neyi başarmaya çalıştığınıza, yani riskleri nerede ve nerede azaltmak istediğinize karar vermeniz gerekecektir. Tehditleri ve güvenlik açıklarını ele almak mı istiyorsunuz; kişisel bilgileri, veri kümelerini veya işle ilgili kritik bilgileri korumak; veya işletmenin hizmetlerine, fiziksel donanımına veya personeline yönelik riski azaltmak mı?
Bileşene dayalı risk, teknik bileşenlere ve bunların karşılaştıkları tehditlere ve güvenlik açıklarına odaklanır, bu nedenle tek tek öğelere bakar. Öte yandan, sistem odaklı risk, sistemleri veya süreçleri bir bütün olarak analiz eder, bu nedenle daha fazla genel bakış gerektirir. Farklı olmalarına rağmen tamamlayıcı olarak kabul edilirler. Çoğu kuruluş, kuruluşun belirli bilgi varlıklarını ve bunların gizliliği, bütünlüğü ve kullanılabilirliği (aka, CIA) ile ilişkili riskleri tanımlamasını gerektiren bileşen metodolojisini benimser.
CIA üçlüsü, güvenlik ekibinin verilere yasal erişimi sağlarken verileri güvende tutmasını sağlar. Örneğin, yeni sistemlerin veya cihazların kullanıma sunulmasıyla ilişkili verilere yönelik riskin kontrol edilmesine yardımcı olabileceğinden, risk çerçevenizle birlikte kullanılması çok önemlidir.
Tüm bu değişkenler göz önüne alındığında, elbette aralarından seçim yapabileceğiniz çok sayıda çerçeve vardır. Örneğin risk için en iyi bilinenlerden bazıları ISO 27005:2011, ISF IRAM2, NIST (SP800-30), Octave Allegro ve ISACA COBIT 5’tir. Herkese uyan tek bir yaklaşım yoktur ve hepsinin güçlü ve zayıf yönleri vardır, bu da birçok ekibin birden fazla yaklaşımı benimsemesine yol açar.
Kaçınılması Gereken Tuzaklar
Risk metodolojileri, yalnızca onlara koyduğumuz veriler kadar iyi olacaktır. Bu, ekiplerin kapsamlarında çok kısıtlayıcı olmasının ve varlıkları gözden kaçırmasının nispeten yaygın olduğu anlamına gelir. Örneğin, bilgi varlıklarını dahil etmeden yalnızca BT varlıklarını içeren varlık listesi örneklerini çok sık gördük. Bir bilgi varlığının kendi değeri vardır ve bu, fiziksel, elektronik veya zımni biçimde olmasına rağmen değişmez, ancak bunu kuruluşun varlık listesinden çıkarmak sonuçları çarpıtacaktır.
Diğer bir yaygın başarısızlık, risk değerlendirmesinin kullanılma şeklini kısıtlamaktır. Kontrollerin uygulanmasını gördüğü için genellikle olumsuz bir uygulama olarak kabul edilir, bu nedenle, değerlendirmenin kuruluşun amaçlarına fayda sağladığından ve başarısını engellemediğinden veya engellemediğinden emin olarak buna karşı koymak önemlidir.
Riskin arkasında neyin yattığını anlamak da önemlidir; tehditler/güvenlik açıkları ve bunların gerçekleşme olasılıkları – ve bunun anlamlı bir şekilde tercüme edilmesi gerekiyor.
Risk değerlendirmesi, bir iş dilinde göreceli etkiyi aktarmadan risk matrisleri ve kırmızı-amber-yeşil (RAG) durum göstergeleri üreten risk kayıtlarına yol açabilir. Cüzdan dizilerini yönetmekten sorumlu olanlara riski etkili bir şekilde iletebilmek, riskten korunma için fonları güvence altına almak için hayati önem taşır. Örneğin, bir riski kırmızı veya 43 olarak tanımlamak, meslekten olmayan çoğu kişi için çok az şey ifade ederken, operasyonlar, itibar, finans veya cezai önlemler üzerindeki etkinin tanımı, iş dili kullanılarak açıklanan sorunları kolayca anlayacaktır. üst düzey yönetim. Gerçekten de, riski anlamlı ticari etkilere çevirebilmenin önemi genellikle yeterince takdir edilmeyen bir beceridir.
Risk değerlendirmelerinin çıktıları, işletmenin hedeflerini en iyi şekilde karşılayan kontrollere yatırım yapmasına rehberlik etmelidir. Aynı derecede önemli olarak, yeni teknoloji veya kontrollere yapılan harcamaların bu hedeflere katkıda bulunmadığını da vurgulamalıdırlar.
Son olarak, uygulanan risk metodolojisinin tutarlı, tekrarlanabilir sonuçların üretildiği bir ortam yaratması önemlidir. Bu, işletmenin risklerin artıp artmadığını, mevcut kontrollerin yeterli olup olmadığını ve maruz kalmanın nerelerde arttığını değerlendirmesine yardımcı olacak ve daha doğru bir risk profiline ve genel güvenlik riski duruşunun daha net bir şekilde anlaşılmasına yol açacaktır.