23 Ekim 2014 Perşembe

HACKER DOSYASI : Siber Saldırıların Risk Analizi !

 

Kurumsal Güvenlik Çerçevesinde Siber Saldirilarin Risk Analizi

Kurumlarin basarili bir siber güvenlik sistemi olusturabilmeleri için öncelikle sistematik yaklasim kapsaminda etkin bir risk yönetimi kurmalari gerekmektedir.

Risk yönetimi kurumlarin tüm faaliyetleri kapsaminda muhtemel meydana gelebilecek tehlikelerin belirlenmesinde, degerlendirilmesine, kontrol edilmesine ve nezaretine yönelik sistematik ve sürekli bir faaliyettir.

Tehlikelerin belirlenmesi risk yönetimin temelini olusturur.

Makalede risk degerleri AHP (Analytic Hierarchy Process) yöntemi kullanilarak sayisallastirilmistir Bu yöntemde öncelikle karar verici tarafindan problemin çözümünde önemli olan faktörler belirlenir. Müteakiben, belirlenen faktörler AHP yöntemi ile düzenlenerek kriterler, alt kriterler ve alternatiflerden olusan hiyerarsik yapi olusturulur.

Hiyerarsi olusturulduktan sonra her bir alternatif, kriterlere göre ikili olarak karsilastirilir ve tüm sistem üzerindeki etkisi ortaya
konur.

Anahtar Kelimeler
Sistematik yaklasim, risk yönetimi, risk analizi.

I. GIRIS

Günümüzün teknoloji dünyasinda bilgi sistemleri ve agGyapilari daha açik bir ifade ile siber uzay kurumlarin temel ilgi alanlari arasina girmis ve her geçen gün bu ilgi daha da artmaktadir.

Siber tehditlerin etkilerinin bu kadar derin olmasi kurumlari Bu tehditlere karsi çok etkin çözümler ve tehditlere karsi etkili yöntemler ortaya koymaya zorlamaktadir.

Muhtemel tüm siber tehditlerin hepsine birden ayni etkiyi gösterecek bir siber güvenlik mekanizmasi kurmak fizibilite açisindan çok zor oldugu ve sürdürülebilir olmadigi için yapilmasi en öncelikli is sistematik bir yaklasim ile etkin bir risk yönetimi saglamaktir.

Kurumlarda yogun teknoloji kullanimi beraberinde bu kurumlarin siber tehditlerle basarili bir sekilde mücadele etmesini zorunlu hale getirmistir. Siber tehditlerle bas edemeyen kurumlar, esas ilgi alanlari ne olursa olsun, deger ve itibar kaybetmeye, olumsuz baski görmeye, kurum içi idari tahkikatlara, yasal sorusturmalara hatta is dünyasindan silinmeye mahkûm olabilirler[1].

Bu çalismada muhtemel saldirilarda hedef alinabilecek kurumlarin nasil bir saldiriya maruz kalinacagi yönünde tehditler belirlenmis ve risk yönetimi ile risk azaltma tedbirleri
belirlenerek siber risklerle mücadelede bir metodoloji ortaya konulmustur.

II. SIBER RISK YÖNETIMI

 

Eski çaglarda yasayan insanlar ve liderler, riski sanstan kaynaklanan ve insanin kontrol edemedigi unsurlarin sebep oldugu bir kavram olarak algilamislardir. Yüzyillar önce risk,
insan kontrolü disindaki sansin engellenemez olusumu olarak kabul edilmistir [2]. Riskin,
"insanlarin sahip olduklari degerlerin, insan faaliyetleri veya olaylarin sonuçlari
nedeniyle zarar görmesi olasiligi
" seklinde yaygin bir tanimi mevcuttur [3]. Yine baska bir tanima göre, belirli bir zaman araliginda belirli bir hedefe ulasamama ve dolayisiyla zarara ugrama olasiligi olarak tanimlanan riskin en belirgin özellikleri; 'tam ve net olarak bilinememesi, zamanla degiskenlik göstermesi, olumsuz sonuçlar dogurma olasiligina
sahip olmasi ve yönetilebilir olmasi seklinde siralanabilmektedir [4].

Risk yönetimi ise bütün kurumlarin tüm faaliyetleri kapsaminda, muhtemel meydana gelebilecek tehlikelerin belirlenmesine, degerlendirilmesine, kontrol edilmesine ve
nezaretine (denetleme ve degerlendirme) yönelik sistematik ve sürekli bir faaliyettir[5].

Risk yönetiminin hedefi, karar vericiler için riskleri görünür ve ölçülebilir hale getirmek ve sübjektifligi azaltmaktir.

Risk yönetiminin tehlikeleri tanimlama, tehlikeleri degerlendirme, risk tedbirleri gelistirme ve risk kararlarini alma, risk tedbirlerini uygulama ile nezaret ve degerlendirme  olmak üzere bes asamasi vardir.

KURUMSAL GÜVENLIK ÇERÇEVESINDE SIBER SALDIRILARIN RISK ANALIZI

Tehlikeyi ortadan kaldirmak veya tehlikeli bir olay ile ilgili riski azaltmak maksadiyla bir veya daha fazla kontrol tedbiri gelistirilir. Tedbirler gelistirilirken sadece tehlikenin kendisi degil, tehlikenin sebepleri de düsünülür. Olasi senaryolarin tahlil edilmesi her bir hareket tarzi için risk azaltma tedbirleri gelistirmek için uygun ortam saglar [10].

Kalan risk, tehlikenin giderilmesi için alinan tedbirlere ragmen ortamda hâlâ mevcut olan risktir. Tehlikeleri gidermek için tedbirler belirlenip seçildiginde tehlikeler ikinci
asamadaki gibi yeniden degerlendirilir ve risk seviyesi tekrar gözden geçirilir. Bu süreç, kalan risk seviyesi kabul edilebilir hâle gelene kadar tekrar edilir [11].

Tedbirler belirlendikten sonra risk karari alinir; risk kabul edilebilir, sartli kabul edilebilir ve ya kabul edilemez.

Eger risk kabul edilebiliyorsa, riskin seviyesinin bize olan olumsuz etkisi çok az demektir. Bu tür durumlarda risklerin yönetilmesine ve risk azaltma tedbirleri alinmasina gerek
yoktur. Bununla birlikte ilave yük getirmiyorsa bu riskler de yönetilebilir ve risk azaltma tedbirleri uygulanabilir.

Sartli kabul edilebilir ise mutlaka risk azaltma tedbirleriyle riskin seviyesi azaltilmali ve riskin seviyesi kabul edilebilir düzeye indirilmelidir. Riskin kabul edilebilir düzeyinden kasit, kurum yöneticisinin kabul edebilecegi risk seviyesidir.

Belirlenen bütün tedbirlere ragmen risk kabul edilebilir düzeye indirilemiyorsa, risk kabul edilemez. Bazi durumlarda risk azaltma tedbirlerine ragmen risk seviyesi, kurum yöneticisinin belirledigi riski kabul etme esiginin üstünde kalabilir. Eger yönetici, riski bu haliyle kabul edemeyecekse bu tehlikeye maruz kalinmayacak veya bu riske daha düsük seviyede maruz kalinabilecek alternatif planlamalar yapilmalidir.

SAVAŞ KIRÇOVALI

ÖZEL BÜRO HACK TİMİ

[publicize twitter]

[publicize facebook]

[category teknoloji]

[tags HACKER DOSYASI, Siber Saldırılar, Risk Analizi]

Hiç yorum yok:

Yorum Gönder

Hakkımızda

Fotoğrafım
BU BLOG ÖZEL BÜRO GRUBU'NA AİTTİR. RESMİ WEB SİTEMİZ : http://www.ozelburoistihbarat.com

ÖZEL BÜRO İSTİHBARAT GRUBU