Bilgi Teknolojileri Risk Yönetimi
Günümüzdeki tüm işletmelerin teknolojiye olan bağımlılıkları artmaktadır. Teknolojinin gelişme hızı düşünüldüğünde bu bağımlılığın ileride çok daha büyük boyutlara geleceği öngörülmektedir. Teknolojik bağımlılık ile birlikte Bilgi Teknolojileri (BT) sistemleri üzerindeki riskler giderek artmakta ve işletmelerde yol açacağı tehlikeler büyümektedir. Bunun sonucunda küçük ya da büyük ölçekli olduğuna bakılmaksızın tüm işletmelerde “bilgi teknolojileri risk yönetimi” işletmelerin göz önünde bulundurması gereken bir konu haline gelmektedir. Bilgi risklerini yönetmek ve dengelemek için uygulanan yaklaşıma bilgi teknolojileri risk yönetimi adı verilmektedir. İşletmeler BT risk yönetiminde başta Cobit, CMM, ITIL, ISO 27001 gibi uluslararası standart ve yaklaşımları bilgi sistemleri yönetimlerine adapte etmektedir.
Bilgi Teknolojileri riski, iş süreçlerini olumsuz yönde etkileyecek şekilde otomasyon sisteminin, ağ veya diğer kritik BT kaynaklarının kaybedilmesi potansiyelidir. İşletmelerin birçoğu BT riskleri hakkında çok az bilgi sahibidir. Bunun başlıca nedeni BT risklerinin sadece bilgi işlem departmanını ilgilendirdiği düşüncesidir. Oysaki işletmelerdeki farklı departmanların kullandığı, işletmeye ait tüm veriler (finansal, yönetimsel…) BT ile işlenmekte, iletilmekte ve saklanmaktadır. Bu da BT risklerini bilgi işlem departmanının sorumluluğundan çıkartarak, tüm kurumun sorumluğuna haline getirmektedir.
Risk yönetimi, risk belirlemek, değerlendirmek ve riski kabul edilebilir bir seviyeye indirmek için aksiyon alma sürecidir. BT risk yönetimi uygulanırken birbirleri ile bağlantılı beş temel süreç kullanılmaktadır. Bunlar şu şekilde sıralanabilir:
Risk yönetimi planlamasında öncelik risklerin neler olduğunun belirlenmesidir. Risk belirleme işlemi, iş liderleri ile belirli bir iş kolunu etkileyecek tehditlerin, yükümlülüklerin ve saldırılara açık olma durumunun değerlendirilmesidir. Risklerin belirlenmesinden sonra riskler; kaynaklarına, açıklık ve tehditlerine göre kategorize edilmiş bir şekilde düzenlenmelidir. Aşağıda örnek bir düzenleme görülmektedir.
Risklerin tehditleri belirlenirken aşağıdaki belirgin tehdit kaynakları kullanılabilir:
- Çevresel (sel, yıldırım, fırtına, deprem vb.)
- Organizasyonel eksiklikler (tam tanımlanmamış sorumluluklar vb.)
- İnsan hataları (şifreleri kâğıt üzerine yazma, yanlışlıkla dosya silme vb.)
- Teknik hatalar (donanım arızaları, kısa devre, sabit disk arızalanması vb.)
- Planlanmış eylemler (hackleme, e-dolandırıcılık, zararlı kod kullanımı, hırsızlık vb.)
Risk analizi; belirlenmiş risklerin, iş kolu hakkında detaylı bilgiye sahip, iş kolunun devamlılığı için sorumlulukları olan orta seviye yöneticilerle ve çalışanlarla birlikte detaylı incelenmesidir.
Risk değerlendirmesi, bilgi sistemi değerleri sınıflandırmasının uygunluğunu ve uygun kontrollerin uygulanıp uygulanmadığını ele almalıdır. Risk değerlendirmesi esnasında göz önüne alınan kriterler; iş öncelikleri, kuruma olan etkinin büyüklüğü, önemlilik, maliyet ve faydalar, paydaş endişeleri ve yasal gereksinimler olabilmektedir.
Riske müdahale kararı, iş liderleri ve orta seviye yönetici ve çalışanlarla birlikte yapılan bir çalışmadır. Riske karşı işleyişi ölçmek için ölçekler oluşturmalı ve risk planları hazırlanmalıdır.
Risk yönetimi, dikkatlice izlenmeli ve gerektiğinde değişiklikler yapılmalıdır. Risk yanıtlarının etkin bir şekilde gerçekleştiğini belirlemek için politika ve prosedürler oluşturulmalı ve uygulamalar iç ve dış denetimlerce kontrol edilmelidir.
Başarılı bir risk yönetim programı üst yönetimin sorumluluk almasına, bilgi teknolojileri ekibinin tam desteğine ve katılımına, risk değerlendirme ekibinin yetkinliğine, organizasyon üyelerinin farkındalığına ve işbirliğine bağlıdır.
Bilgi teknolojileri risk yönetimi planlamasına sahip şirketler, bilgi teknolojilerinden kaynaklanabilecek risklerden en az düzeyde etkilenip işletmenin iş krizlerine veya itibar kayıplarına uğramasını önleyebileceklerdir.
Kaynaklar:
Bilge Karabacak & Dr. Sevgi Özkan; Bilgi Güvenliği Yönetim Sistemi için Süreç Tabanlı Risk Analizi
Barış Bağcı, CISA; Bilgi Teknolojileri Risk Yönetimine Genel Bakış
Doğan Eskiyörük, UEKAE; BGYS – RİSK YÖNETİM SÜRECİ KILAVUZU
