Risk Analizi ve Bilginin Sınıflandırılması

Değerli arkadaşlar, merhaba! Bu yazımızda sizlere, işletmeler veya kurumlar açısından hayati bir önem taşıyan ve tabiri caizse işletmeler veya kurumların 'bel kemiği' olan 'Risk Analizi' ve 'Bilginin Sınıflandırılması' konularını ele alacağız. Fakat bu blogu okumadan önce aşağıda linklerini verdiğimiz blogları okumanızda fayda vardır.

Bilgi Güvenliği | Siber Güvenlik

İç ve Dış Tehditler

Konuya başlamadan önce 'Risk' kelimesinin yanında 'Tehdit (Threat)' ve 'Güvenlik Açığı (Vulnerability)' kelimelerinin ne ifade ettiğini bilmemiz elzemdir.

Tehdit, bize zarar verme potansiyeli olan saldırı türleridir. Güvenlik açığı, bize zarar vermek için kullanılabilecek zayıf yönlerdir; bize zarar vermek için tehditler tarafından istismar edilen deliklerdir. Buradaki güvenlik açığı sadece dijital zayıflıklardan (örneğin yazılım hataları) oluşmaz; bununla birlikte kurum içi zayıflıklar da buradaki güvenlik açığına örnektir (örneğin şirketin aleyhine çalışan bir çalışan).

Risk ise, kötü bir şeyin olma olasılığıdır. Belirli bir ortamda riske sahip olmamız için hem bir tehdide hem de belirli bir tehdidin yararlanabileceği bir güvenlik açığına sahip olmamız gerekir. Tam bu konuda kaynaklarımızı, olası her saldırıyı planlamaya, önlemeye, savuşturmaya çalışmak için harcarsak aslında kendimizi zayıflatmış oluruz ve gerçekten ihtiyaç duyduğumuz yerde korunmadan mahrum kalabiliriz. Bu yüzden bilginin sınıflandırılması ve risk analizi yapılmalıdır. Bunlar sayesinde hangi bilginin ne kadar önemli olduğunu, buna bağlı olarak nasıl önlemler alacağınızı bilirsiniz.

Risk konusu, işletme çapında daha da önem taşır. İşletme, her şeyden önce kendi kapasitesini bilmeli ve kendinin bir haritasını çıkarmalıdır. Daha sonra bilgi kaynaklarını iyi bir şekilde sınıflandırmalı, bu sınıflandırmalar neticesinde gerekli güvenlik önlemlerini almalıdır. Eğer işletme, herhangi bir güvenlik önlemi almaz ya da bilginin sınıflandırılması işlemini hatalı yaparsa bu, kendisine oldukça pahalıya patlayacaktır. Örnek vermek gerekirse; kurum, kurum dışına sızması bir sorun teşkil etmeyecek olan bir bilgiyi korurken sızmaması gereken bir bilgiyi koruyamazsa bu durum; para ve prestij kaybı, pazar payında azalma gibi bir işletmeyi yok edebilecek güçte hasarlar doğurabilir. Bununla beraber saldırı risklerinin oluşturabileceği maliyeti düşünürken aslında savunma sırasında daha fazla maliyet yaratabiliriz. Yani bir verinin değeri x ise ve bu verinin korunma maliyeti 2*x ise burada bir sıkıntı vardır. Bilgi Güvenliği | Siber Güvenlik blogunda geçen bir cümleyi aktarıyorum: "Güvenliğin maliyeti, koruduğu şeyin değerinden fazla olmamalıdır."

Bu sorunlar göz önünde bulundurulduğunda; bilginin sınıflandırılması, bilginin yönetilmesi, risk analizi yapılarak gerekli kontrollerin, önlemlerin ve savunma stratejilerinin en iyi şekilde tasarlanıp uygulamaya koyulması gibi faktörler, bir işletme/kurum için hayati önem taşır.

Riski azaltmamıza yardımcı olması için belirli bir tehdit türünün hesaba katılmasını sağlayacak önlemler alabiliriz. Yani bilgiyi nasıl sınıflandıracaksak tehditleri de öyle sınıflandırmak zorundayız. Eğer bunu yaparsak işletmeye olan hakimiyetimiz ve kontrol yeteneğimiz artacaktır. Zaten bu önlemlerin tümüne de 'kontrol' diyoruz. Kontroller; fiziksel, mantıksal ve idari kontrol olarak üçe ayrılır.

  1. Fiziksel Kontrol
    • Fiziksel kontroller, sistemlerimizin bulunduğu veya verilerimizin depolandığı fiziksel ortamı koruyan kontrollerdir. Bu konuda, bu tür ortamlara giriş ve çıkışları kontrol eden bir kimlik doğrulama sistemi sunulabilir.
    • Bunun yanında fiziksel kontroller, isminden de anlayabileceğiniz üzere çitler, kapılar, kilitler, korumalar ve kameralar gibi öğeleri içerir ancak aynı zamanda özellikle depolama alanlarında ısıtma ve iklimlendirme, yangın söndürme sistemleri, yedek güç jeneratörleri gibi fiziksel ortamı koruyan sistemleri de içerir.
  2. Mantıksal Kontrol
    • 'Teknik kontroller' olarak da adlandırabiliriz. Bu kontrol türü; verilerimizi işleyen, ileten ve depolayan sistemleri, ağları ve ortamları koruyan kontroldür.
    • Mantıksal kontroller içerisinde; parolalar, şifreler, mantıksal erişim kontrolleri, güvenlik duvarları, güvenli yazılımlar ve izinsiz giriş tespit sistemi gibi öğeler vardır.
    • Kısacası bu kontrol türü, mantıksal anlamda yetkisiz faaliyetlerin gerçekleşmesini önlememizi sağlar.
  3. İdari Kontrol
    • Kurallara, yasalara, prosedürlere, yönergelere ve doğası gereği 'kâğıt' olan diğer öğelere dayanır.
    • İdari (yönetimsel) kontroller, ortamımızdaki kullanıcıların nasıl davranmasını beklediğimize ilişkin prosedür ve kuralları belirler. Elbette, ortama ve söz konusu kontrole bağlı olarak idari kontroller farklı yetki seviyelerini temsil edebilir. Örneğin üst kademe, orta kademe, alt kademe yöneticiler ve operasyonel çalışanlara uygulanacak farklı prosedür ve kurallar olabilir.

Bu kontol türleri, İç ve Dış Tehditler blogunda bahsettiğimiz gibi iç tehditlerden korunma konusunda oldukça elverişlidir; Zero Trust, PoLP veya PAM gibi teknolojileri içerebilir. Elbette, dış tehditler konusunda da koruma sağlayabilir çünkü sistemleri her kadar kameralarla, kapılarla korusanız da internet ve radyo dalgaları bunları tanımaz. Burada, idari kontroller size biraz anlamsız, gereksiz veya saçma gelebilir. Bir dış tehdit (hacker veya hacker grubu) prosedürleri bilmeyen veya bilinçlendirilmemiş bir çalışanınıza saldırıp içeri girebilir ki böyle durumlarla çok fazla karşılaşıyoruz. Bu yüzden idari kontroller konusunu da dikkate almanızda fayda vardır.

Bu kontroller içerisinde bir de erişim kontrol türleri yer alır. Bunlar, önleyici ve algılayıcı olarak ikiye ayrılır.

  • Önleyici / Yönetimsel: Prosedürler, rehberler vb.
  • Önleyici / Teknik: Biyometrik kimlik doğrulama, virüs kontrolü, kullanıcı parolaları vb.
  • Önleyici / Fiziksel: Çitler, köpekler, güvenlik görevlileri vb.
  • Algılayıcı / Yönetimsel: Vardiya sistemi, kayıtları gözden geçirme vb.
  • Algılayıcı / Teknik: Saldırı Tespit Sistemleri (STS - anlatacağız), loglar, kameralar vb.
  • Algılayıcı / Fiziksel: Hareket sensörleri, duman dedektörleri, kameralar vb.

Bu konuda sıkça karşılaşma ihtimaliniz olan bir terime değinmek istiyorum: "Defense in depth". Bu terim, 'derinlemesine savunma' anlamına gelir. Defense in depth, hem askeri manevralar hem de bilgi güvenliği için ortak bir stratejidir. Her iki anlamda da 'derinlemesine savunma' kavramının anlamı; bir veya daha fazla savunma yöntemi başarısız olursa yine de başarılı bir savunma kurmamıza izin verecek çok katmanlı bir savunma formüle etmektir.

Fakat burada, ne kadar katman ya da her katmana ne kadar savunma yöntemi yerleştirirsek yerleştirelim her saldırganı belirsiz bir süre için dışarıda tutamayız. Amaç, az önce de dediğimiz gibi gerçekten önemli varlıklarımız ile saldırgan arasına yeterince savunma yöntemi yerleştirmektir. Böylece hem bir saldırının devam ettiğini fark edeceğiz hem de saldırının başarılı olmasını önlemek ve daha aktif önlemler almak için yeterli zaman kazanacağız.

Risk Analizi

Risk analizi (risk analysis), bir işletmenin yaptığı faaliyetler sırasında olması muhtemel tehlikelerin tanımlanarak bunlara ilişkin risklerin değerlendirilmesi (risk assesment), böylece gerçekleşmesi beklenen ve muhtemel risklerle ilgili kontrol tedbirlerinin alınmasına ilişkin yöntem ve esasların tümüdür.

Risk analizi yapılırken tespit edilmiş olan tehlikelerin her biri ayrı ayrı dikkate alınarak bu tehlikelerden kaynaklanabilecek risklerin hangi sıklıkta oluşabileceği ile bu risklerden kimlerin, nelerin, ne şekilde ve hangi şiddette zarar görebileceği belirlenir. Bu belirleme yapılırken mevcut kontrol tedbirlerinin etkisi de göz önünde bulundurulur.

Toplanan bilgi ve veriler ışığında belirlenen riskler; işletmenin, faaliyetlerine ilişkin özellikleri, iş yerindeki tehlike veya risklerin nitelikleri ve iş yerinin kısıtları gibi faktörler ya da ulusal veya uluslararası standartlar (örneğin ISO) esas alınarak seçilen yöntemlerden biri veya birkaçı bir arada kullanılarak analiz edilir. Analiz edilen riskler, kontrol tedbirlerine karar verilmek üzere etkilerinin büyüklüğüne ve önemlerine göre en yüksek risk seviyesine sahip olandan başlayarak sıralanır ve yazılı hâle getirilir.

Risk analizi yöntemleri nicel ve nitel olarak ikiye ayrılır. Nitel risk analizi, gözleme dayalıdır; sayısal olarak ölçülemeyen özelliklere ilişkin araştırmaları kapsar. Nicel risk analizi, rakamların ön plana çıktığı, sonuçların istatistiksel olarak analiz edilip değerlendirildiği yöntemleri kapsar. Bu noktada önemli bir formülü paylaşalım: Risk = Tehdidin Etkisi x Olma Olasılığı

Başka bir deyişle: Bu iki risk analizi yöntemi arasındaki temel fark; nitel risk analizinin gerçekleşme olasılığını ölçmek için göreceli veya tanımlayıcı bir ölçek kullanması; nicel risk analizinin ise sayısal bir ölçek kullanmasıdır. Örneğin nitel bir analiz, bir risk olayının meydana gelme olasılığını belirtmek için 'düşük', 'orta' ve 'yüksek' ölçeğini kullanır. Nicel bir analiz ise her bir risk olayının meydana gelme olasılığını belirleyecektir. Örneğin; "Risk#1'in gerçekleşme olasılığı %80'dir." şeklinde.

Buradan anlamamız gereken şeyin özeti şudur: "Risk yönetiminin temel fonksiyonu riski, organizasyonun kabul edebileceği seviyeye indirmektir."

Risk analizi, "varlık - tehdit - zafiyet - kontrol" kavramları arasındaki ilişkiyi inceleyerek mevcut risk durumunu ortaya çıkarır ve kurumun rahatlayabilmesi veya kontrolü eline alabilmesi için bu veriler yardımıyla iç ve dış kaynaklı, kasıtlı veya kasıtsız olabilecek tüm tehditlerin kabul edilebilir seviyeye çekilmesi gerekir.

Risk Analizi Matrisi (RAM - Risk Analysis Matrix)

RAM, hangi riskler için bir risk yanıtı geliştirmemiz gerektiğini belirlememize yardımcı olacak bir araçtır. Bir RAM geliştirmenin ilk adımı, olasılık ve etki için derecelendirme ölçeklerini tanımlamaktır. Nitel bir analizde olabilirlik veya olasılık, göreceli bir ölçek kullanılarak ölçülür. Örnek aşağıdadır.

Hazırlanan derecelendirme ölçekleriyle her risk olayı için risk düzeyini kategorize etmeye yardımcı olacak, aşağıdaki gibi bir risk değerlendirme matrisi oluşturulabilir.

İsterseniz yukarıdaki matrisi anlamaya çalışalım. Örneğin bir riskin oluşma olasılığı '3' yani 'orta', etkisi de '5' yani 'çok yüksek' olduğunu varsayalım. Bu durumda bu iki değerin kesişim noktasına baktığınız zaman kırmızı alana denk geldiğini görürsünüz. İşte, bunun anlamı 'Yüksek Risk'tir. Aşağıdaki örnek daha iyi anlamlandırmanızı sağlayabilir.

Risk yönetimi için adımlar:

  • Bilgi varlıklarına yönelik tehditler belirlenir.
  • Bilgi varlıklarının zayıflıkları gözden geçirilir, tehditlerin bu zayıflıklardan yararlanarak zarar verme olasılığı değerlendirilir.
  • Tehditlerin, varlıklara olan olası etkisi değerlendirilir.
  • Bu veriler, risk hesaplamak için kullanılır ve riskler böylece listelenir.

Aşağı, bu hesaplamalara ilişkin önemli olan iki formülü koyuyorum.

ALE = SLE x ARO

SLE = Asset Value ($) x EF

Single Loss Expectancy (SLE): Organizasyonun tek bir tehditten oluşan kaybıdır.

Exposure Factor (EF): Belirli bir varlık üzerindeki tehdide bağlı olarak meydana gelen kayıplardır.

Annualized Rate of Occurance (ARO): Bir tehdidin olma oranını gösteren sayıdır.

Annualized Loss Expectancy (ALE): Kayıp beklentisidir.

Risk analizi ile elde edebileceğimiz sonuçlar:

  • Sayısal risk değeri
  • Tehditlerin detaylı listesi
  • Tehdidin muhtemel olma oranı
  • Kayıp potansiyeli
  • Önerilen koruma

Burada bilgi güvenliği, kurum gereksinimleriyle örtüşecek şekilde ve sistematik bir yaklaşımla ele alınmalıdır. Kurumsal bilgi güvenliğinin sağlanması uygulanırken şunlara dikkat edilmelidir:

  • Kurum çapında bilgi güvenliği farkındalığının yaratılması
  • Uygun kullanım, politika ve prosedürler
  • Kurum organizasyonu; kişiler, roller, uygun atamalar ve iş dağılımı
  • Güvenlik yazılımları ve donanımları
  • Bilgi güvenliği yönteminin de diğer yönetsel süreçlerden biri olarak kurgulanması
  • Kaynak tahsisinin sağlanması
  • Önceki güvenlik ihlallerinin değerlendirilmesi
  • Yaptırımların uygulanması

Bilginin Sınıflandırılması (Classification of Information)

Bilgiyi sınıflandırırken genel olarak 6 kategoriye ayırırız. Bunlar aşağıda, açıklamalarıyla birlikte verilmiştir.

Çok Gizli (Top Secret): Bilginin kurum dışına çıkması durumunda çok ciddi büyüklükte kayıplara, zararlara ve imaj kaybına yol açabilir. Finansal bilgiler, kurumla ilgili davaların bilgileri, etki alanı yöneticisi parolası ve benzeri faktörleri içerir.

Gizli (Secret): Bilginin kurum dışına çıkması durumunda ciddi kayıplar gerçekleşebilir. Bilginin tehlikeye atılması yasalara ve mevzuata uygunsuzluk yaratır. Hedefler, stratejiler ve benzeri faktörler bu kısımdadır.

Hizmete Özel (Unrestricted): Bilginin kurum dışına çıkması durumunda göz ardı edilebilir düzeyde kayıp yaşanabilir. Bilginin ifşası, kuruma ciddi bir zarar vermez; bilgiye erişim, kurum içerisindeki belli çalışanlara açıktır. Organizasyon şeması, süreç dökümanları gibi faktörleri bu kısma dahil edebiliriz.

Kişisel (Confidential): Kurum çalışanlarının ve tedarikçilerin özel bilgilerini içerir. Bilginin kurum dışına çıkması, yasalara ve mevzuata uygunsuzluk yaratabilir.

Tasnif Dışı (Unclassified): Kişisel, gizli veya çok gizli işaretlerin atanmasını garanti etmeyen ancak izinsiz olarak kamuya açıklanmayan resmi bilgilere atanan bir güvenlik sınıflandırmasıdır.

Açık (Public): Halka açık bilgilerdir. Bilgiye herhangi birinin erişmesi veya bilginin kurum dışına çıkması, kurum için bir kayıp yaratmaz. Kurumun vizyon ve misyonu, duyuruları, faaliyetleri ve benzeri faktörler bu kısım için sayılabilir.

Bu bilgileri edindiğinize göre isterseniz matris üzerinde az önce yaptığımız örnek gibi örnekler yapıp bunları sınıflandırmayı deneyebilirsiniz.

Bilgiyi sınıflandırırken üç adet rolü bilmeniz gerekir. 'Owner (Sahip)', 'User (Kullanıcı)' ve 'Custodian (Emanetçi/Gardiyan)' olarak geçen bu rollerden en önemlisi kesinlikle Custodian'dır. Bu role sahip olan kişi veya kişiler; düzenli olarak yedek almak ve yedeğin geçerliliğini kontrol etmekle görevlidir. Bunun yanında yedekleri korumak ve gerektiğinde onları, yedekten geri döndürmektir. Yedekleme ve depolama bu blogun konusu değildir ama bu iki faktör, bir işletme veya kurum açısından inanılmaz derecede büyük bir öneme sahiptir.

Elbette, yukarıda gördüğünüz sınıflandırmaların kriterleri ve bu konuda yapılması gereken başka şeyler de vardır. Önce, yöneticiyi tanımlamak zorundasınızdır. Ardından etiket bilgisini ve sınıflandırmaların kriterlerini belirlemesiniz (örneğin neye göre - kime göre Top Secret veya Secret?). Bununla birlikte yani bunu anlamak adına veriyi ve verinin sahibini belirlemelisiniz ki nasıl sonuçlara yol açabileceğini bilesiniz. Bunları belirledikten sonra artık birçok şey kafanızda oturmuş olacaktır. Bu sayede artık sınırlandırma aşamasına geçebilirsiniz. Bu aşamada uygulanacak fiziksel, mantıksal ve idari kontrolleri belirlemeniz gerekir. Bunları da belirledikten sonra olası bir tehditte veya önlemde belirlediğiniz sınıflandırmayı değiştirmek veya geçersiz kılmak için bir prosedür belirlemelisiniz.

Her şey tamamlandığında artık çalışanlar için eğitim programları düzenlemek zorundasınız. Blogun en üst taraflarında dış tehditlerin çalışanları ele geçirip (cihazlarına sızıp veya şantaj yapıp) sızma gerçekleştirebildiğinden bahsettik. Elbette, iç ve dış tehditler blogunda daha fazlasını bulabilirsiniz ancak eklemek isterim ki, iç tehditleri önlemek daha doğrusu gözlerini korkutmak adına yaptırımlarınızı anlatmanız ve sözleşmelerinizi oluşturup onlara sunmanız gerekir. İşte, eğitim dediğimiz olay bunları ve daha fazlasını kapsayan bir süreçtir.

Yayınlanma Tarihi: 2022-08-20 22:15:42

Son Düzenleme Tarihi: 2022-08-23 15:11:53