Türkiye Barolar Birliği Dergisi 152.Sayı
344 Hukuk Bürolarında Bilgi Güvenliğinin Arttırılmasında Model Önerileri mada -Risk Belirleme- kuruluşun risk kaynaklarını, etki alanlarını, risk olaylarını ve sonuçlarını tanımlar. Risk tanımlaması: Risk tanımlamasında, ne tür olayların olabile- ceği ve daha sonra kayba yol açacağı incelenmektedir. Bu, kuruluşun kontrolü altında olan olayların yanı sıra dış etkenlere dayanan olayları da içermektedir. Risk analizi: Genel olarak, risk analizi nitel veya nicel olabilir. Ni- cel risk analizi kesin sayısal değerlere dayanırken, nitel yöntemler, olay senaryosunun sonuçlarını ve olasılığını tanımlamak için tanımla- yıcı ölçekler (düşük, orta ve yüksek gibi) kullanmaktadır. Bağlam kurulumu: Odak noktası risk analizi, olası sonuçların de- ğerlendirilmesinin yanı sıra tanımlanan risklerin gerçekleşme ihtimal- leri de göz önünde bulundurulmalıdır. Olasılıklar değerlendirilirken, belirli bir tehdidin ne sıklıkta ortaya çıkabileceği ve ilişkili olabilecek diğer güvenlik açıkları da alınmalıdır. Risk değerlendirmesi: Tüm olası risklerin risk seviyeleri, tanımla- nan risk değerlendirme kriterleri ile karşılaştırılır. Bu, tanımlanan risk- lerin birbirleriyle ilişkilendirilmesini ve kuruluş için en önemli risk- lerin belirlenebilmesini sağlar. Bunun sonucunda, risk değerlendirme kriterlerine göre önceliklendirilen risklerin bir listesi oluşturulabilir. Risk gidermek: ISO/IEC 27005’ te risk tedavisi dört olası (risk değişikliği, risk tutma, riskten kaçınma, risk paylaşımı) seçenekten oluşan bir yapıda tanımlanmaktadır. Bu seçenekler birbirini dışlayan seçenekler değildir. Hatta bu seçeneklerin bütünleşik olarak kullanıl- masının gerektiği durumlar da olabilir. Risk kabulü: Risklerin kabulü, kuruluşun iş süreçlerine entegras- yon için çok önemlidir ve sorumlular tarafından onaylanmalıdır. Risk iletişimi ve danışma: Risk iletişimi, bir risk yönetimi sürecinin uygulanmasında kilit bir faktördür. Bu nedenle, bu süreç tüm risk yö- netimi süreci boyunca devam etmektedir. Mevcut risklerle ilgili bilgi- ler sürekli olarak toplanmakta ve aynı zamanda risklerden potansiyel olarak etkilenen çalışanlar risk yönetimi sürecinin mevcut sonuçları hakkında bilgilendirilmektedir. Bilgi güvenliği risk izleme ve gözden geçirme: Mevcut risk duru- muna ilişkin doğru bakış açısı elde etmek için tüm risklerin ve bunların
Made with FlippingBook
RkJQdWJsaXNoZXIy MTQ3OTE1