Kurumsal bilgi varlıklarının siber tehditlere, fiziksel risklere ve yasal yaptırımlara karşı korunmasında en önemli adım, tehditlerin önceden tespit edilmesidir. Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı olan ISO 27001'in en kritik ve merkezi bileşeni "Risk Değerlendirmesi" sürecidir. Yanlış, eksik ya da sadece dokümantasyon üzerinde kalması amacıyla yapılan bir risk değerlendirmesi, tüm siber güvenlik yatırımlarınızı etkisiz kılabilir. Bu nedenle, risk değerlendirme sürecinin doğru bir metodoloji ile yürütülmesi büyük önem taşır.
Bu rehberde; ISO 27001 standartlarına tam uyumlu bir risk değerlendirmesinin nasıl yapılacağını, varlık envanteri oluşturma adımlarını ve risk işleme stratejilerini detaylı olarak ele alacağız.
ISO 27001 Risk Değerlendirmesi Nedir?
ISO 27001 risk değerlendirmesi; kurumun bilgi varlıklarına yönelik tehditleri, bu varlıkların barındırdığı zafiyetleri ve bu tehditlerin gerçekleşmesi durumunda ortaya çıkacak iş etkisini sistematik olarak analiz etme sürecidir.
Sürecin temel amacı, bilgi güvenliği bütçenizi ve insan kaynağınızı en doğru alanlara yönlendirmenizi sağlamaktır. Risk değerlendirmesi sayesinde, "Hangi varlığımızı, hangi tehdide karşı, ne kadar bütçeyle korumalıyız?" sorusunun yanıtı veri odaklı olarak verilir.
Adım Adım Risk Değerlendirme Süreci
ISO 27001 standardına uygun bir risk analizi gerçekleştirmek için aşağıdaki adımlar sırasıyla izlenmelidir.
1. Risk Değerlendirme Metodolojisinin Belirlenmesi
Sürece başlamadan önce, risklerin nasıl ölçüleceğini belirleyen yazılı bir metodoloji tanımlanmalıdır.
- Niteliksel (Qualitative) Analiz: Risklerin "Düşük, Orta, Yüksek" gibi sözel ifadelerle derecelendirilmesidir. Genellikle daha hızlı ve pratik olduğu için tercih edilir.
- Niceliksel (Quantitative) Analiz: Risklerin finansal kayıp veya süre bazlı sayısal verilerle (örneğin: "Bu sunucunun kesintisi saatlik 10.000$ kayba yol açar") ölçülmesidir.
2. Bilgi Varlıkları Envanterinin Çıkarılması
Risk değerlendirmesinin yapılabilmesi için öncelikle neyi koruduğumuzu bilmemiz gerekir. Şirketteki tüm bilgi varlıkları listelenerek bir envanter oluşturulur. Bilgi varlıkları şu kategorileri kapsar:
- Donanım Varlıkları: Sunucular, kullanıcı bilgisayarları, firewall, switch, mobil cihazlar.
- Yazılım Varlıkları: İşletim sistemleri, veritabanları, ERP/CRM yazılımları, özel uygulamalar.
- Veri Varlıkları: Müşteri verileri, finansal kayıtlar, kaynak kodlar, sözleşmeler.
- İnsan Kaynakları: Çalışanlar, dış kaynak personeller, tedarikçiler.
- Hizmetler ve Süreçler: E-posta hizmeti, internet erişimi, yedekleme süreçleri.
3. Tehditlerin ve Açıklıkların (Zafiyetlerin) Belirlenmesi
Her bir bilgi varlığı için potansiyel tehditler ve bu tehditlerin varlığa zarar vermesini kolaylaştıracak zafiyetler eşleştirilir.
- Tehdit Örnekleri: Siber saldırılar, fidye yazılımları (ransomware), yetkisiz erişim girişimleri, veri sızıntıları, elektrik kesintileri, yangın, sel veya kullanıcı hataları.
- Zafiyet Örnekleri: Güncellenmemiş işletim sistemleri, zayıf şifre politikaları, sistem odasında yangın söndürme sisteminin olmaması, çalışanların siber güvenlik farkındalığının düşük olması.
4. Risk Skorunun Hesaplanması (Olasılık ve Etki Analizi)
Eşleştirilen her tehdit ve zafiyet ikilisi için bir risk skoru hesaplanır. Formül basitçe şu şekildedir: $$\text{Risk Skoru} = \text{Olasılık (Likelihood)} \times \text{Etki (Impact)}$$
- Olasılık: Tehdidin gerçekleşme sıklığıdır (örneğin: 1 ila 5 arası puanlanır; 1 = Çok Nadir, 5 = Çok Sık).
- Etki: Tehdit gerçekleştiğinde şirketin uğrayacağı zarardır (1 = Çok Düşük, 5 = Çok Kritik).
- Örnek: Güncellenmemiş bir sunucuya siber saldırı olasılığı yüksek (4), bu sunucu müşteri veritabanını barındırıyorsa etkisi de kritiktir (5). Bu durumda risk skoru $4 \times 5 = 20$ (Kritik Risk) olarak hesaplanır.
Ankara'daki Şirketlerin Risk Profilinde Öne Çıkan Tehditler
Ankara, kamu kurumları, savunma sanayii ve kritik altyapı sağlayıcılarının merkezi olması sebebiyle siber casusluk, hedefli saldırılar (APT) ve veri sızıntısı risklerinin en yoğun yaşandığı bölgedir. Kamu sektörüyle entegre çalışan şirketler için veri gizliliğinin ihlal edilmesi sadece finansal değil, yasal ve itibari olarak da geri dönülemez sonuçlar doğurabilir.
Bu nedenle, Ankara'daki işletmelerin risk değerlendirmesi yaparken yerel tehdit unsurlarını ve kamu regülasyonlarını (örneğin Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi) göz önünde bulundurması gerekir.
Risk İşleme Stratejileri (Risk Treatment)
Hesaplanan risk skorları önceden belirlenmiş "Kabul Edilebilir Risk Seviyesi" (örneğin skor barajı 9 olsun) ile karşılaştırılır. Bu barajın üzerinde kalan tüm riskler için bir "Risk İşleme" stratejisi seçilmelidir:
| Strateji | Açıklama | Örnek Uygulama |
|---|---|---|
| Azaltma (Mitigation) | Riski düşürmek için teknik veya idari kontroller uygulamak. | Güvenlik duvarı kurmak, personellere siber güvenlik eğitimi vermek. |
| Kaçınma (Avoidance) | Riski oluşturan faaliyeti veya teknolojiyi tamamen durdurmak. | Güvenli olmayan eski bir yazılımı kullanmayı bırakmak. |
| Aktarma (Transfer) | Riskin finansal veya operasyonel yükünü üçüncü bir tarafa devretmek. | Siber güvenlik sigortası yaptırmak, veri depolama işini güvenli bir bulut sağlayıcıya taşımak. |
| Kabul Etme (Acceptance) | Riski mevcut haliyle kabul etmek (genellikle maliyeti kontrol maliyetinden düşükse). | Yedekli internet hattı maliyetinin, olası 1 saatlik kesinti zararından çok daha yüksek olması durumunda kesinti riskini kabul etmek. |
Öneri: Şirketinizin risk profilini doğru analiz etmek, yasal uyumluluk süreçlerini yönetmek ve uluslararası standartlara uygun risk metodolojileri geliştirmek için İş ve Yönetim Danışmanlığı çözümlerimizden yararlanabilirsiniz.
Teknik Kontrollerin Risk Azaltmadaki Rolü
Riskleri azaltma (mitigation) stratejisini seçtiğinizde, ISO 27001 Annex A kontrollerini uygulamaya koymanız gerekir. Bu kontrollerin tasarlanması, yasal ve idari politikaların oluşturulması süreçlerinde profesyonel Bilgi Güvenliği Politikası Danışmanlığı hizmeti almak, risk işleme planınızın başarısını doğrudan etkiler.
Ayrıca, risk değerlendirme sürecinin ardından atılması gereken belgelendirme adımlarını öğrenmek için ISO 27001 Sertifikasyon Adımları rehberimizi inceleyebilirsiniz. Standardın kurumsal faydalarını daha geniş bir çerçevede ele aldığımız ISO 27001 Nedir? başlıklı makalemize de göz atabilirsiniz.
Kurumunuza özel, gerçekçi ve denetimlerden başarıyla geçecek bir risk değerlendirme çalışması gerçekleştirmek için uzman kadromuzla iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
Risk değerlendirmesi ne sıklıkla yapılmalıdır?
ISO 27001 standardı uyarınca, risk değerlendirmesi en az yılda bir kez düzenli olarak tekrarlanmalıdır. Ayrıca; şirkette büyük bir IT altyapısı değişikliği yapıldığında, yeni bir ofis açıldığında, yeni bir kritik yazılım kullanılmaya başlandığında veya büyük bir siber güvenlik olayı yaşandığında risk analizi derhal güncellenmelidir.
Tüm riskleri sıfıra indirmek mümkün müdür?
Hayır, siber güvenlikte ve bilgi güvenliğinde "sıfır risk" diye bir kavram yoktur. Her zaman bir "Artık Risk" (Residual Risk) kalacaktır. Önemli olan, riskleri kurum yönetiminin onayladığı "Kabul Edilebilir Risk Seviyesi"nin altına indirmektir.
Risk değerlendirme çalışmasını sadece IT departmanı mı yapmalıdır?
Hayır. Bilgi güvenliği riskleri sadece teknik risklerden ibaret değildir. İnsan kaynakları süreçleri, fiziksel güvenlik, satın alma süreçleri ve hukuki sözleşmeler de bilgi güvenliğini doğrudan etkiler. Bu nedenle risk değerlendirme komitesinde tüm departman temsilcilerinin ve üst yönetimin yer alması zorunludur.
Sonuç
ISO 27001 risk değerlendirmesi, kurumsal güvenliğinizin temel taşını oluşturur. Doğru kurgulanmış bir risk analizi sayesinde, siber tehditlere karşı proaktif bir savunma hattı oluştururken, güvenlik yatırımlarınızı da en yüksek verimlilikle yönetebilirsiniz. Risklerinizi bilmek, onları yönetmenin ilk ve en önemli adımıdır.
