risk etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
risk etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

13 Temmuz 2018 Cuma

Güvenlik Ekonomisinin Kinetiği


Rehin alınan bilgisayarlar nedeniyle hizmet dışı kalan üretim bantları, kişisel verilerin çalınması sebebiyle kimlik hırsızlığı/sahtecilikler ve hatta hackerların (saldırganlar) ekonomik ve teknolojik olarak dünyanın en gelişmiş ülkesinin seçim sonuçlarını etkilediği şüphesi son dönemlerin en bilinen siber olayları arasında yer almaktadır. World Economic Forum (Dünya Ekonomik Forumu) şirketlerin üst düzey yöneticileriyle gerçekleştirdiği 2018 yılı Global Risk Raporu’na göre Siber Saldırılar ankete katılanların en çok endişe duyduğu risk olarak değerlendirilmiştir.[1] Gemisini tehlikeli ve dalgalı sularda yüzdüren kaptan edasıyla korsanlar tarafından hedef alınan şirketlerin üst düzey yöneticileri siber güvenlik tehditlerini ve önlemlerini yönetim kurullarının gündemlerine taşımaktadırlar. Bu yazımızda tavşana kaç, tazıya tut diyen siber güvenlik ekonomisinin ana hatlarıyla oluşum ve gelişim eğilimlerini konu alacağız.  

Saldırganların Motivasyonu

Siber olayların anatomisi incelendiğinde, döneminin teknolojik imkânları ve özelliklerinden bağımsız olarak değerlendirilemeyeceği çıkarımında bulunabiliriz. Bilgi Teknolojilerinin deneysellikten kurtulup, pratik olarak da hayatımıza girdiği 1980’lerde imkânlar çoğunlukla akademik amaçlarla kullanılmaktaydı. Bu akademik kullanıcılar teknik olarak bilinçli bireyler olmalarının yanı sıra eğlence amacıyla sistemlerin zayıflıklarını istismar edebilmekteydi. 2000’li yıllara gelindiğinde “.com” furyasının yaşandığı, web sitelerin revaçta olduğu bir dönemde saldırganlar, çoğunlukla kamuya açık bu siteleri hackleyip geride izlerini bırakmaya çalışan yani şöhret amacıyla saldırı gerçekleştirenlerdi. Devamında, 2000’lerin ilk döneminde saldırganlar sadece geride iz bırakmayı değil sistemleri de ele geçirerek verileri çalma ve değiştirme yoluyla maddi kazançlar sağlamak amacıyla saldırılarda bulunmuşlardır. Devletlerin ve özel sektörün teknoloji kullanımı ve bağımlılığının artmasının ardından saldırganlar, politik ve hacktivist amaçlarla saldırılar gerçekleştirmeye başlamışlardır. Bu saldırılar devlet destekli olarak enerji ve kritik altyapılara zarar vermek, ticari veya devlet sırlarını çalmak üzerine olduğu kadar toplumsal olarak şeffaflık ve hesap verilebilirliği sağlamak amacıyla politikacıları hedef alan örneklerine rastlanmaktadır.

Saldırı Yüzeyi

Bu konu başlığını bağlantılılık ve veri hacminin genişlemesi olarak da isimlendirebilmek mümkün olmakla birlikte, bağlantının saldırgan tarafından bilgi barındıran, işleyen, ileten ortamlara erişme ve istismar etmesini sağladığı gerekçesiyle saldırı yüzeyi olarak adlandırılmıştır. Bilgisayar ağlarının kurulması ve yaygınlaşmasıyla bu bilgisayar ağlarının bağlantılı olduğu sistemlere de saldırı gerçekleştirilmeye başlanmıştır. Dolayısıyla, bağlantılılık hareketiyle saldırı hareketinin eş güdümlü ilerlediği ifade edilebilir. Örneğin, günümüzün trendi olan Nesnelerin Internetini değerlendirecek olursak bağlantılı cihaz sayısının giderek arttığını, bu cihazların akıllı sistemler, kritik altyapılar ve kişisel veriler içeren uygulamalar olarak birçok siber saldırının hedefi olduğunu belirtebiliriz. Saldırı yüzeyi vasıtasıyla istismar edilen kaynaklar hedef olduğu kadar, “enfekte sistemler” üzerinden yeni saldırıların gerçekleştirilebilmesi sebebiyle tehdit de olabilmektedir.

Savunmanın Maliyeti ile Saldırının Maliyeti Arasındaki Farklılıklar

Bir siber olayın taraflarını saldırganlar ve savunanlar olarak ele alabiliriz. Bilgi ve İletişim Teknolojilerinin ortaya çıkmasından itibaren bu iki taraf arasında yaşanan üstünlük mücadelesini “Hırsıza kilit dayanmaz” atasözümüzle açıklamak doğru olacaktır. Savunan taraf kendisini güvende hissetmek için birçok önleyici, caydırıcı, tespit edici adımlar atsa da saldıranlar bu önlemleri ekarte edecek veya etrafından dolaşacak yolları bulmaktadır.

Taraflar arasındaki mücadele tarihsel olarak incelendiğinde, saldırıların gerçekleştirilmesi için gerekli olan yetenek kümesinin ve özelliklerinin teknolojilerin ortaya çıktığı dönem ile yaygınlaştığı dönem arasında ciddi farklılıklara sahne olduğunu görebilmekteyiz. Başlangıç döneminde teknolojik özelliklerin anlaşılması ve istismar edilebilmesi yerleşik bir kültür olmaması sebebiyle saldırganlar tarafından nadiren ve zorlukla gerçekleştirilebilmekteydi. Gelişme döneminde, teknolojileri anlayan ve kendi amaçları uğruna kullanabilen bireyler ve gruplar ortaya çıktı ve istismarı gerçekleştirebilmek için kendileri için gerekli olan araçları/scriptleri yazabilmekteydiler. Teknolojik olarak kültürün oluştuğu ve olgunlaştığı dönemde ise topluluklar (community) ortaya çıktı ve bunlar otomatize araçlar ve uygulamaları oluşturarak güvenlik dünyasının çehresini değiştirdiler. Otomatize araçlar bazı örneklerinde ara yüzlere de sahip ve kolaylıkla erişilebilir olarak, bir tuşla hedef sistemi tarayıp zafiyetlerini raporlar hale geldi. Bu durum sonuç olarak aracı kullanan kişilerin gereksinim duyduğu yetenek kümesini daraltmakta ve doğal olarak sıradan kişiler tarafından saldırı gerçekleştirilebilmesine imkân tanımaktadır.   

Siber olayı savunanlar tarafından ele aldığımızda yani işletmeler, sivil toplum, kamu kuruluşları vb. doğaları gereği var olma amaçlarının kârlılık, pazar payı, sosyal fayda olduğunu, kaynaklarını fırsatları kovalamaya yönelik olarak kullandıklarını görebilmekteyiz. Bu durumda kurum içinde savunma amacıyla yeterli kaynakların tahsis edilmediği, sorumluların atanmadığı, paydaşlarda bilincin oluşturulmadığı örneklerle karşılaşılabilmektedir. İyimser bir varsayımda bulunarak risk odaklı yönetilen kurumları ele alırsak, onların da yatırım yapacak birçok güvenlik çözümü ve hizmeti olduğunu, bu çözümlerin sadece satın alınmalarının yeterli olmadığını, bu nedenle konfigürasyonlarının da doğru yapılmasının gerektiğini ve birçok güvenlik süreçlerini ve uygulamalarını işleten kişilerin gerekli yetkinlik düzeyini sağlayabilmeleri gibi zorluklarla yüzleşeceklerini ifade edebiliriz.

Sonuç olarak, günümüzde saldırı gerçekleştirebilmek için saldırı yüzeyi genişleyip kişilerin sahip olması gereken kabiliyetler gittikçe azalmakta ve maddi gereksinimler düşük düzeyde iken, savunanlar için güvenlik önlemlerini alabilmek için yüksek bütçe kalemleri ve yüksek nitelikli personele ihtiyaç artmaktadır. Saldırganlar ve savunanlar arasındaki bu mücadele tarihsel olarak günümüze kadar evrilerek gelmiştir ve gelecekte de devam edecektir.



[1] https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready

6 Aralık 2016 Salı

COBIT VE ISO 27001’DE RİSK YÖNETİMİ

Giriş
Risk, bir olayın gerçekleşme olasılığıyla yaratacağı etkinin kombinasyonu olarak tanımlanmaktadır. Risk kavramı insanların aklında genellikle olumsuz bir izlenim oluşturmakla birlikte olumlu riskler ise fırsat olarak adlandırılmaktadır. Bu duruma bir örnek verecek olursak; bir kurumun ödemelerini döviz kurları üzerinden yapmasını bir risk olarak değerlendirebiliriz. Kurların artması durumunda kurumun yapacağı ödemeler TL bazında artış gösterecektir. Bir diğer taraftan ise bu durum bir fırsat oluşturmaktadır çünkü kurların gerilemesi halinde ise kurumun TL bazında yapacağı ödemeler azalacak ve kurum dolaylı yoldan kara geçecektir. Risklerin olumsuz etkilerinden zarar görmemek için risk yönetimi disiplini ortaya çıkmıştır. Risk yönetimini ele alan için çeşitli standartlar, çerçeveler bulunmaktadır; ISO 31000:2009, COSO, ISO 27001:2013, ISO 27005:2011, COBIT bunlara verebileceğimiz örneklerdir. Bu makalemizde COBIT 4.1 ve ISO 27001:2013 kapsamında Risk Yönetimini değerlendireceğiz.

Risk Yönetimi Yaklaşımı
COBIT (Control Objectives for Information and Related Technologies) çerçevesi risk yönetim sürecini PO (Planlama ve Organizasyon) başlığı altında Assess and Manage Risks (Risk Değerlendirme ve Yönetimi) sürecinde ele almaktadır. Diğer yandan ISO 27001 de COBIT’e paralel olarak risk yönetimiyle ilgili maddelerini 6 numaralı maddesi olan Planlama ve 8 numaralı maddesi olan İşletim başlıkları altında açıklamaktadır. Bu gözlemimize bağlı olarak ISO 27001 standardının ve COBIT çerçevesinin risk yönetim süreçlerini planlama başlıkları altında açıkladıklarını söyleyerek söze başlayabiliriz.

COBIT, 4 bölüm (Plan and Organise, Acquire and Implement, Deliver and Support, Monitor and Evaluate) 34 süreçten oluşan kontrol esaslı bir çerçevedir. Bu yüzden kurumların neler yapmaları gerektiğiyle ilgilenirken bunları nasıl yapmaları gerektiğiyle ilgilenmez. Bu sebeple risk yönetimi konusunda da ne yapılması gerektiği hakkında kontrol hedeflerinde bilgilendirme yapar. Buna ek olarak Risk Değerlendirme ve Yönetimi sürecinde bulunan faaliyetlerdeki sorumlulukları RACI matrisiyle (Responsible, Accountable, Consulted, Informed) atamaktadır ve süreçte ölçülecek hedeflerle birlikte performans kriterlerini de belirtmektedir.  Diğer tarafta, ISO 27001 standardı risk yönetim metodolojisini bilgi güvenliği risk değerlendirmesi ve bilgi güvenliği risk işleme olarak iki bölümde açıklamaktadır. Özellikle belirtmek gerekir ki; ISO 27001 standardında riskleri belirlemenin yanı sıra fırsatların da ele alınması gerektiği aktarılmaktadır

COBIT, BT Risk yönetim çerçevesinin kurumun risk yönetim çerçevesiyle aynı doğrultuda olmasını söyler ve risk bağlamının (context) belirlenmesi konusunda iç ve dış hususların risk yönetim sürecine dahil edilmesinden bahseder. ISO 27001 standardı risk yönetimi konusunda ISO 31000:2009 standardını referans göstermektedir. Dolayısıyla ISO 27001 de risk kapsamının belirlenmesi konusunda tıpkı COBIT’te olduğu gibi iç ve dış hususları ele almaktadır.  Bu hususlar ISO 31000 standardının 5.3 maddesine atıf yapmakla birlikte şu konu başlıklarını içermektedir; sosyal, kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam, organizasyon kültürü, süreçler, bilgi sistemleri ve altyapı vs.

COBIT PO9 Risk Değerlendirme ve Yönetimi süreci açıklamasında risk yönetim çerçevesinin yaratılmış ve sürdürülüyor olmasını; bu çerçevenin ortak ve üzerine anlaşılmış BT risklerini, indirgeme stratejilerini, artık riskleri dokümante etmesini tarif etmektedir. Ayrıca organizasyonun hedeflerine etki edebilecek herhangi bir planlanmamış olay (risk olayı) tanımlanmış, analiz edilmiş, değerlendirilmiş olmalıdır. Bununla birlikte risk indirgeme stratejilerinin artık riski kabul edilebilir düzeye indirgeyebilecek olması ve risk değerlendirme sonuçlarının paydaşlar tarafından anlaşılabilir ve finansal terimlerle ifade ediliyor olması gerektiğini belirtilmiştir. Kontrol hedefleri 6 başlıkta açıklanmaktadır bunlar; PO9.1 BT Risk Yönetim Çerçevesi, PO9.2 Risk Bağlamının Belirlenmesi, PO9.3 Olay Tespiti, PO9.4 Risk Değerlendirmesi, PO9.5 Risk Yanıtlanması, PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesidir. ISO 27001’de risk yönetimi, Madde 6.1.2 bilgi güvenliği risk değerlendirme ve Madde 6.1.3 bilgi güvenliği risk işleme olmak üzere iki aşamadan oluşmaktadır.

Risk Yönetimi Kapsamı
COBIT PO9.1 BT Risk Yönetim Çerçevesinde, bu çerçevenin kurumun risk yönetim çerçevesiyle uyumlu olması beklemektedir. PO9.2 Risk Bağlamının Belirlenmesi aşamasında uygun sonuçların elde edilmesi için risk değerlendirme çerçevesinin uygulama kapsamı belirlenmelidir. Bu kapsam belirlenirken risk değerlendirmede iç ve dış hususlar, değerlendirmenin hedefi ve hangi risklerin değerlendirileceği kriterleri göz önünde bulundurulmalıdır. ISO 27001, Madde 6.1.1 Risk ve fırsatları ele alan faaliyetlerde bilgi güvenliği yönetim sistemi planlaması yapılırken Madde 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi konusuna atıfta bulunarak; risk yönetimi kapsamının oluşturması için gereksinimleri tanımlamaktadır.

Risk Tespiti Yaklaşımı
COBIT PO9.3 Olay Tespiti yaklaşımına göre; kurumun hedeflerine ya da operasyonuna olumsuz etki edebilecek olaylar (iş, yasal, hukuki, teknolojik, iş ortağı, insan kaynakları ve operasyonel yönden) bulunmalıdır ve bir kütüğe kaydedilerek ve yönetilmelidir. ISO 27001 Madde 6.1.2 Bilgi güvenliği risk değerlendirme fazındaki yaklaşıma göre; bilgi güvenliği risk kriterlerinin oluşturulması, bilgi güvenliği risklerinin tespit edilmesi, bilgi güvenliği risklerinin analiz edilmesi ve son olarak bilgi güvenliği risklerinin değerlendirilmesinin yapılması beklenmektedir. Bilgi güvenliği risk kriterlerini detaylandıracak olursak risklerin değerlendirilmesinin yapılabilmesi için kriterlerin belirlenmesi ve ayrıca kurumun risk iştahını tanımlayan risk kabul kriterlerinin belirlenmesi istenmektedir.

Risk Değerlendirme Yaklaşımı
PO9.4 Risk Değerlendirme yaklaşımına göre, belirlenen risklerin etkisinin ve olasılığının nitel ve nicel yöntemlerle düzenli olarak değerlendirilmesi, dokümante edilmesi ve artık risklerin tanımlanması gerekmektedir.  ISO 27001 Madde 6.1.2 Bilgi güvenliği risk değerlendirme fazında bilgi güvenliği risklerinin tespit edilmesi aşamasında bilgi varlıkları ve süreçler üzerindeki gizlilik, bütünlük, erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi ve risk değerlendirme sürecinin uygulanmasıyla risklere sahipliklerin atanması ifade edilmiştir. Bilgi güvenliğinin risklerinin analiz edilmesinde belirtilen riskin gerçekleşmesi halinde oluşabilecek sonuçlar (etki) ile riskin gerçekleşmesi ihtimalinin (olasılık) belirlenmesi ve bu değerler kullanılarak risk seviyesinin belirlenmesi gerekmektedir. Risk seviyesinin belirlenmesinde endüstride yaygın olarak etki X olasılık formülü kabul görmektedir. Risklerinin değerlendirilmesine risk analiz aşamasında ortaya çıkan risk seviyesi sonuçlarının risk değerlendirmelerinin yapılması için belirlenen kriterlerle karşılaştırılarak risk düzeylerinin belirlenmesi ve analiz edilen risklerin kritikliğine göre risk işleme için önceliklendirilmesine dikkat çekilmiştir.

Risk İşleme Yaklaşımı
COBIT PO9.5 Riskin Yanıtlanmasında; risklerin oluşumunu azaltan maliyet etkin kontroller sağlamak için tasarlanmış bir risk yanıtlama sürecinin geliştirilmesi ve yönetilmesi amaçlanmaktadır. Bu risk yanıt süreci; indirgeme, kabul, paylaşma, kaçınma risk stratejilerini tanımlamalıdır. ISO 27001’de risk yönetimi için ikinci faz olan Madde 6.1.3 bilgi güvenliği risk işlemesinde, risk değerlendirme çalışmalarının sonuçlarını dikkate alarak uygun risk işleme seçeneklerinin seçilmesi (indirge, kabul, transfer, kaçın), risklerin ISO 27001 Ek A maddeleriyle eşleştirilmesi, risk değerlendirme çalışması sonucu kurumun kapsam dahilindeki süreçlerinin işleyişi için ISO 27001 Ek A maddelerinin nasıl karşılandığını bildiren bir Uygulanabilirlik Bildirgesi oluşturulması gerekmektedir.

Risk İşleme Aksiyon Planlaması
PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesi süreci; gerekli olarak tanımlanan risk yanıtlarını yerine getirmek için her düzeyde kontrol faaliyetlerinin maliyet, fayda ve icra edilebilmesi için sorumlulukların atanması dahil olmak üzere önceliklendirilmesi ve planlanmanın yapılmasını tavsiye eder. Önerilen aksiyonlar ve artık risklerin kabulü için onayların alınması, alınacak aksiyonların etkilenen süreç sahipleri tarafından sahipliklerinin bulunması ve son olarak aksiyon planının işleyişinin izlenmesi; eğer bir değişiklik olursa üst yönetime raporlanmasını talep eder.  ISO 27001 Madde 6.1.3 bilgi güvenliği risk işlemesinde riskin işlenmesi sorumluluğunun kime verildiği, tamamlanma tarihi, ayırılan kaynaklar gibi hususların belirtildiği bir risk işleme planının oluşturulması, bu risk işleme planına ilişkin risk sahiplerinin onaylarının alınması ve risk işleme sonucunda oluşan artık risklerin kabulü adımları da diğer adımlardır. Diğer taraftan değinmemizin doğru olacağı bir diğer husus da risk değerlendirme sonuçları sonrasında risk kabul kriteri değerinin altında kalan risklerin risk işleme fazında doğrudan risk kabul edilebileceğidir. Ancak kurum kabul kriterinin altında bir değere sahip bir riski de kabul etmek dışında isteği doğrultusunda diğer risk işleme seçeneklerini (indirge, transfer, kaçın) tercih edebilir.