Giriş
Risk, bir olayın gerçekleşme olasılığıyla yaratacağı
etkinin kombinasyonu olarak tanımlanmaktadır. Risk kavramı insanların aklında
genellikle olumsuz bir izlenim oluşturmakla birlikte olumlu riskler ise fırsat
olarak adlandırılmaktadır. Bu duruma bir örnek verecek olursak; bir kurumun
ödemelerini döviz kurları üzerinden yapmasını bir risk olarak değerlendirebiliriz.
Kurların artması durumunda kurumun yapacağı ödemeler TL bazında artış
gösterecektir. Bir diğer taraftan ise bu durum bir fırsat oluşturmaktadır çünkü
kurların gerilemesi halinde ise kurumun TL bazında yapacağı ödemeler azalacak
ve kurum dolaylı yoldan kara geçecektir. Risklerin olumsuz etkilerinden zarar
görmemek için risk yönetimi disiplini ortaya çıkmıştır. Risk yönetimini ele
alan için çeşitli standartlar, çerçeveler bulunmaktadır; ISO 31000:2009, COSO,
ISO 27001:2013, ISO 27005:2011, COBIT bunlara verebileceğimiz örneklerdir. Bu
makalemizde COBIT 4.1 ve ISO 27001:2013 kapsamında Risk Yönetimini
değerlendireceğiz.
Risk Yönetimi Yaklaşımı
COBIT (Control Objectives for Information and Related
Technologies) çerçevesi risk yönetim sürecini PO (Planlama ve Organizasyon)
başlığı altında Assess and Manage Risks (Risk Değerlendirme ve Yönetimi)
sürecinde ele almaktadır. Diğer yandan ISO 27001 de COBIT’e paralel olarak risk
yönetimiyle ilgili maddelerini 6 numaralı maddesi olan Planlama ve 8 numaralı
maddesi olan İşletim başlıkları altında açıklamaktadır. Bu gözlemimize bağlı
olarak ISO 27001 standardının ve COBIT çerçevesinin risk yönetim süreçlerini
planlama başlıkları altında açıkladıklarını söyleyerek söze başlayabiliriz.
COBIT, 4 bölüm (Plan and Organise, Acquire and Implement,
Deliver and Support, Monitor and Evaluate) 34 süreçten oluşan kontrol esaslı
bir çerçevedir. Bu yüzden kurumların neler yapmaları gerektiğiyle ilgilenirken
bunları nasıl yapmaları gerektiğiyle ilgilenmez. Bu sebeple risk yönetimi
konusunda da ne yapılması gerektiği hakkında kontrol hedeflerinde bilgilendirme
yapar. Buna ek olarak Risk Değerlendirme ve Yönetimi sürecinde bulunan
faaliyetlerdeki sorumlulukları RACI matrisiyle (Responsible, Accountable,
Consulted, Informed) atamaktadır ve süreçte ölçülecek hedeflerle birlikte
performans kriterlerini de belirtmektedir.
Diğer tarafta, ISO 27001 standardı risk yönetim metodolojisini bilgi
güvenliği risk değerlendirmesi ve bilgi güvenliği risk işleme olarak iki
bölümde açıklamaktadır. Özellikle belirtmek gerekir ki; ISO 27001 standardında
riskleri belirlemenin yanı sıra fırsatların da ele alınması gerektiği
aktarılmaktadır
COBIT, BT Risk yönetim çerçevesinin kurumun risk yönetim
çerçevesiyle aynı doğrultuda olmasını söyler ve risk bağlamının (context)
belirlenmesi konusunda iç ve dış hususların risk yönetim sürecine dahil
edilmesinden bahseder. ISO 27001 standardı risk yönetimi konusunda ISO
31000:2009 standardını referans göstermektedir. Dolayısıyla ISO 27001 de risk
kapsamının belirlenmesi konusunda tıpkı COBIT’te olduğu gibi iç ve dış hususları
ele almaktadır. Bu hususlar ISO 31000
standardının 5.3 maddesine atıf yapmakla birlikte şu konu başlıklarını
içermektedir; sosyal, kültürel, politik, yasal, mevzuata ilişkin, finansal,
teknolojik, ekonomik, doğal ve rekabetçi ortam, organizasyon kültürü, süreçler,
bilgi sistemleri ve altyapı vs.
COBIT PO9 Risk Değerlendirme ve Yönetimi süreci
açıklamasında risk yönetim çerçevesinin yaratılmış ve sürdürülüyor olmasını; bu
çerçevenin ortak ve üzerine anlaşılmış BT risklerini, indirgeme stratejilerini,
artık riskleri dokümante etmesini tarif etmektedir. Ayrıca organizasyonun
hedeflerine etki edebilecek herhangi bir planlanmamış olay (risk olayı)
tanımlanmış, analiz edilmiş, değerlendirilmiş olmalıdır. Bununla birlikte risk
indirgeme stratejilerinin artık riski kabul edilebilir düzeye indirgeyebilecek
olması ve risk değerlendirme sonuçlarının paydaşlar tarafından anlaşılabilir ve
finansal terimlerle ifade ediliyor olması gerektiğini belirtilmiştir. Kontrol
hedefleri 6 başlıkta açıklanmaktadır bunlar; PO9.1 BT Risk Yönetim Çerçevesi,
PO9.2 Risk Bağlamının Belirlenmesi, PO9.3 Olay Tespiti, PO9.4 Risk
Değerlendirmesi, PO9.5 Risk Yanıtlanması, PO9.6 Risk Aksiyon Planının
Oluşturulması ve İzlenmesidir. ISO 27001’de risk yönetimi, Madde 6.1.2 bilgi
güvenliği risk değerlendirme ve Madde 6.1.3 bilgi güvenliği risk işleme olmak
üzere iki aşamadan oluşmaktadır.
Risk Yönetimi Kapsamı
COBIT PO9.1 BT Risk Yönetim Çerçevesinde, bu çerçevenin
kurumun risk yönetim çerçevesiyle uyumlu olması beklemektedir. PO9.2 Risk
Bağlamının Belirlenmesi aşamasında uygun sonuçların elde edilmesi için risk
değerlendirme çerçevesinin uygulama kapsamı belirlenmelidir. Bu kapsam belirlenirken
risk değerlendirmede iç ve dış hususlar, değerlendirmenin hedefi ve hangi
risklerin değerlendirileceği kriterleri göz önünde bulundurulmalıdır. ISO 27001,
Madde 6.1.1 Risk ve fırsatları ele alan faaliyetlerde bilgi güvenliği yönetim
sistemi planlaması yapılırken Madde 4.3 Bilgi güvenliği yönetim sisteminin
kapsamının belirlenmesi konusuna atıfta bulunarak; risk yönetimi kapsamının
oluşturması için gereksinimleri tanımlamaktadır.
Risk Tespiti Yaklaşımı
COBIT PO9.3 Olay Tespiti yaklaşımına göre; kurumun
hedeflerine ya da operasyonuna olumsuz etki edebilecek olaylar (iş, yasal,
hukuki, teknolojik, iş ortağı, insan kaynakları ve operasyonel yönden)
bulunmalıdır ve bir kütüğe kaydedilerek ve yönetilmelidir. ISO 27001 Madde
6.1.2 Bilgi güvenliği risk değerlendirme fazındaki yaklaşıma göre; bilgi
güvenliği risk kriterlerinin oluşturulması, bilgi güvenliği risklerinin tespit
edilmesi, bilgi güvenliği risklerinin analiz edilmesi ve son olarak bilgi
güvenliği risklerinin değerlendirilmesinin yapılması beklenmektedir. Bilgi
güvenliği risk kriterlerini detaylandıracak olursak risklerin
değerlendirilmesinin yapılabilmesi için kriterlerin belirlenmesi ve ayrıca
kurumun risk iştahını tanımlayan risk kabul kriterlerinin belirlenmesi
istenmektedir.
Risk Değerlendirme
Yaklaşımı
PO9.4 Risk Değerlendirme yaklaşımına göre, belirlenen
risklerin etkisinin ve olasılığının nitel ve nicel yöntemlerle düzenli olarak
değerlendirilmesi, dokümante edilmesi ve artık risklerin tanımlanması
gerekmektedir. ISO 27001 Madde 6.1.2
Bilgi güvenliği risk değerlendirme fazında bilgi güvenliği risklerinin tespit
edilmesi aşamasında bilgi varlıkları ve süreçler üzerindeki gizlilik, bütünlük,
erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi ve risk
değerlendirme sürecinin uygulanmasıyla risklere sahipliklerin atanması ifade
edilmiştir. Bilgi güvenliğinin risklerinin analiz edilmesinde belirtilen riskin
gerçekleşmesi halinde oluşabilecek sonuçlar (etki) ile riskin gerçekleşmesi
ihtimalinin (olasılık) belirlenmesi ve bu değerler kullanılarak risk
seviyesinin belirlenmesi gerekmektedir. Risk seviyesinin belirlenmesinde
endüstride yaygın olarak etki X olasılık formülü kabul görmektedir. Risklerinin
değerlendirilmesine risk analiz aşamasında ortaya çıkan risk seviyesi
sonuçlarının risk değerlendirmelerinin yapılması için belirlenen kriterlerle
karşılaştırılarak risk düzeylerinin belirlenmesi ve analiz edilen risklerin
kritikliğine göre risk işleme için önceliklendirilmesine dikkat çekilmiştir.
Risk İşleme Yaklaşımı
COBIT PO9.5 Riskin Yanıtlanmasında; risklerin oluşumunu
azaltan maliyet etkin kontroller sağlamak için tasarlanmış bir risk yanıtlama
sürecinin geliştirilmesi ve yönetilmesi amaçlanmaktadır. Bu risk yanıt süreci;
indirgeme, kabul, paylaşma, kaçınma risk stratejilerini tanımlamalıdır. ISO
27001’de risk yönetimi için ikinci faz olan Madde 6.1.3 bilgi güvenliği risk
işlemesinde, risk değerlendirme çalışmalarının sonuçlarını dikkate alarak uygun
risk işleme seçeneklerinin seçilmesi (indirge, kabul, transfer, kaçın),
risklerin ISO 27001 Ek A maddeleriyle eşleştirilmesi, risk değerlendirme
çalışması sonucu kurumun kapsam dahilindeki süreçlerinin işleyişi için ISO
27001 Ek A maddelerinin nasıl karşılandığını bildiren bir Uygulanabilirlik
Bildirgesi oluşturulması gerekmektedir.
Risk İşleme Aksiyon
Planlaması
PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesi
süreci; gerekli olarak tanımlanan risk yanıtlarını yerine getirmek için her
düzeyde kontrol faaliyetlerinin maliyet, fayda ve icra edilebilmesi için
sorumlulukların atanması dahil olmak üzere önceliklendirilmesi ve planlanmanın
yapılmasını tavsiye eder. Önerilen aksiyonlar ve artık risklerin kabulü için
onayların alınması, alınacak aksiyonların etkilenen süreç sahipleri tarafından
sahipliklerinin bulunması ve son olarak aksiyon planının işleyişinin izlenmesi;
eğer bir değişiklik olursa üst yönetime raporlanmasını talep eder. ISO 27001 Madde 6.1.3 bilgi güvenliği risk
işlemesinde riskin işlenmesi sorumluluğunun kime verildiği, tamamlanma tarihi,
ayırılan kaynaklar gibi hususların belirtildiği bir risk işleme planının
oluşturulması, bu risk işleme planına ilişkin risk sahiplerinin onaylarının
alınması ve risk işleme sonucunda oluşan artık risklerin kabulü adımları da
diğer adımlardır. Diğer taraftan değinmemizin doğru olacağı bir diğer husus da
risk değerlendirme sonuçları sonrasında risk kabul kriteri değerinin altında
kalan risklerin risk işleme fazında doğrudan risk kabul edilebileceğidir. Ancak
kurum kabul kriterinin altında bir değere sahip bir riski de kabul etmek
dışında isteği doğrultusunda diğer risk işleme seçeneklerini (indirge,
transfer, kaçın) tercih edebilir.