[ This article was originally published here ]
Risk, tanımlaması istendiğinde birçok kişinin riskin ne olduğunu ve siber güvenlik için nasıl uygulandığını açıklamakta zorlandığı siber güvenlik içindeki standart terimlerden biridir. Başlamak için, güvenlik için geçerli olduğu için riski anlamamız gerekir. Risk, matematik gibi, insanların çevrelerini anlamak ve tanımlamak için kullandıkları yapay bir yapıdır.
Temel anlamda risk, olumsuz veya istenmeyen bir olayın meydana gelme olasılığı ve bu olayın gerçekleşmesi durumunda Etkisi olarak tanımlanabilir. Riski ifade etmek için basit bir hesaplama, riskin, olasılık (P) olarak ifade edilen olasılığın fonksiyonu (f) ve olayın meydana gelmesi durumunda Etki olmasıdır. Genellikle parasal olarak ifade edilir. (BEN). Hesaplama R=f(PI) olarak görünür. ( | AT&T Siber Güvenlik (att.com)
100.000 dolar değerinde bir ev düşünün. Diyelim ki bir sigorta acentesi her yıl evin tamamen yanarak evin tamamen kaybolmasıyla sonuçlanma olasılığını %1 olarak hesaplıyor. Yıllık Zarar Beklentisi (ALE), R=f(PI) veya R = f(.01 • 100.000$) veya yılda 1.000$ olarak hesaplanabilir. Sigorta şirketi daha sonra primi ALE’ye göre hesaplar ve bir marj ekler.
Aynı şekilde, risk, öncelikli bir şekilde ele alınacak en önemli riskleri belirlemek için emniyet ve tüm güvenlik alanlarında kullanılabilir. Başka bir basit örnek kullanarak, iki örnek düşünün. NASA’ya göre, insanlar Dünya’da yaklaşık olarak her dokuz yılda bir meteorlara çarpıyor. Meteorların çarptığı insanlardan en az yedi ölüm kaydedildi. ( | Keşfet Dergisi)
Bir göktaşı çarpması kesinlikle eğlenceli bir şey olmasa da, bunu belirli bir yılda ölümle sonuçlanan araba kazalarının sayısıyla karşılaştırın. Ulusal Güvenlik Konseyi’ne göre, otomobil kazalarından yılda yaklaşık 35.000 ölüm ve yılda 2 milyondan fazla kaza meydana gelmektedir. ( – Ulusal Güvenlik Konseyi).
Evinizden ayrıldığınızı ve riski yönetmek için yalnızca tek bir kontrolü düşünmenize izin verildiğini varsayalım. Bir göktaşı çarpması riskini azaltmak için bir Titanyum kask satın alabilir veya arabanıza bindiğinizde emniyet kemerinizi bağlayabilirsiniz. Kontrollerden hangisi büyük olasılıkla en önemli miktarda riski azaltacaktır? Bir göktaşı çarpması riski son derece küçüktür, oysa bir araba kazası geçirme olasılığı çok daha fazladır. Bu senaryoda, emniyet kemeri takmak ve meteorit korumasından vazgeçmek akıllıca olacaktır.
Aynı şekilde, risk analizi de şirketlerin siber risklerini etkin ve verimli bir şekilde önceliklendirmelerine ve azaltmalarına yardımcı olabilir. Tüm şirketler göktaşlarından (gösterildiği gibi), bilgisayar korsanlarından ve kötü niyetli kişilerden sel gibi doğal olaylara kadar sonsuz risklerle karşı karşıyadır. Tüm kuruluşların sonsuz riskleri ele almak için sınırlı bütçeleri ve kaynakları vardır. Soru şu hale gelir: “Bir şirket en büyük riskleri ele almak için bu kaynakları en etkin şekilde nasıl tahsis eder?”
Kuruluşlar, risk temelli bir yaklaşım uygulayarak, bir dizi faktöre dayalı olarak risklerini hızlı bir şekilde tanımlayabilir ve önceliklendirebilir. Tam bir liste olmasa da, korunan veri türü (fikri mülkiyet, PII, NPI, vb.), kuruluşun çalıştığı sektör (ulusal savunma, perakende, üretim vb.) ve türleri gibi hususlar, kullanılan teknolojilerin tümü, risk profilinin belirlenmesinde ve belirlenen riskleri kabul edilebilir bir düzeye indirecek stratejilerin belirlenmesinde rol oynar.
Birçok şirket, birincil risk azaltma kaynağı olarak siber sigortayı kullanmayı seçmiştir. Bu kusurlu bir yaklaşımdır. Risk azaltmanın dört farklı yolu vardır. Her biri kapsamlı bir risk yönetimi stratejisi için düşünülmelidir. Bunlar şunları içerir: 1) Risk Azaltma/Kontrol (tartışıldığı gibi kontrolleri uygulayarak), 2) Risk Aktarımı (siber sigorta gibi) 3) Risk Kabulü (ele alınmaya değmeyen de minimus riskini kabul etmek) 4) Riskten Kaçınma (şiddetten kaçının) riske maruz bırakan iş veya eylemlerde bulunmayarak risk).
Yukarıdaki stratejilerin her birinin değeri olmakla birlikte, birini diğerlerini düşünmeden seçmek kapsamlı bir risk yönetimi stratejisine imkan vermemektedir. Şirketler, güvenliğe riske dayalı bir yaklaşım uygulayarak, riskleri ve tehditleri maliyet açısından en verimli ve etkili bir şekilde ele alabilirler.
reklam