Bir tehdit değerlendirme modeli, bir kuruluşun olası tehditlerin belirlenmesiyle ilgili planını ve bu tehditleri en aza indirmek veya bunlara karşı koymak için uygulayacağı araçların bir temsilidir. Bu modeller, gerekli noktaları göstermek için elektronik tabloları, grafikleri, akış çizelgelerini, şemaları veya diğer birçok yardımcı maddeyi kullanabilir.
amaç
Bir tehdit değerlendirme modelinin amacı, kuruluşlara olası tehditleri ortaya çıkmadan önce belirleme ve bunların önlenmesinin veya etkilerini tersine çevirmenin yollarının ana hatlarını vermesini sağlamaktır. Bir kuruluş gittikçe genişledikçe ve karmaşıklaştıkça, karşı karşıya kaldığı çeşitli tehdit türleri sayı ve büyüklükte büyüyebilir ve kuruluşun bu tehditleri düzenlemek ve analiz etmek için kullanabileceği ve daha sonra bunlara karşı önlemler alabilecekleri yerleşik bir modele sahip olmak önemlidir.. Bir model kullanmadan tehditleri en aza indirmeye çalışmak kafa karıştırıcı, verimsiz ve hatta karşı etkili olabilir.
Kullanımları
Tehdit değerlendirme modelleri, müşterilerin bir perakendeciye karşı dava açmasına neden olabilecek güvenlik riskleri gibi sorumluluk meseleleri söz konusu olduğunda faydalı olabilir. Ayrıca bilgisayar güvenliği gibi şeylerle de ilgilenebilirler, özellikle müşteri hesap bilgilerinin büyük mağazalarıyla uğraşan şirketler için, özellikle kredi kartı numaraları, adresler ve Sosyal Güvenlik numaraları gibi bilgileri depoladıklarında çok önemli olabilir. Olası tehditleri not ederek ve onlarla başa çıkmanın yollarını bularak kuruluşlar kendilerini, itibarlarını, müşterilerini ve genel olarak toplumu koruyabilirler.
Temel sorunlar
James Bayne'nin bilgi güvenliği eğitimi için bir kaynak olan SANS Enstitüsü'nün "Tehdit ve Risk Değerlendirmesine Genel Bir Bakış" na göre, herhangi bir tehdit değerlendirme modelinin bir dizi kilit konu ile ilgilenmesi gerekiyor. Öncelikle, fiziksel varlıklar veya hassas bilgiler gibi nelerin korunması gerektiğini tanımlaması gerekir. İkincisi, kuruluşun karşılaştığı tüm tehditleri ve açıkları tanımlamalıdır. Üçüncüsü, değerli varlıklardan herhangi birinin kaybedilmesi durumunda ne olacağını tam olarak ortaya koyması gerekir. Dördüncüsü, kuruluşun bu tür tehditlere maruz kalmasını nasıl en aza indireceği konusunda bazı çözümler sunmalıdır.
Tehditlerin Analizi
Bir tehdit değerlendirmesi yaparken, kuruluşunuzun karşılaştığı tehditlerin niteliğini ve ciddiyetini analiz etmelisiniz. Tehditleri kategorize etmenin en önemli yönü, onları insan veya insan olmayan olarak tanımlamaktır. Örneğin bir insan tehdidi bir hacker, hoşnutsuz bir çalışan, uygun şekilde eğitilmemiş bir çalışan veya hırsız olabilir. İnsan dışı bir tehdit, doğal bir felaket veya ekipman hatası olabilir. Bir tehdit değerlendirme modeli, tüm bu tehditleri listelemekte ve önem derecelerini ölçmede size yardımcı olmalıdır.
