Bilgi güvenliği risk yönetimi, olası riski değerlendirmeyi ve hafifletmek için adımlar atmayı ve sonucu izlemeyi içerir. Her değerlendirme, riskin niteliğini tanımlamayı ve bilgi sistemi güvenliğini nasıl tehdit ettiğini belirlemeyi içerir. Bu, değerlendirilen riskin olasılığını en aza indirgemek için yükseltme sistemleri gibi doğrudan risk azaltmalara yol açar. Son olarak, risk yönetimi, risk azaltma müdahalelerinin istenen sonuçları sağlayıp sağlamadığını görmek için sistemi sürekli olarak izlemeyi içerir.
BT Öz Savunma Temelleri
Bir kuruluş, görevini yerine getirme kapasitesine sahip olmasını sağlamalıdır. Bu yetenekleri tehdit eden riskleri tanımlamalı ve bu önlemlerin ekonomik ve diğer maliyetlerini göz önünde bulundurarak koruyucu önlemleri değerlendirmelidir. Çoğu modern organizasyonun karşılaştığı risklerden biri de bilgi güvenliğinden ödün vermek. Bir kuruluş, tehlikeye atılan bilgi güvenliğinin, görevini yerine getirme yeteneklerini etkileyeceği yeri belirlemeli ve oluşturduğu bütçe çerçevesinde uygun düzeltici önlemleri almalıdır.
Risk değerlendirmesi
Bir kuruluş bilgi güvenliğindeki zayıflıkların yetenekleri için bir risk oluşturduğunu belirlediğinde, risklerin nerede olduğunu bulmak için BT sistemlerini, operasyonlarını, prosedürlerini ve dış etkileşimlerini iyice incelemesi gerekir. Bu, olası tehditleri, bu tehditlere açıkları, olası karşı önlemleri, etki ve olasılıkları belirlemek anlamına gelir. Riskler, etki ve olasılığa bağlı olarak ciddiyet derecesine göre sınıflandırılabilir. Değerlendirmenin önemi, hafifletilmesi gereken yüksek risklerin belirlenmesine izin vermesidir.
Risk azaltma
Azaltma, değerlendirme tarafından belirlenen risklerin azaltılması veya ortadan kaldırılması anlamına gelir. Risk ile başa çıkma stratejileri arasında riski kabul etmek, riski düşürecek önlemleri almak, sebebi ortadan kaldırarak riski önlemek, kontrolleri devreye sokmak suretiyle riski sınırlamak veya riski bir tedarikçiye, müşteriye veya sigorta şirketine aktarmak yer alır. Hangi stratejinin uygun olduğu, riskin kuruluşun misyonunu yerine getirme kabiliyetini ve stratejiyi uygulama maliyetini ne ölçüde etkilediği ile belirlenir. Yapılandırılmış azaltma, risk yönetimi için bir çerçeve olarak önemlidir.
Değerlendirme ve İzleme
Değerlendirme ve azaltma işlemi tamamlandıktan sonra, organizasyon birimi derhal sonucu değerlendirmeli ve sistemi sürekli izlemelidir. Bu süreç, ilerleme için kriterler belirlenmesi de dahil olmak üzere değerlendirme ve azaltma etkilerinin değerlendirilmesiyle başlar. Bilgi sistemlerine değişikliklerin ve eklemelerin etkisinin değerlendirilmesi ile devam etmektedir. Son olarak, ilave risk için değerlendirilebilecek alanları belirlemek amacıyla bilgi güvenliği performansının sürekli izlenmesini sağlar. Değerlendirme ve izleme, organizasyon biriminin bilgi güvenliği riskini ne kadar başarılı bir şekilde yönettiğini belirlemek için önemlidir.
