Blog

Risk Yönetimi ve Yönetişim

Ali Rodoplu fotoğrafı Ali Rodoplu Bir e-posta göndermek 19/04/2021
3 11 dakika okuma süresi

Risk Yönetimi ve Yönetişim

Özet

Risk yönetimi, doğru zamanda doğru kararı vermesine, riskleri tanımlamasına, sınıflandırmasına, ölçmesine ve ardından bunları yönetmesine ve kontrol etmesine yardımcı olmayı amaçlayan planlı ve yapılandırılmış bir süreçtir. Risk yönetiminin bir kuruluş içindeki yerini ve kurumsal yönetişimdeki rolünü anlayabilmek, kuruluşun risk yönetimi,riskin tanımlanması, gerçekleşme etkisi, olasılıkların belirlenmesi ve değerlendirilmesinin ardından önemli risklerlerin yönetilmesi için uygun yolların belirlenmesinden oluşmaktadır. İnsan faktörleri ve güvenlik kültürü sürekli değişen siber riski yönetme ihtiyacına yanıt vermeli, eğitim ve  güvenlik kültürü yoluyla derslerin öğrenilebileceği ve yönetişim yöntemlerinin geliştirilebileceği siber güvenlik kültürü yoluyla sürekli mesleki gelişim sağlamalı ve aşılamalıdır.

Anahtar kelimeler: Risk Yönetimi, Yönetişim, Siber Güvenlik, Karar Verme, Belirsizlik.

GİRİŞ

Siber güvenlik alanında risk değerlendirme ve yönetiminin temel ilkelerini ve bunların risk yönetimindeki rolünü açıklayacak ve alt alanları hakkında çalışma anlayışını kazanmak için gerekli bilgileri kapsayacak şekilde bunları genişletecektir. Günlük risk ile bunun günümüzün birbirine bağlı dijital dünyasında neden önemli olduğu arasındaki ilişkiyi tartışarak başlayacağız. Değerlerimizi etkileyebilecek faktörlerin yakalanmasını ve iletişimini desteklemek için insanlar olarak neden etkili risk değerlendirme ve yönetim ilkelerine ihtiyacımız olduğunu açıklıyoruz. Güvenlik ölçütleri, risk değerlendirme ve yönetim alanında süregelen bir tartışma konusudur: risk için hangi sistem özellikleri ölçülür, risk nasıl ölçülür ve risk neden ölçülür? Bu sorular, mevcut literatür bağlamında çerçevelenmiştir. Siber güvenlik ve yönetişim tarafını ele alırken dikkate alınması gereken bazı sosyal ve kültürel faktörlerin etkili yönetişimin de neden önemli olduğunu açıklanmaktır. Son olarak, iyi tanımlanmış ve uygulanmış risk değerlendirme ve yönetim planları olsa bile, bir riskin gerçeğe dönüşmesi hala mümkündür.

RİSK NEDİR ?

Risk, günlük yaşamın kalbidir. Bir ağaçtan atlamaya karar veren bir çocuktan milyarlarca dolarlık bir şirketin CEO’sunun yatırım kararına kadar, hepimiz bizi bireyler olarak potansiyel olarak etkileyecek ve daha geniş sosyal ağlarımızı ve çevremizi etkileyen kararlar alıyoruz. Bu nedenle riski tanımlamak, oldukça felsefi ve iddialı bir konudur. Slovic ve Renn’in risk algısı üzerine yazdığı Seminal Works, bu tartışmayı çevreleyen geniş kapsamlı konuları ele alıyor ve sosyo-teknik düzeyde risk konusuyla ilgilenmemize izin vermek için soruyu özetleyen bir çalışma tanımı sağlıyor. Renn’in çalışan risk tanımı, insan eylemlerinin veya olaylarının, insanların değer verdiği şeyler üzerinde etkisi olan sonuçlara yol açma olasılığıdır. Bu, temelde, hem çocuk hem de CEO örnekleri için geçerli olan insan değerindeki riski temel alır. İnsanların ve teknolojinin içsel olarak bağlantılı olduğu bir dünyada siber güvenlik bağlamları için de geçerlidir. Birinin diğerinin başarısını destekleyememesi sosyal, ekonomik ve teknik felaketlere yol açabilir. Değerler üzerindeki etkinin çalışma tanımı, değeri nasıl tanımlayacağınıza ve riski ölçmek ve yönetmek için kullanılabilecek göstergeleri nasıl yakalayacağınıza dair başka bir soruyu gündeme getirir. Renn, bunun için gerekli olan üç temel soyut unsuru tanımlıyor: insanların neye değer verdiğini etkileyen sonuçlar, ortaya çıkma olasılığı (belirsizlik) ve her iki unsuru birleştirmek için bir formül. Bu unsurlar, çoğu risk değerlendirme yönteminin merkezinde yer alır. Bu tür yöntemler, değeri olan varlıkları ve işletmeleri etkileyen istenmeyen sonuçların olasılığını yakalamak için yapılandırılmış bir yaklaşım sağlamayı amaçlarken, aynı zamanda çok düşük olasılığa sahip bir şeyin bile gerçekleştirilebileceğini ve bir değer üzerinde önemli bir etkiye sahip olabileceğini akılda tutmayı amaçlar.

  • Risk Değerlendirme ve Yönetimi Neden Önemlidir?

Risk değerlendirmesi üç temel bileşeni oluşur: (i) Tehlikenin belirlenmesi ve mümkünse tahmini; (ii) Maruziyet ve / veya zafiyet değerlendirilmesi; ve (iii) Olasılık risk tahmini. Tanımlama, olayların oluşturulması ve sonraki sonuçlarla ilgilidir; tahmin ise sonucun göreceli gücü ile ilgilidir. Maruziyet, bir sistemin tehdit aktörlerine (örneğin, insanlar, cihazlar, veritabanları) açık yönleriyle ilgili iken, güvenlik açığı, hedeflenebilecek bu yönlerin öznitelikleriyle ilgilidir (örneğin, aldatmaya yatkınlık, donanım aws, yazılım istismarları). Risk tahmini nicel (örn. Olasılıklı) veya nitel (örn. Senaryo temelli) olabilir ve sonuçların beklenen etkisini yakalar.

Risk değerlendirmesinin temel kavramı, neyin tehlikede olduğu, istenen ve istenmeyen olayların potansiyeli ile olası sonuçların ve etkilerin bir ölçüsünü içeren bilgileri, algıları ve kanıtları yakalamak için analitik ve yapılandırılmış süreçleri kullanmaktır. Bu bilgilerin hiçbiri olmadan, tehditlere maruz kalmamızı anlamak veya bunları yönetmek için bir plan yapmak için hiçbir dayanağımız yoktur. Risk değerlendirme sürecinin genellikle gözden kaçan bir kısmı, tekrar gözden geçirme değerlendirmemesidir. Bu, kamuya açık risk algılama literatüründen kaynaklanır, ancak aynı zamanda belgede daha sonra tartışacağımız gibi siber güvenlik risk değerlendirmesi için de önemlidir. Riskin daha kanıtsal, bilimsel yönlerine ek olarak, endişe değerlendirmesi, daha geniş paydaş algılarını içerir: tehlikeler, risk etkilerinin yansımaları, korku ve korku, risk yönetimi üzerinde kişisel veya kurumsal kontrol ve risk yöneticilerine güven. Risk yönetimi süreci, risk (ve endişe) değerlendirmelerinin bir parçası olarak toplanan bilgilerin gözden geçirilmesini içerir. Bu bilgiler, algılanan her risk için üç sonuca götüren kararların temelini oluşturur:
Risk edilemez : Sistemin risk altındaki yönü değiştirildiğinde veya mümkün değilse, güvenlik açıklarının azaltılması ve maruz kalmanın sınırlandırılması gerekir.

Tolere edilebilir : Riskler,makul ve uygun yöntemlerle makul olarak mümkün olan en düşük düzeye (ALARP) veya makul olarak izin verilebilir en düşük düzeye (ALARA) adı verilmiştir.

Risk değerlendirme seçenekleri arasında, riski azaltmayı, paylaşmayı veya transfer etmeyi içerebilir; bunların seçimi, risk yöneticilerinin (ve daha genel olarak şirketin) risk alma yönetimine bağlı olacaktır.

• Kabul edilebilir: Risk azaltma gerekli değildir ve müdahale olmaksızın devam edebilir. Bu nedenle sonuç, riski azaltmak yerine kabul etmek ve benimsemek olabilir. Hillson, bu perspektifi daha ayrıntılı olarak tartışır Hangisinin seçileceğine karar vermek, örneğin (ISO 31000: 2018’de önerildiği gibi), somut ve soyut belirsizlik, risk gerçekleştirmenin sonuçları (iyi veya kötü), riske olan bakış gibi bir dizi faktöre bağlı olacaktır. Riskleri yönetebilmek için kurumsal kapasite vb.

Bu kararlardan ziyade, farklı risk yönetimi planları gerektiren Ren’in dört risk türü ;
Bunlar şunları içerir:

• Rutin riskler: Bunlar, yönetim için oldukça normal bir karar alma sürecini takip eder. İstatistikler ve ilgili veriler sağlanır, istenen sonuçlar ve kabul edilebilirlik sınırları tanımlanır ve risk azaltma önlemleri uygulanır. Renn’e göre;

araba kazaları ve güvenlik cihazlarına örnekler.

• Karmaşık riskler: risklerin daha belirsiz olduğu yerlerde, daha geniş bir risk  yönetimine ihtiyacı olabilir.

Kanıt seti ve maliyet-fayda analizi veya maliyet-etkinlik gibi karşılaştırmalı bir yaklaşımı göz önünde bulundurun. İlaç tedavisi etkileri veya iklim değişikliği gibi Scienti_c muhalefeti bunun örnekleridir.

• Belirsiz riskler: Öngörülebilirliğin olmadığı durumlarda, tersine çevrilebilirlik, kalıcılık ve aynı anda her yerde bulunma gibi faktörler.

Belirsizlik : Operasyonel personel veya sivil toplum gibi daha geniş paydaşların riski farklı şekilde yorumladığı durumlarda (örneğin, farklı bakış açılarının mevcut olması veya yönetim kontrolleri konusunda fikir birliğinin olmaması), risk yönetiminin farklı görüşlerin nedenlerini ele alması gerekir.

Renn, refahın sürdürülebilirlik seçenekleriyle çeliştiği durumlarda genetiği değiştirilmiş gıdalar örneğini kullanıyor.

Bahsedilen yönetim seçenekleri, risk temelli bir yönetim yaklaşımını (risk-fayda analizi veya karşılaştırmalı seçenekler), dayanıklılığa dayalı bir yaklaşımı (riskin büyük olasılıkla kalacağının kabul edildiği ancak riskin içerdiği durumlarda, örneğin ALARA / ALARP ilkelerinin kullanılması) kapsamakta. Riskin kabul edilebilirliği ve varolan riski çözümleme planını etkili bir şekilde değerlendirilmeden, riskin olduğu sonuçlara müdehale edilen aksiyonların etkisiz olması muhtemelen sonuç olarak riskin yayılmasına yol açması muhtemeldir.

Bu faktörlere dayalı olarak, risk değerlendirmesi ve yönetimi kesinlikle bir ürün değil bir süreçtir. İyi yapıldığında, bir sistemin direncini önemli ölçüde geliştirme potansiyeline sahip bir şeydir. Kötü yapıldığında (veya hiç yapılmadığında) kafa karışıklığına, itibar hasarına ve sistem işlevselliği üzerinde ciddi etkilere yol açabilir. Bazen ihtiyaç duyulmadan önemsiz olarak algılanan, ancak kriz anında iş sürekliliği için kritik olan bir süreçtir. Risk değerlendirme süreci boyunca, risk algısının çeşitli faktörlere göre önemli ölçüde değiştiğinin ve nesnel kanıtlara rağmen değişmeyeceğinin farkında olmalıyız.

  • Siber Risk Değerlendirmesi ve Yönetimi Nedir ?

Dijital teknoloji her geçen gün daha yaygın hale geliyor ve günlük hayatımızın neredeyse her yönünü destekliyor. İnternet altyapısının büyümesiyle bağlantılı cihazların 2025 yılına kadar 75 milyardan fazla seviyelere ulaşması bekleniyor. Örneğin; Fidye yazılımlarının bir sonucu olarak ayrım gözetmeksizin kesintiye uğrayabileceğimizi giderek daha fazla güvenceye alıyoruz. Bu nedenle, siber güvenlik risk değerlendirmesi ve yönetimi, dijital alanda yaşayan ve çalışan herkesin anlaması ve katılımcısı olması gereken temel bir özel durumdur.

Siber risk değerlendirmesi ve yönetimi için resmi hale getirmeyi ve ortak bir çerçeve sağlamayı amaçlayan bir dizi küresel standart vardır ve bu bölümde bunlardan bazılarını inceleyeceğiz. Riskle ilgili en önemli pozisyonlardan bazılarının yüksek seviyeli tanımlarıyla başlayacağız. Birleşik Krallık, siber güvenlik taahhüdü ve küresel düzeyde ülke bazında durumun bilimsel temelli bir incelemesi olan 2018 Küresel Siber Güvenlik Endeksi’nde (GCI) birinci sırada yer aldı. İnceleme beş ayağı kapsıyor: (i) yasal, (ii) teknik, (iii) örgütsel, (iv) kapasite geliştirme ve (v) işbirliği – ve ardından bunları genel bir puan içinde bir araya getiriyor. GCI’nin lider ülkesi olan siber güvenlik teknik otoritesi olan Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) risk yönetimi konusunda kılavuz yayınladı. Daha da önemlisi, NCSC, risk değerlendirmesi ve yönetimi için tek bir boyut olmadığında açıktır. Aslında, bir onay kutusu uygulaması olarak risk değerlendirmesi ve yönetimi yürütmek, yanlış bir güvenlik duygusu yaratır ve bu da, riskten etkilenen kişilerin, uygun şekilde hazırlanmadıkları için Kırılganlıklarını potansiyel olarak artırır. Siber güvenlik o kadar hızlı gelişen bir alandır ki, tamamen siber güvenli olamayacağımızı kabul etmeliyiz. Ancak hazırlığımızı artırabiliriz. Potomac Politika Araştırmaları Enstitüsü, bir dizi ülke (ABD, Hindistan, Güney Afrika, Fransa, İngiltere dahil) için ülkeye özgü bir prole ve bununla ilişkili bir siber hazırlık endeksi ile birlikte siber hazırlığı incelemek için bir çerçeve sağlar.

  • Risk Yönetimi

Risk değerlendirmesi ve riski yönetmek için azaltma ilkelerinin geliştirilmesi, ancak yönetilmekte olan sistemde koordineli ve iyi iletilmiş bir yönetişim politikasının uygulandığı durumlarda etkili olabilir. Millstone ve diğerleri üç yönetişim modeli önermiştir:

Teknokratik: Politikanın doğrudan bilim ve alan uzmanlığından gelen kanıtlar tarafından bilgilendirildiği yer.

Kararcı: Risk değerlendirmesi ve politikanın yalnızca bilimin ötesinde girdiler kullanılarak geliştirildiği yer. Örneğin, sosyal ve ekonomik itici güçleri dahil etmek.

Şeffaf (kapsayıcı): risk değerlendirmesi bağlamının bilim, politika, ekonomi ve sivil toplumdan gelen girdilerle baştan düşünüldüğü yer. Bu, risk değerlendirmesini ve sonraki yönetim politikasını şekillendiren – daha geniş paydaşların görüşlerini içeren – bir “ön değerlendirme” modeli geliştirir.

Sonuç olarak bir yönetişim perspektifinden, politika geliştirme ne kadar kapsayıcı ve şeffaf olursa, risk yönetimi politikaları ve ilkeleri için daha geniş paydaş gruplara ulaşımı kolaylaştırılarak  destek yönetimi kapsamında olasılıklar büyük oranda artacaktır.

  • İnsan Faktörü ve Risk İletişimi

İnsan faktörü ve risk iletişimi Sasse ve Flechai göre  insanlar da dahil olmak üzere güvenlik yönetimini etkileyebilecek insan faktörlerini belirlediler: güvenlik araçlarını doğru kullanmada sorunlar yaşamak; organizasyonları için veri, yazılım ve sistemlerin önemini anlamamak; varlıkların risk altında olduğuna inanmamak (yani siber güvenlik saldırıya uğrayacakları) veya davranışlarının sistemi riske attığını anlamamak. Bu, riskin tek başına teknoloji ile azaltılamayacağını ve bu endişe değerlendirmesinin önemli olduğunu vurgulamaktadır. Risk algısı, siber güvenlik ihlallerinin yıldan yıla arttığını gösteren istatistiklere rağmen, insanların varlıklarının saldırıya uğramayacağına (tarafından belirtildiği gibi) inanmadıklarına dair yaygın bir görüş varsa, o zaman muhtemelen organizasyondaki siber güvenlik kültürü ile ilgili bir sorun.

  • Güvenlik Kültürü ve Farkındalığı

Dekker’in Just Culture ilkeleri, güvenlik bağlamında hesap verebilirliği öğrenmeyi dengelemeyi amaçlamaktadır. Hesap verebilirlik hakkında düşünme şeklimizi, bir kuruluşun güvenlik duruşunu öğrenmek ve iyileştirmekle uyumlu hale getirmek için değiştirme ihtiyacını öneriyor. İnsanların, özellikle hatalı olabileceklerini düşündüklerinde, sorunları ve endişelerini bildirebileceklerini hissetmeleri önemlidir. Sorumluluk, damgalanma ve cezalandırma endişesi olmaksızın, kuruma yardım etmekle içsel olarak bağlantılı olmalıdır. Genellikle, güvenlik yönetişiminden sorumlu olanların, bunu operasyonel dünyada uygulamanın ne anlama geldiğine dair sınırlı farkındalığa ve anlayışa sahip olduğundan dolayı bir sorun olarak algılanmaktadır.

Bu durumunda net bir doğru ve yanlışın olmadığını ve risk yönetimi düşünülmemiş, bir süreç ve uygulamaların kötü niyetli insan davranışının aksine güvenlik ihlallerine karşı bir güvenlik bakış farkındalığın olması gerekmektedir.

  • Siber-Fiziksel Sistemlerde Risk Değerlendirme ve Yönetimi

Geleneksel BT güvenliği (ör. Kurumsal masaüstü bilgisayarlar, cihazlar ve sunucular) genel olarak risk değerlendirme perspektifine odaklanabilirken
Bileşenler ve sistemler içinde erişim (gizlilik), değişiklik (bütünlük) ve kesinti süresinin (kullanılabilirlik) en aza indirilmesi konusunda, siber-fiziksel sistemler ve Operasyonel Teknoloji (OT) dünyası tipik olarak güvenliğe daha fazla odaklanır. Bu bileşenler ve sistemler,
Enerji temini, ulaşım ve su arıtma gibi Kritik Ulusal Altyapının (CNI) temelini oluşturan Endüstriyel Kontrol Sistemleri (ICS’ler) olarak da bilinir.

  • Güvenlik Metrikleri

Güvenlik ölçümleri, güvenlik ölçümünün değeri konusunda tartışmalar olduğu için risk topluluğu içinde uzun süredir devam eden bir tartışma alanıdır. Bir kuruluşun ne kadar güvenli olduğunu veya olabileceğini ölçmek genellikle zordur. Düşük, orta, yüksek veya kırmızı, yeşil gibi nitel temsiller tipik olarak güvenilir nicel verilerin yokluğunda kullanılır, ancak genellikle bu tür değerlerin öznel olduğu ve farklı paydaşlar için farklı şeyler ifade ettiği konusunda bir endişe vardır. Açık sorular şunları içerir: Bir sistemin hangi özellikleri risk için ölçülmelidir ? Risk nasıl ölçülür? Ve risk neden ölçülür? Bazı ölçütler risk seviyeleriyle, bazıları sistem performansıyla ve diğerleri hizmet sağlama veya güvenilirlikle ilgili olabilir.
Jaquith, uygun önlemlerin seçilmesine yardımcı olmak için neyin iyi ve kötü metrikleri oluşturduğuna dair bazı yararlı ipuçları sağlar.

Jones ve Ashenden’e göre güvenlik ölçütlerine aktör odaklı bir yaklaşım benimseyerek, tehditlerin niteliksel ve niceliksel karma bir yönteme göre sıralandığı bir dizi senaryo sunuyor. Örneğin; Ulus devlet tehditleri, nüfus, okuryazarlık gibi ölçütlere dayan ve kültürel faktörler; teknik uzmanlık, eğitim düzeyi ve faaliyet geçmişiyle ilgili terörist gruplar; Baskı grupları üyeliğin dağılımına, aktivist sayısına ve finansmana göre sıralanır. Çerçeve, önlemlerin nasıl alınacağına dair bir perspektif sağlar.
İstihbarat odaklı ve kültürel temelli risk değerlendirmesini destekleyebilecek tehdit ölçümlerini temel alır. Bununla birlikte, “bir saldırgan gibi düşünme” veya saldırganın profilini çıkarma yaklaşımının, ulus devlet düzeyinde bile (çok fazla yatırım ve istihbaratla) başarısız olduğu bildirildi.

  • İş Sürekliliği: Olay Müdahale ve Kurtarma Planlaması

Karşı karşıya kaldıkları riski anlayan ve yöneten bir şirket içindeki sorumlu kişilerin veya kurulların tüm çabalarına rağmen, bir noktada siber güvenlik savunmalarının ihlal edilmesi muhtemeldir. Risk değerlendirme, yönetim ve yönetişim sürecinin önemli bir parçası, olayları yönetme ve siber saldırılara hızla yanıt verme sürecinin dikkate alınmasını ve planlanmasını içerir. Amaç, sistem üzerindeki etkisini anlamak ve bunu en aza indirmek, bir iyileştirme planı geliştirmek ve uygulayarak bu anlayışı, gelecekte güvenlik açıklarında başarılı bir şekilde kullanılmasına karşı daha iyi korunmak için savunmaları iyileştirmek üzere kullanılmasını sağlanması olarak değerlendirilebilir. Bu hala siber güvenliğin olgunlaştığı bir alandır. Kuruluşlar, itibar hasarını önlemek ve güvenlikteki açıkları örtmek için genellikle siber güvenlik ihlalleri hakkındaki bilgileri anonim tutmayı tercih eder. Bununla birlikte, diğer kuruluşların da dahil olması muhtemeldir. Rakipler gelecekte aynı kaderi yaşayacakları muhtemel ve meydana gelen olayla ilgili önceden bilgi sahibi olabilir. Geniş ölçekte, özellikle siber güvenliğin saldırgan tarafının iletişim kuracağı ve işbirliği yapacağı düşünüldüğünde, bu ele alınması gereken bir konudur.

Sistemleri istismar etmeye yönelik fırsatlar ve güvenlik açıkları hakkında istihbarat paylaşmak. Finans ve ilaç sektörleri gibi bazı endüstriler, bu tür istihbaratı paylaşmak için düzenlemelere sahiptir, ancak henüz her türden kuruluş için sıradan hale gelmemiştir. Cyber ​​Defense Alliance Limited (CDA), Cyber ​​Information Sharing Partnership (CISP) ve OpenWeb Application Security Project (OWASP) gibi büyük kamu konsorsiyumları, siber güvenliğe yönelik en son tehditler hakkında istihbaratı paylaşma ve bunlara erişim sağlama konusunda topluluğu desteklemek ve Olay yönetimi hakkında daha ayrıntılı bilgi için Güvenlik Operasyonları ve Olay Yönetimi Bilgi Alanı’na bakınız.
ISO / IEC 27035-1: 2016  Olay yönetimi için uluslararası bir standart tanımlama ilkeleridir.

ISO / IEC 27005 modelini genişletmek ve aşağıdakiler dahil olmak üzere olay müdahalesi için adımlar içerir:

•Planlayın ve Hazırlayın: bir olay yönetimi politikasının tanımlanması ve olaylarla ilgilenmek için bir ekip kurulması dahil.

•Algılama ve Raporlama: gözlemleme, izleme, güvenlik olaylarını algılama ve raporlama.

•Değerlendirme ve Karar: Olayın varlığını ve bununla ilişkili ciddiyetini belirlemek ve bunun üstesinden gelmek için adımlar konusunda kararlı eylemde bulunmak.

•Müdahale: Bu, adli analiz, sistem yaması veya olayın kontrol altına alınması ve iyileştirilmesini içerebilir.

Konuyla ilgili son olarak, Sistem düzeyinde risk değerlendirme yöntemleriyle birlikte olay yönetimi yaklaşımları, tabii ki tedarik zincirlerini de içerebilen ve içermesi gereken, etkileşimler ve sistemin birbirine bağlı yönleriyle ilgili risklerin yakalanmasını sağlamak için tasarlanmıştır, ancak bunu yalnızca gerekli özen gösterilmesi durumunda yapar. Riskin bu yönü göz önüne alındığında. Tedarik zincirlerinin siber güvenliği riski, risk değerlendirmesi ve yönetişim açısından bir konu olarak ortaya çıkmaktadır ve önemli bir konu olarak değerlendirilmelidir.

3.SONUÇ

İnsandan kaynaklanan eylem ve olayların, insanların değer verdiği şeyleri etkileyebilecek sonuçlara yol açma olasılığının çalışma tanımını kullanarak temel risk kavramlarını açıkladık ve bunu siber risk yönetimi ve yönetişim bağlamına yerleştirdik. Uluslararası uygulamada yaygın olarak benimsenen akademik temelleri kullanarak, ön değerlendirme ve bağlam belirleme, risk ve endişe değerlendirmesi arasındaki bağlantıları açıkladık. Karakterizasyon,değerlendirme, yönetim ve yönetişim. Risk yönetişimi, toplu karar vermenin temelini oluşturan ve hem risk değerlendirmesini hem de değerlendirmeye dahil olmak üzere yönetimi kapsayan, devam eden süreçlerin ilkelerden oluşan kapsayıcı bir settir. Riskin değerlendirildiği yasal, sosyal, örgütsel ve ekonomik bağlamların bir kısmını tehlikeye atan şeyle ilgili bilgileri, algıları ve kanıtları yakalayan yapılandırılmış süreçlerin bir parçası olarak kullanılan bazı temel terminolojileri, arzu edilen potansiyel istenmeyen olaylar ve muhtemel sonuç etkilerin ölçütleri – nitel veya nicel. Gelecekte siber güvenliği iyileştirmek için risk yönetimi politikasına karar verilmeli  ve biz de bunu yapacağımızı kabul etmeliyiz. Muhtemelen hiçbir zaman tamamen güvenli olmayacak. Buna paralel olarak, insan faktörleri ve güvenlik kültürü sürekli değişen siber riski yönetme ihtiyacına yanıt vermeli, eğitim ve adil kültür yoluyla derslerin öğrenilebileceği ve yönetişim yöntemlerinin geliştirilebileceği güvenlik kültürü yoluyla sürekli mesleki gelişim sağlamalı ve aşılamalıdır.

 

Ali Rodoplu fotoğrafı Ali Rodoplu Bir e-posta göndermek 19/04/2021
3 11 dakika okuma süresi
Ali Rodoplu fotoğrafı

Ali Rodoplu

İlgili Makaleler

Exchange Online’da Basic Kimlik Doğrulamasını Tamamen Sonlanıyor. Çözüm İçerde!

15/04/2024

Azure DevOps CI/CD süreçleri ile Visual Studio

10/04/2024

Veeam ONE – VID Log Şişme Sorunu

09/04/2024

SCCM PXE Geç Yükleme Sorunu ve Çözüm Önerileri

09/04/2024

3 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu