2. BĐLGĐ GÜVENLĐĞĐ YÖNETĐMĐ VE BĐLGĐ GÜVENLĐĞĐNDE RĐSK
2.3. BĐLGĐ GÜVENLĐĞĐ RĐSKLERĐ
2.3.5. Bilgi Güvenliği Risk Analizinde Nitel Yöntemler
Bilgi güvenliğinin nitel risk ölçüm ve değerlendirmesinde gerçek sayısal değerler, finansal maliyetler ve daha önceden hesaplanmış istatistiksel gözlemlere bağlı olasılık ölçümleri yerine, öznel değerlendirmeye bağlı olan, göreceli, sayısal olmayan ölçeksel ağırlıklar veya puanlamalar kullanılmaktadır (Landoll, 2006). Nitel risk analizi yöntemlerinde, riskin gerçekleşme olasılığı veya başka bir deyişle, bir bilgi varlığına, zayıflıklarından yararlanarak bir tehdidin etki etme ve zarar verme olasılığı genelde olabilirlik (likelihood) olarak tanımlanır (Layton, 2007). Bunun nedeni, riskin gerçekleşme sıklığı veya olasılığına dair istatistiksel veriler, gözlem sonuçları, gerçek sayılar, nicel ölçümler olmaması ve bu nedenle istatistikteki genel olarak bilinen olasılık (probability) kavramını tam olarak karşılamamasıdır. Riskin yaşanma sıklığı veya tehdidin etki etme olasılığı “Az, Çok, vb” gibi nitel ifadelerle belirlendiği için, çoğu ilgili kaynakta olasılık yerine olabilirlik olarak tanımlanmaktadır (Dhillon, 2007). Nitel risk analizinde değişik yöntemler, modeller ve hesaplama araçları geliştirilmiştir. Bunların çoğu temelde aynı mantıktan yola çıkmaktadır. Bu temel mantık ve yöntem aşağıda özetlenmiştir (Peltier, 2001):
• Bilgi varlıklarının değeri “Düşük”, “Orta”, “Yüksek”, vb nitel tanımlamalarla sınıflandırılır. Bazı yöntemlerde, bu değer gizlilik, bütünlük ve kullanılabilirlik şeklinde üç alt kümeye ayrılır ve bu üçünün bileşkesi hesaplanır.
• Bilgi varlığına, belli bir zayıflığından yararlanarak etki edebilecek tehdidin gerçekleşme olabilirlik değeri “Düşük”, “Orta”, “Yüksek”, vb nitel tanımlamalarla sınıflandırılır.
• Riskin gerçekleşmesi durumunda oluşacak zarar veya etki, “Düşük”, “Orta”, “Yüksek”, vb nitel tanımlamalarla sınıflandırılır. Bazı yöntemlerde, etki değeri
gizlilik, bütünlük ve kullanılabilirlik şeklinde üç alt kümeye ayrılır ve bu üçünün bileşkesi hesaplanır.
• Yukarıda belirtilen tüm nitel sınıflandırmalar aynı zamanda göreceli bir ölçekte tanımlanır. Genelde beşli ölçek (scale) kullanılır. (1 en düşük, 5 en yüksek, vb) Literatürdeki diğer bazı yöntemlerde, üçlü, sekizli veya onlu ölçekler de kullanılmaktadır.
• Ölçekte karşılık gelen olabilirlik değeri ile zararın kartezyen çarpımı alınır. Bazı yöntemlerde, olabilirlik değeri ve zarar değerinin düz toplamı alınarak da hesaplanabilir. Olabilirlik - Zarar matrisi oluşturulur. Böylece risk değerleri belli bir ölçek içerisinde hesaplanır ve sıralanır.
• Belirlenen kabul edilebilir risk eşik düzeyinden yüksek olan riskler, risk işleme sürecine katılarak bu riskler için uygun güvenlik önlemleri ve çözümleri belirlenir.
Çizelge 2.6. ve 2.7.’de 1–9 arası ölçeklendirilmiş bir nitel risk analiz modeli örneği gösterilmektedir. Çizelge 2.6.’da, Olabilirlik - Zarar matrisi tanımı yer almaktadır. Çizelge 2.7.’de ise, Olabilirlik – Zarar matrisine göre risk sıralaması gösterilmektedir (Layton, 2007).
Çizelge 2.6. Nitel risk analizi için Olabilirlik - Zarar matrisi örneği
Yüksek 6 8 9 Orta 3 5 7 Düşük 1 2 4 Düşük Orta Yüksek E tk i Olabilirlik
Çizelge 2.7. Nitel risk analizi için risk sıralaması örneği
Etki Olabilirlik Nitel risk sıralama değeri Risk Matris puanı
Yüksek Yüksek Yüksek 9
Yüksek Orta Yüksek 8
Orta Yüksek Yüksek 7
Yüksek Düşük Orta 6
Orta Orta Orta 5
Düşük Yüksek Orta 4
Orta Düşük Düşük 3
Düşük Orta Düşük 2
Düşük Düşük Düşük 1
Nitel risk analizi ve değerlendirmesinde, ilgili literatürde çok çeşitli modeller ve yöntemler var olmasına rağmen, genelde temel mantığı bu bölümde açıklanan yönteme dayanmaktadır. Günümüzde en yaygın olarak bilinen ve ticari amaçlı yazılım olarak da üretilip kullanılan nitel risk analizi modellerinden birisi CRAMM’ dir. CRAMM (CCTA Risk Analysis and Management Method), ilk olarak 1980’lerde askeri amaçlı geliştirilmiş, daha sonra yazılım platformu güncellenip kamu veya özel tüm sektörlerin ticari amaçlı kullanımına sunulmuş nitel bilgi güvenliği risk analizi yazılımıdır (Landoll, 2006). Benzer şekilde, OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) da yaygın olarak bilinen ve kullanılan bir başka nitel risk değerlendirmesi modeli ve aracıdır (Landoll, 2006).
Bilgi güvenliği risklerinin analizi ve değerlendirilmesinde kullanılan nitel ve nicel yöntemlerin birbirlerine göreceli olarak üstünlük sağladıkları veya zayıf kaldıkları bazı temel özellikleri olduğu bilinmektedir. Çizelge 2.8.’de nitel ve nicel yöntemlerin avantaj ve dezavantajlarının karşılaştırılması özetlenerek gösterilmektedir (Peltier, 2001, Tittel, vd., 2003).
Çizelge 2.8. Nicel ve nitel risk analizi yöntemlerinin karşılaştırılması
Nicel Risk Analizi / Değerlendirmesi Nitel Risk Analizi / Değerlendirmesi
Avantajları Avantajları
Ölçütler, hesaplamalar ve elde edilen sonuçlar; nesnel, somut, bağımsız gözlemlerden elde edilen istatistiksel verilere dayanır.
Hesaplamalar basittir.
Bilgi varlıklarının parasal değerleri ve risk yaklaşımı kavramları çok ayrıntılı ve belirgindir.
Bilgi varlıklarının ve risklerin parasal değerlerini bilmeye veya ölçmeye gerek yoktur.
Risk işleme sürecindeki güvenlik çözümlerinin kar- zarar analizini yapma, bu şekilde de üst yönetimin; bilgi güvenliğindeki yatırımların verimliliğini irdeleme olanağı vardır.
Tehditlerin yoğunluğunu sayısal olarak ölçerek belirlemeye gerek yoktur.
Üst yönetimi tatmin edecek şekilde tüm bilgiler ve tüm sonuçlar parasal ve gerçek sayılarla ortaya konabilir.
Teknik bilgi becerisi yetersiz olan veya güvenlik konusunda bilgisi olmayan kişiler de risk değerlendirme sürecine katkı yapabilir. Otomatik bir süreç biçimine getirilebilir. Raporlama, sonuçları değerlendirme ve iş
süreçleri ile bütünleştirmede esnektir. Çok fazla miktarda ön bilgiye veya daha önceden yapılmış istatistiksel verilere gerek duymaz. Parasal değerin ölçülemediği veya ön bilginin hiç olmadığı koşullarda da
kullanılabilir.
Dezavantajları Dezavantajları
Hesaplamalar karmaşıktır. Öznellik ve taraflı yargıda bulunma sorunu vardır.
Genelde, ilgili bir bilgi bankasıyla ve uygun araçlarla birlikte kullanılırsa başarılı sonuç verebilir.
Bilgi varlıklarının gerçek parasal değerlerini sürece katma olanağı kısıtlıdır.
Çok fazla sayıda ön çalışmaya ve ön bilgiye gerek duyulur.
Risk işleme sürecindeki güvenlik çözümlerinin kar-zarar analizini yapma olanağı yoktur. Üst yönetime veya uzman olmayan kişilere
sunulacak kadar yalınlaştırılması çok zordur.
Tahmine dayalı olduğu için başarılı kestirimler yapılması zorunludur.
Risk değerlendirme sürecine katılan kişilerin yönlendirilmesi zor ve karmaşık bir işlemdir.
Otomatik bir biçime gelmesi çok zordur, otomasyona elverişliliği düşüktür. Risk değerlendirme süreci sırasında karar
değiştirmek çok zor ve zahmetlidir.
Kapsam dışı bırakılan riskleri sonradan hesaba katmak genelde çok zordur.
Her iki yöntemin güçlü olduğu yönleri kullanarak kısmen nitel ve kısmen nicel özellikler gösteren melez (hibrid) risk analiz ve değerlendirme yöntemleri de son yıllarda ortaya konmakta ve uygulanmaktadır. Melez yöntemlerin en yaygın olarak kullanılanlarından bir tanesi, Türk araştırmacıların geliştirdiği BĐGRA (Bilgi Güvenliği Risk Analizi Yöntemi) veya uluslararası literatürde bilinen adıyla ISRAM (Information Security Risk Analysis Method) adlı yöntem ve bu yöntemi kullanan yazılımdır. ISRAM, nitel yöntemlerle oluşturulan karar tablolarından, nicel yöntemlerle elde edilen gerçek sayısal değerlerden, bulanık mantık ve hata ağaçları analizi yöntemlerinden yararlanılarak geliştirilmiş bir modeldir (Karabacak ve Soğukpınar, 2005). Bu model, daha çok teknoloji bağlantılı risklerin değerlendirilmesinde veya ölçülmüş sayısal verilerin hazırda bulunduğu durumlarda daha etkin olarak çalışmaktadır. Nitel değerlendirmelerde kullanıcıya bağlı durumlarda, diğer tüm nitel yöntemlerdeki gibi öznellik sorunu içermektedir.
Nite ve nicel yöntemleri birlikte kullanan bir başka alternatif de, COBRA (Cost Estimation, Benchmarking and Risk Assessment) adıyla bilinen modeldir. COBRA modelinde; uzman deneyimi ile gelen nitel değerler, yaklaşık sayısal değerlere çevrilmektedir. Sonraki aşamada güvenlikle ilgili nicel sayıları kullanarak gerçek maliyete dönüştürülmektedir. Bu model, ilk başta kurumların herhangi bir projedeki proje yatırım maliyetlerini tahmin etme amacıyla geliştirilmiştir. Bilgi güvenliği risk değerlendirmesi amaçlı kullanıma da sonraki süreçlerde uyarlanmıştır (Dhillon, 2007).