Bilgi Güvenliği Risk Analizi İle İş Sürekliliğini Koruma

Siber saldırıların sıklığı ve yoğunluğu, nihayetinde hükümetler tarafından medyada ve kamuoyunda geniş çapta kabul görüyor. Bireyler, kişisel bilgilerinin kötü niyetli hackerlar tarafından ele geçirilmesinin veya sistem güvenlik açıkları yoluyla ifşa edilmesinin tehlikelerini düşünüyorlar. İş dünyası liderleri, her türlü bilgi güvenliği ihlalinin potansiyel olarak korkunç olduğunu biliyorlar. Bu ihlaller, ticari operasyonları ve hatta organizasyonun varlığını riske atıyor. Ancak tehditlerin gerçek olduğunu bilmek elbette yeterli değil.

Bilgi güvenliği veya InfoSec, işletmelerin veri sistemlerini yetkisiz kullanım, kesinti veya yıkımdan korumak için kullandıkları aktif önlemleri ifade eder. Herhangi bir çevrimiçi veya dijital varlığı olan işletmeler için bilgi güvenliği, veri gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaya odaklanan bir risk analizi ile başlar ve bu, nihayetinde devam eden ticari operasyonel sürekliliği korur. Bu blog yazısı, herhangi bir iş sürekliliği planını bilgilendirmesi gereken beş temel risk analizi alanını gözden geçirmektedir.

Varlıkların Temel Değerlendirmesiyle Başlayın

Riski ve iş kesintisi potansiyelini anlamak, varlıklarınızı bilmekle başlar. Uygun yönetim ve teknik ekipler, bilgi ve fiziksel varlıkların bir değerlendirmesini tasarlamalı ve uygulamalıdır. Bu varlıklar fikri mülkiyeti, müşteri ürününü, gizli kayıtları, sunucuları, sözleşmeleri, kasaları, dosyaları ve veri tabanlarını içerebilir. Aşağıdakiler dahil olmak üzere her bir varlığın kapsamlı bir temel değerlendirmesi tamamlanmalıdır:

• Her şirket varlığının ve konumunun belirlenmesi
• Her varlığın değerini belirtme
• Her biri için yürürlükte olan risk ve koruma türlerini bilmek
• Mevcut Hizmet Düzeyi Sözleşmeleri sürdürmek için her bir varlığın kullanılabilirlik gereksinimlerinin detaylandırılması
• İşletmenin risk toleransına dayalı olarak her birini korumak için yapılması gereken finansal ve kaynak yatırımını belirlemek

Belirli bir varlık ortadan kalkacaksa, temel değerlendirme, bununla ilişkili doğrudan gelir kaybını ve iş itibarı kaybını da doğru bir şekilde tahmin etmelidir.

Teknik Seçenekleri Anlayın Ve Belgeleyin

Teknik ekipler tarafından yapılan yazılım ve araç seçimleri, siber tehditlere karşı korunma ve risklerin azaltılması açısından kritik öneme sahiptir. Kimlik doğrulama, yetkilendirme ve erişim için en iyi uygulamaları ve araçları benimsemek önemlidir. Antivirüs ve kötü amaçlı yazılım korumaları, sağlam ağlar, güvenlik duvarları ve/veya sıfır güven çözümleri ve güçlü erişim kontrol sistemlerine sahip farklı uygulama filtreleme katmanlarının tümünün, altyapıyı ve verileri tehdit eden kötü niyetli davranışlara karşı savunmak için uyum içinde çalışacak şekilde yapılandırılması gerekir. Ek olarak, iyi ayarlanmış günlük kaydı ve izleme araçları, sistemlere tam görünürlük sağlamalı ve olası sorunlara işaret eden anormallikleri tespit etmelidir.

İş Süreçlerinden Kaynaklanan Riski İnceleyin

İş sürekliliğini sağlamaya yardımcı olmak için günlük iş süreçlerini incelemek için sağlam bir risk analizine ihtiyaç vardır. CISO’ların(Bilgi Güvenliği Yöneticisi) güvenlik ve olağanüstü durum kurtarma araçlarına milyonlar harcamasına rağmen, genellikle iş süreçleri kötü yönetildiğinde ihlaller meydana gelir.

İlk olarak, satıcı sözleşmelerini, gizlilik sözleşmelerini ve üçüncü taraf gereksinimlerini göz önünde bulundurun. Hepsi tam olarak anlaşılmış ve kuruluş içinde iyi uygulanmış mı? Genellikle ISO 27001, SOC ve HIPAA gibi düzenlemeler ve standartlar dahili protokolleri etkiler. İkincisi, çok çeşitli bilgi güvenliği riskleri, kabul edilebilir kullanım politikaları ve veri koruma konusunda tutarlı çalışan eğitimi ve sürekli eğitim hayati önem taşımaktadır. Verilerin kazara veya kasıtlı olarak ele geçirilmesini önleyen değişiklik yönetimi prosedürleri sağlam olmalıdır. Üçüncüsü, açık API’lerin ve düşük kodlu veya kodsuz araçların yaygın kullanımıyla birçok KOBİ’de ve kuruluşta iş ve teknik süreçler birleştiğinden, uygulama geliştirme ve platform kullanımıyla ilgili insan süreçlerinin anlaşılmasını ve güvenliğini sağlamak, riskleri analiz ve kontrol etmede anahtardır.

Veri Kaybının Miktarı Ve Süresindeki Faktör

Felaket meydana geldiğinde, iş sürekliliği temelde iki nicel kavrama, RPO ve RTO’ya bağlıdır. RPO (Kurtarma Noktası Hedefi), bir şirketin iş operasyonlarını etkilemeden önce kaybetmeyi göze alabileceği veri miktarını (yedeklemeler arasındaki süre olarak ifade edilir) ifade eder. RTO (Kurtarma Süresi Hedefi), bir felaketin ilan edilmesinden sonra, iş operasyonları yeniden normal şekilde çalışmaya başlayana ve kaynaklar kullanıma hazır hale gelene kadar geçen süreyi ifade eder. Bir risk analizi, RTO ve RPO’yu ve bu gereklilikleri yerine getirmek için gereken sistemleri değerlendirmelidir.

Bulut Ve Şirket İçi Yatırımları Bilgi Güvenliği İhtiyaçlarıyla Uyumlu Hale Getirin

Hibrit ve çoklu bulut dağıtım seçenekleri de dahil olmak üzere son on yılda bulut hizmetlerinde yaşanan çarpıcı gelişmelerle birlikte, risk analizinin beşinci temel parçası, hem normal operasyonlar hem de bir felaket sırasında bulut ve şirket içi kaynaklardan en iyi şekilde nasıl yararlanılacağının değerlendirilmesidir. Genel bulut seçenekleri ve korumaları, basit iş yükleri olan küçük ve orta ölçekli şirketler için mantıklı olabilirken, şirket içi sistemler ve hibrit dağıtımlar, son derece özelleştirilmiş altyapıya sahip büyük kuruluşlar için en iyi sonucu verir.

Sonuç olarak, ister doğal ister insan kaynaklı bir felaketten kaynaklansın, normal operasyonlardaki kesintiler, bir işletmenin iyileşme yeteneğini mahvedebilir. Bilgi güvenliği stratejilerinin bir parçası olarak kapsamlı bir risk analizi yapan ve boşlukları keşfettiklerinde hemen harekete geçen şirketler, bir sonraki büyük siber saldırı gerçekleştiğinde – yakında olacağı gibi – iş sürekliliğini koruma konusunda en iyi şansa sahiptir.

Kaynak :https://www.infrascale.com/blog/safeguarding-business-continuity-with-infosec-risk-analysis/