Tehdide Açıklık (Risk Yönetimi)

Tehdide açıklık , Açıklık ,Savunmasızlık (vulnerability) Risk konusunda kaynaklarda vulnerability ifadesinin karşılığı olarak bu üç isimde kullanılmaktadır.Fakat Açıklık ve Savunmasızlık çok genel ifadeler olduğundan Tehdide Açıklık ifadesi konuya çok daha açıklayıcı bir isim olmaktadır.

Tehdide Açıklık Konusunun Tanımı içinde özü aynı olmakla beraber farklı kaynaklarda farklı ifadeler bulunmaktadır.Bunlardan bazıları

1) Bir kıymeti tehditlere karşı korumasız hale getiren unsurlar.

2) Sistem prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır.

3) İç kaynaklı sistemik hassasiyetlerin dış kaynaklı tehlikelerin etkisini artırmasını ifade etmektedir.

Tehdide Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.

Bu konuyla ilgili olarak The Geneva Association (Cenevre Derneği 22 Eylül 1973 tarihinde Paris’te bir komite girişimi altında ilk kez bir araya gelmiş olup "Sigorta ve ekonomi çalışması için uluslararası bir dernek" olarak kurulmuştur ve 40 yılı aşkın bir zamandır sigorta analizi ve risk yönetimi konusunda araştırma yapmaktadır. ) organizasyonunda Working Paper Series of The Geneva Association adıyla yılda 10-12 kez yayınlanan dökümanlardan Mart 2006 da Brian Woodrow tarafından hazırlanan Risk ve tehlike için alternatif bir çerçeve olarak tehdide açıklık (Vulnerability as an alternative framework to risk and hazard)[1] adlı dökümanda

Tehdide açıklığın kümeleri olarak

1)Teknolojik

2)Çevre/Sağlık

3)Kurumsal/Kuruluş

4)Ekonomik/Finansal

Verilmektedir.

Ayrıca Tehdide açıklık ,Belirsizlik, Risk ve Tehlike arasındaki ilişki olarak (Vulnerability in Relation to Uncertainty, Risk and Hazard)

TEHDİDE AÇIKLIK (VULNERABILITY) :Nedenleriyle veya belirsiz sonuçlarıyla meydana gelen doğal veya ikinci derecedeki durum( Inherent Or Circumstantial Condition Which Could Result in an Event/Outcome Occurring, With Causes or Consequences Unspecified).

TEHLİKE (HAZARD): Manevi zarar da dahil olmak üzere oluşacak olay ve sonucun beklenen olasılık ve onun sonucunun kabulü (Including Moral Hazard –Expectation That Some Particular Event/Outcome Will Occur, Including Acceptance of its Probability and Its Known Consequences).

BELİRSİZLİK (UNCERTAINTY):Herhangi bir olay veya olası sonuçları dahil olmak üzere ne veya nasıl meydana geleceğin bilinmezliği (Not Knowing What Will Occur or Why, Including Any Particular Event or Possible Consequences).

RİSK (RISK):Belirtilen sonuçları ve maliyetiyle birlikte meydana gelebilecek belirli bir olay veya oluşların olasılığı (Probability That Some Particular Event or Outcome Will Occur, With Specified Consequences and Costs).

Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlemesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.[2]

(Örneğin http://nvd.nist.gov/ , http://www.uscert.gov/cas/techalerts/ , http://www.securityfocus.com/vulnerabilities)

Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.
Altyapı ve çevreyle ilgili açıklıklar

Donanımlarla ilgili açıklıklar

Yazılımlarla ilgili açılıklar

Dokümantasyon eksikliği/yetersizliği (kullanıcı hataları)

Haberleşmeyle ilgili açıklıklar

Dokümanlarla ilgili açıklıklar

Personel ile ilgili açıklıklar

  1. http://www.genevaassociation.org
  2. TÜBİTAK-UEKAE(BGYS RİSK YÖNETİM SÜRECİ KILAVUZU)
This article is issued from Vikipedi - version of the 6/18/2016. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.