Tehdide Açıklık (Risk Yönetimi)
Tehdide açıklık , Açıklık ,Savunmasızlık (vulnerability) Risk konusunda kaynaklarda vulnerability ifadesinin karşılığı olarak bu üç isimde kullanılmaktadır.Fakat Açıklık ve Savunmasızlık çok genel ifadeler olduğundan Tehdide Açıklık ifadesi konuya çok daha açıklayıcı bir isim olmaktadır.
Tehdide Açıklık Konusunun Tanımı içinde özü aynı olmakla beraber farklı kaynaklarda farklı ifadeler bulunmaktadır.Bunlardan bazıları
1) Bir kıymeti tehditlere karşı korumasız hale getiren unsurlar.
2) Sistem prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır.
3) İç kaynaklı sistemik hassasiyetlerin dış kaynaklı tehlikelerin etkisini artırmasını ifade etmektedir.
Tehdide Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.
Bu konuyla ilgili olarak The Geneva Association (Cenevre Derneği 22 Eylül 1973 tarihinde Paris’te bir komite girişimi altında ilk kez bir araya gelmiş olup "Sigorta ve ekonomi çalışması için uluslararası bir dernek" olarak kurulmuştur ve 40 yılı aşkın bir zamandır sigorta analizi ve risk yönetimi konusunda araştırma yapmaktadır. ) organizasyonunda Working Paper Series of The Geneva Association adıyla yılda 10-12 kez yayınlanan dökümanlardan Mart 2006 da Brian Woodrow tarafından hazırlanan Risk ve tehlike için alternatif bir çerçeve olarak tehdide açıklık (Vulnerability as an alternative framework to risk and hazard)[1] adlı dökümanda
Tehdide açıklığın kümeleri olarak
1)Teknolojik
2)Çevre/Sağlık
3)Kurumsal/Kuruluş
4)Ekonomik/Finansal
Verilmektedir.
Ayrıca Tehdide açıklık ,Belirsizlik, Risk ve Tehlike arasındaki ilişki olarak (Vulnerability in Relation to Uncertainty, Risk and Hazard)
TEHDİDE AÇIKLIK (VULNERABILITY) :Nedenleriyle veya belirsiz sonuçlarıyla meydana gelen doğal veya ikinci derecedeki durum( Inherent Or Circumstantial Condition Which Could Result in an Event/Outcome Occurring, With Causes or Consequences Unspecified).
TEHLİKE (HAZARD): Manevi zarar da dahil olmak üzere oluşacak olay ve sonucun beklenen olasılık ve onun sonucunun kabulü (Including Moral Hazard –Expectation That Some Particular Event/Outcome Will Occur, Including Acceptance of its Probability and Its Known Consequences).
BELİRSİZLİK (UNCERTAINTY):Herhangi bir olay veya olası sonuçları dahil olmak üzere ne veya nasıl meydana geleceğin bilinmezliği (Not Knowing What Will Occur or Why, Including Any Particular Event or Possible Consequences).
RİSK (RISK):Belirtilen sonuçları ve maliyetiyle birlikte meydana gelebilecek belirli bir olay veya oluşların olasılığı (Probability That Some Particular Event or Outcome Will Occur, With Specified Consequences and Costs).
Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlemesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.[2]
- Açıklık listeleri ve açıklık veritabanları
(Örneğin http://nvd.nist.gov/ , http://www.uscert.gov/cas/techalerts/ , http://www.securityfocus.com/vulnerabilities)
- Önceki BT sistemi denetim raporları, test raporları, hata raporları
- Önceki Risk değerlendirme dokümanları
- Üreticiler tarafından yayınlanan uyarılar
- Güvenlikle ilgili web sayfaları ve e-posta listeleri
- Yazılım güvenlik analizleri
- Sistem güvenlik taramalarının ve sızma testlerinin sonuçları
Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.
Altyapı ve çevreyle ilgili açıklıklar
- Binada yeterli fiziksel güvenliğin bulunmaması (hırsızlık)
- Binalara ve odalara girişlerde yetersiz fiziksel kontrol (kasten zarar verme)
- Eski güç kaynakları (güç dalgalanmaları)
- Deprem bölgesinde bulunan yapılar (deprem)
- Herkesin erişebildiği kablosuz ağlar (hassas bilginin açığa çıkması, yetkisiz erişim)
- Dış kaynak kullanımında işletilen prosedür ve yönetmeliklerin veya şartnamelerin eksikliği/yetersizliği (yetkisiz erişim)
Donanımlarla ilgili açıklıklar
- Periyodik yenilemenin yapılmaması (saklama ortamlarının eskimesi, donanımların bozulması nedeniyle erişimin durması)
- Voltaj değişikliklerine, ısıya, neme, toza duyarlılık (güç dalgalanmaları, erişim güçlükleri vs.)
- Periyodik bakım eksikliği (bakım hataları)
- Değişim yönetimi eksikliği (kullanıcı hataları)
Yazılımlarla ilgili açılıklar
- Yama yönetimi eksikliği/yetersizliği (yetkisiz erişim, hassas bilginin açığa çıkması)
- Kayıt yönetimi eksikliği/ yetersizliği (yetkisiz erişim)
- Kimlik tanımlama ve doğrulama eksiklikleri (yetkisiz erişim, başkalarının kimliğine bürünme)
- Şifre yönetimi yetersizliği (yetkisiz erişim, başkalarının kimliğine bürünme)
- Şifre veritabanlarının korunmaması (yetkisiz erişim, başkalarının kimliğine bürünme)
- Erişim izinlerinin yanlış verilmesi (yetkisiz erişim)
- İzinsiz yazılım yüklenmesi ve kullanılması (zararlı yazılımlar, yasal gerekliliklere uyum)
- Saklama ortamlarının doğru silinmemesi ve imha edilmemesi (hassas verinin ortaya çıkması, yetkisiz erişim)
Dokümantasyon eksikliği/yetersizliği (kullanıcı hataları)
- Yazılım gereksinimlerinin yanlış veya eksik belirlenmesi (yazılım hataları)
- Yazılımların yeterli test edilmemesi (yetkisiz erişim, yazılımların yetkisiz kullanımı)
Haberleşmeyle ilgili açıklıklar
- Korunmayan haberleşme hatları (haberleşmenin dinlenmesi)
- Hat üzerinden şifrelerin açık olarak iletilmesi (yetkisiz erişim)
- Telefon hatlarıyla kurum ağına erişim (yetkisiz erişim)
- Ağ yönetimi yetersizliği/eksikliği (trafiğin aşırı yüklenmesi)
Dokümanlarla ilgili açıklıklar
- Dokümanların güvensiz saklanması (hırsızlık)
- Dokümanların kontrolsüz çoğaltılması (hırsızlık)
- Dokümanların imha edilmemesi (hırsızlık, hassas bilginin açığa çıkması)
Personel ile ilgili açıklıklar
- Eğitimi eksikliği (personel hataları)
- Güvenlik farkındalığı eksikliği (kullanıcı hataları)
- Donanımların veya yazılımların yanlış kullanılması (personel hataları)
- İletişim ve mesajlaşma ortamların kullanımını düzenleyen politikanın eksikliği/yetersizliği (yetkisiz erişim)
- İşe alımda yetersiz özgeçmiş incelemesi ve doğrulaması (kasten zarar verme)
- ↑ http://www.genevaassociation.org
- ↑ TÜBİTAK-UEKAE(BGYS RİSK YÖNETİM SÜRECİ KILAVUZU)