Tehdide Açıklık (Risk Yönetimi)

Tehdide açıklık , Açıklık ,Savunmasızlık (vulnerability) Risk konusunda kaynaklarda vulnerability ifadesinin karşılığı olarak bu üç isimde kullanılmaktadır.Fakat Açıklık ve Savunmasızlık çok genel ifadeler olduğundan Tehdide Açıklık ifadesi konuya çok daha açıklayıcı bir isim olmaktadır.

Tehdide Açıklık Konusunun Tanımı içinde özü aynı olmakla beraber farklı kaynaklarda farklı ifadeler bulunmaktadır.Bunlardan bazıları

1) Bir kıymeti tehditlere karşı korumasız hale getiren unsurlar.

2) Sistem prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır.

3) İç kaynaklı sistemik hassasiyetlerin dış kaynaklı tehlikelerin etkisini artırmasını ifade etmektedir.

Tehdide Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.

Bu konuyla ilgili olarak The Geneva Association (Cenevre Derneği 22 Eylül 1973 tarihinde Paris’te bir komite girişimi altında ilk kez bir araya gelmiş olup "Sigorta ve ekonomi çalışması için uluslararası bir dernek" olarak kurulmuştur ve 40 yılı aşkın bir zamandır sigorta analizi ve risk yönetimi konusunda araştırma yapmaktadır. ) organizasyonunda Working Paper Series of The Geneva Association adıyla yılda 10-12 kez yayınlanan dökümanlardan Mart 2006 da Brian Woodrow tarafından hazırlanan Risk ve tehlike için alternatif bir çerçeve olarak tehdide açıklık (Vulnerability as an alternative framework to risk and hazard)^[1] adlı dökümanda

Tehdide açıklığın kümeleri olarak

1)Teknolojik

2)Çevre/Sağlık

3)Kurumsal/Kuruluş

4)Ekonomik/Finansal

Verilmektedir.

Ayrıca Tehdide açıklık ,Belirsizlik, Risk ve Tehlike arasındaki ilişki olarak (Vulnerability in Relation to Uncertainty, Risk and Hazard)

TEHDİDE AÇIKLIK (VULNERABILITY) :Nedenleriyle veya belirsiz sonuçlarıyla meydana gelen doğal veya ikinci derecedeki durum( Inherent Or Circumstantial Condition Which Could Result in an Event/Outcome Occurring, With Causes or Consequences Unspecified).

TEHLİKE (HAZARD): Manevi zarar da dahil olmak üzere oluşacak olay ve sonucun beklenen olasılık ve onun sonucunun kabulü (Including Moral Hazard –Expectation That Some Particular Event/Outcome Will Occur, Including Acceptance of its Probability and Its Known Consequences).

BELİRSİZLİK (UNCERTAINTY):Herhangi bir olay veya olası sonuçları dahil olmak üzere ne veya nasıl meydana geleceğin bilinmezliği (Not Knowing What Will Occur or Why, Including Any Particular Event or Possible Consequences).

RİSK (RISK):Belirtilen sonuçları ve maliyetiyle birlikte meydana gelebilecek belirli bir olay veya oluşların olasılığı (Probability That Some Particular Event or Outcome Will Occur, With Specified Consequences and Costs).

Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlemesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.^[2]

Açıklık listeleri ve açıklık veritabanları

(Örneğin http://nvd.nist.gov/ , http://www.uscert.gov/cas/techalerts/ , http://www.securityfocus.com/vulnerabilities)

Önceki BT sistemi denetim raporları, test raporları, hata raporları
Önceki Risk değerlendirme dokümanları
Üreticiler tarafından yayınlanan uyarılar
Güvenlikle ilgili web sayfaları ve e-posta listeleri
Yazılım güvenlik analizleri
Sistem güvenlik taramalarının ve sızma testlerinin sonuçları

Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.
Altyapı ve çevreyle ilgili açıklıklar

Binada yeterli fiziksel güvenliğin bulunmaması (hırsızlık)
Binalara ve odalara girişlerde yetersiz fiziksel kontrol (kasten zarar verme)
Eski güç kaynakları (güç dalgalanmaları)
Deprem bölgesinde bulunan yapılar (deprem)
Herkesin erişebildiği kablosuz ağlar (hassas bilginin açığa çıkması, yetkisiz erişim)
Dış kaynak kullanımında işletilen prosedür ve yönetmeliklerin veya şartnamelerin eksikliği/yetersizliği (yetkisiz erişim)

Donanımlarla ilgili açıklıklar

Periyodik yenilemenin yapılmaması (saklama ortamlarının eskimesi, donanımların bozulması nedeniyle erişimin durması)
Voltaj değişikliklerine, ısıya, neme, toza duyarlılık (güç dalgalanmaları, erişim güçlükleri vs.)
Periyodik bakım eksikliği (bakım hataları)
Değişim yönetimi eksikliği (kullanıcı hataları)

Yazılımlarla ilgili açılıklar

Yama yönetimi eksikliği/yetersizliği (yetkisiz erişim, hassas bilginin açığa çıkması)
Kayıt yönetimi eksikliği/ yetersizliği (yetkisiz erişim)
Kimlik tanımlama ve doğrulama eksiklikleri (yetkisiz erişim, başkalarının kimliğine bürünme)
Şifre yönetimi yetersizliği (yetkisiz erişim, başkalarının kimliğine bürünme)
Şifre veritabanlarının korunmaması (yetkisiz erişim, başkalarının kimliğine bürünme)
Erişim izinlerinin yanlış verilmesi (yetkisiz erişim)
İzinsiz yazılım yüklenmesi ve kullanılması (zararlı yazılımlar, yasal gerekliliklere uyum)
Saklama ortamlarının doğru silinmemesi ve imha edilmemesi (hassas verinin ortaya çıkması, yetkisiz erişim)

Dokümantasyon eksikliği/yetersizliği (kullanıcı hataları)

Yazılım gereksinimlerinin yanlış veya eksik belirlenmesi (yazılım hataları)
Yazılımların yeterli test edilmemesi (yetkisiz erişim, yazılımların yetkisiz kullanımı)

Haberleşmeyle ilgili açıklıklar

Korunmayan haberleşme hatları (haberleşmenin dinlenmesi)
Hat üzerinden şifrelerin açık olarak iletilmesi (yetkisiz erişim)
Telefon hatlarıyla kurum ağına erişim (yetkisiz erişim)
Ağ yönetimi yetersizliği/eksikliği (trafiğin aşırı yüklenmesi)

Dokümanlarla ilgili açıklıklar

Dokümanların güvensiz saklanması (hırsızlık)
Dokümanların kontrolsüz çoğaltılması (hırsızlık)
Dokümanların imha edilmemesi (hırsızlık, hassas bilginin açığa çıkması)

Personel ile ilgili açıklıklar

Eğitimi eksikliği (personel hataları)
Güvenlik farkındalığı eksikliği (kullanıcı hataları)
Donanımların veya yazılımların yanlış kullanılması (personel hataları)
İletişim ve mesajlaşma ortamların kullanımını düzenleyen politikanın eksikliği/yetersizliği (yetkisiz erişim)
İşe alımda yetersiz özgeçmiş incelemesi ve doğrulaması (kasten zarar verme)

↑ http://www.genevaassociation.org
↑ TÜBİTAK-UEKAE(BGYS RİSK YÖNETİM SÜRECİ KILAVUZU)

This article is issued from Vikipedi - version of the 6/18/2016. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.