Risk Değerlendirme ve İşleme

ISO 27001 ve BGYS

👤 Güvenlik Uzmanı★ 3/3⏱ 14 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Aynı zafiyet iki farklı kurumda bambaşka sonuçlar doğurur: birinde bir veri ihlali, diğerinde yalnızca bir log kaydı. Farkı yaratan teknoloji değil, riski önceden GÖRÜP işleme alan disiplindir. ISO 27001:2022 Madde 6.1.2 risk değerlendirmesini bilgi güvenliği yönetiminin kalbi sayar.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bilgi güvenliği RİSKİNİ nasıl belirlediğimizi, değerlendirdiğimizi ve dört temel seçenekle (azalt / aktar / kaçın / kabul et) nasıl işlediğimizi öğreniyoruz — ISO 27001:2022 Madde 6.1.2-6.1.3 ve Annex A kontrolleri çerçevesinde. Soldaki interaktif sahnede (secMalwareDefense3D) bir tehdidin kurumsal ağa nasıl ilerlediğini ve hangi kontrol katmanının onu nerede durdurduğunu adım adım dene; her durdurma noktası aslında işlenmiş bir riski temsil eder.

Anlatım

RİSK NEDİR? Bilgi güvenliğinde risk, bir tehdidin bir zafiyeti kullanarak bir varlığa zarar verme olasılığı ve bu zararın etkisidir. Kısaca: Risk = Olasılık × Etki. Soyut bir korku değil, ölçülebilir bir büyüklüktür. NEDEN ÖNEMLİ? Risk değerlendirmesi yapılmayan kurumda güvenlik bütçesi gelişigüzel harcanır; en kritik varlık korumasız kalırken önemsiz bir şeye aşırı yatırım yapılır. ISO 27001:2022 Madde 6.1.2, kuruluşun tekrarlanabilir ve tutarlı sonuçlar üreten bir risk değerlendirme süreci tanımlamasını ZORUNLU kılar. KVKK açısından ise Madde 12, kişisel veriyi koruyacak "uygun güvenlik düzeyini" sağlamayı emreder — bu düzeyi ancak riski ölçerek belirleyebilirsiniz. RİSK YÖNETİM ADIMLARI 1) Varlıkları ve bağlamı belirle: Veri tabanları, dizüstü bilgisayarlar, çalışan erişimleri, tedarikçiler, itibar. 2) Tehdit ve zafiyetleri tanımla: Oltalama, fidye yazılımı, içeriden tehdit, yamalanmamış sistem, zayıf parola. 3) Olasılık ve etkiyi puanla: Genellikle 1-5 ölçekli matris (ör. 5×5) ile. 4) Risk seviyesini hesapla ve risk iştahıyla (kabul edilebilir eşik) karşılaştır. 5) İşleme seçeneğini seç ve uygula. 6) Artık (rezidüel) riski kayda al ve risk sahibine onaylat. 7) İzle ve düzenli aralıklarla yeniden değerlendir (Madde 8.2-8.3 ile süreklilik). DÖRT RİSK İŞLEME SEÇENEĞİ (ISO 27001:2022 Madde 6.1.3) • AZALT (Modify/Mitigate): Annex A kontrolleriyle olasılığı veya etkiyi düşür. Örn. çok faktörlü kimlik doğrulama (A.8.5), yedekleme (A.8.13), zafiyet yönetimi (A.8.8). En sık kullanılan seçenektir. • AKTAR (Share/Transfer): Riski üçüncü tarafa devret — siber sigorta, bulut sağlayıcı, dış kaynak sözleşmesi. DİKKAT: Sorumluluk aktarılabilir ama KVKK'da veri sorumlusunun yükümlülüğü devredilmez. • KAÇIN (Avoid): Riski yaratan faaliyeti tamamen bırak — örn. artık gerekmeyen kişisel veriyi toplama/saklama, riskli bir entegrasyonu kapatma. • KABUL ET (Accept/Retain): Risk, iştahın altındaysa ve işleme maliyeti faydadan yüksekse bilinçli olarak kabul et. Kabul, mutlaka yetkili risk sahibinin imzasıyla KAYIT altına alınır — "görmezden gelmek" değildir. İŞ YERİNDE NE DEMEK? Bir İK uzmanı özlük dosyalarını şifresiz bir paylaşılan klasörde tutuyorsa: tehdit = yetkisiz erişim, zafiyet = şifresiz depolama, etki = KVKK ihlali + para cezası. İşleme: klasöre rol bazlı erişim ve şifreleme uygula (AZALT). Bir satış ekibi müşteri listesini kişisel WhatsApp'ta paylaşıyorsa: en doğru işleme bu kanalı yasaklamak (KAÇIN) ve kurumsal CRM'e yönlendirmektir. YAPILMASI GEREKENLER (DO) • Fark ettiğin riski (ör. açıkta unutulmuş gizli belge, şüpheli e-posta) BİLGİ GÜVENLİĞİ ekibine bildir; raporlama riskin görünür olmasını sağlar. • Risk sahibi/yöneticinden onay almadan bir riski "kendi başına kabul edilmiş" sayma. • Risk işleme planında sana düşen kontrolü (yama, eğitim, parola değişimi) zamanında uygula. YAPILMAMASI GEREKENLER (DON'T) • "Bana bir şey olmaz" diyerek riski sessizce kabul etme — bu kayıtsız risk kabulüdür, en tehlikelisidir. • Bir riski sigorta var diye tamamen umursamama (aktarım etkiyi azaltır, olasılığı değil). • Risk değerlendirmesini bir kez yapıp rafa kaldırma; tehdit ortamı sürekli değişir. ARTIK (REZİDÜEL) RİSK Kontroller uygulandıktan sonra geriye kalan risktir. Hiçbir kontrol riski sıfırlamaz; amaç onu kabul edilebilir eşiğin (risk iştahı) ALTINA indirmektir. Kalan risk, risk sahibi tarafından açıkça onaylanır (Madde 6.1.3-f).

📌 Senaryolar

📌 Senaryo 1: Muhasebe çalışanı, banka değişikliği isteyen bir tedarikçi e-postası aldı; gönderen adresinde tek harf farklı (BEC/dolandırıcılık riski).
  Doğru davranış: İşlemi durdur; ödeme bilgisini e-postadaki numaradan DEĞİL, sistemde kayıtlı bilinen telefondan ayrıca doğrula (out-of-band) ve durumu bildir.
  Sonuç/Neden: Bu, 'doğrulama kontrolü' ile riski AZALTMA örneğidir; olasılığı düşürür ve sahte ödeme etkisini engeller. ISO 27001 A.5.14/A.8.5 ilkeleriyle uyumludur.

📌 Senaryo 2: Pazarlama ekibi, kampanya için 50 bin kişilik eski bir müşteri listesini saklamak istiyor; bu verinin artık iş amacı yok ve ihlal halinde KVKK riski yüksek.
  Doğru davranış: Gereksiz veriyi toplamayı/saklamayı bırak — listeyi sil veya anonimleştir; bu riski yaratan faaliyetten KAÇIN.
  Sonuç/Neden: Veri minimizasyonu (KVKK Madde 4) hem ihlal yüzeyini hem yasal riski ortadan kaldırır. Olmayan veri çalınamaz.

📌 Senaryo 3: BT, kritik sunucudaki nadir bir zafiyet için yamayı uygulamanın 8 saat kesinti gerektireceğini, istismar olasılığının ise çok düşük olduğunu raporladı.
  Doğru davranış: Geçici telafi edici kontrol (ağ segmentasyonu/erişim kısıtı) uygula; kalan düşük riski, bir sonraki bakım penceresine kadar risk sahibinin imzasıyla KABUL ET.
  Sonuç/Neden: Bilinçli ve kayıtlı risk kabulü meşrudur; karar yetkili kişiye ait olduğu ve belgelendiği için 'görmezden gelme' değildir (Madde 6.1.3-f).

📌 Senaryo 4: Şirket, fidye yazılımı saldırısının olası finansal etkisini karşılamak için siber sigorta yaptırmayı değerlendiriyor.
  Doğru davranış: Sigortayı yalnızca etki AKTARIMI olarak kullan; aynı anda yedekleme (A.8.13), MFA ve farkındalık eğitimiyle olasılığı da AZALT.
  Sonuç/Neden: Aktarım tek başına saldırıyı engellemez, sadece maddi kaybı paylaştırır. KVKK kapsamında veri sorumlusunun hukuki sorumluluğu sigortaya devredilemez.

📌 Senaryo 5: Bir çalışan, ortak alanda yazıcıda unutulmuş 'Gizli - Maaş Bordrosu' başlıklı çıktıları fark etti.
  Doğru davranış: Belgeleri al, güvenli imha kutusuna koy veya sahibine ulaştır ve durumu bilgi güvenliği ekibine bildir; temiz masa/temiz ekran kuralını hatırla.
  Sonuç/Neden: Bildirim, görünmeyen bir riski kayıt altına alır ve düzeltici kontrolü tetikler (A.7.7 Temiz Masa, A.5.10). Sessiz kalmak riski örtbas eder.

Özet

• Risk = Olasılık × Etki; soyut korku değil, ölçülebilir büyüklüktür. • ISO 27001:2022 Madde 6.1.2 tekrarlanabilir bir risk değerlendirme süreci ister. • Dört işleme seçeneği: AZALT, AKTAR, KAÇIN, KABUL ET. • Riski kontrollerle iştah eşiğinin altına indir; kalan (rezidüel) risk imzayla onaylanır. • Risk kabulü ancak yetkili risk sahibi onayıyla ve kayıtlı olursa meşrudur. • Sorumluluk aktarılabilir; KVKK'da veri sorumlusunun yükümlülüğü devredilmez. Fark ettiğin riski bildir.

✅ Mini-Test (5)

1.Bilgi güvenliğinde risk en doğru şekilde nasıl ifade edilir?

2.ISO 27001:2022'ye göre dört temel risk işleme seçeneği aşağıdakilerden hangisidir?

3.Bir kurum siber sigorta yaptırınca, KVKK kapsamındaki veri sorumlusu yükümlülüğünü de sigortaya devretmiş olur.

4.Artık (rezidüel) risk neyi ifade eder?

5.Artık gerekmeyen büyük bir kişisel veri kümesini saklamaya devam etmenin yarattığı KVKK riskini ortadan kaldırmanın en doğru yolu hangisidir?

🧩 Uygulama Soruları (5)

1.Çalıştığın departmanda kullanılan bir uygulamada açık fark ettin ama yöneticin 'şimdilik idare eder' diyor. En doğru davranış nedir?

2.Şirketin kritik müşteri verisini barındıran bulut sağlayıcısıyla çalışıyorsunuz. Risk açısından doğru yaklaşım hangisidir?

3.Bir risk, kurumun kabul edilebilir risk eşiğinin (risk iştahı) altındaysa, yetkili risk sahibinin onayıyla bu riski kabul etmek geçerli bir işleme seçeneğidir.

4.Bir tedarikçiden gelen 'IBAN değişti, ödemeyi yeni hesaba yapın' e-postasında gönderen adresi şirketinkine çok benziyor ama tam aynı değil. Riski en aza indiren davranış hangisidir?

5.Yıl başında yapılan risk değerlendirmesi bir klasörde duruyor ama o günden beri güncellenmedi. Bu durum hangi ilkeyi ihlal eder?

← Politikalar, Roller ve Sorumlu Güçlü Parola ve Çok Faktörlü D →

← Tüm modüllere dön · Güvenlik Sözlüğü