RİSK

BT risk yönetimi , bir kuruluşun BT operasyonlarında BT güvenliği kavramının birinci odak noktasıdır. Tüm kuruluşlar , işletmenin misyonunu
ve iş işlevini başarılı şekilde yerine getirmek için BT operasyonlarına ve bu teknolojiden geliştirilen bilgi sistemlerine bağlıdır. Dizüstü
bilgisayarlar ve cep telefonları gibi taşınabilir cihazlar sıklıkla kurumun BT sistemlerine entegre edilmektedir. Muhtemel tehditler , çoğu sürekli
ve devam eden tehdit tanımlama ile kontrollerin uygulanmasını belirleyen izleme süreçleri gerektiren birçok farklı yönden kuruluşa meydan
okur. Kurumsal BT sistemleri , kuruluşun donanım sistemlerinin , bilgi depolamanın , bilgi telekomünikasyonunun kullanılabilirliği ve
bütünlüğü üzerinde olumsuz etkisi olabilecek ciddi tehditlere veya saldırılara maruz kalır. Bilgi sistemlerine yönelik güvenlik risklerini
yönetmek karmaşık ve çok yönlü girişimdir.

Risk yönetiminin amaç ve hedeflerini karşılamak için organizasyon genelinde gerekli olan sorumluluk seviyeleri vardır. Üst düzey liderler ve
yönetim , kurumsal politikalar ve yönetişim sağlayarak organizasyon yöneticileri bu politikaların gerekliliklerini karşılamak için planlama ve
uygulamayı sağlar. Güvenlik uygulayıcıları gibi kişiler , riski azaltmak için tasarlanan kontrollerin operasyonel temelleri verimli şekilde
karşılamalıdır. Risk analizinin kullanılması yoluyla , varlıklar ve bunların güvenlik açıkları , bu güvenlik açıklarından yararlanabilecek potansiyel
tehditler belirlenir. Tehditlerin kuruluş üzerindeki etkisini azaltmak için çeşitli araçlar ve raporlama teknikleri kullanılır. Kuruluşların BT
altyapısının karşılaştığı riskler , güvenlik açıkları ve tehditler hakkında kapsamlı anlayışa sahip olmak önemlidir.

Risk Yönetim Sürecini Anlamak ; Bir kuruluşta riskler , BT riski , finansal risk , operasyonel risk , ticari piyasa riski , operasyonel güvenlik riski
ve kişisel riske maruz kalma dahil olmak üzere birçok biçimde olabilir. Herhangi bir kuruluşun üst düzey yönetim ekibi , kuruluşun varlıklarına
zarar verebilecek herhangi bir kategorideki risklerin belirlenmesi ve azaltılması ile sürekli olarak yüklenir. Kuruluşlar tarafından kullanılan en
yaygın risk yönetimi yaklaşımı , olası olayları veya durumları belirlemek , değerlendirmek , yönetmek ve kontrol etmektir. Risk yönetimini
etkin şekilde gerçekleştirmek için çeşitli süreçler kullanılmaktadır. Bilgi riski yönetimi , riskleri kabul etme ve tanımlama , kontrollerin
kullanılması yoluyla tehditleri veya güvenlik açıklarını azaltarak riskleri azaltma , kabul edilebilir risk seviyesini sürdürmek için stratejiler
uygulama sürecidir. Riskler , riskin türüne veya etkiledikleri işin yönüne bağlı olarak sınıflandırılır. Üst düzey yöneticiler , bir kuruluş için her
riski göz önünde bulundurmalıdır.

Riskin Tanımlanması ; Risk tanımı , bir kuruluş ve misyon veya hedeflerine ulaşması üzerinde olumsuz etkisi olacak belirli bir olay veya olayın
meydana gelme olasılığı olarak ifade edilir. Risk , bir şeyin olma olasılığı olarak tanımlandığından , matematiksel bir fonksiyonla temsil edilebilir
; risk = tehdit * güvenlik açığı

Bilgi teknolojisi riski tanımlandığında , temel olarak bilgi veya bilgi işleme donanım veya yazılım varlıklarının yetkisiz kullanımı , bozulması ,
değiştirilmesi , sızdırılması , kopyalanması , denetlenmesi veya imha edilmesi akla gelmektedir. Şirket yöneticileri , kurumsal varlıkları
etkileyebilecek potansiyel riskleri analiz etmek için risk analizi ve risk değerlendirmeleri gibi çeşitli araçlar kullanacaklardır. Risksiz ortam diye
bir şey yoktur ve riski tamamen sıfıra indirmenin bir yolu da yoktur. BT yöneticilerinin ve güvenlik pratisyenlerinin kullandığı araçlar , cihazlar
ve teknikler , risk düzeyini azaltmak için kontroller olarak adlandırılır. Artık risk , koruma önlemleri ve kontrollerin uygulanmasından sonra
kalan herhangi bir risktir.

Risk Yönetim Süreci ; Riskleri tanımlamayı , değerlendirmeyi ve kontrol etmeyi içeren iş fonksiyonudur. Riskler organizasyon genelinde
yaygındır. Rakip firma , fiyatlarını aynı ürünü başka bir şirketin üretme maliyetinin altına düşürdüğünde , ticari piyasa riski ortaya çıkabilir.
Büyük tedarikçide yangın çıkabilir , bu da kuruluşa hammadde tedarikini ortadan kaldırabilir. Kasırga , üretim tesisinin uzun süre kapalı
kalmasına neden olabilir. Bunların her biri kuruluş için riskleri temsil eder ve risk yönetimi süreci aracılığıyla ele alınmalıdır. Risk analizi
sürecinde , büyük tedarikçiyi etkileyebilecek tehditler belirlenir. Tedarikçinin hammadde tedarik edememesine neden olan bu tür tehditlerin
gerçekleşmesi durumunda , hammaddeleri diğer tedarikçiler aracılığıyla satın alma planları yapılacaktır.

Risk yönetimi süreci ; Varlığı tanımla , tehditi belirle , tehdiye karşı cevap ver.

Bilgi işleme donanımının , yazılımının ve bilginin kaybı , herhangi bir kuruluş için ciddi risktir. Bilgi risk yönetimi ( IRM ) , BT donanımına ,
yazılımına ve bilgi varlıklarına yönelik risklerin tanımlandığı , tehditlerin ve güvenlik açıklarının kabul edilebilir düzeye indirildiği ve bu düzeyi
korumak için kontrollerin uygulandığı süreçtir. Bilgi riski yönetiminin merkezinde , öncelikler ve parasal kaynaklarla ilgili kararlar yer alır. Üst
yönetim için soru , hangi varlıkların korunacağı ve onu korumak için ne kadar bütçe ayrılacağıdır.

BT donanımı , yazılımı ve bilgi varlıklarına yönelik çeşitli risk kategorileri dikkate alınmalıdır. BT kuruluşu için tehdit kaynaklarını temsil eden
kategorilerden bazıları şöyledir ;

Hava ; Kasırgalar , hortumlar , kar fırtınaları , çığ , sel , tsunami , kuraklık ve donma durumları.

Fayda ve Hizmetler ; Su , elektrik , doğal gaz , telefon sistemi , mikrodalga iletişimi , hücresel iletişim gibi kamu hizmetlerin kesintileri.
İnsan aktiviteleri ; Hatalar , ihmal , sabotaj , hırsızlık , vandalizm , bilgisayar korsanlığı.

İş süreci ; Ekipman arızası , tedarik zinciri kesintisi , kalite kontrol sorunu , piyasa fiyatlandırması.

Bilgi Teknolojisi ; Ekipmanın yanlış kullanımı , bilgi kaybı , BT ekipmanının hasarı veya kesintisi.

İtibar ; Müşteri bilgilerinin çalınması , ticari sırların ve tescilli süreçlerin ifşa edilmesi , hassas ve gizli kurumsal bilgilerin ifşa edilmesi.

Risk azaltma ; Herhangi bir organizasyonun üst yönetiminin amacı ; kabul edilebilir risk seviyesini belirlemektir. Riski azaltma süreci ,
hafifletme olarak adlandırılır. Riski azaltma süreci , tehdit düzeyini azaltarak gerçekleştirilebilir. Belirli bir süre boyunca tehdit olaylarının
olasılığını azaltarak veya belirli bir tehdidin neden olabileceği etkiyi azaltarak gerçekleştirilebilir. Varlıkların kırılganlığını azaltarak risk
azaltılabilir. Daha güçlü kilit veya kapı kullanarak , tehdit tarafından saldırıya uğradığında kapının savunmasızlığı azaltılır. Kilit veya kapı ,
kontrol olarak anılacaktır. Riski azaltmak için kaçınma , aktarma ve kabul etme gibi başka teknikler de kullanılabilir.

Riskin belirlenmesi , riskin olduğu her senaryoda var olan çeşitli özelliklerin bilgisini gerektirir.

Varlıklar ; Kuruluşun misyonunu veya iş hedeflerini yerine getirmek için kullandığı kaynaklardır. Bu bağlamda kaynak çok geniş olabilir ve
zaman , insan , para ve fiziksel öğeler dahil olmak üzere herhangi bir varlığa atıfta bulunabilir. Riski tanımlarken , bir kaynağın kaybolma
olasılığını dikkate alırız. Varlıklar ve kaynaklar her zaman kuruluş için değeri temsil eder. Kaynaklar iki ana kategoriye ayrılabilir ; maddi duran
varlıklar ve maddi olmayan duran varlıklar.

Maddi Varlıklar ; Dokunulabilecek fiziksel öğeyi temsil eder. Maddi duran varlık olarak kabul edilenler ; Binalar ve yapılar , araçlar ve ekipman
, ham mallar ve bitmiş mallar , mobilya ve iş ekipmanları , BT donanımı ve yazılımı , çevre sistemleri , belgeler.

Maddi Olmayan Duran Varlıklar ; Doğası gereği fiziksel olmayan kalemleri temsil eder. Maddi olmayan duran varlıklardır ; Ticari sırlar ,
metodoloji ve fikri mülkiyet. Özel veya hassas bilgiler. Müşteri veya tedarikçi veritabanları. Sözleşmeler ve anlaşmalar. Politikalar , planlar ve
kayıtlar. Herhangi bir yolla saklanan bilgiler. İnsanlar.

Varlıkları Sıralama ; Varlıklar kuruluş içinde sıralanabilir veya önceliklendirilebilir. Varlık analizi sırasında , varlıkları sıralamak için çeşitli puanlar
kullanılacaktır. Kuruluştaki insanlar en yüksek değerli varlık olarak sıralanır ve her ne pahasına olursa olsun korunmaları gerekir. İkinci en
yüksek varlık sıralaması kritik varlıklar olacaktır. Kritik varlıklar kaybolur veya tehlikeye girerse , kuruluşun yaşayabilirliği tehlikeye girer.
Üçüncü taraf satıcılardan temin edilebilen donanım öğeleri , tesisler ve ürünler daha düşük sıralandığında , herhangi bir kuruluştaki kritik
varlıklar genellikle müşteri / satıcı verileri , ticari sırlar , özel bilgiler , fikri mülkiyet veya tarafından oluşturulan bilgiler gibi bilgi varlıklarını
içerir. Organizasyonun devam eden işleyişi için kritik öneme sahiptir.

Tehditler ; Kuruluşa zarar verme olasılığını temsil eden herhangi bir olay olarak tanımlanır. Kuruluşun BT altyapısına verilen zarar , yetkili
erişim , veri manipülasyonu veya değişikliği , erişimin reddedilmesi , varlıkların imhası ve yetkili bilgi erişimi , serbest bırakılması şeklinde
olabilir. Bir kuruluşa yönelik tehditler , bir dizi farklı tehdit eyleminden kaynaklanır. Yaygın tehdit kaynakları doğal , insani veya çevreseldir.
Kasırganın tehdit olduğunu varsaymak kolay olsa da , gerçekte sadece bir tehdit kaynağıdır. Bunun anlamı ise özünde , kasırganın tehditlere
neden olan aktör olmasıdır. Kasırganın neden olduğu gerçek tehdide , tehdit eylemi veya tehdit aracısı denir. Tehdit vektörü , tehdidin bir
eyleme neden olmak için izlediği yoldur.

Dolayısıyla, bir dizi farklı tehdit eylemini potansiyel tehditler olarak görsek de, aslında tehditlerin çoğu aynıdır; bunlar sadece farklı tehdit
eylemlerinden kaynaklanır. Örneğin, bir yangın, sel, rüzgar fırtınası veya feci bir çamur kayması, bilgisayar donanımı, ağ iletişimi ve altyapı
gibi fiziksel varlıkların yok olmasına neden olabilir. Bir güvenlik uzmanı olarak, gerçek nedenden bağımsız olarak bir tehdidin sonuç eylemini
planlamalısınız. Gerçek şu ki, elektrik kesilirse, elektrik neden gitmiş olursa olsun uygun tepki belirlenmelidir. Olay triyajı, hasarın
değerlendirildiği ve restorasyon önceliklerinin belirlendiği bir süreçtir. Bir olay triyajı sırasında, örneğin iki saat veya dört gün boyunca gücün
kesileceğini tahmin edebilirsiniz; tahmininiz, uygun kurtarma yanıtı için kararlarınızı etkileyecektir. Her halükarda, bir kasırga veya orman
yangınından kaynaklanıp kaynaklanmadığına bakılmaksızın elektrik kesildi. İnsanların eylemleri, herhangi bir kuruluş için en büyük riski
oluşturur. Kasırgalar, hortumlar ve orman yangınları olay sırasında olağanüstü olabilir ve kuruluşa büyük zarar verebilirken, insanlar
tarafından oluşturulan tehditlerin sıklığı ve karmaşıklığı, kuruluşa yönelik diğer tehditlerden çok daha ağır basar. İnsan unsurunun oluşturduğu
tehditler iki kategoriye ayrılabilir:

İçeriden Öğrenen Tehditleri İçeriden kişiler, kuruluşun bilgi varlıklarına veya ağlarına dahili erişimi olan kişilerdir. Bunlar çalışanlar,
yükleniciler, geçici işçiler veya müşteriler, müşteriler veya tedarikçiler gibi belirli erişim haklarına sahip kişiler olabilir. İçeridekiler, bir kuruluş
için en büyük tek tehdidi oluşturur çünkü içeridekiler sözde güvenilir kişilerdir. İçeriden öğrenilen tehditler sabotaj, dolandırıcılık, varlıkların
çalınması, aksama veya casusluk şeklinde olabilir.

Dış Tehditler ; Dış tehditler, kuruluş dışından kişiler tarafından oluşturulabilir. Bu kişiler harici olduğundan, kuruluşun güvenlik kontrollerine
ve savunmalarına nüfuz etmek için daha fazla çalışmalıdırlar. Bu, ağa erişimi olan bir çalışan veya yüklenici gibi parolalara veya özel bilgilere
erişimleri olmadığı anlamına gelir. Bu kişiler bilgisayar korsanları, bilgisayar korsanları, senaryo çocukları, huysuz çalışanlar, endüstri casusları
veya uluslararası teröristler olabilir.

Güvenlik açığı ; Tehdit tarafından saldırıya uğrayabilecek veya istismar edilebilecek kusur veya zayıflıktır. Güvenlik açığı , kasıtlı kusur veya bir
kişi tarafından yerleştirilen zayıflık veya üretimdeki hata gibi kasıtsız kusur ile karakterize edilebilir. Programcı kasıtlı olarak yazılım
uygulamasında arka kapı oluşturabilir. Kod incelemesi sırasında algılanmazsa , arka kapı programcıya veya kötü niyetli diğer kişilere erişim
sağlayabilir. Herhangi bir bilgi sistemi , uygulama , kontrol veya bilgi varlığı , tehdit veya tehdit aracısı tarafından kullanılabilir. Ana makine
veya sunucudaki yama uygulanmamış veya desteklenmeyen uygulama veya işletim sistemi güvenlik açığı oluşturabilir. Kurumsal risk
perspektifinden bakıldığında , tüm BT güvenlik ortamının güvenliği , binanın ve yapının fiziksel yönlerini , HVAC , yangın söndürme , fiziksel
kilitleme ve erişim kısıtlamalarının yanı sıra elektrik gücü , iletişim ve güvenlik açıklarını dikkate almalıdır.
Güvenlik açıkları iki farklı kategoriye ayrılabilir ;

Kasıtlı Güvenlik Açığı ; Bir varlığı tehlikeye atan kasıtlı eylemlerdir. Kasıtsız güvenlik açığına örnek vermek gerekirse , daha önce hiçbirinin
bulunmadığı erişim oluşturmak veya varlıkların bir tehdide maruz kaldığı bir durumu kasıtlı olarak kışkırtmaktır. Arka kapı oluşturan sisteme
kasıtlı olarak kötü amaçlı yazılım yerleştirmek , dışarıdan bir ziyaretçinin hassas donanıma erişmesine izin vermek , hassas bilgilere
erişebilmeleri için kullanıcının haklarını yükseltmek , kasıtlı güvenlik açığı yaratmanın örnekleridir.

İstenmeyen Güvenlik Açığı ; Kasıtsız güvenlik açığı , donanım veya yazılımda üretim hatası , programlama hatası , tasarım hatası şeklini alır.
Kasıtsız güvenlik açığına örnek , önceden bilinmeyen güvenlik açığından yararlanan sıfır gün saldırısıdır. Kasıtsız güvenlik açığı , ihmal , yama
ve bakım eksikliği , etkili politika , prosedürlerin eksikliğinden de kaynaklanabilir. Uygun planlama , eğitim ve diğer azaltma teknikleri ile kaza
olasılığı azaltılabilir. Ama yine de kazalar olabilir. Sigortalar , bir kaza meydana geldiğinde ve diğer sürücünün sigortası olmadığında etkileri
azaltmak için sigortasız sürücü sigortası poliçeleri sunar ; Sigorta poliçeniz , diğer sürücü tarafındaki sigorta eksikliği doğası gereği kasıtlı olsa
bile , zararınızı karşılayacaktır.

Kontroller ; Tehdidin kuruluşa zarar verebilecek güvenlik açığından yararlanma yeteneğini azaltmak için risk yönetimi sürecinde kullanılan
mekanizmalardır. Güvenlik açığı düzeyini azaltmak için denetimler de kullanılabilir. Hırsızın ( tehdit ) arka bahçedeki işyerinde kapıyı
kullanmasını ( güvenlik açığı ) engellemek için kullanılabilecek kontrol , kulübe kapısında ağır kilit ( kontrol ) olabilir.

Üç kontrol kategorisi vardır ;

İdari Kontroller ; Bir politikayı uygulamak için idari kontroller uygulanır.

Teknik Kontroller ; Mantıksal kontroller olarak da adlandırılan teknik kontroller , ağ , bilgisayar sistemi veya iletişim ağı üzerine yerleştirilen
kontrollerdir. Teknik kontroller donanım , yazılım veya bellenim şeklini alır.

Fiziksel Kontroller ; Çitler , kapılar , kilitler , işaretler , ışıklar ve diğer fiziksel güvenlik önlemleri gibi fiziksel varlıkları korumak için kullanılan
kontrollerdir.

Korumalar ; Güvenlik önlemleri ve kontroller terimleri birbirinin yerine kullanılır. Bir varlığa bir dereceye kadar koruma sağlayan herhangi bir
cihazı , prosedürü veya eylemi tanımlar. Kontroller , katmanlı savunma modelini oluşturan genel prosedürler , mekanizmalar ve teknikler
kategorisidir ; önlemler , genelde risk analizi sonucunda devreye alınan önleyici faaliyetler veya cihazlar açısından tanımlanır. Koruma ,
genelde kontrol mekanizmasının kullanılmasıdır. Birinci kontrol mekanizmasından geçmeyi başaran bir tehdidi azaltabilecekleri için ikinci veya
üçüncü kademe kontrollere bazen koruma önlemleri olarak atıfta bulunulur.

Telafi Edici Kontroller ; Her kontrolün yerleşik veya doğal zayıflığı olabilir. Telafi edici kontrol , birinci kontrolün doğasında bulunan zayıflığı
ele alan cihaz , prosedür veya mekanizmadır. Çoğu durumda , telafi edici kontrol , birinci kontrolün gözden kaçırdığı koşulları veya durumları
ele alır.

Karşı önlemler ; Risk analizi sırasında çeşitli tehditler ve güvenlik açıkları belirlenir. Karşı önlemler, genellikle, risk analizi süreci sırasında
tanımlanmış olan riski veya güvenlik açığını azaltmak için uygulamaya konulan belirli faaliyetleri , prosedürleri veya cihazları tanımlar. Karşı
önlem örnekleri şunları içerir ; belirli bilgi sistemleri güvenlik politikası. Güvenlik eğitimi , farkındalık ve eğitim sırasında ele alınan belirli
konular. Gizlilik gereksinimleri için mantıksal erişim kontrolleri. Proksi sunucuları , HIPS , NIPS , hava boşluğu teknikleri. Hedeflenen güvenlik
duvarı IP dışlama kuralları. Honeypot'lar.

Maruziyet ; Maruz kalma , belirli bir tehdidin bir varlığın kırılganlığından faydalanması durumunda tahmini kayıp yüzdesi olarak tanımlanır.
Maruz kalma her zaman , varlık değeriyle çarpıldığında her saldırı sırasında kayıp miktarıyla sonuçlanan bir yüzde olarak ifade edilir.

Risk analizi ; Risk analizi süreci , hem tehditleri hem de varlık güvenlik açıklarını belirlemeye , tehdit olayının meydana gelmesi , belirlenen
güvenlik açığından yararlanma olasılığı ve etkisini belirlemeye yönelik analitik yöntemdir.

Risk Etkisi ; Risk etkisini anlamak , risk analizi ve risk değerlendirme programlarında önemli faktördür. Bir tehdidin bir varlığa yol açabileceği
etki veya hasar miktarı , ele alınacak risk seviyesini belirleyebilir. Bir risk olmasına rağmen , varlığın değeri veya öneminin korunmaya
değmeyecek , onu koruma maliyetinin değerinden fazla olduğu belirlenebilir.

Risk Yönetimi Çerçeveleri ve Risklerin Yönetimine Yönelik Kılavuz ; Risk yönetimi , en iyi uygulamalar , endüstri standartları , varlıkların ve
tehditlerin organizasyonun riskini azaltmak için gereken çabaları belirlemek için sınıflandırılabileceği yapılandırılmış risk analizi yöntemi
hakkında bilgi sahibi olmayı gerektirir. Yıllar boyunca , çerçeveler şeklinde yapılandırılmış bir dizi standart ve metodoloji gelişmiştir. Çerçeveler
, endüstri grupları , danışmanlar ve standart kuruluşu tarafından yönetilen çeşitli çalışma komiteleri ile etkileşim yoluyla ortaya çıkmıştır. BT
güvenliği boyunca yaygın olarak kullanılan üç çerçeve şöyledir ;

ISO / IEC 27005 ; ISO / IEC 27000 serisi , BT güvenlik yönetimi organizasyonlarına rehberlik eden standartlar grubudur. Uluslararası
Standardizasyon Örgütü ( ISO ) ve Uluslararası Elektroteknik Komisyonu ( IEC ) , kapsamlı bir dizi en iyi uygulama , tavsiye ve kılavuz
yayınlanmıştır. ISO / IEC , standart ailesini bilgi güvenliği yönetim sistemi ( BGYS ) olarak ifade eder. Serideki standartların en popüleri , BT
güvenlik yönetimi için güvenlik uygulama kodu ve yönergeleri olan ISO/IEC 27002'dir. ISO/IEC 27005 , kuruluş içindeki çeşitli faktörlerin geniş
kapsamına dayanan çerçeve sunar. Bu tür bir çerçeve , her kuruluşun kendi BGYS'lerine dayalı olarak riskleri ele almasına olanak tanır. Bu
çerçeve şu alanları kapsamaktadır ; Bilgi güvenliği risk değerlendirmesi. Bilgi güvenliği risk tedavisi. Bilgi güvenliği risk kabulü. Bilgi güvenliği
risk iletişimi. Bilgi güvenliği riskinin izlenmesi ve gözden geçirilmesi.

NIST Özel Yayını 800-37 Revizyon 1 ; ISO / IEC 27000 serisinin temelleri , bir kuruluş içinde uygulama yapısı oluşturup kuruluşu belirlenmiş
kriterleri karşılaması için belgelendirmek ve akredite etmek olsa da , NIST Özel Yayını 800-37 Revizyon 1 , “ Risk Yönetimi Çerçevesini Federal
Ülkelere Uygulama Rehberi Bilgi Sistemleri ” , ABD federal hükümeti içindeki BT kuruluşlarına risk yönetimine daha pratik yaklaşımla rehberlik
etmek için oluşturulmuştur.
Ulusal Standartlar ve Teknoloji Enstitüsü ( NIST ) , Ulusal Standartlar Bürosu olarak ortaya çıkmıştır ve ABD Ticaret Bakanlığı'nın düzenleyici
olmayan kuruluşudur. NIST , federal bilgi sistemleri için minimum gereksinimler de dahil olmak üzere bilgi güvenliği standartları ve yönergeleri
geliştirmekten sorumludur. Haber bültenleri ve yayınlar , federal ajanslar için kılavuz olarak oluşturulmuş olsa da , özel ve kamu işletmeleri
ve kuruluşlarında yaygın olarak uygulanmaktadır.

NIST yayınlarıyla ilişkili çeşitli terimler vardır ;

FISMA ; Ulusal Standartlar ve Teknoloji Enstitüsü'ne Federal Bilgi Güvenliği Yönetimi Yasası ( FISMA ) uyarınca yasal sorumluluklar verilmiştir.
Kanun uyarınca , bilgi güvenliği standartları ve yönergeleri geliştirmekten NIST sorumludur. Kanun kapsamında federal bilgi sistemlerine hangi
standartların uygulanacağının belirlenmesi ticaret bakanlığına verilmiştir.

FIPS ; Federal Bilgi İşleme Standartları ( FIPS ) , ticaret sekreteri tarafından federal kurumlar için zorunlu ve bağlayıcı standartlar olarak
onaylanan standartlardır.

Özel Yayınlar ; Özel Yayınlar ( SP ) , NIST tarafından federal kurumlar için tavsiyeler ve rehberlik içeren belgelerdir. Sadece belirli Özel Yayınlar
, federal kurumlar tarafından uyum için zorunludur. NIST SP 800-37 Revizyon 1'de ayrıntılı olarak açıklanan risk yönetimi çerçevesi ( RMF ) ,
bilgi güvenliği ve risk yönetimi faaliyetlerini uyumlu sistem geliştirme yaşam döngüsüne uygulamak için altı adımlı süreç sunar. NIST ve bu
Özel Yayın tarafından açıklanan risk yönetimi metodolojisi şu adımlardan oluşur ; Adım 1 ( Sınıflandırma Sistem için kategori belirlemek için
bilgi sistemi incelenir. Bu süreçte sistemin işlediği , sakladığı ve ilettiği bilgiler değerlendirilir. Bu değerlendirme , sistem için varlık değerini ve
potansiyel riskleri belirlemek için kullanılır. ) , Adım 2 ( Baseline güvenlik kontrolleri sistemin kategorisine göre seçilir. Sınıflandırılmış verileri
işleyen sistem , o kategorideki federal bilgi sistemleri için riskleri azaltan bir dizi kontrol içermelidir. Temel seçim daha sonra ek kontrollerle
genişletilebilir veya mevcut kontroller kuruluşun ihtiyaçlarına göre değiştirilebilir veya özelleştirilebilir. ) , Adım 3 ( Uygula ; seçilen güvenlik
kontrolleri sistem genelinde kurularak düzgün şekilde başlatılır. Kontroller , sistem içindeki uygulamayı ve hangi kategorideki riskleri azalttığını
göstermek için belgelendirilmelidir. ) , Adım 4 ( Değerlendirme Kontrollerin doğru kurulup kurulmadığını , etkin şekilde çalışıp çalışmadığını ,
sistem için risk yönetim planı tarafından belirlenen risk azaltma gerekliliklerini karşılayıp karşılamadığını belirlemek için bir değerlendirme
süreci kullanılır. ) , Adım 5 ( Yetkilendirme , kontrollerin uygulanmasına dayalı olarak kabul edilebilir risk düzeyine ulaşıldığında gerçekleşir. )
, Adım 6 ( İzleme ; kontrolün temel operasyonunun ve risk azaltma etkinliğinin devam eden değerlendirmesini içerir. Bu süreç aynı zamanda
sadece kontroldeki değişiklikleri ve sonuçta ortaya çıkan etki analizini değil , aynı zamanda sistem genelindeki çevresel değişiklikleri de
belgeleyen bir değişiklik yönetimi sürecini içerir. Yönetim raporları ayrıca bilgi sistemi izlemenin sonucunu da üretir. )

Risk yönetimi çerçevesi , sistemi bir dizi kritere göre kategorize ederek çeşitli risk azaltma kontrollerini uygulamaya ve izlemeye yönelik sürekli
bir metodolojidir. Sistem güvenliği yaşam döngüsü yaklaşımı olarak adlandırılır.

NIST SP 800-37 Revision 1 Risk Yönetim Çerçevesi ; Kategorize etmek , seçmek , uygulama , değerlendirmek , yetkilendirmek , monitör etme.

Sistemin sınıflandırılması oldukça kapsamlı olabilir ve sistem mimarisinin belirlenmesini gerektirir.

Sistem mimarisi ; İş süreçlerini , misyonu , mimari tipi veya modeli ve sistem ile diğer ilgili sistemler arasındaki sınırları içerebilir.

Giriş Kısıtlamaları ; Yasalar , politika , hedefler , kullanılabilirlik , maliyetler ve diğer girdiler gibi dikkate alınması gereken tüm öğeleri içerir.

NIST Özel Yayını 800-39 ; NIST Özel Yayını 800-39 , “ Bilgi Güvenliği Riskini Yönetmek: Organizasyon, Misyon ve Bilgi Sistemi Görünümü ” , BT
ortamındaki güvenlik riskiyle ilgili NIST belgesidir. Ülkenin ölçüm ve standart altyapısına teknik liderlik sağlayan Ulusal Standartlar ve Teknoloji
Enstitüsü'ndeki Bilgi Teknolojisi Laboratuvarı ( ITL ) tarafından yazılmıştır. ITL , BT hizmetleri endüstrisi için altı kitaplık bir dizi en iyi uygulama
olan Bilgi Teknolojisi Altyapı Kütüphanesi olan ITIL ile karıştırılmamalıdır. ITL , endüstri , hükümet , akademik kuruluşlar için bilgi sistemleri
güvenliğinde araştırma , yönergeler ve sosyal yardım çabaları sağlar.

NIST Özel Yayını 800-39 şu ana konuları içerir ; Risk Yönetiminin Bileşenleri , Çok Katmanlı Risk Yönetimi , 1. Aşama – Organizasyonel Görünüm
, 2. Aşama – Görev / İş Süreci Görünümü , Aşama 3 – Bilgi Sistemleri , Güven ve Güvenilirlik , Örgüt Kültürü , Temel Risk Kavramları Arasındaki
İlişki.

Bu yayı n, riski ve BT güvenliğini anlamak için çok iyi bir başlangıç noktası sunar.

Risk Analizi ve Risk Değerlendirmesi ; Kuruluş içindeki riski anlamak için çeşitli yöntemleri tanımlar. Etkili olması için risk yönetimi , kurum
genelinde tamamen entegre edilmiş kültür ve süreç olmalıdır. Varlık değerini belirleme , risk azaltma kontrollerine karar verme , günlük
ortamda kontrollerin değerini izleme , değerlendirme. Organizasyonun riski değerlendirirken kullandığı iki süreç vardır. Risk değerlendirmesi
, genelde gerçekleri ve maliyetleri kullanan analitik yaklaşımken , risk değerlendirmesi , etki analizi , konu uzmanları tarafından sağlanan
bilgiler gibi çok daha geniş bilgi kapsamını kullanan daha ayrıntılı bir yaklaşım sağlayabilir.

Risk analizi ; Riski tanımladığımız ve analiz ettiğimiz yöntemdir. Risk analizi , risk belirlemesine ulaşmak için potansiyel tehditler ve güvenlik
açıkları belirlenerek gerçekleştirilir. Sayısal analitik tekniklerin uygulanması , varlık değerini belirlemek , varlıkla ilişkili genel riski azaltmak ,
hafifletmek için gereken kontrollerin maliyetine ulaşmak için kullanılır. Riski analiz etmek için kullanılan iki genel metodoloji vardır ; nicel ve
nitel.

Nicel Risk Analizi ; Nicel risk analizi süreci , varlık hakkında çeşitli gerçeklerin ve rakamların toplanmasını içerir. Bu gerçekler ve rakamlar ,
orijinal maliyet, toplam sahip olma maliyeti , değiştirme maliyeti veya diğer parasal tutarlar gibi bilgileri içerebilir. Kuruluş daha sonra bu
bilgiyi , riski kabul edilebilir düzeye indirmek için kullanılan kontroller için bütçelenmesi gereken toplam maliyeti belirlemek için kullanır. Nicel
risk analizini tanımlayan terim , Resmi Risk Modellemesidir.

Varlıklara değerler atanırken şu maliyetler veya faaliyetler dikkate alınmalıdır ; Kaybolması durumunda varlığın yenilenme maliyeti. Navlun
ve satın alma maliyetleri dahil satın alma maliyeti. Diğer varlıklar üzerindeki etkisi veya maliyeti. Varlığın değiştirilmesi için işçilik maliyetleri.
Maaşlar , yükleniciler gibi dolaylı işçilik maliyetleri. Geliştirme maliyeti. Diğer cihazlara gelebilecek olası hasarlar gibi sorumluluk maliyetleri.
İtibarın zedelenmesi gibi sorumluluk maliyetleri. Varlığın, saldırıya uğraması durumunda kaybedilecek olan kuruluş için toplam değeri.

Nicel Risk Analizi Formülleri ve Etki Analizi ; Çeşitli analitik metodolojilerle belirlenen varlık değerlemesi , varlığın kaybının kuruluş üzerindeki
etkisini belirlemek için kullanılabilir. Bir kaybın kuruluş için maliyet olarak etkisini belirlemek için kullanılabilecek birkaç değişken vardır. Her
saldırının yüzde 100 kayıpla sonuçlanmadığı ve her saldırının başarılı olmadığı düşünülebilir. Bu nedenle , nicel risk analizi kullanırken dikkate
alınması gereken tutar kaybetmeyi içerebilir.

Hesaplamalar şunlardır ;

Tek Kayıp Beklentisi ( SLE ) ; SLE , risk olayı meydana geldiğinde kaybedilebilecek maliyettir. Her olay toplam bir kayıpla sonuçlanmaz.
Dolayısıyla , beklediğimiz kayıp miktarını temsil etmek için denklemde bir faktör kullanılmalıdır. AV = varlık değeri , EF = yüzde olarak ifade
edilen maruz kalma faktörü , SLE = varlık değeri ( $ ) * maruz kalma faktörü ( SLE = AV * EF )

Yıllık Kayıp Beklenti ( ALE ) ; Yıl boyunca meydana gelen tüm SLE'lerin toplam maliyetidir. Risk olayının yıl boyunca gerçekleşeceğini tahmin
ettiğimiz sayı , yıllık meydana gelme oranı ( ARO ) ile temsil edilecektir. Yılda bir kez bir olay olursa ARO = 1 , bir olay yılda iki kez olursa , ARO
= 2. O olacaktır. ALE= tek kayıp beklentisi ($) * yıllık meydana gelme oranı ( % )

Maruziyet Faktörü ( EF ) ; Risk olayı sırasında varlığın maruz kalabileceği zararı veya zarar miktarını ifade eder. EF her zaman yüzde veya olasılık
olarak yazılır ve aşağıdaki şekillerde ifade edilebilir: EF = %100 EF = 1.0 . Bu , varlığın katastrofik veya tam yüzde 100 kaybını temsil eder. EF =
%50 EF = 0,5

Niteliksel Risk Analizi ; Niceliksel risk analizinin gerçekleri ve rakamlarına karşı , kuruluşun konu uzmanlarının sezgilerine ve bireysel bilgilerine
dayanır. Kalitatif , varlık değerinin muhasebe maliyetlerinden ziyade diğer faktörlere göre belirlendiği subjektif değerleme sistemidir.
Niteliksel analiz sırasında , müşteri kaçışı , yeniden inşa etme maliyeti , tahmini potansiyel gelir kaybı , kötü tanıtım , basın ve personelin
üretkenliği sürdürme yeteneğinin kaybı gibi değişkenler. Niteliksel risk analizinde , öznel sonuç nedeniyle dolar rakamlarını atamak zor olabilir.
Nitel analizin sonuçları yüksek , orta , düşük olarak veya 0'dan 5'e kadar ölçekte ele alınır.

Analiz ve Değerlendirme ; Analiz ve değerlendirme sıklıkla birbirinin yerine kullanılsa da , aynı tanımlara sahip değillerdir. Analiz yaparsınız ve
analizin sonuçları bir değerlendirme yapmanızı sağlar.

Analiz Bilgi Toplama Teknikleri ; Çoğu durumda , risk analizi sürecine katılmak güvenlik uygulayıcısının sorumluluğunda olacaktır. Bilgiler ,
analiz sürecinde kullanılacak olan farklı konu bilgi kategorileri altında toplanabilir.

Varlıkların listesini belirleyin. Bazen donanımı raflara , dolaplara ve tavan boşluklarına yerleştirmek veya satın alınan uygulamalar , lisanslar ,
veritabanları , özel bilgiler ve sunucularda , kullanıcı iş istasyonlarında saklanan fikri mülkiyet gibi yazılım varlıklarını belirlemek büyük
girişimdir. Bir varlığa yönelik olası tehditleri belirleyin. Bu aktivite hem geçmiş verileri hem de uzman görüşlerini içerebilir. Yıllık oluşum oranını
belirleyin. Bu aktivite, günlük verilerini ve geçmiş bilgileri içerebilir. Önceki saldırılara dayalı olarak bir varlığın ne kadarının kaybedildiğini
belirleyin. Tarihsel bilgilere dayanarak maruz kalma faktörünü belirlemeye çalışıyor.

Bu bilgi , risk analizi sırasında doğru hesaplamalar için gereklidir. Bunların çoğu muhasebe veri kaynaklarından ve geçmiş verilerden gelirken
, diğer bilgiler konu uzmanlarından ( KOBİ ) elde edilebilir. Risk hesaplamalarında kullanılan diğer bir veri kaynağı ise departman müdürleri ,
yöneticiler veya genel kullanıcılar tarafından hatıralara veya kayıp olaylarının hafızasına dayalı olarak sağlanabilir. Şu teknikler, faaliyet sınırları
veya bilgi alanı içindeki varlığa ilişkin bilgilerin toplanmasında kullanılabilir.

Anket ; Risk değerlendirme personeli anketler geliştirebilir. Farklı anket türleri , ilgili bilgileri döndürebilir. Anket , departman içindeki tüm
donanım ve yazılım öğelerinin tanımlanmasını isteyebilir. Ayrı anket , bir varlığın hizmet için kaç kez kullanılamayacağını sorabilir. Karışıklığı
önlemek için varlığı envanter varlık numarasına göre tanımlayan net terminoloji oluşturulmalıdır. Anketlerin hem yerinde hem de yüz yüze
ziyaretlerde kullanılması önerilir.

Yerinde Görüşmeler ; Daha önce bireylere gönderilen anketleri geri almaya çalışmaktan çok daha etkili sayılabilir. Ankete dahil edilecek
bilgileri şahsen tartışmak daha kolay ve daha hızlı olabilir. Yerinde görüşmeler genelde görüşmecinin varlığı gözlemlemesine ve operasyon ve
varlık güvenliğini belirlemesine olanak tanır.

Belge İnceleme ; Belge incelemesi sırasında , sistem belgeleri , direktifler , politikalar , kullanıcı kılavuzları , satın alma belgesi dahil olmak
üzere varlıkla ilgili her şey incelenir. Raporlar , risk değerlendirme raporları , sistem test sonuçları , sistem güvenlik planları , sistem güvenlik
politikaları gibi güvenlikle ilgili belgeler incelenebilir. Önemli belgeler önceki etki analizlerini veya varlık kritiklik değerlendirmelerini de içerir.

Tarama Araçları ; Hem ağlarda hem de ana cihazlarda olası güvenlik açıklarını tarayan çok çeşitli tarama araçları mevcuttur. Taramalar hem
aktif hem de pasif olabilir. Etkin taramalar , zayıf parolaların , açık bağlantı noktalarının veya uygulamalardaki güvenlik açıklarının belirlenmesi
gibi belirli amaç için başlatılan dolandırıcılıklardır. Eylemler düzenli olarak gerçekleştiği için pasif taramalar sürekli olarak gerçekleştirilebilir.
Pasif taramalar , kullanıcılar tarafından günlük olarak oluşturuldukları için bireysel parolaları inceleyebilir.

Risk değerlendirmesi ; Risk değerlendirmeleri , etkin risk yönetimi sırasında risk azaltma stratejilerini uygulamak için kullanılan başlıca
yöntemdir. Risk yönetimi , Sistem Geliştirme Yaşam Döngüsü ( SDLC ) boyunca sürekli süreç olduğundan , varlığa yönelik tehditleri belirlemek
, değerlendirmek , sınıflandırmak , riski azaltmak için en uygun azaltma tekniğini , kontrolünü belirlemek için kullanılabilen süreçtir. Bu süreçte
, yönetimin karar vermesini kolaylaştırmak için oluşturulan uygun raporlarla birçok çalışma parametresi izlenebilir ve ayarlanabilir. Risk
değerlendirmeleri , risk analizi üzerine kurulu olup belirli risklerin tanımlanmasını , gerçekleşme olasılığını , etkisini ve kontroller için tavsiyeleri
içerir. Küçük kuruluşlarda bile risk analizi ve risk değerlendirmeleri , önemli miktarda fon , personel ve zaman taahhüdü gerektirir.
Beklenebileceği gibi , büyük kuruluşlar ekiplerin sürekli olarak risk değerlendirmeleri yapmasını gerektirir. Herhangi bir organizasyonda
maliyet , zaman ve kullanım kolaylığı birinci endişelerdir.
Bu nedenle , etkin risk değerlendirmeleri sağlamak için kanıtlanmış çerçeve benimsenebilir. NIST Özel Yayını 800-30 Revizyon 1 , “ Risk
Değerlendirmelerini Yürütme Rehberi ” , federal bilgi sistemleri ve organizasyonlarının risk değerlendirmelerinin yürütülmesi için rehberlik
sunar. NIST Özel Yayını 800-30 Revizyon 1 yayını , dünya çapında çok sayıda kuruluş tarafından benimsenmiştir ve risk yönetimi stratejilerinin
temelini oluşturmaktadır. Özel Yayın , risk yönetiminin risk değerlendirme bileşenini özetlemekte ve risk değerlendirmelerine nasıl
hazırlanılacağı , risk değerlendirmelerinin nasıl yürütüleceği , risk değerlendirmelerinin kilit organizasyon personeline nasıl iletileceği , riskin
nasıl sürdürüleceği konusunda adım adım süreç sunmaktadır. NIST Özel Yayını 800-30'un artık kullanımdan kaldırılan orijinal versiyonunda ,
dokuz aşamalı risk değerlendirme süreci ayrıntılı olarak özetlenmiştir. Tipik proje yönetimi kavramları kullanılarak proje planına benzer olacak
şekilde tasarlanmıştır ve dokuz adımın her biri bir girdi , bir süreç yöntemi ve bir çıktı içerir. Etkili ve kapsamlı olmasına rağmen , yüzlerce
varlığa uygulandığında çok hantal ve ayrıntılı olduğunu kanıtlamıştır. Hem hız hem de uyarlanabilirlik içeren sadeleştirme gerekliliği vardı. En
son sürüm olan NIST Özel Yayını 800-30 Revizyon 1'de , risk değerlendirme süreci dört ana adıma indirgenmiştir. Orijinal dokuz adımın tümü
hala sürece dahil edilmiştir.

Adım 1 ( Risk Değerlendirmesine Hazırlanma ) ; Risk değerlendirme sürecindeki ilk adım , değerlendirmeye hazırlanmaktır. Bu adımın amacı ,
kuruluşun risk hedefleri , kullanılacak değerlendirme metodolojileri , risk faktörlerinin seçilmesine yönelik prosedürler , risk değerlendirmesini
etkileyen politikalar ve düzenlemeler gibi çeşitli gereksinimlerin ana hatlarıyla ilgili temel bilgi çerçevesi sağlamaktır. Hazırlık aşamasında ,
belirlenmesi gereken beş genel bilgi kategorisi vardır ; Değerlendirmenin amacını belirleyin. Değerlendirmenin kapsamını belirleyin.
Değerlendirmeyle ilgili varsayımları ve kısıtlamaları belirleyin. Değerlendirmeye girdi olarak kullanılacak olay bilgilerini tanımlayın. Risk
modelini ve analitik yaklaşımları tanımlayın.

Adım 2 ( Risk Değerlendirmesinin Yapılması ) ; Risk değerlendirme sürecindeki ikinci adım , değerlendirmenin yapılmasıdır. Bu adımın amacı ,
kaynakları ve olayları içeren , güvenlik açıklarını ve tehdidin bunlardan yararlanma olasılığını tanımlayan risk bilgisi listesi oluşturmaktır.
Kuruluşlar , azaltmak istedikleri tehditlere ve güvenlik açıklarına öncelik vermek için kendi kriterlerini uygulayabilirler. Uygulamada , mevcut
kaynaklar dahilinde birçok kuruluş , tehdit kaynaklarını , olayları ve güvenlik açıklarını yalnızca risk değerlendirme hedeflerini gerçekleştirmek
için gerektiği kadar genelleştirir. Risk değerlendirmelerinin yürütülmesi şu özel görevleri içerir ; Kuruluşla ilgili tehdit kaynaklarını belirleyin.
Bu kaynaklar tarafından üretilebilecek tehdit olaylarını tanımlayın. Tehdit kaynakları tarafından istismar edilebilecek kuruluş içindeki güvenlik
açıklarını belirleyin. Tanımlanmış tehdit kaynağının belirli tehdit olaylarını başlatma olasılığını ve tehdit olayının başarılı olma olasılığını
belirleyin. Güvenlik açığından tehdit tarafından yararlanılmasının kurumsal operasyonlar ve varlıklar üzerindeki olumsuz etkisini belirleyin.
Güvenlik açığından tehdit olarak yararlanma olasılığı , kuruluşun bu tür bir istismarının etkisi ve risk belirlemeyle ilişkili belirsizliklerin
birleşimine dayalı olarak risk bilgilerini belirleyin.

Adım 3 ( Risk Değerlendirme Bilgilerinin İletilmesi ve Paylaşılması ) ; Kuruluş genelindeki karar vericiler , risk kararlarını yönlendirmek için
uygun riskle ilgili bilgilere ihtiyaç duyar. Risk değerlendirme sürecindeki üçüncü adım , risk değerlendirmelerinin sonuçlarını yöneticiler ve
diğer kişilerle iletmektir. Bilgi paylaşımı şu belirli adımlardan oluşur ; Risk değerlendirme sonuçlarının iletilmesi. Risk azaltma ile ilgili doğru
yönetim kararlarının alınmasını sağlamak için risk değerlendirmesinin yürütülmesi sırasında geliştirilen ayrıntılı bilgilerin paylaşılması.

Adım 4 ( Değerlendirmenin Sürdürülmesi ) ; Tüm kuruluşlarda ve işletmelerde risk değerlendirmesi , varlık değerlemesi ve tehdit ile güvenlik
açığı tanımlaması devam eden süreçtir. Yeni ağ oluşturma ürünlerinin satın alınması , riski azaltmak için yeni kontrollerin gereksinimleri , risk
izleme tekniklerinin zaman içinde ortaya çıkardığı sistem değişiklikleri , tümü genel risk ortamındaki değişikliklere katkıda bulunur. Bu adımın
amacı , risk bilgisindeki değişiklikleri meydana geldikçe not edip günlüğe kaydederek risk değerlendirmesini güncel tutmaktır. Bu izleme , bir
kuruluşa , risk kontrollerinin etkinliğini belirleme , riski etkileyen değişiklikleri belirleme ve sistemlerin , kontrollerin yerleşik yönergeler ve
temel çizgiler dahilinde çalıştığını doğrulama yeteneği sağlar. Risk değerlendirmesinin sürdürülmesi , kuruluşun risk stratejisine uygunluğu
doğrular. Risk değerlendirmelerinin sürdürülmesi belirli görevleri içerir , Risk değerlendirmelerinde tanımlanan risk faktörlerini sürekli olarak
izleyin. Yeni ürünler veya hizmetler satın alındığında , birleşme ve satın almalar gibi önemli organizasyonel değişiklikler meydana geldiğinde
ve düzenleyici ortam değiştiğinde değerlendirmeyi güncelleyin.

Riskleri Yönetmek ; Genel risk yönetimi planının bir parçası olarak , kuruluşlar riskleri analiz ederek değerlendirir. Bu süreçte varlıklar
tanımlanarak potansiyel tehditler belirlenip tehdidin bir zafiyetten yararlanma ve dolayısıyla kuruma zarar verme olasılığını belirlemek için
zafiyetler değerlendirilir. Riskleri yönetme sürecindeki sonraki adım , risk tedavi planı formüle etmektir. Tedavi , tanımı gereği , tehditleri
azaltarak ve güvenlik açığından yararlanma olasılığını azaltarak risklerin azaltıldığı stratejidir. Tedavi planı , tehdit olayı meydana geldiğinde
riski azaltmak veya etkiyi en aza indirmek için atılabilecek prosedürlerin , cihazların , kontrollerin veya adımların bir listesidir.

Tedavi Planı ; Kuruluşun potansiyel risklere nasıl yanıt vermeyi planladığını ayrıntılarıyla anlatır. Düşük , yüksek veya kabul edilebilir riskler
olup olmadığına bakılmaksızın risklerin nasıl yönetildiğini ana hatlarıyla belirterek tanımlanan risklerle başa çıkmak için tercih edilen
stratejileri ana hatlarıyla belirtir. Bazen tedavi planlarına risk değerlendirme planları denir. Gerçekte tedavi planı bir değerlendirme planının
sonucudur. Risk tedavi planının birinci amacı , kontrollerin hangi zaman diliminde ve hangi bütçeyle uygulanmasından kimin sorumlu
olduğunu kesin olarak belirlemektir. Bir olaya veya olaya verilen yanıtı da detaylandırabilir.

Risk Tedavisi ; Kuruluş riskleri tanımladıktan sonra , riskle başa çıkmak için birkaç farklı strateji arasından seçim yapmalıdır. Risk tedavisi , riski
azaltmak için kullanılabilecek hafifletme teknikleri için bir dizi seçeneğin belirlenmesini içerir. Risk işleme aynı zamanda risklerin
önceliklendirilmesi , çeşitli azaltma seçeneklerinin fayda ve maliyetlerinin tartılması yoluyla değerlendirilmesi , bir risk azaltma planının
hazırlanması ve uygulanması , azaltma sürecinin izlenmesine ilişkin genel süreci ifade eder. Risklerin tedavisi için şu risk yanıt seçenekleri
mevcuttur ;

Kabul ; Bir kuruluş bir riski kabul ettiğinde ve onunla yaşamak için bilinçli karar verdiğinde , kuruluş riski kabul ettiğini gösterir. Toplam kayıp
durumunda , kuruluş değiştirme maliyetini kabul etmeye isteklidir. Bir riski kabul etme kararı , çeşitli durumların veya değerlendirmelerin
sonucu olabilir ;

Maliyet ; Bir tehdidin gerçekleşmesi durumunda , kontrolün maliyeti zarardan daha ağır basabilir.

Sınırlı Hasar ; Bir tehdit durumu gerçekleştiğinde çok az hasar meydana gelebilir.
Artık Risk ; Kontrol uygulandıktan sonra kalan risktir.

Aktarım ; Zararın ödenmesi sorumluluğu üçüncü şahsa verildiğinde buna risk aktarımı denir. Çoğu durumda , sigorta şirketini içerir. Bir riskin
devredilmesi , riski ele alan ve soruşturma , dava , varlık kurtarma ve talep işleme gibi çeşitli faaliyetlerden sorumlu olan dış kaynağı da
içerebilir. Riski transfer etmenin riskin ortadan kalkacağı anlamına gelmediğini belirtmek önemlidir. Bu sadece kuruluştan başka birinin
ödemeden sorumlu olduğu anlamına gelir. Nihai sorumluluğun hala varlık sahibine ait olduğunu belirtmek önemlidir.

Kesinti ; Risk azaltma veya arabuluculuk , riski azaltmak için kontrolün yerleştirildiği süreçtir. Riskler her zaman mevcuttur ve hiçbir risk sıfıra
indirgenemez. Bu nedenle , sadece çeşitli kontrollerin uygulanması , riski etkin şekilde kabul edilebilir düzeye indirecektir. Kontroller birçok
şekilde olabilir. Riskin etkisi , olay tetiklenmeden önce tehdidin güvenlik açığından yararlanma olasılığını azaltarak ele alınabilir veya olay
tetiklendikten sonra devam eden hasarı sınırlayan olay müdahale faaliyetleri yoluyla azaltılabilir. Olaydan önce , olayın tetiklenme olasılığını
azaltmak için uygun kontroller kullanılabilir. Olaydan sonra , hasar kontrol ekibi tarafından yapılan uygun testler veya olay müdahale süreci ,
olayın neden olduğu hasarı sınırlayabilir.

Riskten Kaçınmak ; Riskten kaçınma , risk durumunu ortadan kaldırmaktır. Risklerden kaçınmak için bunları önceki deneyimlerden tespit
edebilir ve risk durumunu ortadan kaldırmak için hangi adımların atılabileceğini analiz edebilirsiniz. Riski azaltmak ve riskten kaçınmak
arasında ince çizgi vardır.

Her risk tedavi planı bir kuruluş için özel olarak özelleştirilebilse de , plan en azından şu bölümleri içermelidir ;

Risk Tanımlama Numarası ; Tanımlanan riskler , ana riskler olarak 1.0, 2.0 ve 3.0 gibi bir hiyerarşi formatında sıralı olarak numaralandırılabilir
, 1.1 alt risk olarak , 1.1.1 bu risk altında temel risk olarak kullanılabilir.

Riskin Adı ; Riskler öncelik sırasına göre listelenir.

Risk Tedavi Tekniği ; Kabul etme , kaçınma , azaltma ve aktarma gibi teknikleri listeleyin.

Seçilmiş Kontrol ; Riski azaltmak için seçilen kontrollerin listesini ekleyin.

Tedavi Sonrası Risk Derecelendirmesi ; Yüksek , orta ve düşük ya da 1'den 10'a kadar risk derecelendirme ölçeği kullanın.

Maliyet fayda analizi ; Riski azaltan kontrolün maliyet faydasının isteğe bağlı analizidir.

Kontrolün Uygulanmasından Sorumlu Kişi ; Genelde departman ve role göre listelenir.

Uygulama Zaman Çizelgesi ; Kontrolün tam olarak faaliyete geçeceği bir tarihtir.

Kontrol İzleme Yöntemi ; Yerine getirildikten sonra kontrolün nasıl izleneceğinin açıklamasıdır. Kullanılacak ana hatlar ve standartlar
belirtilmelidir.

Olay Müdahalesi ; Bir olaya yönelik amaçlanan yanıtın kısa açıklamasıdır. Bu alan aynı zamanda bir olay müdahale planı belgesine de atıfta
bulunabilir. Risk işleme planı elektronik tablo şablonu biçimini alsa da , alanların çoğu kısa açıklamalardır. Risk işleme planı , risk değerlendirme
faaliyeti sırasında bir riskin tanımlanmasını destekleyen tam belgeleri , etki analizini , kontrol seçim kriterlerini , kontrol temel çizgilerini ,
standartlarını ve olay müdahale belgesini içermelidir.

Risk Kaydı ; Risklerin kaydını tutmak için kullanılan birinci belgedir. Risk değerlendirme sürecinin doğrudan çıktısıdır. Bir risk kaydı , listelenen
her bir riskin ayrıntılı tanımını içerir. Risk kaydı , risk işleme programıyla örtüşüyor gibi görünse de , iki belge farklı amaçlara hizmet eder. Risk
tedavi planı , tehditlerin ve varlık güvenlik açıklarının belirlenmesine ilişkin eksiksiz belgeleri içermelidir. Mevcut kaynaklarla ele alınabilmeleri
için risklere öncelik verir. Risk kaydı şu alanları veya sütunları içerebilir ; Risk Tanımlama Numarası , Riskin Adı , Riskten Sorumlu Ekip Üyesinin
Adı veya Unvanı , İlk Raporlanma Tarihi , Son Güncelleme , Etki Değerlendirmesi , Etki Açıklaması , Oluşma Olasılığı , Azaltma için Zaman
Çizelgesi , Tamamlanan Eylemler , Gelecekteki Eylemler , Risk Durumu.

Riski Görmezden Gelmek ; Risk olasılığının olası talihsiz sonuçlarını görmezden gelerek olumlu düşünceyi vurgulamaya çalışırlar. Olumlu
düşünür ve çok çalışırsanız her şeyin üstesinden gelinebileceğini size hemen söyleyeceklerdir. Bu tutum , bir riski veya kusuru kabul etmenin
zayıflık gösterdiğine dair inanca yol açabilir. Bu faaliyetin sonucu , tehdit oluştuğunda , riske maruz kalmalarını azaltmak için hiçbir kontrolleri
olmamasıdır. Riski görmezden gelmenin başka yöntemi olan erteleme , “ Şu anda risklerle ilgilenemeyecek kadar meşgulüz ” gibi bir ifadeyle
veya “ Sorun değil ” gibi aceleci bir yanıtla kendini gösterebilir. Bazı durumlarda , önemli risk meselesi dışında her şeye zaman ve dikkat
verildiğinde erteleme belirgindir. Riski göz ardı etmenin başka bir yöntemi de basitçe onu yeniden adlandırmak veya farklı bir kategoriye
yerleştirmektir. Riski göz ardı etmek uygun bir risk tedavi yöntemi değildir. Riskleri görmezden gelen bireyler, şirketler ve uluslar bunu kendi
tehlikeleri altında yaparlar.

Önceki kategorilere girmeyen başka tür risk tedavileri de mevcuttur. Olası tüm riskleri tahmin etmek neredeyse imkansızdır. Bu durumda ,
kuruluş başka risklerin mevcut olduğunu kabul edebilir. Bilinmeyen bir risk olayı tetiklenir ve tanımlanırsa , mevcut genel yanıt kategorisine
yerleştirilebilir. Bu tür tepkilere kontrol ve araştırma denir. Hasar , önceden planlanmış genel bir süreçle kontrol edilir ve tehdidin kaynağı ,
saldırının kapsamı ve verilen hasarın miktarı hakkında soruşturma başlatılır. Ağa izinsiz giriş önleme sistemine ( IPS ) , işletim sisteminde
önceden bilinmeyen bir kusurdan yararlanılarak saldırı yapılabilir. Bu tür bir saldırıya sıfır gün saldırısı denir çünkü daha önce üretici tarafından
bilinmiyor ve bu nedenle hiçbir yama veya azaltma tekniği bilinmiyor. Sıfır gün saldırısı , bir güvenlik açığından yararlanabilir ve saldırganın
ağa Truva atı yerleştirmesine olanak tanır. Truva atı , kötü amaçlı yazılım bileşeninin bir veritabanı uygulamasına arka kapı açmasını
sağlayabilir. Kuruluş , bu cihazı risk listesinde olası risk olarak listelememiş olsa da , yine de önlem almış olabilir. Saldırı hemen internet ihlali
olarak sınıflandırılmış olabilir ve herhangi bir hasarı kontrol etmek için hemen bir olay müdahale ekibi çağrılabilir. Bir olaydan sonra , spesifik
saldırıyı belirlemek için bir araştırma yapılmalıdır.
Risk Görünürlüğü ve Raporlama ; Günümüzde çoğu kuruluş , risk konusunda yetersiz anlayışa ve riskleri belirleyip önleme konusunda
yetersizliğe sahiptir. Birçok yönetici , risk olayını meydana geldiğinde ele almak için kaynaklara veya plana sahip olmak şöyle dursun ,
organizasyon içindeki potansiyel tehditler ve güvenlik açıkları hakkında yetersiz bilgiye sahiptir. Sınırlı risk görünürlüğü olan kuruluşlar sürekli
olarak reaktif durumdadır. Çoğu kuruluş , riskin günlük operasyonları nasıl etkilediği konusunda yetersiz bilgiye sahiptir. Birçok organizasyonel
grubun kültürü , neredeyse sadece günlük görevlerin yerine getirilmesiyle meşguldür ve çoğu yönetici , nadiren büyük resmi kavrayabilir veya
risk ortamına ilişkin görünürlük kazanabilir. Her seviyedeki yöneticiler , kendi çalışma alanlarında bile riskin farkında değildir. Bir risk olayı
meydana geldiğinde , risk önleme yerine sorunları gidermeye ve yangınları söndürmeye odaklanılır.

Kurumsal Risk Yönetimi ; ERM , risk kültürünü reaktiften proaktife değiştirmek ve herhangi bir kilit programdaki riski doğru şekilde tahmin
etmek veya azaltmak için tasarlanmış bir programdır. ERM'nin başarılı olması için organizasyonel düzeyde üstlenilmesi gerekir. Riskleri
proaktif temelde belirlemek ve azaltmak için kuruluşun genel kültürünün bir parçası haline gelmesi gerektiği anlamına gelir. Bu görevi
başarmak için üst yönetim , risk yönetimi programını kuruluş genelinde daha görünür hale getirmeye karar vermelidir. Kapsamlı risk verilerine
erişim olmadan , kuruluş , bekleyen risklerini ve gerçekleşme olasılıklarını belirlemeyi zor bulabilir ve bu da tahminlerin daha az doğru
olmasına neden olabilir. Sahada çalışanlar tarafından kullanılan bilgiler ile yönetici karar vericiler tarafından kullanılan bilgiler arasında
kopukluk olabilir. Kurumsal risk yönetimi programının tanıtımı şunlardan herhangi birini içerebilir ; Çalışan risk bilinci çalıştayları. Kuruluş
genelinde risk tanımlama. Risk panolarının kullanımı. Olay raporlama ve olay müdahale raporları. Üst düzey risk kurulu veya danışma
komitesinin uygulanması. Operasyonel sistemlerin sürekli izlenmesi.

Kuruluş çapında ERM , bir kuruluşun tüm risk yüzeyini izleyerek düzenleyici uyumun , finansal faaliyetlerin , tesislerin fiziksel özelliklerinin
yanı sıra BT ağ risklerinin izlenmesini içerebilir. ERM programı , organizasyonun riskler konusunda farkındalığını artırmayı ve ya riski azaltmak
, maruziyeti azaltmak , hasarı en aza indirerek riske tepki vermek için tepki süresini arttırmayı amaçlamaktadır.

Sürekli İzleme ; Risk ortamını yönetmek , sadece riskleri belirleyip kontroller oluşturup sorunlara yanıt vermekten çok daha fazlasını
içermektedir. Tehdit olaylarının derhal veya ihlalden sonra mümkün olan en kısa sürede keşfedilebileceği sistem iç kontrollerinin durumunun
etkin şekilde iletilmesi için sürekli izleme gerekliliğini içerir. Sorunların veya zayıflıkların hızlı şekilde belirlenmesi ve hızlı müdahale eylemleri
, olası risk olaylarının maliyetini azaltmaya yardımcı olur. İdeal durum ise gerçek zamanlı ölçümler aracılığıyla riski sürekli olarak yönetmek
olacaktır. Bu tür izleme programını gerçekleştirmek için izlenen tüm kontroller için performans temelleri oluşturulmalıdır. Bu kontroller ,
durum değişiklikleri , normal çalışma parametrelerinin dışındaki faaliyetler durumunda bir uyarıyı tetiklemelidir. Zaman içinde kaçınılmaz
değişiklikler nedeniyle taban çizgileri izlenmelidir.

Pasif İzleme ; Bir ağdan veya cihazdan geçen trafiğin , genelde bir anahtar veya yönlendirici üzerindeki yayılma bağlantı noktasından veya
ayna bağlantı noktasından doğrudan , ağ musluğu kullanılarak ağ dışında yakalanmasıyla karakterize edilir. Genelde bilgiler ağ trafiği veya
paketler biçiminde olup gelecekte gözden geçirilmek üzere günlük dosyalarına kaydedilir. Veriler doğrudan ağ üzerinden gerçek zamanlı
olarak toplansa da , daha sonra çevrimdışı olarak incelenir. Pasif izleme sırasında yakalanan veri miktarı önemli olabilir. Anormallikleri aramak
için veriler üzerinde çeşitli yazılım araçları kullanılabilir. Günlük incelemesi sırasında bazı prosedürlerin izlenmesini gerektiren çeşitli
anormallikler veya faaliyetler not edilir. Pasif izleme sırasında , günlükler çeşitli makineler aracılığıyla manuel olarak toplanır veya izleme
konsoluna yönlendirilir. Birçok kuruluşta pasif izleme ile ilgili ciddi eksiklik , günlüklerin zamanında incelenememesidir. Pasif izleme etkinliği ,
cihaz sorun gidermede son derece yararlıdır.

Aktif İzleme ; Sunucu ve diğer cihaz performansını ölçmek için özel paketlerin ağa tanıtıldığı yaklaşımdır. Çeşitli senaryoların öykünmesi ve
Hizmet Kalitesinin ( QoS ) test edilmesi için idealdir. Sistem yöneticileri , genel ağın ve çeşitli cihazların hızını , doğruluğunu , istatistiksel
niteliklerini test etmek için aktif izlemeyi kullanır. Çoğu durumda , bu testlerin çeşitli sözleşme uyumluluk standartlarını karşılaması gerekir.
Aktif izleme , bir cihazı tüm ağ için test etmek amacıyla genelde sistem yöneticisi veya başka bir kişi tarafından tetiklenen test mekanizmasıdır.

Gerçek zamanlı izleme ; Otomatik izleme olarak da ifade edilebilir. Ağ izinsiz giriş önleme sistemleri ( NIPS ) ve diğer cihazlar gibi çeşitli öğeler
, çeşitli imzalara , davranış özelliklerine , buluşsal yöntemlere dayalı olarak izinsiz girişleri sürekli olarak izler. İzinsiz giriş tespit edildiğinde ,
cihaz operatörü hemen bir olay hakkında uyarır. Olayın izinsiz giriş olduğu belirlenirse , olay olarak etiketlenir. Belirlenmiş izinsiz giriş türü için
yerleşik prosedürlere ve protokole bağlı olarak , Bilgisayar Acil Müdahale Ekibinin ( CERT ) gerekli faaliyetleri gerçekleştirmesi gerekebilir.
Gerçek zamanlı izleme ile aktif izleme arasındaki fark , gerçek zamanlı izlemenin ağ üzerindeki trafiği sürekli olarak dinlemesi ve bazı kriterlere
göre otomatik olarak uyarı göndermesidir. Gerçek zamanlı izlemede bile insan müdahalesi yeterli olmayabilir. Ağa izinsiz giriş önleme
sistemleri gibi çeşitli cihazlar , izinsiz girişi keşfedebilir , bağlantı noktasını kapatan , IP adresini engelleyen güvenlik duvarı kuralını değiştirmek
gibi hemen bir eylemi tetikleyebilir. Bu otomatik yanıt , bir insan yanıtından çok daha zamanında ve verimli olacaktır.

Güvenlik Bilgileri ve Olay Yönetimi ( SIEM ) ; SIEM yazılım ürünleri , güvenlik uyarılarının gerçek zamanlı analizini sağlamak için donanım izleme
cihazlarıyla birleştirilir. Çoğu durumda , SIEM cihazları , çeşitli günlüklerden veri toplarken ağı ve ağdaki cihazları izleyen donanım birimleri
olarak satılır. Veriler toplandıktan sonra , cihaz onu ilişkilendirir. Otomatik analiz yoluyla veriler faydalı bilgilere dönüştürülür. Anormallik
bulunursa , izinsiz girişin ciddiyetine göre operatörler uyarılır. Operatörler , konsollarında görünen özel ekranlar aracılığıyla sorunlara aracılık
etmeleri konusunda bilgilendirilebilir. Bu cihazlar , yöneticileri telefon veya çağrı cihazı ile uyaracak şekilde de yapılandırılabilir. Anormallikler
için daha az ciddi izinsiz girişler , panolarda veya çeşitli raporlarda görüntülenebilir.

Güvenlik Operasyon Merkezi ; Birçok kuruluş , fiziksel çevreyi , CCTV kameralarını , tesis erişimini izlemek için kurum içi veya üçüncü taraf
güvenlik operasyon merkezi ( SOC ) kullanır. Bilgi güvenliği operasyon merkezi ( ISOC ) öncelikle kuruluşun uygulamalarını , veritabanlarını ,
web sitelerini , sunucularını , ağlarını izler. ISOC , gerçek zamanlı durumsal farkındalık sağlayarak ağ savunması için birinci merkezdir. Birçok
güvenlik pratisyeni başlangıçta , ağ ve kuruluşun işi hakkında bilgi edinmek için mükemmel fırsat sağlayan ISOC'de istihdam edilir. Gerçek
zamanlı güvenlik operasyonları bazen müşterinin ağını 7/24 esasına göre izlemek için yönetilen hizmetler sağlayan hizmet sağlayıcılar
tarafından dış kaynaktan temin edilir. Hem küçük ile orta ölçekli kuruluşlar , hem de çok sayıda şubesi veya tesisi olan kuruluşlar için idealdir.

Tehdit İstihbaratı ; Siber güvenlik dünyasında zaman çok önemlidir. Yelpazenin diğer ucunda personel , para , donanım altyapısı , gerekli
beceriler gibi organizasyonel kaynaklar kıttır.
Tehdit istihbaratı , kuruluşun sıfır gün saldırıları , tehdit profilleri , kötü amaçlı yazılım imzaları , kuruluşun kaynaklarını korumak için gereken
diğer hayati bilgi parçaları hakkında en güncel bilgilere sahip olduğu yöntemdir. Siber tehdit bilgilerinin ve tehdit istihbaratının paylaşımı en
iyi ihtimalle gergindir. Bununla birlikte , şirket saldırıya uğrarsa , diğer şirketlerin kendi varlıklarını koruyabilmeleri için bilmek isteyebilecekleri
mantıklıdır. Aynı sektördeki şirketler arasında bilgi paylaşımı , Güvenlik ve Borsa Komisyonu düzenlemelerini ihlal ediyor gibi görünebilir.
Birçoğu , hükümetle belirli tehdit istihbaratını paylaşmanın gizlilik yasalarını ve düzenlemelerini ihlal edebileceğinden endişe duyuyor. ABD
Kongresi'nde önerilen çeşitli yasalar bir dizi konuda başarısız olmuştur. Ne yazık ki , mantık bilgi paylaşımının bilgeliğini dikte etse de , iş
sektörünün hükümetle bilgi paylaşma korkusu , hükümetin gözetim programında elde edilen verileri kullanmasına izin verecek kapının olası
açılması nedeniyle güvensizliğe dayanmaktadır. Genel olarak özel sektör kuruluşları , saldırı bilgilerinin kolayca paylaşılması gerektiği
konusunda hemfikir olsa da , anlaşmazlık müşteri listeleri , kişisel olarak tanımlanabilir bilgiler gibi özel verilerle ilgilidir. Mevcut yasal engelleri
ve mevzuatı , bunların eksikliğini aşmanın bir yolu , paylaşılan merkezi özel saldırı veritabanı kullanmaktır. Sıfır gün saldırılarını veya diğer
anormallikleri tespit eden , verileri anında özel veri tabanına yükleyen cihazlar şu anda piyasada bulunmaktadır. Aynı şirkete ait diğer cihazlar
, veritabanına erişebilir ve kullanıcı ağlarını tespit edilen saldırıya karşı anında koruyabilir. Bu tekniği kullanarak , son kullanıcılar anonim
kalırken yalnızca izinsiz giriş verileri paylaşılır. Katılan kuruluşların saldırı bilgilerini hazır olur olmaz paylaşmaları için son derece uygun bir
yöntem olabilir.

İzleme Sonuçlarının Analiz Edilmesi ; Ağların performansı ve kullanılabilirliği , hem iç hem de dış kaynaklardan sürekli tehdit altındadır.
Güvenlik uygulayıcısı , izleme tekniklerini ve izleme süreci sırasında toplanan sonuçların nasıl yorumlanacağını anlamayı gerektirir. Ağ cihazları
bazen bir kuruluşta geniş alana dağılır. Bu aynı zamanda tesis dışı ağları ve uzak ofisleri de içerebilir.

Ağ izleme , iki genel bilgi kategorisini içermektedir ;

Ağ Aygıtı Durumu ; Ağ yöneticileri , kritik hizmetlerde ve uygulamalarda çeşitli nedenlerden kaynaklanabilecek olası arızaları belirlemeye
yardımcı olmak için ağ altyapısında daha fazla görünürlük gerektirir. Ağ ekipmanında sorun giderirken , sorunun temel nedenini aramak
önemlidir. Sunucu çevrimdışı olabilir ve kullanılamayabilir fakat ağ izleme aracı , nedenin aslında hatalı yönlendirici olduğunu gösterir. Bu tür
bir analiz , sorunun sunucuda değil , yönlendiricide olduğunu gösterecektir.

Cihaz Yönetimi Protokolleri ; Ağ cihazları , durumlarını Basit Ağ Yönetim Protokolü ( SNMP ) v1 , v2 , v3 veya İnternet Kontrol Mesajı Protokolü
( ICMP ) kullanarak iletir. İki protokol , özel paketler kullanarak ağ cihazlarına erişir. ICMP kullanarak güvenlik uygulayıcısı , çalışıp çalışmadığını
belirlemek için bir cihaza ping mesajı gönderebilir. Cihaz çalışıyorsa , ping'i döndürür. ICMP , ağ cihazının durumunu belirlemek için basit bir
yöntemdir.

SMNP Protokolü ; Ağ cihazının daha ayrıntılı görünümü için genelde SNMP kullanılır. Birçok ağ , host bilgisayarlar , sunucular , anahtarlar ,
yönlendiriciler dahil olmak üzere yüzlerce ağ cihazına sahiptir. Bu protokol , SNMP etkin cihaza sorgulanan işlevin durumunu soran sorgu
oluşturur. Ağ yöneticisi , Basit Ağ Yönetimi Protokolünü kullanarak ağ kullanımını ve performansını , kullanıcı erişimini izleyebilir , olası veya
mevcut ağ hatalarını tespit edebilir. SNMP şu anda üreticiler tarafından çok sayıda ağ ürününe entegre edilmiştir ve bu nedenle ağ ortamında
çok sayıda aygıtta kullanılabilir. SNMP , bir yönetim bilgi tabanında ( MIB ) bulunan bilgileri kullanır. MIB , yönlendiriciler , anahtarlar ve
sunucular gibi ağ cihazlarının veritabanında depolanan , SNMP kullanılarak erişilebilen bilgi topluluğudur. Yönetilen nesne , yönetilen cihazın
bir özelliğini temsil edebilir. SNMP şu bileşenleri içermektedir ;

SNMP ; Basit Ağ Yönetim Protokolü , uygulama katmanı protokolüdür. Ağ öğelerini yönetmek ve izlemek için yaygın olarak kabul edilen
protokollerden biridir. Profesyonel düzeydeki ağ öğelerinin çoğu , paketlenmiş SNMP aracısı ile birlikte gelir.

Yönetilen Cihaz ; Yönlendiriciler , anahtarlar , sunucular , iş istasyonları , yazıcılar , UPS'ler ve diğer cihazlar gibi bir tür izleme ve yönetim
gerektiren ağın bir parçasıdır.

SNMP Yöneticisi ; Yönetici veya yönetim sistemi , SNMP aracısı uygulanan ağ cihazlarıyla iletişim kurmaktan sorumlu olan ayrı varlıktır. Bu
genelde bir veya daha fazla ağ yönetim sistemini çalıştırmak için kullanılan bilgisayardır.

SNMP Aracısı ; Aracı , ağ aygıtı içinde paketlenmiş programdır. Aracının etkinleştirilmesi , yönetim bilgisi veritabanını cihazdan yerel olarak
toplamasına olanak tanıyarak sorgulandığında SNMP yöneticisinin kullanımına sunar.

Yönetim Bilgi Veritabanı ( MIB ) ; Her cihazdaki SNMP aracısı , çeşitli cihaz parametrelerini elde etmek ve depolamak için özel olarak
yapılandırılabilir. Bu bilgiler , yönetim bilgi tabanı ( MIB ) adı verilen veritabanında depolanır. SNMP yöneticisi tarafından sorgulandığında ,
cihazdaki SNMP aracısı , yönetim bilgi tabanında bulunan bilgilerle yanıt verir. SNMP yöneticisi bu bilgiyi ağ yönetim sistemine ( NMS ) ekler.

Güvenlik Analitiği , Metrikler , Eğilimler ; Güvenlik uygulayıcısı olarak , şüphesiz ağların ve ağa bağlı cihazların güvenlik yönlerinin izlenmesiyle
ilgileneceksinizdir. Cihaz izleme , bir cihazın sağlığını ve ağın sağlığını ölçmenin bir yöntemidir. Güvenlik cihazının izlenmesi sırasında , ağ
cihazının yerleşik şablonlarına veya parametrelerine dayalı olarak çeşitli uyarılar oluşturulacaktır. Ağdaki çeşitli olayları izleyen çok çeşitli
günlük dosyaları vardır. Sunucular ve cihazlar , bazen sistem günlükleri olarak adlandırılan günlüklere çok çeşitli öğeleri kaydeder. Uygulamada
, sistem günlükleri , genelde birçok farklı sistem türünden toplanan verileri içerebilen veritabanında bilgi toplamak için kullanılır. Bir sistem
günlüğünde tutulan mesajlar , tesis düzeyini , konumu , faaliyet türünü , uyarının ciddiyetini belirtmek için şablonlar aracılığıyla
özelleştirilebilir. Programın günlüğe kaydettiği mesajın türü , tesis düzeyi tarafından belirtilir. Kuruluş genelindeki çeşitli uygulamalar , farklı
tesis düzeyi kodlarına sahip olabilir. Güvenlik uygulayıcısı için önemli olan mesaj ciddiyet seviyeleri olacaktır. Sekiz önem düzeyi
bulunmaktadır ; Kod 0 ( Acil Durum olup muhtemelen ağın veya uygulamaların ana bölümlerini etkileyen en yüksek uyarıdır.) , Kod 1 ( merkezi
uygulamanın veya iletişim yönteminin kaybı gibi büyük bir sorunu belirtir. ) , Kod 2 ( Kritik olan yedek veya ikinci aygıtın kaybını temsil eder.
) , Kod 3 ( Hata tespit edildiğinde uygulamanın veya sistemin arızasının doğası gereği kritik olmadığı anlamına gelir. ) , Kod 4 ( uyarılar genelde
bir eşiğin yakın olduğunu gösterecek şekilde ayarlanır. ) , Kod 5 ( araştırılması gereken olası sorunları gösterir. ) , Kod 6 ( bilgi durum
mesajlarıdır ve genelde herhangi bir işlem yapılması gerekmez. ) , Kod 7 ( Debug mesajları , geliştiriciler ve programcılar tarafından kullanılır.
).
Olay Veri Analizi ; Çok sayıda kaynaktan ham verilerin alınması , özümsenmesi ve işlenmesi , sonucun kolayca yorumlanabilecek ve üzerinde
işlem yapılabilecek şekilde sunulması sürecidir. Matematiksel veri analizi bilimi oldukça kapsamlı olsa da , güvenlik uygulayıcısı verilerin
kaynaklarını ve verilerin neyi temsil ettiğini anlamalıdır. Uzun yıllar boyunca , çok sayıda kaynaktan gelen verilerin korelasyonunu temsil
etmek için gösterge tabloları kullanılmıştır. Uygulayıcılar , analistler , yöneticiler , dijital sayısal ekran , işaretçi iğnesi , çubuk grafik , pasta
grafiği veya başka görsel görüntüleme tekniği ile temsil edildiğinde büyük miktarda veriyi özümseyebildiler. Microsoft ürünleri , karmaşık
verilerin grafiklerini ve panolarını görüntülemek için mükemmel özellikler sunar. BT veri analizinde içerik biçimlendirme , koşullu
biçimlendirme , özet tablolar ve gelişmiş veri filtreleme gibi araçları kullanılmıştır. Birçok satıcı , günlük dosyalarını , bellek dökümlerini , paket
yakalamalarını ve diğer ham BT olay verisi kaynaklarını filtrelemek için kullanılabilecek özel araçlar sunar. Çoğu durumda , ilgili belirli olay
verilerini seçmek için veri şablonları kullanılır veya değiştirilir. Belirli trafiğin IP kaynağını belirlemek için günlük verileri veya paket
yakalamaları analiz edilebilir. Sıklık , ziyaret süresi , gerçekleştirilen eylemler , erişilen veriler gibi çeşitli faktörleri ve araştırma sırasında
kullanılabilecek diğer değerli bilgileri belirlemek için belirli bir süre boyunca büyük miktarda veri hızlı bir şekilde analiz edilebilir.

Görselleştirme ; Karmaşık verileri liste gibi tablo biçiminden ziyade görsel biçimde temsil etme tekniğidir. Basit ağ diyagramları bile son derece
karmaşık ve anlaşılması zor olabilir. Görselleştirme , insan beyninin görsel girdiye dayalı karmaşık bilgileri öğrenme ve işleme yeteneğinden
yararlanır. Beynin incelikleri ve ayrıntıları bir kerede fark edeceği kanıtlanmıştır. Aynı anda çok miktarda soyut bilgiyi analiz etmemize ve
özümsememize izin verir. Grafik görselleştirmeden önce , ağdaki öğeler arasındaki ilişkiyi göstermek için akış şemaları , grafikler , diyagramlar
ve diğer teknikler kullanılmıştır. Ağlar çok daha gelişmiş ve karmaşık hale geldikçe , kağıt tabanlı grafik teknikleri verimsiz hale gelmiştir. Bilgi
görselleştirme ve BT ağ tasarımı , gelişen bilgi iletişim alanıdır. Büyük veri iletişim ağlarının karşılaştığı sorunları teşhis ederken veri analizi
vazgeçilmezdir. Analist , tüm ağı bağlı düğümlerin ve ağ cihazlarının uzamsal diyagramı olarak görerek , büyük miktarda bilgiyi kolayca
görselleştirebilir ve bilgiyi deşifre etmede analitik becerilerden ziyade akıl ve içgörü uygulayabilir. Birçok satıcı , tüm ağları haritalayacak ve
kullanıcının arzu ettiği bilgi miktarını kavramak için uzaklaştırmasına veya yakınlaştırmasına izin verecek görselleştirme yazılımı sağlar.
Gelecekteki görselleştirme yazılımı yinelemeleri , sorunları grafiksel olarak gösterebilecek ve çözümler önerebilecektir. Geçmişte , BT ağ bilgisi
, merkezi veri yolunda asılı olarak gösterilen düğümler , daire ağ tasarımları olarak host bilgisayar iş istasyonları ve sunucular , ethernet ağları
için ağaç diyagramları , internet veya diğer kitle iletişim teknolojisini temsil eden bulutlar dahil olmak üzere çeşitli yöntemlerle temsil
edilmiştir .

Bulguların İletilmesi ; Veri analizinin sonuçları bir dizi yöntem kullanılarak iletilebilir. Bilgiyi iletmek için kullanılacak ortam veya ortam kararı
, iletişimin hızı ile doğrudan ilgilidir. Verileri bilgisayar ekranında görüntülemek , kağıt yığınını yazdırmaktan çok daha hızlıdır. Verileri hızlı
şekilde görselleştirmek için pano kullanmak , bilgi sütunları içeren elektronik tabloyu analiz etmekten çok daha hızlıdır. Kuruluş içindeki çeşitli
roller , bilinçli kararlar vermek için verilere ihtiyaç duyar. Bu rollerin her biri genelde özellikle ilgilendikleri verileri gerektirir. Veriler , iletişimi
alan kişi tarafından işlem yapılabilecek şekilde sunulmalıdır. Şu roller veri alıyor ve veriye göre hareket ediyor olabilir ;

Güvenlik Uygulayıcısı ; Cihaz hata durumları , yanlış yapılandırmalar , gerçekleştirilecek görevler ve ağ koşullarına dayalı atamalarla ilgili
veriler.

Veritabanı Yöneticisi / Sunucu Yöneticisi ; Yazılım veya cihaz performansı , izinsiz girişler , sızmalar , hata koşulları ve arızalarla ilgili veriler.

Ağ Yöneticileri ; Performans raporları , güvenilirlik , trafik akışı , hizmet kalitesi , güvenlik durumları.

Yöneticiler ; Operasyonel özetler , yönetici raporları , uyumluluk raporları.