Risk Yönetimi Nedir? Nasıl Yapılır?

Risk Yönetimi

                Tehditler, insan ve doğal kaynaklıdır. Doğal kaynaklı olanlar; yangın, sel, deprem vs.’dir. İnsan kaynaklı olanların bazıları ise terör, savaş durumları gibi toplumsaldır. Bazı tehditlerde içindeki kullanıcılar ve dışarıdaki saldırganlardır.

                Risk değerlendirmesi için metodlardan biri en kötü durum senaryosuna göre maliyet hesabı yapmaktır. Risk yönetimi; risk ve korunmasızlık maliyetine karşı, koruma maliyetini dengeleyen süreçtir. Risklere karşı 3 temel seçim vardır;

1. Kabul: Eğer korunmasızlık çok küçük boyutlarda ve onu koruma altına almak büyük maliyet getiriyorsa güvenlik politikası riski kabul edebilir.
2. Devretme: Bazı durumlarda risklere karşı direk olarak koruma almaktansa, iş için birini görevlendirmek daha az maliyet getirebilir.
3.  Kaçınma: Güvenlik olaylarının neredeyse hiç olmayacağı yerleri korumaya almak maliyet getireceğinden dolayı bundan kaçınılmasıdır.

Güvenliğin sağlam olması için yapılması gerekenler şunlardır;

• Dışarıdan, içerideki özel ağa izinsiz erişimi engellemek için dış güvenlik düzenlemeleri yapılmalıdır.
• Hassas bilgilerin içeriden izinsiz erişimini engellemek için iç güvenlik düzenlemeleri yapılmalıdır.

Dış ve iç güvenlik için problem yaratan ağ sistemi zayıflıkları 3 ayrı kategoride özetlenebilir;

1. Protokol: Bilgisayarlar ve ağlar arasındaki iletişimi yöneten ana kurallardır. Bir organizasyon ağı içteki ağ için bir yada birden fazla protokol, internet ile haberleşmek için başka bir protokol kullanabilir. Yapıları gereği bazı protokoller saldırganların kullanabileceği güvenlik açıklarına sahiptir. Bir güvenlik duvarı içteki ağı birçok protokol sorunlarından koruyabilir.
2. Yazılım: İşletim sistemleri ile bilgisayar ve ağların kendi aralarındaki iletişimi sağlayan ağ iletişimi uygulamalarıdır. Yazılım zayıflıkları genelde güvenli olmayan sürümlerin kullanılmasından kaynaklanır. 
3. Konfigürasyon: Ağdaki donanım ve yazılımın kullanıcı tarafından parametrelerinin düzenlenmesi işlemidir. Konfigürasyon zayıflıkları, donanım ve yazılımın güvenli olarak nasıl kurulacağının bilinmemesinden ve etkili güvenlik politikasının olmamasından kaynaklanabilir.