Bilişim Sistemlerinde Etkin Risk Analizi Yöntemleri B. Karabacak, Gebze Yüksek Teknoloji Enstitüsü, TÜBİTAKİ. Soğukpınar, Gebze Yüksek Teknoloji Enstitüsü

1 Giriş

Günümüzde hayatın her alanına giren bilgi

teknolojileri ürünleri daha önce görülmemiş tipte ve

düzeyde riskleri beraberinde getirmiştir.

Bu riskleri kontrol altına almak amacıyla hemen

hemen her kurum risk analizi ve yönetimi sürecinin

içerisine girmekte, bu süreç için ciddi para ve zaman

harcamaları yapmaktadırlar. Birçok kurum, risk

analizi ve yönetimi sürecinde, otomatikleşmiş ticari

yazılımlar kullanmaktadırlar. Bu yazılımlar, özellikle

risk analizi ve yönetimi sürecini kolaylaştırmak ve bu

sürecin maliyetini azaltmak amacıyla

kullanılmaktadır. Bu nedenle vazgeçilmez araçlardır.

Bilgi teknolojilerindeki değişim ve gelişim bu

konuda da birçok aracın çıkmasını ve kullanılmasını

sağlamıştır. Günümüzde, değişik tipteki varlıkları,

tehditleri, açıklıkları ve karşı önlemleri analiz edip

bilgi sistemlerindeki risk değerlerini ortaya çıkarma

ve bu riskleri yönetme amacıyla birçok tipte risk

analizi yazılımı kullanılmaktadır. NIST/NCSC1 risk

yönetimi araştırma laboratuarının incelediği risk

analizi ve yönetimi araçlarının sayısı 1993 senesinde

70 olduğu bilinmektedir.[3]

Risk analizi ve yönetimi sürecinin yapısından

dolayı risk analizi araçlarının ortak problemleri

mevcuttur. Bu ortak problemlerin haricinde risk

analizi araçlarının kendilerinden kaynaklanan teknik

ya da teknik olmayan problemleri bulunmaktadır. Bu

problemler, risk analizi ve yönetimi sürecinin

maliyetini ve süresini artırabilmekte, bunun da kurum

için zararlı sonuçları olabilmektedir.

Bu nedenle, risk analizi ve yönetimi süreci

konularında akademik çalışmalar yapılmakta ve bu

problemlerin önüne geçmek adına yeni fikirler

üretilmektedir. Gerçek zamanlı risk analizi kavramı

bu fikirlerden biridir.[1]

Bu çalışmada, NIST/NCSC’nin veri tabanında

bulunan ve yaygın şekilde kullanılan CRAMM[4],

The Buddy System[5] risk analizi araçları, Cobra[6]

risk analizi aracı ve gerçek zamanlı risk analizi

kavramı açıklanmıştır. Bu araçlardaki özellikler ve

eksiklikler karşılaştırılmıştır. Geleneksel risk analizi

araçlarında gerçekten de bazı radikal problemlerin

bulunduğu gösterilmiş. Bu problemleri gerçek

zamanlı risk analizi kavramının nasıl kapattığı

1 NIST: National Institute of Standards and Technology

http://www.nist.gov NCSC: National Computer Security

Center http://www.nsa.gov/isso/partners/ncsc.htm

açıklanmıştır. Karşılaştırmada kullanılan kriterler[2]

karşılaştırma safhasına geçmeden önce belirlenmiştir.

Bu kriterler hem risk analizi araçlarında bulunması

gereken özellikleri hem de risk analizi araçlarının

eksikliklerini içermektedir.

Bu çalışma sonucunda yapılan karşılaştırmalar

hem risk analizi araçlarının bir takım eksiklikleri ve

özelliklerini ortaya koymuş hem de ideal bir risk

analizi metodunun nasıl olması gerektiği hakkında

fikir vermiştir.

2 Risk Analizi ve Yönetimi

Bu bölümde, risk analizi ve yönetiminin

tanımlamalarının ardından, risk analizi ve yönetimi

sürecinin ve bu süreçte kullanılan araçların

eksiklikleri son olarak da, ideal bir metotta bulunması

gereken özellikler sıralanmıştır. Böylece, risk analizi

ve yönetimi nasıl olmalıdır sorusuna yanıt verilmeye

çalışılmıştır.

2.1 Tanımlar

Risk analizi, sonucu itibariyle güvenlik ihlallerine

neden olan risklerin ortaya konması ve yorumlanması

işlemidir. Risk analizi, ilk olarak bilgi sisteminde

varolabilecek tüm varlıkları, bu varlıklardaki

açıklıkları, bu varlıkları etkileyebilecek tüm tehditleri

ve bilgi sisteminin halihazırdaki durumunu ortaya

koyar. Daha sonraki aşamada, bir risk modeline göre

sistemin halihazırdaki durumunu analiz eder ve

değerlendirir. Değerlendirme sonucunda, risk miktarı

ortaya konur ve varlık-risk eşleştirmesi yapar.

Risk yönetimi, risk analizi sonucunda ortaya

konan ve yorumlanan risklerin önüne geçmek ve/veya

azaltmak amacıyla uygun, maliyet etkin karşı

önlemlerin alınması işlemidir. Karşı önlem

maliyetleri ve risk analizi sonucunda çıkan varlık-risk

eşleşmesi risk yönetimi süreci için en önemli

girdilerdir.

Risk analizi ve yönetimi bir defa yapılmaz. Risk

analizi ve yönetimi birer sonuç değildir. Risk analizi

ve risk yönetimi sürekli birbirini takip eden iki ana

süreçtir. Maliyet etkin bir risk yönetiminin temellerini

risk analizi süreci oluşturur. Risk analizi ve yönetimi

bir kurumda, yönetimin de kararıyla belli aralıklarla

yapılmalıdır. Çünkü bir bilgi sistemi için, varlıklar,

açıklıklar, tehditler ve karşı önlemler daima

değişecektir.

Bilgi Teknolojileri Kongresi,Pamukkale Üniversitesi, Denizli, 6-8 Mayıs 2002.

2.2 Risk Analizi ve Yönetiminin Eksiklikleri

Risk analizi ve yönetimi sürecinin kendisinde ve bu

süreç içinde kullanılan risk analizi ve yönetimi

araçlarında bir takım problemler ve ideal olmayan

durumlar vardır. Bunlar şu şekilde sıralanabilir.

1. Pahalılık: Risk analizinin maliyetinin yüksek

olması önemli bir problemdir. Risk analizini

kurumun kendisi bile yapsa aracın

kendisinden ve yaşanan süreçten dolayı ciddi

para kayıpları ve kaynak kullanımları

olabilmektedir.

2. Uzun Süreç: Risk analizi sonuçlanana kadar

geçen süre diğer bir problemdir. Güvenlik

önlemlerinin öncelikli olarak uygulanması

gerekirken, risk analizinin sonucu beklenmek

zorundadır. Bunun zararlı etkileri

olabilmektedir. Örneğin, risk analizi

yapılmadan güvenlik önlemleri

alınabilmektedir. Günümüzde kullanılan risk

analizi metodolojileri ve araçları artık o kadar

karmaşıktır ki uygulamaları aylar

sürmektedir.[1]

3. Nesnellik: Risk analizinin sonuçlarının nesnel

olması beklenirken daha çok öznel

olabilmektedir. Özellikle nitel risk analizinde

bu problem daha çok görülebilir. Çünkü, nitel

risk analizinde risk, sayısal değerler yerine

tanımlar ile ifade edilmektedir.

4. Karmaşıklık: Risk analizi ve yönetimi

süreçleri, önceden belirlenmiş kesin adımları

olan süreçler değildir. Nitel ve nicel risk

analizi yöntemlerinin çatısı altında, birçok

risk analizi metodolojisi mevcuttur. Bu

nedenle risk analizi ve yönetimi esnasında

karmaşık ve içinde çıkılamayacak

problemler ve uyuşmazlıklar

yaşanabilmektedir.

5. Uyuşmazlık: Tüm kurumlara uyan bir risk

analizi metodolojisi mevcut değildir. Çünkü,

her organizasyonun kendine özel bir varlık

listesi, bu varlıklara göre farklı tehditleri

vardır. Bütün bunların dışında, kurumdan

kuruma güvenlik anlayışı ve güvenlik

gereksinimleri de değişim göstermektedir.

Risk analizi ve yönetimi yapılacak olan bir

kurumda, öncelikle ne tip bir risk analizi ve

yönetimi metodunun uygulanması gerektiği

belirlenmelidir.

6. Eksiklik: Günümüzde, varlıkların, buna bağlı

olarak açıklıkların ve tehditlerin artması ile

beraber, risk analizi ve yönetiminin sahasına

giren, varlık tanımla, açıklık belirleme, tehdit

tanımla ve karşı önlem belirleme safhaları

çok geniş nesneleri kapsamaktadır. Birçok

risk analizi ve yönetimi metodu her nesneyi

örtmeyebilmekte ve bazı nesneler göz ardı

edilebilmektedirler.

7. Proaktif Analiz: Günümüzde kullanılan risk

analizi ve yönetimi araçları proaktif analiz

yapmaktadırlar. Herhangi bir güvenlik ihlali

ya da daha genel olarak olay olmadan önce

ihtimalleri kullanarak riskin olma ihtimalini

kestirirler.[1]

8. Değişim Zorluğu: Günümüzde kullanılan risk

analizi ve yönetimi araçları sadece bilinen

varlıkları, açıklıkları, tehditleri ve karşı

önlemleri içerirler. Bu öğelerden herhangi

birisi değiştiği zaman ya da yenisi eklendiği

zaman araç güncellenmelidir. Daha radikal

değişikliklerde ise model

güncellenmelidir.[1]

9. Worst-case Karar: Günümüzde kullanılan

risk analizi ve yönetimi araçları en kötü

duruma göre sonuç raporu oluştururlar.

Mesajın içerdiği bilginin gizli bilgi olma

ihtimalinden dolayı tüm mesajlaşmaların

şifrelenmesi buna güzel bir örnektir.[1]

2.3 Risk Analizi ve Yönetimi Nasıl Olmalıdır?

İdeal bir risk analizi ve yönetiminde bulunması

gereken özellikler aşağıdaki maddelerde sıralanmıştır.

Ancak bu noktada, aşağıdaki şartların hepsini birden

karşılayacak şekilde bir aracın geliştirilmesinin çok

zor olduğu unutulmamalıdır. Çünkü, karşımıza her

zaman trade-offlar çıkacaktır. Bütün teknik şartlar

sağlansa bile, ortaya çıkarılan aracın maliyeti çok

fazla olacaktır. Bu nedenle, risk analizi ve yönetimi

yapmak isteyen bir kurum, kendi durumunu iyi

anlamalı ve yapısına en uygun aracı seçmelidir.

1. Güvenilirlik: Risk analizi aracı güvenilir ve

doğru sonuçlar vermelidir. Zaten doğası

gereği kesinliği olmayan, objektiflikten

uzaklaşabilen ve eksik kalabilen risk analizi

süreci için bu şarttır.

2. Hız: Risk analizi aracı hızlı olmalıdır. Risk

analizi başlı başına kurum kaynaklarını

kullanan ve bunun sonucunda maliyeti olan

bir süreçtir. Bu nedenle risk analizi süresi ne

kadar kısa olursa, hem kaynaklar o kadar

çabuk serbest kalacak hem de gerekli karşı

önlemler hemen uygulanabilecektir.

3. Maliyet: Risk analizi yazılımı çok pahalı

olmamalıdır. Risk analizi aracı, risk analizi

sonucunda sağlanan kazançtan daha fazla bir

maliyete sahip olmamalıdır. Maliyeti artıran

etkenlerden biri de, aracın kullanımının zor

2

olması, bu nedenle eğitimlerinin uzun

sürmesi olabilmektedir.

4. Ayarlanabilme: Risk analizi aracı değişik

seviyelerde risk analizinin yapılmasına imkan

vermelidir. Kurum içinde ister özel bir

bilginin risk analizinin isterse kurumun

yüksek seviye risk analizinin yapılmasında

kullanılabilmelidir.

5. Eksiksizlik: Risk analizi aracı, gerek risk

analizi için gerekli olan bilgileri toplarken

gerekse yapı olarak eksiksiz olmalıdır. Yapı

olarak eksiksiz olması demek, bilgi toplayan,

bilginin analizi ve sonuçlarının

raporlanmasını sağlayan modüllerinin

bulunması manasına gelmektedir. Eksiksiz

bilgi toplaması için son çıkan varlık, tehdit,

açıklık ve karşı önlemlerin veri tabanına

eklenmesine izin vermelidir.

6. Risk Modeli: Risk analizi aracı standart bir

risk modeli üzerinde çalışmalıdır. Eğer araç

tatminkar raporlar sunmuyor ise, toplanan

bilgileri analiz eden analiz modülü işini tam

yapamamış demektir. Bunun nedeni ise

büyük bir ihtimalle risk modelinin standart

bir risk modeli olmamasından kaynaklanır.

Standartlaşmış bir risk modeli yoktur. Ancak

standart sayılabilecek FIPS 79 ve Mayerfeld

risk modelleri mevcuttur.[1]

7. Uyumluluk: Risk analizi yazılımının,

kurumda kullanılan yazılım, donanım ve

kurumun politikası ile uyumlu olması ve

varolan geliştirme araçları ile entegre

edilebilmesi gerekmektedir. Bu durum, risk

analizi aracının değişen girdiler (varlık,

tehdit, açıklık, karşı önlem) sonucunda

kolayca değiştirilebilmesini sağlar. Risk

analizi aracı, kurumunun risk analizi

kullanım aracı ile ilgili politikalarını

yansıtmalıdır. Ayrıca, kurumun güvenlik

politikasındaki ihtiyaçları, uygun karşı

önlemlere çevirebilecek kapasitede olmalıdır.

Risk analizi aracı, halihazırda varolan ya da

olması düşünülen bilgi sistemleri üzerinde ve

her konfigürasyona uygulanabilmelidir.

Ayrıca, bir takım nitel ve nicel teknikleri

sağlamalıdır.

8. Raporlama: Raporlama özelliklerinin

yöneticilerin de isteklerini karşılayacak

şekilde olması gerekir. Rapor içeriğinde

alternatif çözümlerden, ucuz ve güvenilir

karşı önlemlerden bahsetmelidir. Değişik

karşı önlem imkanlarını karşılaştırıp, analiz

edebilmelidir. Böylece, kurumun, değişik

tipte, konfigürasyonda ve maliyette karşı

önlemleri karşılaştırması sağlanmış olur.

9. Kullanım Kolaylığı: Risk analizi aracının

kullanımı kolay olmalıdır. Aracın işletilmesi,

profesyonel güvenlik eksperlerinin

çalışmasını gerektirmemelidir. Metodun

kullanılabilmesi için uzun, ayrıntılı eğitimlere

ve yazılımlara ihtiyaç kalmamalıdır.

10. Dokümantasyon: Risk analizi ile beraber

verilen dokümantasyon risk analizi aracının

seçilmesi için etkin bir faktördür. Risk analizi

araçları genelde karmaşık araçlar olduğu için

dokümantasyonun önemi artmaktadır.

11. Otomasyon: Risk analizi aracı uygun ve

kabul edilebilir şekilde otomasyon seviyesine

sahip olmalıdır. Otomasyon, devamlı yapılan

benzer işlerin otomatik şekilde yapılmasını

ve risk analizi sürecinin kısalmasını

beraberinde getirir. Bunun haricinde

otomasyon, maliyeti de düşürür.

12. Depolama: Risk analizinin bilgi toplama

fazında toplanan bilgilerin tutulması daha

sonraki anketlerde ve bilgi toplama

safhalarında kullanılması açısından

önemlidir. Bu nedenle bilgi tutma özelliği

tercih edilmelidir.

13. Destek: Risk analizi araçlarının kurulumu ve

kullanılması zor olabilmektedir. Bu nedenle,

risk analizi aracı için uygun bir eğitim

faaliyetinin ve destek bölümünün olması bir

avantajdır.

3 Risk Analizi Metotları

Risk analizi metotları başlığı altında, üç adet ticari

risk analizi aracı ile gerçek zamanlı risk analizi

kavramı ayrıntılı olarak anlatılacaktır. CRAMM,

İngiliz Hükümeti’nin onayladığı hem nicel hem de

nitel yöntemleri kullanan risk analizi metodudur. The

Buddy System ve Cobra ise özel şirketler tarafından

çıkarılmış risk analizi yöntemleridir. The Buddy

System nicel ve nitel yöntemleri kullanmakta, Cobra

ise sadece nitel yöntemleri kullanmaktadır. Gerçek

zamanlı risk analizi, bu bahsedilen ticari risk analizi

araçlarının bazı durumlardaki eksikliklerini kapatmak

amacıyla ortaya konulmuş olan bir kavramdır.

Hatırlanacağı üzere, nitel risk analizi riski

hesaplarken ve ifade ederken nümerik değerler yerine

yüksek, çok yüksek gibi tanımlayıcı değerler kullanır.

Ayrıca, nitel risk analizi tehdidin olma ihtimalini

kullanmaz, riskin sadece etki değerini dikkate alır.

Nicel risk analizi yöntemleri ise, riski

hesaplarken matematiksel formülasyonları ve olasılık

hesaplarını kullanırlar. Riski hesaplarken sayısal

değerlere başvururlar.

3.1 CRAMM

CRAMM (United Kingdom Central Computer and

Telecommunication Agency’s (CCTA) Risk Analysis

and Management Method) İngiliz hükümetinin tercih

ettiği resmi risk analizi ve yönetimi aracıdır. Varlık,

tehdit, açıklık ve karşı önlem veri tabanlarında

teknik, fiziksel, personel, dokümantasyon ve

prosedürsel olmak üzere güvenliğin hemen her

konusunu kapsanır. CRAMM, BS7799 standardı ile

ve ITSEC ile tam uyumlu bir risk analizi metodudur.

Ayrıca BS 7799 ve ISO 17799 uygunluk

değerlendirmesi yapmaktadır.

Sahip olduğu sertifikalar, teknik özellikler,

kullanıcı arabirimi, dokümantasyon ve teknik destek

özellikleri yönünden diğer bahsedilen risk analizi

araçlarına göre çok çok üstün bir yapıya sahiptir.

CRAMM oldukça karışık bir yapıya sahip olan

bir risk analizi aracıdır. Diğer iki risk analizi aracında

olmayan bu karmaşıklık CRAMM aracının

kullanımını zorlaştırmıştır. Ancak CRAMM

programlayıcılar, bu karmaşıklığı azaltmak amacıyla,

risk analizi sürecini iş akış diagramları ile kullanıcı

arabirimine modellemişlerdir.

CRAMM aracını son kullanıcılara sağlayan

firma, aracı gerçek bir sistem üzerinde uygulamadan

önce mutlaka risk analizi yapacak takımın mutlaka

eğitim almasını söylemektedir. Ayrıca, risk analizini

mutlaka sertifikalı CRAMM personelinin yapması

gerektiği belirtilmektedir.

CRAMM risk analizi aracının yapmış olduğu

risk analizi süreci şu şekilde özetlenebilir.

CRAMM aracı risk analizi ve yönetimi sürecinin

ilk başındaki ‘initiation’ modülünde, süreç hakkında

genel bilgiler toplanır. Risk analizini yapanlar, risk

analizinde sorular cevaplandıranlar ve risk analizi

yapılacak sistem hakkında genel bilgiler burada

toplanır.

Bu modülden sonra, varlıkların tanımlanması ve

değerlendirilmesi işlemi yapılır. Bu işlemin yapıldığı

modülde, risk analizinin çerçevesine göre her türlü

varlık kapsanır. Bu modülün sonunda, varlık

değerlendirme (puanlama) formları doldurulur.

Varlıklar puanlandıktan sonra, tehdit ve açıklık

değerlendirmesi modülünde, tehditlerin tanımlanması

ve açıklıkların ve tehditlerin seviyelerinin

belirlenmesi yapılır.

Varlıklar ve tehditlerin belirlenmesi sonucunda,

CRAMM risk analizi aracı bir diğer modülde,

sırasıyla risk analizi ve risk yönetimi işlemlerini

gerçekleştirir.

CRAMM risk analizi aracının yaptığı diğer bir iş

ise kurumlar için ‘contingency planning’ yapmasıdır.

CRAMM bir kurumun çeşitli türde ve sayıda riskler

altında ne şekilde işine devam edebileceğine dair

planlamaları yapabilir.

CRAMM risk analizi aracı, oldukça ayarlanabilir

bir yapıya sahiptir. Çok büyük sistemlerin genel risk

analizinden çok küçük sistemlerin ayrıntılı risk

analizine kadar birçok sistemin analizini yapabilecek

kapasiteye sahiptir. Ancak, CRAMM aracının bu

değişik sistemler üzerinde uygulanmasını sağlamak

için deneyimli kişilerin ‘tailor’ modülünde değişiklik

yapmaları gerekir.

CRAMM’ın ‘tailor’ modülü ile CRAMM

kullanıcı ihtiyaçlarına göre değiştirilebilir. Örneğin,

veri tabanlarına yeni girdiler eklenebilir.

CRAMM aracının risk yönetimi modülünde

‘what-if’ modellemesi sayesinde birden çok çözüm

önerisi içerisinde belli bir karşı önlem seçilirse risk ne

kadar düşer sorusuna yanıt verilir.

CRAMM risk analizi aracının teknik

dokümantasyonu oldukça iyi seviyededir. Ayrıca, risk

analizi yapılırken sunulan yardım dosyaları da

oldukça anlaşılır bir yapıya sahiptir.

Teknik özellikleri açısından oldukça iyi seviyede

olan CRAMM risk analizi aracının fiyatı da uygun

düzeydedir.

3.2 The Buddy System

The Buddy System risk analizi ve yönetimi aracı,

Countermeasures Inc, şirketi tarafından geliştirilmiş

hem nitel hem de nicel yöntemleri kullanan bir risk

analizi aracıdır. The Buddy System risk analizi

aracının metodolojisi beş adet yayınlanmış aksiyoma

dayanmaktadır. Bu aksiyomlar,

1. Tehdit popülasyonunun sayısı ve türü

sonsuzdur. Bütün sistemler için aynı tehdit

popülasyonu vardır. Değişik sistemlerde

değişen, tehdidin olma ihtimalidir.

2. Belli bir sistem için tehdidin olma ihtimali

değiştirilemez. Karşı önlemler, varlığın

tehdide karşı olan açıklığını azaltır. Ancak,

tehdidin olma ihtimalini etkilemez.

3. Karşı önlemlerin alınması, tehditlerin

kullanacağı açıklık seviyesini düşürür.

4. Bütün karşı önlemlerin kendi açıklıkları

mevcuttur. Bu nedenle sıfır seviyesinde bir

açıklık hiçbir zaman elde edilemez.

5. Kabul edilebilir bir açıklık seviyesi uygun

karşı önlemlerin elde edilmesi ile

karşılanabilir.

The Buddy System risk analizi aracı, üç adet ana

modülden oluşmuştur. Bu modüller, anket (survey),

analiz (analysis) ve bakım (maintenance)

modülleridir. Bu modüllerden anket modülünün hem

Windows için masa üstü hem de web tabanlı

uygulaması vardır. Diğer iki modülün ise sadece

masa üstü uygulamaları mevcuttur.

Anket modülü, risk analizi yapılacak sistem

hakkında bilgilerin toplandığı modüldür. Birden çok

risk analizi uzmanının olduğu durumlarda

platformdan bağımsız, merkezi bir bilgi toplamanın

sağlanabilmesi için web modülü kullanılabilir. Tek

noktadan bilgi toplandığı durumlarda ise masa üstü

modülü sorunsuz bir şekilde kullanılabilir. Anket

modülünde, anket yapan personel bilgileri, sistemin

konumu, sistemin kullanım amacı, sistemde tutulan

bilgilerin tipi, sistemdeki varlıklar, tehditler ve

halihazırdaki karşı önlemler hakkında bilgiler

toplanır. Anket bölümündeki varlıklar kısmına anket

esnasında yeni girişler yapılabilir. Ancak diğer

kısımlardaki değişiklikler ancak bakım modülünde

yapılabilir. Anket modülü çok kolay anlaşılır bir

yapıdadır. Anket modülü küçük-orta ölçekli bir

kurum ağı için yarım saatte bilgilerin toplanmasını

sağlar.

Analiz modülü, anket modülü ile toplanan

bilgileri alan ve bu bilgiler ışığında analizler yapan

modüldür. Analizi modülünün ilk olarak yaptığı iş,

anket modülünde toplanan bilgiler ışığında açıklık

analizi yapmaktır. Yapılan bu analize ‘as-is’ analizi

denebilir. Çünkü, kurumun durumunu ortaya koyan

bir analizdir. Dikkat edilirse, açıklıklar anket

modülünde girilmemektedir. Analiz modülü, anket

modülünde girilen bilgilerin ışığında açıklıkları

ortaya koymaktadır. Yapılan‘as-is’ analizinden sonra

kullanıcı, ‘what-if’ analizi ile seçtiği karşı önlemlerin,

açıklıkları ne derece azalttığını görsel olarak

inceleyebilir.

Anket modülünde girilen bilgiler ışığında ortaya

konan açıklıkların seviyesi önceden belirlenmiş bir

formül ile ortaya konulmaktadır. Bu amaçla her bir

karşı önleme, bakım modülünde değiştirilebilen

kuvvet puanları verilmiştir.

Açıklık seviyesi = Kullanılan karşı önlemlerin

değerlerinin toplamı – Açıklığı kapatmaya yönelik

kullanılabilecek tüm karşı önlemlerin değerlerinin

toplamı.

Karşı önlem puanları bakım modülünde

değiştirilebilir. Bu puanlar, karşı önlemin açıklığı

kapatma derecesine göre verilmektedir. Karşı önlem,

açıklıkları kapatmada ne kadar etkili ise puanı o kadar

yüksek olacaktır.

The Buddy System risk analizi aracı, her bir

varlık için zarar beklentisini ölçen formüller

kullanmaktadır.

Bir kerelik zarar = Açıklık seviyesi * Tehdidin

etkisi * Varlığın değeri

Senelik zarar = Bir kerelik zarar * tehdidin

frekansı

Tüm bu formüller, kullanıcının herhangi bir

müdahalesi ve haberi olmadan risk değerlerini

bulmak için geri planda hesaplanırlar. Kullanıcının

sadece anket modülü yardımıyla bilgileri girmesi

yeterlidir.

Bakım modülü, risk analizi aracının çekirdeğidir.

Analiz modülünün gerçekleştirdiği tüm analizler

bakım modülünde belirlenmiş olan açıklık-karşı

önlem, açıklık-varlık, açıklık-tehdit, tehdit-varlık,

varlık-etki alanı gibi eşleşmeler sayesinde

yapılmaktadır. Ayrıca, ihtiyaçlara göre yeni varlık,

tehdit, açıklık ve karşı önlemlerin eklenmesi de

bakım modülünde yapılmaktadır.

The Buddy System risk analizi aracı otomasyona

sahip bir araçtır. Bilgi toplama safhasında bilgiler

oldukça kolay bir kullanıcı arabirimi ile girilir.

Açıklıklar analiz edilirken kullanılan ‘what-if’

modellemesi otomasyonu oldukça artırmıştır.

Tamamıyla otomatik olarak oluşturulan raporlar da

risk analizi uzmanının işini oldukça kolaylaştıran bir

unsurdur. Ayrıca, bakım modülünde yapılacak

otomatikleştirme ayarları ile aracın hızı artırılabilir.

The Buddy System risk analizi aracı eski

analizleri kaydetme ve değiştirme imkanlarını sunar.

Bu konuda oldukça esnek bir yapıya sahiptir.

The Buddy System risk analizi aracının risk

modeli başta yazılmış olan beş adet aksiyoma

dayanmaktadır. Ayrıca, açıklık seviyesi ve her bir

varlık için zarar ihtimalleri yukarıda yazılan

formüller eşliğinde bulunmaktadır. Bu formüller,

riski hesaplarken standart olarak kullanılan

formüllerdir.

The Buddy System risk analizi aracının

uyumluluğu iyi düzeydedir. Kullanıcı, fiziksel

güvenlikten, genel kurum güvenliğine kadar değişik

konularda istediği şekilde anket ayarlaması yapabilir.

Bunun için bakım modülünde kendi gereksinimlerine

uygun bir şekilde veri tabanı oluşturması

gerekecektir. Bu ise teknik yeterlilik isteyen bir

konudur.

The Buddy System risk analizi aracı, hem nitel

hem de nicel yöntemleri kullanmıştır. Özellikle, ‘as-

is’ ve ‘what-if’ modellemelerinde sayısal değerlere

başvurması objektifliğin korunmasını sağlamaktadır.

The Buddy System risk analizi aracının bakım

modülü haricinde, kullanımı oldukça kolaydır,

uyuşmazlık ve karmaşıklık problemleri

bulunmamaktadır. Teknik dokümanlardan ve yardım

dosyalarından alınacak yardımlar ile bakım

modülünün anlaşılması ve aktif olarak kullanılması

biraz daha uzun süre alacaktır.

The Buddy System risk analizi aracının teknik

dokümantasyonu oldukça iyi seviyededir. Ayrıca, risk

analizi yapılırken sunulan yardım dosyaları da

oldukça anlaşılır bir yapıya sahiptir.

Countermeasures Inc, The Buddy System risk

analizi aracını alan müşterilerine, bir sene bedava

teknik destek ve güncelleme ile iki gün eğitim imkanı

vermektedir.

The Buddy System risk analizi aracının maliyeti

benzerlerine göre çok yüksek seviyededir.

3.3 Cobra

Cobra (Consultative, Objective and Bi-functional

Risk Analysis), bilgi teknolojileri güvenliği

kavramının değişen doğasına cevap vermek amacıyla

merkezi Macclesfield’de bulunan bir İngiliz

danışmanlık şirketi tarafından uzun araştırmalar

sonucunda ortaya konan bir risk analizi, danışmanlık

ve güvenlik inceleme yazılımıdır. Şu bilinen bir

gerçektir ki, güvenlik artık bir teknoloji değil bir iş

(business) kavramıdır. Cobra, bu değişim göze

alınarak ortaya konmuş bir araçtır.

Cobra, nitel yöntemleri kullanan anket bazlı bir

yazılımdır. Cobra risk analizi aracı modüler ve esnek

bir yapıya sahiptir. Her bir modülde, modülün

konusuna göre anket şeklinde sorular ve sorulara

verilebilecek cevaplar bulunur. Modüller, isteğe göre

değiştirilebilir ya da yeni modüller eklenebilir.

Modüller işlendikçe verilen cevaplara göre Cobra, bir

risk analizi raporu çıkarır. Bu raporda, yorumlar, risk

skorları ve öneriler bulunur. Cobra risk analizi aracı,

standart olarak gelen beş adet modüle sahiptir. Bu

modüllerin her biri kendi konusunda sorulardan

oluşan bir ankettir. Bu modüller:

1. ISO 17799 Compliance Knowledge Base:

ISO 17799 Code of practice for information

security management olarak geçmektedir.

Cobra programı, kurumsal bir ağın bu

standarda uygunluğu ölçmek için uygun

sorular sorar. ISO 17799 uygunluğu altında,

varlık sınıflandırması ve kontrolü, iş devam

planı, bilgisayar ve operasyon yönetimi,

genel uygunluk, personel güvenliği, fiziksel

ve çevresel güvenlik, güvenlik

organizasyonları, güvenlik politikaları, sistem

erişim kontrolü ve sistem bakımı gibi

başlıklar bulunmaktadır. Bu modül, aşağıdaki

dört modülün aksine risk analizi modülü

değildir. Bu modülün amacı, varolan bir

sistemi, önceden tasarlanmış standartlar ile

karşılaştırmaktır.

2. E-Structure Knowledge Base: Kurumsal bir

ağda bulunan ana güvenlik elemanlarının

risklerini ölçmek için kullanılır. Bu modülün

içinde, bilgiye erişim, back-up,

yönlendiriciler, güvenlik duvarları,

kullanıcıların İnternet erişimleri, fiziksel

güvenlik, erişim kontrolü, virüsler ve

güvenlik politikaları elemanları konularında

risk seviyesini ölçmek için ayrıntılı bir anket

sunulur.

3. High Level Risk Analysis: Kurumsal bir ağda

riskleri ortaya çıkarmak için ayrıntıya

inmeden yüksek seviyede risk analizinin

yapılabileceği bir modüldür. Bu modülde,

güvenliğin üç ana unsuru olan süreklilik,

gizlilik ve bütünlük başlıkları altında sorulan

sorular yardımı ile kurumdaki riskler

ölçülmeye çalışılır. Bu üç ana öğenin yanında

iş etki analizi (business impact analysis)

başlığı da incelenir.

4. IT Security Assessment Knowledge Base: Bu

modülde, kurumsal bir ağın ayrıntılı bir risk

analizi yapmak için gerekli olan sorular

sorulmaktadır. Bu modül, E-Structure

Knowledge Base’ ye göre daha ayrıntılı bir

yapıya sahiptir.

5. Operational Risk Knowledge Base: Bu

modülde, kurumsal bir ağın düzgün bir

şekilde işlemesi ve operasyonu için gerekli

olan ortamı oluşturma yolunda ağda varolan

global riskleri ortaya çıkarmak için kullanılır.

Güvenlik yönetiminden, su ve sel

baskınlarına, kriptolamadan yangın risklerine

kadar çeşitli konularda sorular sorarak

riskleri çıkarmaya çalışır.

Cobra programı, sadece yukarıdaki beş modülden

ibaret bir program değildir. Bu beş standart modülün

yanında, risk analizi personeli, risk analizi yapacağı

kurumun tipine ya da risk analizinin çerçevesine göre,

yukarıda modülleri kendi istediğine göre değiştirebilir

ya da kendi baştan yeni bir modül yazabilir. Cobra,

modüllerde sorulan sorulara verilen cevapları toparlar

ve cevaplara göre bir risk analizi raporu hazırlar. Bu

risk analizi raporu, yaygın olarak kullanılan

Microsoft Word İşlemcisi dosya tipinde

kaydedilebilir. Bu da risk analizi yapan personelin,

daha sonra raporda değişiklikler yapmasına imkan

sağlar.

Cobra risk analizi aracı eski analizleri kaydetme

ve değiştirme imkanını sunmamaktadır. Risk

analizinde elde edilen bilgiler sonuç raporunda

kullanılır ve bu bilgilerde herhangi bir değişiklik

olduğu zaman aracın baştan çalıştırılması gerekir.

Cobra risk analizi aracının kullanım süresi

oldukça düşüktür, ancak kayıt özelliğinin

olmamasından dolayı herhangi bir terslikte analize

baştan başlanması gerekir.

Cobra risk analizinin uyumluluğu orta

seviyededir. Belli seviyelerde risk analizinin

yapılmasına imkan sağlar.

Cobra risk analizi aracı, nitel yöntemleri

kullanan bir araçtır. Herhangi bir matematiksel bir

formülasyon kullanmamaktadır. Bunun nedenlerinden

biri de, Cobra risk analizi aracının güvenliği bir

business kavramı olarak görmesi olabilir.

Cobra risk analizi aracının teknik

dokümantasyonu ve eğitim imkanları zayıftır. Ayrıca,

aracın kendi bünyesinde bulunan yardım dosyaları

zayıf kalmıştır.

Cobra, The Buddy System risk analizine göre

çok daha az teknik bir risk analizi yazılımıdır. Bu

nedenle karmaşık bir yazılım değildir. Öyle ki,

yönetimden herhangi bir kişi de Cobra’nın başına

geçip risk analizi yapabilir. Ancak, bu durum,

objektifliği oldukça etkileyecek bir durumdur.

Ayrıca, birçok kurumda, yazılımın uyuşmazlık ve

eksiklik sorunları olabilir.

Cobra risk analizi yazılımının ana çıkış amacı,

risk analizi sürecini kolaylaştırmaktır. Başta da

söylendiği gibi, Cobra takımı güvenliği bir ‘business’

olarak görmektedir. Bu nedenle, Cobra risk analizi

aracı belki birçok kurumun ihtiyaçlarını karşılayacak

düzeyde olmayabilir ancak risk analizi sürecinin

yönetime yakınlaştırılmasında uygulanacak güzel bir

adımdır.

Cobra risk analizi yazılımı fiyatı sunduğu

hizmetlere göre normal düzeydedir.

3.4 Gerçek Zamanlı Risk Analizi Kavramı (RtRA)

Gerçek zamanlı risk analizi kavramı geleneksel risk

analizi araçlarında bulunan ve Risk Analizi ve

Yönetiminin Eksiklikleri (2.2) başlığı altında da

bahsedilen aşağıdaki dört adet eksikliği kapatmak

amacıyla ortaya konmuştur. Eksiklikler buraya tekrar

yazılırsa:

1. Günümüzde kullanılan risk analizi ve

yönetimi araçları proaktif analiz

yapmaktadırlar. Herhangi bir güvenlik ihlali

ya da daha genel olarak olay olmadan önce

ihtimalleri kullanarak riskin olma ihtimalini

kestirirler.

2. Günümüzde kullanılan risk analizi

metodolojileri artık o kadar karmaşıktırlar ki

uygulamaları aylar sürebilmektedir.

3. Günümüzde kullanılan risk analizi ve

yönetimi araçları sadece bilinen varlıkları,

açıklıkları, tehditleri ve karşı önlemleri

içerirler. Bu öğelerden herhangi birisi

değiştiği zaman ya da yenisi eklendiği zaman

araç güncellenmelidir. Daha radikal

değişikliklerde ise model güncellenmelidir.

4. Günümüzde kullanılan risk analizi ve

yönetimi araçları en kötü duruma göre sonuç

raporu oluştururlar.

Bu dört eksiklik, özellikle bazı durumlar için risk

hesaplamasını çok zorlaştırır. Bu özel durumlardan

bir tanesi, herkese açık bir hat kullanılarak, A

noktasından B noktasına doğru yapılan

haberleşmedir.

Tek tek yukarıdaki problemler böyle bir senaryo

için açıklanırsa,

Bilindiği gibi, A noktasından B noktasına, ağ

paketleri birden çok farklı rotayı takip ederek

gidebilmektedirler. Bu nedenle her haberleşmede

paketlerin rotası değişebilmektedir. Bu da, her bir

haberleşme için haberleşmede rol alan varlıkların

değişmesi ve önceden kestirilememesi manasına

gelir. Bu durum yukarıda bahsedilen üç numaralı

problemi beraberinde getirir.

A noktasından B noktasına değişik tiplerde

mesajlar gidebilir. Bu mesajlar gizli de olabilir,

başkaları tarafında bilinmesinde ve görülmesinde

sakınca olmayan mesajlar da olabilir. Geleneksel bir

risk analizi aracı, en kötü duruma göre analiz yapacak

ve bu nedenle her mesajın şifrelenmesini

zorlayacaktır.

A noktasından B noktasına yapılan bir

haberleşme belki de bir ağın en temel işlevidir. Ancak

böyle basit bir işlevdeki riskleri ölçebilmek için

gerçekten de uzun süre ve uğraş gerektirecek bir risk

analizi süreci vardır. Paketlerin dinamik olarak rota

belirlemesinden dolayı, her bir rotadaki varlıklar

belirlenecek ve varlık bazlı bir analiz yapılması

gerekecektir.

Son olarak da, yapılan tüm bu analizler proaktif

olarak yapılacaktır. Geleneksel yöntemler, iki nokta

arasında yapılan bir haberleşme için, haberleşmeler

yapılmadan bir analiz yapar ve ihtimaller sonucunda

kötü durum senaryolarına göre bir karşı önlem önerir.

Bu karşı önlemler alındıktan sonra haberleşmeler

yapılmaya başlanır. Kısacası haberleşme esnasında

herhangi bir analiz yapılmaz.

Böyle bir durumda yeni bir risk modeli

oluşturmak gerekir. Bu dört eksikliği bu özel

durumlarda kapatmak amacıyla gerçek zamanlı risk

analizi kavramı ortaya konulmuştur.

Bu amaçla, geleneksel risk analizi

metodolojilerinin yaptığı gibi paketin rotası

üzerindeki ağ elemanları üzerindeki riskin

hesaplanması yerine, haberleşme oturumunun tipine

göre risk değerlerinin bulunması düşünülmüştür. Bu

yapılırken de gerçek zamanlı olarak her bir

haberleşme oturumunun karakteristiğine göre risk

hesaplanmıştır. Böyle yapılacak bir risk analizi ile

geleneksel risk analizi metodolojilerinin yukarıda

bahsedilen dört adet eksikliği iki nokta arasındaki

haberleşme için bertaraf edilmiş olur.

Gerçek zamanlı risk analizi kavramının ayrıntılı

anlatımı ile bu problemlerin nasıl önüne geçildiği

daha iyi anlaşılacaktır.

Lütfen ayrıntılı bir çizim için Ek-1’e bakınız.

Gerçek zamanlı risk analizi kavramının Java

programlama dili kullanılarak uygulama planına

konulması düşünülmektedir. Bunun en önemli nedeni

Java’nın çalıştığı platformdan bağımsız olarak

çalışmasıdır.

İstemci bilgisayarında çalışan bir Java

uygulaması bulunmaktadır. Bu uygulama, istemcideki

TCP/IP katmanı (stack) ile uygulama programı (e-

posta istemcisi) arasında dinleme yapar. TCP/IP

katmanının aktif hale geçmesini kontrol eder.

Uygulamanın diğer parçası sunucuda

bulunmaktadır. Sunucu, istemci ile aynı ağdadır.

İstemcinin herkese açık ağdan uzaktaki başka bir

bilgi sistemi ile haberleşmesinde sunucu çıkış kapısı

(gateway) görevi görür. Sunucuda, üç adet program

çalışmaktadır. Bunlar, monitör, risk analizi ve

güvenlik (karşı önlem) programlarıdır.

Monitör programı, istemci bilgisayardan gelen

TCP/IP paketindeki gerekli başlıklardan (header) ağ

bilgilerini ayıklar. Bu bilgiler, kaynak ve hedef IP

paketleri, port numaraları gibi TCP/IP bilgileri

olabileceği gibi, günün tarihi, paketin data kısmının

içeriği de olabilir.

Risk analizi programı, monitör programının

ayıkladığı kısımlara bakarak önceden belirlenmiş

kurallara göre risk değeri atar.

Güvenlik programı ise, risk analizi programının

verdiği risk değerine göre kurulması düşünülen özel

haberleşme oturumuna en uygun karşı önlemleri alır.

Bu karşı önlemler arasında, sertifikalar, sayısal

imzalar, mesaj-kimlik doğrulama ve şifreleme örnek

olarak verilebilir. Ayrıca, istemciden gelen

mesajlaşma isteği sakıncalı görülürse (en yüksek risk

değeri) haberleşmeyi iptal de edebilir. Mesaj için

sertifika kullanılması uygun görüldüyse, istemci

bilgisayardan kullanıcı sertifikası alınır ve mesaj

uzaktaki bilgi sistemine uygun şekilde gönderilir.

İstemci bilgisayardaki, istemci uygulamasının

diğer bir amacı, sunucudaki monitör programını aktif

hale getirmektir.

Bütün bunlar kullanıcının herhangi bir ayar

yapmasına gerek kalmadan şeffaf (transparent) olarak

gerçekleşir.

Görüldüğü gibi gerçek zamanlı risk analizi

kavramı ile beraber uygulaması çok uzun sürebilen ve

varlık bazında risk analizi yapan geleneksel risk

analizi yöntemlerinin yukarıda sayılan eksiklikleri

kapatılmaktadır. Uzun süreler alan risk analizi süreci

yaşanmamaktadır. Proaktif analiz yerine gerçek

zamanlı analiz yapılmaktadır. Worst-case karşı

önlemlerin uygulanması yerine sadece gerekli karşı

önlemler uygulanmaktadır. Risk analizi varlık

bazında değil de haberleşme oturumu bazında

yapıldığı için belli bir varlık, açıklık, tehdit ve karşı

önlemler veri tabanı tutmasına gerek yoktur. Bu

nedenle, bu öğelerdeki herhangi bir değişiklik risk

analizi metodunu etkilemeyecektir.

Gerçek zamanlı risk analizi kavramının diğer

önemli avantajları, daha önce de söylenen

platformdan bağımsız Java programlama dili ile

uygulanacak olması ve sadece sunucu bilgisayardaki

uygulamaların, değişen teknolojilere göre

değiştirilmesinin yeterli olacak olmasıdır. Ayrıca,

uygulamalar sunucuda bulunduğu için merkezi bir

yönetim sağlayacaktır. İstemcilerdeki programların

yapısı ve görevi gereği bir daha yüklendikten sonra

tekrar güncellenmesine gerek kalmayacaktır.

Gerçek zamanlı risk analizi kavramı üzerine

yorumlar ve tarayıcı yazılımların risk analizi

araçlarına entegrasyonu:

Gerçek zamanlı risk analizi kavramının, en

önemli dezavantajı sadece kısıtlı senaryolarda

uygulanabilir olmasıdır. Bu nedenle, eksikliklerini

kapattığı geleneksel metotların yerini alması

imkansızdır.

Aslına bakılırsa, gerçek zamanlı risk analizi

kavramı bir risk analizi aracından çok politika bazlı

güvenlik önlemini almaya zorlayan (enforce) bir

güvenlik metodu olarak nitelendirilebilir. Yaptığı işe

bakıldığı zaman, yapı ve kullanım olarak geleneksel

olarak kullanılan risk analizi yazılımlarından çok

gelişmiş ve politika bazlı filtreleme ve paket geçirme

yapan bir güvenlik duvarını andırmaktadır.

Ancak, gerçek zamanlı risk analizi kavramını bu

şekilde değerlendirip risk analizi ve yönetimi

yazılımlarının kategorisinden çıkarmak yanlış

olacaktır. Çünkü, gerçek zamanlı risk analizi kavramı

eğer uygulanırsa, risk analizi ve yönetimi

yazılımlarının birçok eksikliğini kapatacak ve daha

yaygın kullanım alanlarında uygulanması ile risk

analizi ve yönetimi yazılımlarında yeni bir yönelimin

başlangıç taşlarını oluşturacak düzeydedir.

Gerçekten de, halihazırdaki risk analizi ve

yönetimi yazılımlarına bakılırsa, yüzde yüz

kullanıcıya bağlı olduklarını görülür. Geleneksel

araçların tümü offline bir yapıdadır. Statik (kullanıcı

müdahalesi ile güncellenen) veri tabanları

bulunmaktadır. Tüm bilgiler sorulan anket soruları ile

alınmaktadır. Risk analizi ve yönetimi yazılımlarının

anketlerinde bulunan personel, kurumun fiziksel

durumu, hava şartları gibi soruların yanıtlarının bu tip

anketlerden başka alınma yöntemi tabi ki yoktur,

ancak, kurumdaki bilgisayar sayısı, bilgisayarlarda

koşan yazılımlar gibi teknik anket sorularının

yanıtları başka yöntemlerle de elde edilebilir.

Örneğin, geleneksel risk analizi araçları ile entegre

edilmiş çok amaçlı bir ağ tarayıcısı, risk analizi

personelinin işini oldukça kolaylaştıracaktır. Entegre

ağ tarayıcısı, risk analizi personelinin seçtiği anket

sorularını baz alarak ağ taraması yapabilir ve risk

analizi aracına elde ettiği bilgileri döndürebilir. Bu

bilgiler ağdaki varlıklar hakkında bilgiler olabileceği

gibi, ağdaki varlıkların açıklıkları da olabilir (açıklık

tarayıcısı). Risk analizi aracı ilgili bilgiler ışığında

kendi risk analizi metodolojisine göre riskleri

hesaplayabilir.

Bu senaryo, gerçek zamanlı risk analizi

kavramından daha farklı bir yaklaşımdır. Ancak

gerçek zamanlı risk analizi ve yukarıda anlatılan

entegrasyon kavramları ile risk analizi ve yönetimi

araçları daha dinamik bir yapıya bürünecek, daha az

kullanıcı müdahalesi ile daha kısa sürede ve daha

doğru ve güncel bilgiler ile risk analizin bitirilmesi

sağlanacaktır.

4 Metotların Ayrıntılı Karşılaştırmaları

Metotların karşılaştırmaları, 2.2 Risk Analizi ve

Yönetiminin Eksiklikleri ve 2.3 Risk Analizi ve

Yönetimi Nasıl Olmalıdır? başlıkları altındaki

kriterlere göre yapılmıştır. Risk analizi araçlarının

hem eksiklikleri hem de nasıl olmaları gerektiği

(özellikleri) karşılaştırılmıştır.

Araçları karşılaştırmak için nümerik değerler

kullanılmıştır. nümerik değerlerin neyi ifade ettiği

tablo-1’de yazılmıştır.

Eksiklik Özellik

1 Hayır Çok zayıf

2 Zayıf

3 Tatminkar Tatminkar

4 İyi

5 Evet Çok iyi

Tablo-1: Karşılaştırmada kullanılacak nümerik

değerler

Pah

alılık

Uzu

n S

üreç

Nesn

ellik

Karm

aşıklık

Uyuşm

azlık

Eksik

lik

Pro

aktif A

naliz

Değ

işim Z

orlu

ğu

Worst-ca

se Karar

CRAMM 3 5 1 5 1 1 5 3 5

The

Buddy

System

5 3 3 3 3 3 5 3 5

Cobra 3 3 5 2 5 3 5 3 5

RtRA ? 1 ? 1 1 ? 1 1 1

Tablo 2: Metotların eksiklik karşılaştırma tablosu

Gü

ven

ilirlik

Hız

Maliy

et

Ay

arlanab

ilme

Ek

siksizlik

Risk

Mo

deli

Uy

um

lulu

k

Rap

orlam

a

Ku

llanım

Ko

laylığ

ı

Do

kü

man

tasyo

n

Oto

masy

on

Dep

olam

a

Destek

CRAMM 5 2 3 5 5 5 5 5 2 5 5 5 5

The Buddy

System

4 4 1 3 3 3 4 4 4 4 4 5 5

Cobra 4 4 3 3 2 3 3 4 5 2 3 1 3

RtRA 5 5 ? 1 ? ? ? ? 5 ? ? ? ?

Tablo 3: Metotların özellik karşılaştırma tablosu

Ticari olarak kullanılan üç adet risk analizi

aracının ayrıntılı incelenmesi, kullanılması ve

dokümanlarının okunması sonucunda önceden

belirlenen kriterler göz önünde tutularak puanlaması

yapılmıştır. Bu üç risk analizi aracının yanında,

gerçek zamanlı risk analizi kavramı da aynı kriterler

bazında puanlamaya tabi tutulmuştur. Puanlamaların

sonuçları Tablo-2 ve Tablo-3’de görülmektedir.

Eksiklikler tablosuna göre, gerçek zamanlı risk

analizi kavramı, ticari araçların zayıf kaldıkları

kategorilerde yüksek puan almıştır. Gerçekten de,

ticari risk analizi yazılımlarında görülen eksiklikleri

kapatabilecek düzeyde bir kavramdır. Gerçek zamanlı

risk analizi kavramı henüz uygulama aşamasına

geçmediğinden dolayı, gerek Tablo-2 gerekse Tablo-

3’te soru işareti ile bırakılmış alanlar için şu anda

puanlama yapılması mümkün değildir.

Gerçek zamanlı risk analizi kavramı, ticari risk

analizi araçlarında bulunan karmaşık, uzun süreç,

proaktif analiz, değişim zorluğu, uyuşmazlık ve

worst-case karar eksikliklerine kesin çözüm

olmaktadır. Ancak, gerçek zamanlı risk analizi

kavramı her seviyede ve her senaryoda risk analizi

yaptığı unutulmamalıdır. Bu nedenle bu araçların

yerini alması imkansızdır.

Eksiklikler tablosu incelenirse, CRAMM

aracında karmaşıklık ve uzun süreç, The Buddy

System aracında pahalılık, Cobra aracında ise

nesnellik ve uyuşmazlık eksikliklerinin özellikle

bulunduğu görülebilir.

Özellikler tablosunda CRAMM aracının birçok

kriter açısından üstün olduğu görülmektedir. Diğer iki

risk analizi aracının yanında, CRAMM aracı oldukça

profesyonel bir yapıya sahiptir. BS7799 ve ITSEC

standartlarına uygunluğu belgelenmiş olan CRAMM

bu profesyonelliğini pekiştirmektedir. CRAMM

aracının karmaşıklığı ise hem hızını hem de kullanım

kolaylığını azaltmaktadır.

CRAMM aracının ardından, The Buddy System

aracı da, tatminkar özellikleri ile dikkat çekmektedir.

Ancak, aracın maliyeti çok fazladır. Hemen her

yönden daha üstün olan CRAMM aracı The Buddy

System’in yarı fiyatındadır.

Son olarak Cobra yazılımı da, The Buddy

System yazılımı ile başa baş durumdadır. Ancak,

Cobra’nın yazılımından kaynaklanan bazı eksik

yönleri dikkat çekmektedir.

Gerçek zamanlı risk analizi kavramı, uygulama

aşamasına geçmediğinden dolayı, birçok özelliği

hakkında puanlama yapılması mümkün değildir.

Ancak, puan aldığı kriterlerde ayarlanabilme hariç

üstün durumdadır. Ayarlanabilme özelliği, gerçek

zamanlı risk analizi kavramı için mümkün değildir.

Çünkü, sadece belli senaryolarda ve durumlarda risk

analizi yapabilmektedir.

Ayrıntılı olarak tanıtılıp karşılaştırılan dört

yöntem hakkında şunlar söylenebilir.

CRAMM risk analizi aracı, gerek kapsam ve

teknik özellikler açısından gerekse destek ve

eğitimler konusunda en yeterli araçtır. Bütün bu

özelliklerinin yanında fiyatı makul seviyelerdedir.

Ancak kullanım zorluğu ve karmaşıklığı en önemli

dezavantajıdır.

The Buddy System risk analizi aracı da, teknik

olarak yeterli denebilecek seviyede bir araçtır ve

birçok risk analizi uzmanı tarafından tercih edilebilir.

Ancak, fiyatı büyük bir dezavantajdır.

Cobra risk analizi aracının amacı, risk analizi

sürecini yönetim seviyesine çıkarmak ve yönetimin

de katılacağı risk analizi ve yönetimi süreçlerine

katkıda bulunmaktır. Kullanımı kolay bir araçtır. Eğer

kurum olarak, risk analizi ve yönetimi sürecinde

böyle bir yaklaşım düşünülmüyorsa, Cobra risk

analizi aracı uygun olmayacaktır.

Gerçek zamanlı risk analizi kavramı, geleneksel

olarak kullanılan bu risk analizi araçlarında bulunan

ve risk analizi ve yönetimi sürecinin yapısından

kaynaklanan problemlerin önüne geçmek amacıyla

tasarlanmıştır. Gerçekten de, bu problemleri ortadan

kaldırabilmektedir. Ancak sadece kısıtlı senaryolarda

uygulanabilmektedir. Risk analizi araçlarına entegre

edilmiş ağ ve açıklık tarayıcısı yazılımların

kullanılması ve gerçek zamanlı risk analizi

kavramının uygulama alanının genişletilmesi yeni

nesil risk analizi ve yönetimi araçların gelişmesinde

önemli rol sahibi olabilecektir.

5 Sonuç

Risk analizi ve yönetimi süreçleri, bilgi güvenliğinde

vazgeçilmez unsurlardır. Çünkü, risk analizi ve

yönetimi, güvenliğin temellerini oluşturan süreçlerdir.

Hangi varlığın hangi tehditten ne şekilde korunması

gerektiği bilinmez ise alınacak karşı önlemlerden de

yeterli seviyede koruma beklemek yersiz olacaktır.

Bilgi sistemlerinin gelişen ve değişen doğasına

paralel olarak değişen güvenlik ihtiyaçları risk analizi

ve yönetimi sürecini periyodik yapılmasını da zorunlu

kılmaktadır.

Temel bir gereksinim olan ve periyodik olarak

yapılması gereken risk analizi ve yönetimi süreci, risk

analizi ve yönetimi araçları ile kolaylaştırılmakta ve

otomatikleştirilmektedir. Bu amaçla birçok kurum

ticari risk analizi ve yönetimi yazılımları

kullanmaktadırlar.

Bu çalışmada, bilişim sistemlerinde

uygulanabilinecek etkin risk analizi ve yönetimi

yöntemlerinin araştırılması yapılmıştır. Bu amaçla,

kurumlarda yaygın olarak kullanılan üç adet ticari

risk analizi ve yönetimi aracının ayrıntılı

tanımlamaları ve açıklamaları yapılmıştır. Bu

araçların tanıtımından sonra risk analizinde yeni bir

kavram olan gerçek zamanlı risk analizi kavramının

ayrıntılı tanımlaması ve açıklaması yapılmıştır. Bu

kavramın, ticari yazılımlardaki hangi eksiklikleri

kapatmak amacıyla ortaya çıktığı tartışılmıştır.

Tanımlamaları ve açıklamaları yapılan bu risk analizi

ve yönetimi metotlarının eksiklikleri ve özellikleri

önceden belirlenen kriterlere göre karşılaştırılmıştır

ve karşılaştırma sonuçları tartışılmıştır. Hangi aracın

hangi özellikleri ile öne çıktığı ve hangi konularda

eksik kaldığı ortaya konmuştur. Yapılan bu

karşılaştırmalar sonucunda etkin bir analizinin nasıl

olması gerektiği üzerinde durulmuş ve risk analizi

sürecinde kullanılabilecek yeni bir metot önerilmiştir.

Referanslar [1] L. Labuschagne, J.H.P. Eloff, “Real-Time risk

analysis using Java concepts”, MCB University Press,

1998

[2] S. Lichtenstein, “Factors in the selection of a risk

assessment method”, MCB University Press, 1996

[3] D. Spinellis, S. Kokolakis, S. Gritzalis, “Security

Requirements, Risks and Recommendations for Small

Enterprise and Home-Office Environments”, MCB

University Press, March 1999.

[4] United Kingdom Central Computer and

Telecommunication Agency’s (CCTA) Risk Analysis

and Management Method. CRAMM

http://www.insight.co.uk/cramm.htm

[5] The Buddy System Security Risk Analysis and

Management Software, http://www.buddysystem.net

[6] Cobra, Consultative, Objective and Bi-functional

Risk Analysis, C & A Security Risk Analysis Group,

http://www.security-risk-analysis.com

[7] T. Peltier, “Information Security Risk Analysis”,

Auerbach Publications, 2001

[8] B. Karabacak, Seminer – I Raporu