Eski Türkçede Varlık ve Yokluk İşaretleyicilerinin (ba:r, yo:k) Gramerleşme Süreçleri
Risk analizi ve yönetim süreçleri
Transcript of Risk analizi ve yönetim süreçleri
Bilişim Sistemlerinde Etkin Risk Analizi Yöntemleri B. Karabacak, Gebze Yüksek Teknoloji Enstitüsü, TÜBİTAKİ. Soğukpınar, Gebze Yüksek Teknoloji Enstitüsü
1 Giriş
Günümüzde hayatın her alanına giren bilgi
teknolojileri ürünleri daha önce görülmemiş tipte ve
düzeyde riskleri beraberinde getirmiştir.
Bu riskleri kontrol altına almak amacıyla hemen
hemen her kurum risk analizi ve yönetimi sürecinin
içerisine girmekte, bu süreç için ciddi para ve zaman
harcamaları yapmaktadırlar. Birçok kurum, risk
analizi ve yönetimi sürecinde, otomatikleşmiş ticari
yazılımlar kullanmaktadırlar. Bu yazılımlar, özellikle
risk analizi ve yönetimi sürecini kolaylaştırmak ve bu
sürecin maliyetini azaltmak amacıyla
kullanılmaktadır. Bu nedenle vazgeçilmez araçlardır.
Bilgi teknolojilerindeki değişim ve gelişim bu
konuda da birçok aracın çıkmasını ve kullanılmasını
sağlamıştır. Günümüzde, değişik tipteki varlıkları,
tehditleri, açıklıkları ve karşı önlemleri analiz edip
bilgi sistemlerindeki risk değerlerini ortaya çıkarma
ve bu riskleri yönetme amacıyla birçok tipte risk
analizi yazılımı kullanılmaktadır. NIST/NCSC1 risk
yönetimi araştırma laboratuarının incelediği risk
analizi ve yönetimi araçlarının sayısı 1993 senesinde
70 olduğu bilinmektedir.[3]
Risk analizi ve yönetimi sürecinin yapısından
dolayı risk analizi araçlarının ortak problemleri
mevcuttur. Bu ortak problemlerin haricinde risk
analizi araçlarının kendilerinden kaynaklanan teknik
ya da teknik olmayan problemleri bulunmaktadır. Bu
problemler, risk analizi ve yönetimi sürecinin
maliyetini ve süresini artırabilmekte, bunun da kurum
için zararlı sonuçları olabilmektedir.
Bu nedenle, risk analizi ve yönetimi süreci
konularında akademik çalışmalar yapılmakta ve bu
problemlerin önüne geçmek adına yeni fikirler
üretilmektedir. Gerçek zamanlı risk analizi kavramı
bu fikirlerden biridir.[1]
Bu çalışmada, NIST/NCSC’nin veri tabanında
bulunan ve yaygın şekilde kullanılan CRAMM[4],
The Buddy System[5] risk analizi araçları, Cobra[6]
risk analizi aracı ve gerçek zamanlı risk analizi
kavramı açıklanmıştır. Bu araçlardaki özellikler ve
eksiklikler karşılaştırılmıştır. Geleneksel risk analizi
araçlarında gerçekten de bazı radikal problemlerin
bulunduğu gösterilmiş. Bu problemleri gerçek
zamanlı risk analizi kavramının nasıl kapattığı
1 NIST: National Institute of Standards and Technology
http://www.nist.gov NCSC: National Computer Security
Center http://www.nsa.gov/isso/partners/ncsc.htm
açıklanmıştır. Karşılaştırmada kullanılan kriterler[2]
karşılaştırma safhasına geçmeden önce belirlenmiştir.
Bu kriterler hem risk analizi araçlarında bulunması
gereken özellikleri hem de risk analizi araçlarının
eksikliklerini içermektedir.
Bu çalışma sonucunda yapılan karşılaştırmalar
hem risk analizi araçlarının bir takım eksiklikleri ve
özelliklerini ortaya koymuş hem de ideal bir risk
analizi metodunun nasıl olması gerektiği hakkında
fikir vermiştir.
2 Risk Analizi ve Yönetimi
Bu bölümde, risk analizi ve yönetiminin
tanımlamalarının ardından, risk analizi ve yönetimi
sürecinin ve bu süreçte kullanılan araçların
eksiklikleri son olarak da, ideal bir metotta bulunması
gereken özellikler sıralanmıştır. Böylece, risk analizi
ve yönetimi nasıl olmalıdır sorusuna yanıt verilmeye
çalışılmıştır.
2.1 Tanımlar
Risk analizi, sonucu itibariyle güvenlik ihlallerine
neden olan risklerin ortaya konması ve yorumlanması
işlemidir. Risk analizi, ilk olarak bilgi sisteminde
varolabilecek tüm varlıkları, bu varlıklardaki
açıklıkları, bu varlıkları etkileyebilecek tüm tehditleri
ve bilgi sisteminin halihazırdaki durumunu ortaya
koyar. Daha sonraki aşamada, bir risk modeline göre
sistemin halihazırdaki durumunu analiz eder ve
değerlendirir. Değerlendirme sonucunda, risk miktarı
ortaya konur ve varlık-risk eşleştirmesi yapar.
Risk yönetimi, risk analizi sonucunda ortaya
konan ve yorumlanan risklerin önüne geçmek ve/veya
azaltmak amacıyla uygun, maliyet etkin karşı
önlemlerin alınması işlemidir. Karşı önlem
maliyetleri ve risk analizi sonucunda çıkan varlık-risk
eşleşmesi risk yönetimi süreci için en önemli
girdilerdir.
Risk analizi ve yönetimi bir defa yapılmaz. Risk
analizi ve yönetimi birer sonuç değildir. Risk analizi
ve risk yönetimi sürekli birbirini takip eden iki ana
süreçtir. Maliyet etkin bir risk yönetiminin temellerini
risk analizi süreci oluşturur. Risk analizi ve yönetimi
bir kurumda, yönetimin de kararıyla belli aralıklarla
yapılmalıdır. Çünkü bir bilgi sistemi için, varlıklar,
açıklıklar, tehditler ve karşı önlemler daima
değişecektir.
Bilgi Teknolojileri Kongresi,Pamukkale Üniversitesi, Denizli, 6-8 Mayıs 2002.
2.2 Risk Analizi ve Yönetiminin Eksiklikleri
Risk analizi ve yönetimi sürecinin kendisinde ve bu
süreç içinde kullanılan risk analizi ve yönetimi
araçlarında bir takım problemler ve ideal olmayan
durumlar vardır. Bunlar şu şekilde sıralanabilir.
1. Pahalılık: Risk analizinin maliyetinin yüksek
olması önemli bir problemdir. Risk analizini
kurumun kendisi bile yapsa aracın
kendisinden ve yaşanan süreçten dolayı ciddi
para kayıpları ve kaynak kullanımları
olabilmektedir.
2. Uzun Süreç: Risk analizi sonuçlanana kadar
geçen süre diğer bir problemdir. Güvenlik
önlemlerinin öncelikli olarak uygulanması
gerekirken, risk analizinin sonucu beklenmek
zorundadır. Bunun zararlı etkileri
olabilmektedir. Örneğin, risk analizi
yapılmadan güvenlik önlemleri
alınabilmektedir. Günümüzde kullanılan risk
analizi metodolojileri ve araçları artık o kadar
karmaşıktır ki uygulamaları aylar
sürmektedir.[1]
3. Nesnellik: Risk analizinin sonuçlarının nesnel
olması beklenirken daha çok öznel
olabilmektedir. Özellikle nitel risk analizinde
bu problem daha çok görülebilir. Çünkü, nitel
risk analizinde risk, sayısal değerler yerine
tanımlar ile ifade edilmektedir.
4. Karmaşıklık: Risk analizi ve yönetimi
süreçleri, önceden belirlenmiş kesin adımları
olan süreçler değildir. Nitel ve nicel risk
analizi yöntemlerinin çatısı altında, birçok
risk analizi metodolojisi mevcuttur. Bu
nedenle risk analizi ve yönetimi esnasında
karmaşık ve içinde çıkılamayacak
problemler ve uyuşmazlıklar
yaşanabilmektedir.
5. Uyuşmazlık: Tüm kurumlara uyan bir risk
analizi metodolojisi mevcut değildir. Çünkü,
her organizasyonun kendine özel bir varlık
listesi, bu varlıklara göre farklı tehditleri
vardır. Bütün bunların dışında, kurumdan
kuruma güvenlik anlayışı ve güvenlik
gereksinimleri de değişim göstermektedir.
Risk analizi ve yönetimi yapılacak olan bir
kurumda, öncelikle ne tip bir risk analizi ve
yönetimi metodunun uygulanması gerektiği
belirlenmelidir.
6. Eksiklik: Günümüzde, varlıkların, buna bağlı
olarak açıklıkların ve tehditlerin artması ile
beraber, risk analizi ve yönetiminin sahasına
giren, varlık tanımla, açıklık belirleme, tehdit
tanımla ve karşı önlem belirleme safhaları
çok geniş nesneleri kapsamaktadır. Birçok
risk analizi ve yönetimi metodu her nesneyi
örtmeyebilmekte ve bazı nesneler göz ardı
edilebilmektedirler.
7. Proaktif Analiz: Günümüzde kullanılan risk
analizi ve yönetimi araçları proaktif analiz
yapmaktadırlar. Herhangi bir güvenlik ihlali
ya da daha genel olarak olay olmadan önce
ihtimalleri kullanarak riskin olma ihtimalini
kestirirler.[1]
8. Değişim Zorluğu: Günümüzde kullanılan risk
analizi ve yönetimi araçları sadece bilinen
varlıkları, açıklıkları, tehditleri ve karşı
önlemleri içerirler. Bu öğelerden herhangi
birisi değiştiği zaman ya da yenisi eklendiği
zaman araç güncellenmelidir. Daha radikal
değişikliklerde ise model
güncellenmelidir.[1]
9. Worst-case Karar: Günümüzde kullanılan
risk analizi ve yönetimi araçları en kötü
duruma göre sonuç raporu oluştururlar.
Mesajın içerdiği bilginin gizli bilgi olma
ihtimalinden dolayı tüm mesajlaşmaların
şifrelenmesi buna güzel bir örnektir.[1]
2.3 Risk Analizi ve Yönetimi Nasıl Olmalıdır?
İdeal bir risk analizi ve yönetiminde bulunması
gereken özellikler aşağıdaki maddelerde sıralanmıştır.
Ancak bu noktada, aşağıdaki şartların hepsini birden
karşılayacak şekilde bir aracın geliştirilmesinin çok
zor olduğu unutulmamalıdır. Çünkü, karşımıza her
zaman trade-offlar çıkacaktır. Bütün teknik şartlar
sağlansa bile, ortaya çıkarılan aracın maliyeti çok
fazla olacaktır. Bu nedenle, risk analizi ve yönetimi
yapmak isteyen bir kurum, kendi durumunu iyi
anlamalı ve yapısına en uygun aracı seçmelidir.
1. Güvenilirlik: Risk analizi aracı güvenilir ve
doğru sonuçlar vermelidir. Zaten doğası
gereği kesinliği olmayan, objektiflikten
uzaklaşabilen ve eksik kalabilen risk analizi
süreci için bu şarttır.
2. Hız: Risk analizi aracı hızlı olmalıdır. Risk
analizi başlı başına kurum kaynaklarını
kullanan ve bunun sonucunda maliyeti olan
bir süreçtir. Bu nedenle risk analizi süresi ne
kadar kısa olursa, hem kaynaklar o kadar
çabuk serbest kalacak hem de gerekli karşı
önlemler hemen uygulanabilecektir.
3. Maliyet: Risk analizi yazılımı çok pahalı
olmamalıdır. Risk analizi aracı, risk analizi
sonucunda sağlanan kazançtan daha fazla bir
maliyete sahip olmamalıdır. Maliyeti artıran
etkenlerden biri de, aracın kullanımının zor
2
olması, bu nedenle eğitimlerinin uzun
sürmesi olabilmektedir.
4. Ayarlanabilme: Risk analizi aracı değişik
seviyelerde risk analizinin yapılmasına imkan
vermelidir. Kurum içinde ister özel bir
bilginin risk analizinin isterse kurumun
yüksek seviye risk analizinin yapılmasında
kullanılabilmelidir.
5. Eksiksizlik: Risk analizi aracı, gerek risk
analizi için gerekli olan bilgileri toplarken
gerekse yapı olarak eksiksiz olmalıdır. Yapı
olarak eksiksiz olması demek, bilgi toplayan,
bilginin analizi ve sonuçlarının
raporlanmasını sağlayan modüllerinin
bulunması manasına gelmektedir. Eksiksiz
bilgi toplaması için son çıkan varlık, tehdit,
açıklık ve karşı önlemlerin veri tabanına
eklenmesine izin vermelidir.
6. Risk Modeli: Risk analizi aracı standart bir
risk modeli üzerinde çalışmalıdır. Eğer araç
tatminkar raporlar sunmuyor ise, toplanan
bilgileri analiz eden analiz modülü işini tam
yapamamış demektir. Bunun nedeni ise
büyük bir ihtimalle risk modelinin standart
bir risk modeli olmamasından kaynaklanır.
Standartlaşmış bir risk modeli yoktur. Ancak
standart sayılabilecek FIPS 79 ve Mayerfeld
risk modelleri mevcuttur.[1]
7. Uyumluluk: Risk analizi yazılımının,
kurumda kullanılan yazılım, donanım ve
kurumun politikası ile uyumlu olması ve
varolan geliştirme araçları ile entegre
edilebilmesi gerekmektedir. Bu durum, risk
analizi aracının değişen girdiler (varlık,
tehdit, açıklık, karşı önlem) sonucunda
kolayca değiştirilebilmesini sağlar. Risk
analizi aracı, kurumunun risk analizi
kullanım aracı ile ilgili politikalarını
yansıtmalıdır. Ayrıca, kurumun güvenlik
politikasındaki ihtiyaçları, uygun karşı
önlemlere çevirebilecek kapasitede olmalıdır.
Risk analizi aracı, halihazırda varolan ya da
olması düşünülen bilgi sistemleri üzerinde ve
her konfigürasyona uygulanabilmelidir.
Ayrıca, bir takım nitel ve nicel teknikleri
sağlamalıdır.
8. Raporlama: Raporlama özelliklerinin
yöneticilerin de isteklerini karşılayacak
şekilde olması gerekir. Rapor içeriğinde
alternatif çözümlerden, ucuz ve güvenilir
karşı önlemlerden bahsetmelidir. Değişik
karşı önlem imkanlarını karşılaştırıp, analiz
edebilmelidir. Böylece, kurumun, değişik
tipte, konfigürasyonda ve maliyette karşı
önlemleri karşılaştırması sağlanmış olur.
9. Kullanım Kolaylığı: Risk analizi aracının
kullanımı kolay olmalıdır. Aracın işletilmesi,
profesyonel güvenlik eksperlerinin
çalışmasını gerektirmemelidir. Metodun
kullanılabilmesi için uzun, ayrıntılı eğitimlere
ve yazılımlara ihtiyaç kalmamalıdır.
10. Dokümantasyon: Risk analizi ile beraber
verilen dokümantasyon risk analizi aracının
seçilmesi için etkin bir faktördür. Risk analizi
araçları genelde karmaşık araçlar olduğu için
dokümantasyonun önemi artmaktadır.
11. Otomasyon: Risk analizi aracı uygun ve
kabul edilebilir şekilde otomasyon seviyesine
sahip olmalıdır. Otomasyon, devamlı yapılan
benzer işlerin otomatik şekilde yapılmasını
ve risk analizi sürecinin kısalmasını
beraberinde getirir. Bunun haricinde
otomasyon, maliyeti de düşürür.
12. Depolama: Risk analizinin bilgi toplama
fazında toplanan bilgilerin tutulması daha
sonraki anketlerde ve bilgi toplama
safhalarında kullanılması açısından
önemlidir. Bu nedenle bilgi tutma özelliği
tercih edilmelidir.
13. Destek: Risk analizi araçlarının kurulumu ve
kullanılması zor olabilmektedir. Bu nedenle,
risk analizi aracı için uygun bir eğitim
faaliyetinin ve destek bölümünün olması bir
avantajdır.
3 Risk Analizi Metotları
Risk analizi metotları başlığı altında, üç adet ticari
risk analizi aracı ile gerçek zamanlı risk analizi
kavramı ayrıntılı olarak anlatılacaktır. CRAMM,
İngiliz Hükümeti’nin onayladığı hem nicel hem de
nitel yöntemleri kullanan risk analizi metodudur. The
Buddy System ve Cobra ise özel şirketler tarafından
çıkarılmış risk analizi yöntemleridir. The Buddy
System nicel ve nitel yöntemleri kullanmakta, Cobra
ise sadece nitel yöntemleri kullanmaktadır. Gerçek
zamanlı risk analizi, bu bahsedilen ticari risk analizi
araçlarının bazı durumlardaki eksikliklerini kapatmak
amacıyla ortaya konulmuş olan bir kavramdır.
Hatırlanacağı üzere, nitel risk analizi riski
hesaplarken ve ifade ederken nümerik değerler yerine
yüksek, çok yüksek gibi tanımlayıcı değerler kullanır.
Ayrıca, nitel risk analizi tehdidin olma ihtimalini
kullanmaz, riskin sadece etki değerini dikkate alır.
Nicel risk analizi yöntemleri ise, riski
hesaplarken matematiksel formülasyonları ve olasılık
hesaplarını kullanırlar. Riski hesaplarken sayısal
değerlere başvururlar.
3.1 CRAMM
CRAMM (United Kingdom Central Computer and
Telecommunication Agency’s (CCTA) Risk Analysis
and Management Method) İngiliz hükümetinin tercih
ettiği resmi risk analizi ve yönetimi aracıdır. Varlık,
tehdit, açıklık ve karşı önlem veri tabanlarında
teknik, fiziksel, personel, dokümantasyon ve
prosedürsel olmak üzere güvenliğin hemen her
konusunu kapsanır. CRAMM, BS7799 standardı ile
ve ITSEC ile tam uyumlu bir risk analizi metodudur.
Ayrıca BS 7799 ve ISO 17799 uygunluk
değerlendirmesi yapmaktadır.
Sahip olduğu sertifikalar, teknik özellikler,
kullanıcı arabirimi, dokümantasyon ve teknik destek
özellikleri yönünden diğer bahsedilen risk analizi
araçlarına göre çok çok üstün bir yapıya sahiptir.
CRAMM oldukça karışık bir yapıya sahip olan
bir risk analizi aracıdır. Diğer iki risk analizi aracında
olmayan bu karmaşıklık CRAMM aracının
kullanımını zorlaştırmıştır. Ancak CRAMM
programlayıcılar, bu karmaşıklığı azaltmak amacıyla,
risk analizi sürecini iş akış diagramları ile kullanıcı
arabirimine modellemişlerdir.
CRAMM aracını son kullanıcılara sağlayan
firma, aracı gerçek bir sistem üzerinde uygulamadan
önce mutlaka risk analizi yapacak takımın mutlaka
eğitim almasını söylemektedir. Ayrıca, risk analizini
mutlaka sertifikalı CRAMM personelinin yapması
gerektiği belirtilmektedir.
CRAMM risk analizi aracının yapmış olduğu
risk analizi süreci şu şekilde özetlenebilir.
CRAMM aracı risk analizi ve yönetimi sürecinin
ilk başındaki ‘initiation’ modülünde, süreç hakkında
genel bilgiler toplanır. Risk analizini yapanlar, risk
analizinde sorular cevaplandıranlar ve risk analizi
yapılacak sistem hakkında genel bilgiler burada
toplanır.
Bu modülden sonra, varlıkların tanımlanması ve
değerlendirilmesi işlemi yapılır. Bu işlemin yapıldığı
modülde, risk analizinin çerçevesine göre her türlü
varlık kapsanır. Bu modülün sonunda, varlık
değerlendirme (puanlama) formları doldurulur.
Varlıklar puanlandıktan sonra, tehdit ve açıklık
değerlendirmesi modülünde, tehditlerin tanımlanması
ve açıklıkların ve tehditlerin seviyelerinin
belirlenmesi yapılır.
Varlıklar ve tehditlerin belirlenmesi sonucunda,
CRAMM risk analizi aracı bir diğer modülde,
sırasıyla risk analizi ve risk yönetimi işlemlerini
gerçekleştirir.
CRAMM risk analizi aracının yaptığı diğer bir iş
ise kurumlar için ‘contingency planning’ yapmasıdır.
CRAMM bir kurumun çeşitli türde ve sayıda riskler
altında ne şekilde işine devam edebileceğine dair
planlamaları yapabilir.
CRAMM risk analizi aracı, oldukça ayarlanabilir
bir yapıya sahiptir. Çok büyük sistemlerin genel risk
analizinden çok küçük sistemlerin ayrıntılı risk
analizine kadar birçok sistemin analizini yapabilecek
kapasiteye sahiptir. Ancak, CRAMM aracının bu
değişik sistemler üzerinde uygulanmasını sağlamak
için deneyimli kişilerin ‘tailor’ modülünde değişiklik
yapmaları gerekir.
CRAMM’ın ‘tailor’ modülü ile CRAMM
kullanıcı ihtiyaçlarına göre değiştirilebilir. Örneğin,
veri tabanlarına yeni girdiler eklenebilir.
CRAMM aracının risk yönetimi modülünde
‘what-if’ modellemesi sayesinde birden çok çözüm
önerisi içerisinde belli bir karşı önlem seçilirse risk ne
kadar düşer sorusuna yanıt verilir.
CRAMM risk analizi aracının teknik
dokümantasyonu oldukça iyi seviyededir. Ayrıca, risk
analizi yapılırken sunulan yardım dosyaları da
oldukça anlaşılır bir yapıya sahiptir.
Teknik özellikleri açısından oldukça iyi seviyede
olan CRAMM risk analizi aracının fiyatı da uygun
düzeydedir.
3.2 The Buddy System
The Buddy System risk analizi ve yönetimi aracı,
Countermeasures Inc, şirketi tarafından geliştirilmiş
hem nitel hem de nicel yöntemleri kullanan bir risk
analizi aracıdır. The Buddy System risk analizi
aracının metodolojisi beş adet yayınlanmış aksiyoma
dayanmaktadır. Bu aksiyomlar,
1. Tehdit popülasyonunun sayısı ve türü
sonsuzdur. Bütün sistemler için aynı tehdit
popülasyonu vardır. Değişik sistemlerde
değişen, tehdidin olma ihtimalidir.
2. Belli bir sistem için tehdidin olma ihtimali
değiştirilemez. Karşı önlemler, varlığın
tehdide karşı olan açıklığını azaltır. Ancak,
tehdidin olma ihtimalini etkilemez.
3. Karşı önlemlerin alınması, tehditlerin
kullanacağı açıklık seviyesini düşürür.
4. Bütün karşı önlemlerin kendi açıklıkları
mevcuttur. Bu nedenle sıfır seviyesinde bir
açıklık hiçbir zaman elde edilemez.
5. Kabul edilebilir bir açıklık seviyesi uygun
karşı önlemlerin elde edilmesi ile
karşılanabilir.
The Buddy System risk analizi aracı, üç adet ana
modülden oluşmuştur. Bu modüller, anket (survey),
analiz (analysis) ve bakım (maintenance)
modülleridir. Bu modüllerden anket modülünün hem
Windows için masa üstü hem de web tabanlı
uygulaması vardır. Diğer iki modülün ise sadece
masa üstü uygulamaları mevcuttur.
Anket modülü, risk analizi yapılacak sistem
hakkında bilgilerin toplandığı modüldür. Birden çok
risk analizi uzmanının olduğu durumlarda
platformdan bağımsız, merkezi bir bilgi toplamanın
sağlanabilmesi için web modülü kullanılabilir. Tek
noktadan bilgi toplandığı durumlarda ise masa üstü
modülü sorunsuz bir şekilde kullanılabilir. Anket
modülünde, anket yapan personel bilgileri, sistemin
konumu, sistemin kullanım amacı, sistemde tutulan
bilgilerin tipi, sistemdeki varlıklar, tehditler ve
halihazırdaki karşı önlemler hakkında bilgiler
toplanır. Anket bölümündeki varlıklar kısmına anket
esnasında yeni girişler yapılabilir. Ancak diğer
kısımlardaki değişiklikler ancak bakım modülünde
yapılabilir. Anket modülü çok kolay anlaşılır bir
yapıdadır. Anket modülü küçük-orta ölçekli bir
kurum ağı için yarım saatte bilgilerin toplanmasını
sağlar.
Analiz modülü, anket modülü ile toplanan
bilgileri alan ve bu bilgiler ışığında analizler yapan
modüldür. Analizi modülünün ilk olarak yaptığı iş,
anket modülünde toplanan bilgiler ışığında açıklık
analizi yapmaktır. Yapılan bu analize ‘as-is’ analizi
denebilir. Çünkü, kurumun durumunu ortaya koyan
bir analizdir. Dikkat edilirse, açıklıklar anket
modülünde girilmemektedir. Analiz modülü, anket
modülünde girilen bilgilerin ışığında açıklıkları
ortaya koymaktadır. Yapılan‘as-is’ analizinden sonra
kullanıcı, ‘what-if’ analizi ile seçtiği karşı önlemlerin,
açıklıkları ne derece azalttığını görsel olarak
inceleyebilir.
Anket modülünde girilen bilgiler ışığında ortaya
konan açıklıkların seviyesi önceden belirlenmiş bir
formül ile ortaya konulmaktadır. Bu amaçla her bir
karşı önleme, bakım modülünde değiştirilebilen
kuvvet puanları verilmiştir.
Açıklık seviyesi = Kullanılan karşı önlemlerin
değerlerinin toplamı – Açıklığı kapatmaya yönelik
kullanılabilecek tüm karşı önlemlerin değerlerinin
toplamı.
Karşı önlem puanları bakım modülünde
değiştirilebilir. Bu puanlar, karşı önlemin açıklığı
kapatma derecesine göre verilmektedir. Karşı önlem,
açıklıkları kapatmada ne kadar etkili ise puanı o kadar
yüksek olacaktır.
The Buddy System risk analizi aracı, her bir
varlık için zarar beklentisini ölçen formüller
kullanmaktadır.
Bir kerelik zarar = Açıklık seviyesi * Tehdidin
etkisi * Varlığın değeri
Senelik zarar = Bir kerelik zarar * tehdidin
frekansı
Tüm bu formüller, kullanıcının herhangi bir
müdahalesi ve haberi olmadan risk değerlerini
bulmak için geri planda hesaplanırlar. Kullanıcının
sadece anket modülü yardımıyla bilgileri girmesi
yeterlidir.
Bakım modülü, risk analizi aracının çekirdeğidir.
Analiz modülünün gerçekleştirdiği tüm analizler
bakım modülünde belirlenmiş olan açıklık-karşı
önlem, açıklık-varlık, açıklık-tehdit, tehdit-varlık,
varlık-etki alanı gibi eşleşmeler sayesinde
yapılmaktadır. Ayrıca, ihtiyaçlara göre yeni varlık,
tehdit, açıklık ve karşı önlemlerin eklenmesi de
bakım modülünde yapılmaktadır.
The Buddy System risk analizi aracı otomasyona
sahip bir araçtır. Bilgi toplama safhasında bilgiler
oldukça kolay bir kullanıcı arabirimi ile girilir.
Açıklıklar analiz edilirken kullanılan ‘what-if’
modellemesi otomasyonu oldukça artırmıştır.
Tamamıyla otomatik olarak oluşturulan raporlar da
risk analizi uzmanının işini oldukça kolaylaştıran bir
unsurdur. Ayrıca, bakım modülünde yapılacak
otomatikleştirme ayarları ile aracın hızı artırılabilir.
The Buddy System risk analizi aracı eski
analizleri kaydetme ve değiştirme imkanlarını sunar.
Bu konuda oldukça esnek bir yapıya sahiptir.
The Buddy System risk analizi aracının risk
modeli başta yazılmış olan beş adet aksiyoma
dayanmaktadır. Ayrıca, açıklık seviyesi ve her bir
varlık için zarar ihtimalleri yukarıda yazılan
formüller eşliğinde bulunmaktadır. Bu formüller,
riski hesaplarken standart olarak kullanılan
formüllerdir.
The Buddy System risk analizi aracının
uyumluluğu iyi düzeydedir. Kullanıcı, fiziksel
güvenlikten, genel kurum güvenliğine kadar değişik
konularda istediği şekilde anket ayarlaması yapabilir.
Bunun için bakım modülünde kendi gereksinimlerine
uygun bir şekilde veri tabanı oluşturması
gerekecektir. Bu ise teknik yeterlilik isteyen bir
konudur.
The Buddy System risk analizi aracı, hem nitel
hem de nicel yöntemleri kullanmıştır. Özellikle, ‘as-
is’ ve ‘what-if’ modellemelerinde sayısal değerlere
başvurması objektifliğin korunmasını sağlamaktadır.
The Buddy System risk analizi aracının bakım
modülü haricinde, kullanımı oldukça kolaydır,
uyuşmazlık ve karmaşıklık problemleri
bulunmamaktadır. Teknik dokümanlardan ve yardım
dosyalarından alınacak yardımlar ile bakım
modülünün anlaşılması ve aktif olarak kullanılması
biraz daha uzun süre alacaktır.
The Buddy System risk analizi aracının teknik
dokümantasyonu oldukça iyi seviyededir. Ayrıca, risk
analizi yapılırken sunulan yardım dosyaları da
oldukça anlaşılır bir yapıya sahiptir.
Countermeasures Inc, The Buddy System risk
analizi aracını alan müşterilerine, bir sene bedava
teknik destek ve güncelleme ile iki gün eğitim imkanı
vermektedir.
The Buddy System risk analizi aracının maliyeti
benzerlerine göre çok yüksek seviyededir.
3.3 Cobra
Cobra (Consultative, Objective and Bi-functional
Risk Analysis), bilgi teknolojileri güvenliği
kavramının değişen doğasına cevap vermek amacıyla
merkezi Macclesfield’de bulunan bir İngiliz
danışmanlık şirketi tarafından uzun araştırmalar
sonucunda ortaya konan bir risk analizi, danışmanlık
ve güvenlik inceleme yazılımıdır. Şu bilinen bir
gerçektir ki, güvenlik artık bir teknoloji değil bir iş
(business) kavramıdır. Cobra, bu değişim göze
alınarak ortaya konmuş bir araçtır.
Cobra, nitel yöntemleri kullanan anket bazlı bir
yazılımdır. Cobra risk analizi aracı modüler ve esnek
bir yapıya sahiptir. Her bir modülde, modülün
konusuna göre anket şeklinde sorular ve sorulara
verilebilecek cevaplar bulunur. Modüller, isteğe göre
değiştirilebilir ya da yeni modüller eklenebilir.
Modüller işlendikçe verilen cevaplara göre Cobra, bir
risk analizi raporu çıkarır. Bu raporda, yorumlar, risk
skorları ve öneriler bulunur. Cobra risk analizi aracı,
standart olarak gelen beş adet modüle sahiptir. Bu
modüllerin her biri kendi konusunda sorulardan
oluşan bir ankettir. Bu modüller:
1. ISO 17799 Compliance Knowledge Base:
ISO 17799 Code of practice for information
security management olarak geçmektedir.
Cobra programı, kurumsal bir ağın bu
standarda uygunluğu ölçmek için uygun
sorular sorar. ISO 17799 uygunluğu altında,
varlık sınıflandırması ve kontrolü, iş devam
planı, bilgisayar ve operasyon yönetimi,
genel uygunluk, personel güvenliği, fiziksel
ve çevresel güvenlik, güvenlik
organizasyonları, güvenlik politikaları, sistem
erişim kontrolü ve sistem bakımı gibi
başlıklar bulunmaktadır. Bu modül, aşağıdaki
dört modülün aksine risk analizi modülü
değildir. Bu modülün amacı, varolan bir
sistemi, önceden tasarlanmış standartlar ile
karşılaştırmaktır.
2. E-Structure Knowledge Base: Kurumsal bir
ağda bulunan ana güvenlik elemanlarının
risklerini ölçmek için kullanılır. Bu modülün
içinde, bilgiye erişim, back-up,
yönlendiriciler, güvenlik duvarları,
kullanıcıların İnternet erişimleri, fiziksel
güvenlik, erişim kontrolü, virüsler ve
güvenlik politikaları elemanları konularında
risk seviyesini ölçmek için ayrıntılı bir anket
sunulur.
3. High Level Risk Analysis: Kurumsal bir ağda
riskleri ortaya çıkarmak için ayrıntıya
inmeden yüksek seviyede risk analizinin
yapılabileceği bir modüldür. Bu modülde,
güvenliğin üç ana unsuru olan süreklilik,
gizlilik ve bütünlük başlıkları altında sorulan
sorular yardımı ile kurumdaki riskler
ölçülmeye çalışılır. Bu üç ana öğenin yanında
iş etki analizi (business impact analysis)
başlığı da incelenir.
4. IT Security Assessment Knowledge Base: Bu
modülde, kurumsal bir ağın ayrıntılı bir risk
analizi yapmak için gerekli olan sorular
sorulmaktadır. Bu modül, E-Structure
Knowledge Base’ ye göre daha ayrıntılı bir
yapıya sahiptir.
5. Operational Risk Knowledge Base: Bu
modülde, kurumsal bir ağın düzgün bir
şekilde işlemesi ve operasyonu için gerekli
olan ortamı oluşturma yolunda ağda varolan
global riskleri ortaya çıkarmak için kullanılır.
Güvenlik yönetiminden, su ve sel
baskınlarına, kriptolamadan yangın risklerine
kadar çeşitli konularda sorular sorarak
riskleri çıkarmaya çalışır.
Cobra programı, sadece yukarıdaki beş modülden
ibaret bir program değildir. Bu beş standart modülün
yanında, risk analizi personeli, risk analizi yapacağı
kurumun tipine ya da risk analizinin çerçevesine göre,
yukarıda modülleri kendi istediğine göre değiştirebilir
ya da kendi baştan yeni bir modül yazabilir. Cobra,
modüllerde sorulan sorulara verilen cevapları toparlar
ve cevaplara göre bir risk analizi raporu hazırlar. Bu
risk analizi raporu, yaygın olarak kullanılan
Microsoft Word İşlemcisi dosya tipinde
kaydedilebilir. Bu da risk analizi yapan personelin,
daha sonra raporda değişiklikler yapmasına imkan
sağlar.
Cobra risk analizi aracı eski analizleri kaydetme
ve değiştirme imkanını sunmamaktadır. Risk
analizinde elde edilen bilgiler sonuç raporunda
kullanılır ve bu bilgilerde herhangi bir değişiklik
olduğu zaman aracın baştan çalıştırılması gerekir.
Cobra risk analizi aracının kullanım süresi
oldukça düşüktür, ancak kayıt özelliğinin
olmamasından dolayı herhangi bir terslikte analize
baştan başlanması gerekir.
Cobra risk analizinin uyumluluğu orta
seviyededir. Belli seviyelerde risk analizinin
yapılmasına imkan sağlar.
Cobra risk analizi aracı, nitel yöntemleri
kullanan bir araçtır. Herhangi bir matematiksel bir
formülasyon kullanmamaktadır. Bunun nedenlerinden
biri de, Cobra risk analizi aracının güvenliği bir
business kavramı olarak görmesi olabilir.
Cobra risk analizi aracının teknik
dokümantasyonu ve eğitim imkanları zayıftır. Ayrıca,
aracın kendi bünyesinde bulunan yardım dosyaları
zayıf kalmıştır.
Cobra, The Buddy System risk analizine göre
çok daha az teknik bir risk analizi yazılımıdır. Bu
nedenle karmaşık bir yazılım değildir. Öyle ki,
yönetimden herhangi bir kişi de Cobra’nın başına
geçip risk analizi yapabilir. Ancak, bu durum,
objektifliği oldukça etkileyecek bir durumdur.
Ayrıca, birçok kurumda, yazılımın uyuşmazlık ve
eksiklik sorunları olabilir.
Cobra risk analizi yazılımının ana çıkış amacı,
risk analizi sürecini kolaylaştırmaktır. Başta da
söylendiği gibi, Cobra takımı güvenliği bir ‘business’
olarak görmektedir. Bu nedenle, Cobra risk analizi
aracı belki birçok kurumun ihtiyaçlarını karşılayacak
düzeyde olmayabilir ancak risk analizi sürecinin
yönetime yakınlaştırılmasında uygulanacak güzel bir
adımdır.
Cobra risk analizi yazılımı fiyatı sunduğu
hizmetlere göre normal düzeydedir.
3.4 Gerçek Zamanlı Risk Analizi Kavramı (RtRA)
Gerçek zamanlı risk analizi kavramı geleneksel risk
analizi araçlarında bulunan ve Risk Analizi ve
Yönetiminin Eksiklikleri (2.2) başlığı altında da
bahsedilen aşağıdaki dört adet eksikliği kapatmak
amacıyla ortaya konmuştur. Eksiklikler buraya tekrar
yazılırsa:
1. Günümüzde kullanılan risk analizi ve
yönetimi araçları proaktif analiz
yapmaktadırlar. Herhangi bir güvenlik ihlali
ya da daha genel olarak olay olmadan önce
ihtimalleri kullanarak riskin olma ihtimalini
kestirirler.
2. Günümüzde kullanılan risk analizi
metodolojileri artık o kadar karmaşıktırlar ki
uygulamaları aylar sürebilmektedir.
3. Günümüzde kullanılan risk analizi ve
yönetimi araçları sadece bilinen varlıkları,
açıklıkları, tehditleri ve karşı önlemleri
içerirler. Bu öğelerden herhangi birisi
değiştiği zaman ya da yenisi eklendiği zaman
araç güncellenmelidir. Daha radikal
değişikliklerde ise model güncellenmelidir.
4. Günümüzde kullanılan risk analizi ve
yönetimi araçları en kötü duruma göre sonuç
raporu oluştururlar.
Bu dört eksiklik, özellikle bazı durumlar için risk
hesaplamasını çok zorlaştırır. Bu özel durumlardan
bir tanesi, herkese açık bir hat kullanılarak, A
noktasından B noktasına doğru yapılan
haberleşmedir.
Tek tek yukarıdaki problemler böyle bir senaryo
için açıklanırsa,
Bilindiği gibi, A noktasından B noktasına, ağ
paketleri birden çok farklı rotayı takip ederek
gidebilmektedirler. Bu nedenle her haberleşmede
paketlerin rotası değişebilmektedir. Bu da, her bir
haberleşme için haberleşmede rol alan varlıkların
değişmesi ve önceden kestirilememesi manasına
gelir. Bu durum yukarıda bahsedilen üç numaralı
problemi beraberinde getirir.
A noktasından B noktasına değişik tiplerde
mesajlar gidebilir. Bu mesajlar gizli de olabilir,
başkaları tarafında bilinmesinde ve görülmesinde
sakınca olmayan mesajlar da olabilir. Geleneksel bir
risk analizi aracı, en kötü duruma göre analiz yapacak
ve bu nedenle her mesajın şifrelenmesini
zorlayacaktır.
A noktasından B noktasına yapılan bir
haberleşme belki de bir ağın en temel işlevidir. Ancak
böyle basit bir işlevdeki riskleri ölçebilmek için
gerçekten de uzun süre ve uğraş gerektirecek bir risk
analizi süreci vardır. Paketlerin dinamik olarak rota
belirlemesinden dolayı, her bir rotadaki varlıklar
belirlenecek ve varlık bazlı bir analiz yapılması
gerekecektir.
Son olarak da, yapılan tüm bu analizler proaktif
olarak yapılacaktır. Geleneksel yöntemler, iki nokta
arasında yapılan bir haberleşme için, haberleşmeler
yapılmadan bir analiz yapar ve ihtimaller sonucunda
kötü durum senaryolarına göre bir karşı önlem önerir.
Bu karşı önlemler alındıktan sonra haberleşmeler
yapılmaya başlanır. Kısacası haberleşme esnasında
herhangi bir analiz yapılmaz.
Böyle bir durumda yeni bir risk modeli
oluşturmak gerekir. Bu dört eksikliği bu özel
durumlarda kapatmak amacıyla gerçek zamanlı risk
analizi kavramı ortaya konulmuştur.
Bu amaçla, geleneksel risk analizi
metodolojilerinin yaptığı gibi paketin rotası
üzerindeki ağ elemanları üzerindeki riskin
hesaplanması yerine, haberleşme oturumunun tipine
göre risk değerlerinin bulunması düşünülmüştür. Bu
yapılırken de gerçek zamanlı olarak her bir
haberleşme oturumunun karakteristiğine göre risk
hesaplanmıştır. Böyle yapılacak bir risk analizi ile
geleneksel risk analizi metodolojilerinin yukarıda
bahsedilen dört adet eksikliği iki nokta arasındaki
haberleşme için bertaraf edilmiş olur.
Gerçek zamanlı risk analizi kavramının ayrıntılı
anlatımı ile bu problemlerin nasıl önüne geçildiği
daha iyi anlaşılacaktır.
Lütfen ayrıntılı bir çizim için Ek-1’e bakınız.
Gerçek zamanlı risk analizi kavramının Java
programlama dili kullanılarak uygulama planına
konulması düşünülmektedir. Bunun en önemli nedeni
Java’nın çalıştığı platformdan bağımsız olarak
çalışmasıdır.
İstemci bilgisayarında çalışan bir Java
uygulaması bulunmaktadır. Bu uygulama, istemcideki
TCP/IP katmanı (stack) ile uygulama programı (e-
posta istemcisi) arasında dinleme yapar. TCP/IP
katmanının aktif hale geçmesini kontrol eder.
Uygulamanın diğer parçası sunucuda
bulunmaktadır. Sunucu, istemci ile aynı ağdadır.
İstemcinin herkese açık ağdan uzaktaki başka bir
bilgi sistemi ile haberleşmesinde sunucu çıkış kapısı
(gateway) görevi görür. Sunucuda, üç adet program
çalışmaktadır. Bunlar, monitör, risk analizi ve
güvenlik (karşı önlem) programlarıdır.
Monitör programı, istemci bilgisayardan gelen
TCP/IP paketindeki gerekli başlıklardan (header) ağ
bilgilerini ayıklar. Bu bilgiler, kaynak ve hedef IP
paketleri, port numaraları gibi TCP/IP bilgileri
olabileceği gibi, günün tarihi, paketin data kısmının
içeriği de olabilir.
Risk analizi programı, monitör programının
ayıkladığı kısımlara bakarak önceden belirlenmiş
kurallara göre risk değeri atar.
Güvenlik programı ise, risk analizi programının
verdiği risk değerine göre kurulması düşünülen özel
haberleşme oturumuna en uygun karşı önlemleri alır.
Bu karşı önlemler arasında, sertifikalar, sayısal
imzalar, mesaj-kimlik doğrulama ve şifreleme örnek
olarak verilebilir. Ayrıca, istemciden gelen
mesajlaşma isteği sakıncalı görülürse (en yüksek risk
değeri) haberleşmeyi iptal de edebilir. Mesaj için
sertifika kullanılması uygun görüldüyse, istemci
bilgisayardan kullanıcı sertifikası alınır ve mesaj
uzaktaki bilgi sistemine uygun şekilde gönderilir.
İstemci bilgisayardaki, istemci uygulamasının
diğer bir amacı, sunucudaki monitör programını aktif
hale getirmektir.
Bütün bunlar kullanıcının herhangi bir ayar
yapmasına gerek kalmadan şeffaf (transparent) olarak
gerçekleşir.
Görüldüğü gibi gerçek zamanlı risk analizi
kavramı ile beraber uygulaması çok uzun sürebilen ve
varlık bazında risk analizi yapan geleneksel risk
analizi yöntemlerinin yukarıda sayılan eksiklikleri
kapatılmaktadır. Uzun süreler alan risk analizi süreci
yaşanmamaktadır. Proaktif analiz yerine gerçek
zamanlı analiz yapılmaktadır. Worst-case karşı
önlemlerin uygulanması yerine sadece gerekli karşı
önlemler uygulanmaktadır. Risk analizi varlık
bazında değil de haberleşme oturumu bazında
yapıldığı için belli bir varlık, açıklık, tehdit ve karşı
önlemler veri tabanı tutmasına gerek yoktur. Bu
nedenle, bu öğelerdeki herhangi bir değişiklik risk
analizi metodunu etkilemeyecektir.
Gerçek zamanlı risk analizi kavramının diğer
önemli avantajları, daha önce de söylenen
platformdan bağımsız Java programlama dili ile
uygulanacak olması ve sadece sunucu bilgisayardaki
uygulamaların, değişen teknolojilere göre
değiştirilmesinin yeterli olacak olmasıdır. Ayrıca,
uygulamalar sunucuda bulunduğu için merkezi bir
yönetim sağlayacaktır. İstemcilerdeki programların
yapısı ve görevi gereği bir daha yüklendikten sonra
tekrar güncellenmesine gerek kalmayacaktır.
Gerçek zamanlı risk analizi kavramı üzerine
yorumlar ve tarayıcı yazılımların risk analizi
araçlarına entegrasyonu:
Gerçek zamanlı risk analizi kavramının, en
önemli dezavantajı sadece kısıtlı senaryolarda
uygulanabilir olmasıdır. Bu nedenle, eksikliklerini
kapattığı geleneksel metotların yerini alması
imkansızdır.
Aslına bakılırsa, gerçek zamanlı risk analizi
kavramı bir risk analizi aracından çok politika bazlı
güvenlik önlemini almaya zorlayan (enforce) bir
güvenlik metodu olarak nitelendirilebilir. Yaptığı işe
bakıldığı zaman, yapı ve kullanım olarak geleneksel
olarak kullanılan risk analizi yazılımlarından çok
gelişmiş ve politika bazlı filtreleme ve paket geçirme
yapan bir güvenlik duvarını andırmaktadır.
Ancak, gerçek zamanlı risk analizi kavramını bu
şekilde değerlendirip risk analizi ve yönetimi
yazılımlarının kategorisinden çıkarmak yanlış
olacaktır. Çünkü, gerçek zamanlı risk analizi kavramı
eğer uygulanırsa, risk analizi ve yönetimi
yazılımlarının birçok eksikliğini kapatacak ve daha
yaygın kullanım alanlarında uygulanması ile risk
analizi ve yönetimi yazılımlarında yeni bir yönelimin
başlangıç taşlarını oluşturacak düzeydedir.
Gerçekten de, halihazırdaki risk analizi ve
yönetimi yazılımlarına bakılırsa, yüzde yüz
kullanıcıya bağlı olduklarını görülür. Geleneksel
araçların tümü offline bir yapıdadır. Statik (kullanıcı
müdahalesi ile güncellenen) veri tabanları
bulunmaktadır. Tüm bilgiler sorulan anket soruları ile
alınmaktadır. Risk analizi ve yönetimi yazılımlarının
anketlerinde bulunan personel, kurumun fiziksel
durumu, hava şartları gibi soruların yanıtlarının bu tip
anketlerden başka alınma yöntemi tabi ki yoktur,
ancak, kurumdaki bilgisayar sayısı, bilgisayarlarda
koşan yazılımlar gibi teknik anket sorularının
yanıtları başka yöntemlerle de elde edilebilir.
Örneğin, geleneksel risk analizi araçları ile entegre
edilmiş çok amaçlı bir ağ tarayıcısı, risk analizi
personelinin işini oldukça kolaylaştıracaktır. Entegre
ağ tarayıcısı, risk analizi personelinin seçtiği anket
sorularını baz alarak ağ taraması yapabilir ve risk
analizi aracına elde ettiği bilgileri döndürebilir. Bu
bilgiler ağdaki varlıklar hakkında bilgiler olabileceği
gibi, ağdaki varlıkların açıklıkları da olabilir (açıklık
tarayıcısı). Risk analizi aracı ilgili bilgiler ışığında
kendi risk analizi metodolojisine göre riskleri
hesaplayabilir.
Bu senaryo, gerçek zamanlı risk analizi
kavramından daha farklı bir yaklaşımdır. Ancak
gerçek zamanlı risk analizi ve yukarıda anlatılan
entegrasyon kavramları ile risk analizi ve yönetimi
araçları daha dinamik bir yapıya bürünecek, daha az
kullanıcı müdahalesi ile daha kısa sürede ve daha
doğru ve güncel bilgiler ile risk analizin bitirilmesi
sağlanacaktır.
4 Metotların Ayrıntılı Karşılaştırmaları
Metotların karşılaştırmaları, 2.2 Risk Analizi ve
Yönetiminin Eksiklikleri ve 2.3 Risk Analizi ve
Yönetimi Nasıl Olmalıdır? başlıkları altındaki
kriterlere göre yapılmıştır. Risk analizi araçlarının
hem eksiklikleri hem de nasıl olmaları gerektiği
(özellikleri) karşılaştırılmıştır.
Araçları karşılaştırmak için nümerik değerler
kullanılmıştır. nümerik değerlerin neyi ifade ettiği
tablo-1’de yazılmıştır.
Eksiklik Özellik
1 Hayır Çok zayıf
2 Zayıf
3 Tatminkar Tatminkar
4 İyi
5 Evet Çok iyi
Tablo-1: Karşılaştırmada kullanılacak nümerik
değerler
Pah
alılık
Uzu
n S
üreç
Nesn
ellik
Karm
aşıklık
Uyuşm
azlık
Eksik
lik
Pro
aktif A
naliz
Değ
işim Z
orlu
ğu
Worst-ca
se Karar
CRAMM 3 5 1 5 1 1 5 3 5
The
Buddy
System
5 3 3 3 3 3 5 3 5
Cobra 3 3 5 2 5 3 5 3 5
RtRA ? 1 ? 1 1 ? 1 1 1
Tablo 2: Metotların eksiklik karşılaştırma tablosu
Gü
ven
ilirlik
Hız
Maliy
et
Ay
arlanab
ilme
Ek
siksizlik
Risk
Mo
deli
Uy
um
lulu
k
Rap
orlam
a
Ku
llanım
Ko
laylığ
ı
Do
kü
man
tasyo
n
Oto
masy
on
Dep
olam
a
Destek
CRAMM 5 2 3 5 5 5 5 5 2 5 5 5 5
The Buddy
System
4 4 1 3 3 3 4 4 4 4 4 5 5
Cobra 4 4 3 3 2 3 3 4 5 2 3 1 3
RtRA 5 5 ? 1 ? ? ? ? 5 ? ? ? ?
Tablo 3: Metotların özellik karşılaştırma tablosu
Ticari olarak kullanılan üç adet risk analizi
aracının ayrıntılı incelenmesi, kullanılması ve
dokümanlarının okunması sonucunda önceden
belirlenen kriterler göz önünde tutularak puanlaması
yapılmıştır. Bu üç risk analizi aracının yanında,
gerçek zamanlı risk analizi kavramı da aynı kriterler
bazında puanlamaya tabi tutulmuştur. Puanlamaların
sonuçları Tablo-2 ve Tablo-3’de görülmektedir.
Eksiklikler tablosuna göre, gerçek zamanlı risk
analizi kavramı, ticari araçların zayıf kaldıkları
kategorilerde yüksek puan almıştır. Gerçekten de,
ticari risk analizi yazılımlarında görülen eksiklikleri
kapatabilecek düzeyde bir kavramdır. Gerçek zamanlı
risk analizi kavramı henüz uygulama aşamasına
geçmediğinden dolayı, gerek Tablo-2 gerekse Tablo-
3’te soru işareti ile bırakılmış alanlar için şu anda
puanlama yapılması mümkün değildir.
Gerçek zamanlı risk analizi kavramı, ticari risk
analizi araçlarında bulunan karmaşık, uzun süreç,
proaktif analiz, değişim zorluğu, uyuşmazlık ve
worst-case karar eksikliklerine kesin çözüm
olmaktadır. Ancak, gerçek zamanlı risk analizi
kavramı her seviyede ve her senaryoda risk analizi
yaptığı unutulmamalıdır. Bu nedenle bu araçların
yerini alması imkansızdır.
Eksiklikler tablosu incelenirse, CRAMM
aracında karmaşıklık ve uzun süreç, The Buddy
System aracında pahalılık, Cobra aracında ise
nesnellik ve uyuşmazlık eksikliklerinin özellikle
bulunduğu görülebilir.
Özellikler tablosunda CRAMM aracının birçok
kriter açısından üstün olduğu görülmektedir. Diğer iki
risk analizi aracının yanında, CRAMM aracı oldukça
profesyonel bir yapıya sahiptir. BS7799 ve ITSEC
standartlarına uygunluğu belgelenmiş olan CRAMM
bu profesyonelliğini pekiştirmektedir. CRAMM
aracının karmaşıklığı ise hem hızını hem de kullanım
kolaylığını azaltmaktadır.
CRAMM aracının ardından, The Buddy System
aracı da, tatminkar özellikleri ile dikkat çekmektedir.
Ancak, aracın maliyeti çok fazladır. Hemen her
yönden daha üstün olan CRAMM aracı The Buddy
System’in yarı fiyatındadır.
Son olarak Cobra yazılımı da, The Buddy
System yazılımı ile başa baş durumdadır. Ancak,
Cobra’nın yazılımından kaynaklanan bazı eksik
yönleri dikkat çekmektedir.
Gerçek zamanlı risk analizi kavramı, uygulama
aşamasına geçmediğinden dolayı, birçok özelliği
hakkında puanlama yapılması mümkün değildir.
Ancak, puan aldığı kriterlerde ayarlanabilme hariç
üstün durumdadır. Ayarlanabilme özelliği, gerçek
zamanlı risk analizi kavramı için mümkün değildir.
Çünkü, sadece belli senaryolarda ve durumlarda risk
analizi yapabilmektedir.
Ayrıntılı olarak tanıtılıp karşılaştırılan dört
yöntem hakkında şunlar söylenebilir.
CRAMM risk analizi aracı, gerek kapsam ve
teknik özellikler açısından gerekse destek ve
eğitimler konusunda en yeterli araçtır. Bütün bu
özelliklerinin yanında fiyatı makul seviyelerdedir.
Ancak kullanım zorluğu ve karmaşıklığı en önemli
dezavantajıdır.
The Buddy System risk analizi aracı da, teknik
olarak yeterli denebilecek seviyede bir araçtır ve
birçok risk analizi uzmanı tarafından tercih edilebilir.
Ancak, fiyatı büyük bir dezavantajdır.
Cobra risk analizi aracının amacı, risk analizi
sürecini yönetim seviyesine çıkarmak ve yönetimin
de katılacağı risk analizi ve yönetimi süreçlerine
katkıda bulunmaktır. Kullanımı kolay bir araçtır. Eğer
kurum olarak, risk analizi ve yönetimi sürecinde
böyle bir yaklaşım düşünülmüyorsa, Cobra risk
analizi aracı uygun olmayacaktır.
Gerçek zamanlı risk analizi kavramı, geleneksel
olarak kullanılan bu risk analizi araçlarında bulunan
ve risk analizi ve yönetimi sürecinin yapısından
kaynaklanan problemlerin önüne geçmek amacıyla
tasarlanmıştır. Gerçekten de, bu problemleri ortadan
kaldırabilmektedir. Ancak sadece kısıtlı senaryolarda
uygulanabilmektedir. Risk analizi araçlarına entegre
edilmiş ağ ve açıklık tarayıcısı yazılımların
kullanılması ve gerçek zamanlı risk analizi
kavramının uygulama alanının genişletilmesi yeni
nesil risk analizi ve yönetimi araçların gelişmesinde
önemli rol sahibi olabilecektir.
5 Sonuç
Risk analizi ve yönetimi süreçleri, bilgi güvenliğinde
vazgeçilmez unsurlardır. Çünkü, risk analizi ve
yönetimi, güvenliğin temellerini oluşturan süreçlerdir.
Hangi varlığın hangi tehditten ne şekilde korunması
gerektiği bilinmez ise alınacak karşı önlemlerden de
yeterli seviyede koruma beklemek yersiz olacaktır.
Bilgi sistemlerinin gelişen ve değişen doğasına
paralel olarak değişen güvenlik ihtiyaçları risk analizi
ve yönetimi sürecini periyodik yapılmasını da zorunlu
kılmaktadır.
Temel bir gereksinim olan ve periyodik olarak
yapılması gereken risk analizi ve yönetimi süreci, risk
analizi ve yönetimi araçları ile kolaylaştırılmakta ve
otomatikleştirilmektedir. Bu amaçla birçok kurum
ticari risk analizi ve yönetimi yazılımları
kullanmaktadırlar.
Bu çalışmada, bilişim sistemlerinde
uygulanabilinecek etkin risk analizi ve yönetimi
yöntemlerinin araştırılması yapılmıştır. Bu amaçla,
kurumlarda yaygın olarak kullanılan üç adet ticari
risk analizi ve yönetimi aracının ayrıntılı
tanımlamaları ve açıklamaları yapılmıştır. Bu
araçların tanıtımından sonra risk analizinde yeni bir
kavram olan gerçek zamanlı risk analizi kavramının
ayrıntılı tanımlaması ve açıklaması yapılmıştır. Bu
kavramın, ticari yazılımlardaki hangi eksiklikleri
kapatmak amacıyla ortaya çıktığı tartışılmıştır.
Tanımlamaları ve açıklamaları yapılan bu risk analizi
ve yönetimi metotlarının eksiklikleri ve özellikleri
önceden belirlenen kriterlere göre karşılaştırılmıştır
ve karşılaştırma sonuçları tartışılmıştır. Hangi aracın
hangi özellikleri ile öne çıktığı ve hangi konularda
eksik kaldığı ortaya konmuştur. Yapılan bu
karşılaştırmalar sonucunda etkin bir analizinin nasıl
olması gerektiği üzerinde durulmuş ve risk analizi
sürecinde kullanılabilecek yeni bir metot önerilmiştir.
Referanslar [1] L. Labuschagne, J.H.P. Eloff, “Real-Time risk
analysis using Java concepts”, MCB University Press,
1998
[2] S. Lichtenstein, “Factors in the selection of a risk
assessment method”, MCB University Press, 1996
[3] D. Spinellis, S. Kokolakis, S. Gritzalis, “Security
Requirements, Risks and Recommendations for Small
Enterprise and Home-Office Environments”, MCB
University Press, March 1999.
[4] United Kingdom Central Computer and
Telecommunication Agency’s (CCTA) Risk Analysis
and Management Method. CRAMM
http://www.insight.co.uk/cramm.htm
[5] The Buddy System Security Risk Analysis and
Management Software, http://www.buddysystem.net
[6] Cobra, Consultative, Objective and Bi-functional
Risk Analysis, C & A Security Risk Analysis Group,
http://www.security-risk-analysis.com
[7] T. Peltier, “Information Security Risk Analysis”,
Auerbach Publications, 2001
[8] B. Karabacak, Seminer – I Raporu