Felaketler bazen asla önlenemez ancak onlardan kurtulabilmek mümkün. En kötüsü için planlama yapmak etkiyi minimuma indirecektir.
IT sistemleri başarısız olduğunda çok az işletme çalışmaya verimli şekilde devam edebilir. Kapsamlı bir IT risk değerlendirmesi; güvenlik sisteminizin tehlikeye düşmesine engel olmak ve etkili bir stratejiyle karşılık vermek için çok önemli bir yoldur. Sisteminizi etkili bir şekilde koruyan bir risk değerlendirmesini uygulamak istiyorsanız, atmanız gereken adımlar şunlar;
Hazırlık
Risk yönetimi prosedürü, ilgili doğru kişilerle uygulandığında çok basit olacaktır. Riskten kaçınılması gereken her alanın temsilcilerini ve bu riskleri nasıl tespit edeceklerini bilen herkesi içeren bir danışma komitesi oluşturulmalıdır. Bir güvenlik risk değerlendirme kontrol listesi ve bir denetim listesi, riskleri gözden geçirmeye yardımcı olacak kullanışlı araçlardır.
Veri koleksiyonu
Herhangi bir risk değerlendirmesine, mevcut altyapıyı gözden geçirmekle başlayın. Donanımın da yazılımın da güçlü ve zayıf yönlerinin mutlaka değerlendirilmesi gerekir.
Güvenlik riskine sahip olan varlıkların envanteri envanteri yapılmalı ve değerlendirmeye alınmalı. Sonrasında bu bulgular IT departmanına göndermeniz gerekiyor. Alınan sonuçlar, risk değerlendirmesinden beklenen amacı, faaliyet alanını, veri akışını ve sorumlulukları içeren bir tam kapsamlı bir incelemenin temelini oluşturacaktır.
Güvenlik açığı değerlendirmesi
Potansiyel her risk, tehdidin ayrıntılı bir şekilde incelenmesini gerektirir. Gerçek hayat senaryolarının kullanılması, organizasyonun olası sonuçları öngörmesinde etkili bir yoldur. Risk alanı olarak sınıflandırılması gereken zayıf noktaları belirlemek için IT tarafından hem otomatik hem de manuel araçlar kullanılarak bir güvenlik açığı değerlendirilmesi yapılmalıdır. Değerlendirme, korumayı sağlayan mevcut güvenlik durumunu ve kapatılamayan herhangi bir boşluğu kaydetmelidir.
Risk analizi
Keşfedilen tüm tehlike bölgelerini olası ciddi sonuçlardan korumak için bir strateji uygulanması gerekir. Spesifik bir güvenlik açığı, tehdidi ve oluşma ihtimali her alan için analiz edilmelidir. Bilgiye ve sistemlere istenmedik herhangi bir erişimden kaynaklanan olasılığı ve zararın büyüklüğüne dikkat edilmeli. Dikkat edilmesi gereken konular arasında, işledikleri bilgi ve sistemlere istenmeyen herhangi bir erişimden olabilirliği ve zararın büyüklüğü bulunuyor.
Tavsiyeler ve departmana özel inceleme
Elde edilen tavsiyeler bir raporda listelenmeli ve tüm ilgili paydaşlara verilmelidir. İçerik; analiz sonuçlarını ve seçilen yanıt stratejisini içerecektir. Raporu alan her departmanın tanımladığı riskleri gözden geçirmesi beklenir. Daha sonrasında, işin doğasına ve spesifik risklerine dayalı tehlikeleri azaltmak veya önlemek için kendi stratejilerini geliştirmelidirler.
Risk azaltma planı
Strateji ancak bunu uygulayan departman tarafından risk azaltma planına entegre edildiğinde etkili olacaktır. Bu plan, azaltma prosedürünü uygularken takip etmesi gereken bir zaman çizelgesi içermelidir. Biz kez oluştuğunda incelenmek üzere IT’ye gönderilecektir.
IT incelemesi
IT ekibi, kapsamlı ve etkili olmasını sağlamak için risk azaltma planını değerlendirmelidir. Plandaki her adımın gözden geçirilmesi ve onaylanması gerekir. Ardından, ihtiyaç duyulduğunda başka ilaveler ve değişiklikler yapılabilir.
Uygulama
Ortaya çıkan risk değerlendirme politikası, planlama, riske verilen yanıtı tanımlama ve risk kontrolünü yönlendirecektir. Bu, olasılığı ortadan kaldırmanın nasıl yapılacağını ve gerçekleştiği zaman sonuçlarını da kapsayacak. Üçüncü olarak sigorta şirketleri ve teminatlar gibi etkisi de dahil edilmeli. Her departman uygunluğu sağlamaktan sorumludur ve bulguları en az yılda bir kez gözden geçirmelidir.
Bakım
Risk yönetimine proaktif bir yaklaşım, tehditlere karşı en etkili engelleri oluşturacaktır. Bu nedenle IT kaynaklarını kullanan herhangi bir kaynak tehlikelere karşı periyodik olarak incelenmelidir.
Risk değerlendirmesini tekrarlamak için tipik bir zaman çizelgesi, politikanın yılda en az iki kez gözden geçirilmesini içerir, ancak tam tespit CIO tarafından belirlenmelidir. Ortaya çıkan riskleri gözden geçirmek için ek değerlendirmeler gerektiği şekilde yapılmalıdır.
