ENTER BİLGİSAYAR SİSTEMLERİ TİCARET A.Ş.
 
 
Risk ve Ödül

Güvenliğe ne kadar yatırım yapacağınızı - hangi teknolojilere ve ürünlere- belirlemeden önce, organizasyonunuzun ne kadar risk altında olduğunu anlamanız gereklidir. Her internet bağlantılı organizasyon bazı risklerle yüzleşmesine rağmen, elbette ki, riskin seviyesi ve şiddeti büyük ölçüde değişkendir.
Aşağıdaki formülü herhangi bir sistem veya şebeke için güvenlik riskini hesaplamakta kullanabilirsiniz.

RISK = Tehlike x Hassasiyet x Olay Maliyeti

Formüldeki Faktörleri Nasıl Belirleyebiliriz?
Tehlike: Potansiyel güvenlik olaylarının sayısı (saatlik, günlük, aylık gibi) ve belli bir zaman dilimi içerisinde meydana gelen güvenlik olaylarının sıklığıdır.
Hassasiyet: Organizasyonunuza karşı saldırı tehlikesinin başarılı olma ihtimali.
Olay Maliyeti: Güvenlik olayı başına ortaya çıkan "Hard" dolar maliyetleri (hacker saldırıları, virüs veya doğal sorunlara bağlı veri kaynakları, bilgisayar sistemleri, ve uygulamalardaki kayıplar) ile "Soft" dolar maliyetlerinin (verimlilik kayıpları, sorunları çözmek için harcanan emek) toplamı.

Buna bağlı olarak, bütünsel güvenlik riski ayrı ayrı olayların tehlike oranı, hassasiyet ve olay maliyetlerinin çarpımıdır. Sıfırlı çarpılan herşey sıfır olacaktır. Bu yüzden, eğer bu çarpanlardan herhangi birinin sıfır olduğu belirlenebilirse, bu durumda herhangi bir risk yoktur. Elbetteki, organizasyonların büyük bölümü bunu yapamayacak. Bunun yerine, farklı seviye ve kategorilerdeki risklerle günlük bazda uğraşmaları gerekecektir.

Risk Kategorileri
Riskli olduğunuzu belirledikten sonra, risk kategorilerini de belirlemeniz gerekmektedir. Temel olarak altı risk kategorisi bulunmaktadır. Güvenlikle ilgili bilişim uzmanlarının temel düşüncesi bu altı riski tanımlama, yönetme veya bastırmaktır.

Electronik: Bu riskler, "hack" etme, şebeke trafik paketi bilgisayar kaynakla saldırılar veya kötüye kullanımlardan kaynaklanır.
Malware: Virüsler, kurtlar veya trojanlar gibi problemler, "malicious code" olarak da bilinirler.
Fiziksel: Bilgisayar donanımlarının çalınması (laptoplar ya da ramler gibi), veya terminal kapkaççılığı gibi fiziksel kayıplar.
Gizlilik (Privacy): Diğer kategorilere kıyasla önemi sürekli artan bir konu. Gizlilik konusu birinci ve üçüncü kişinin hak ve erişim yetkilerini düzenler.
Downtime: Bilgisayar kaynaklarının insani ya da doğal sebeplerle çalışmaya müsait olmaması sorunlarıdır. DoS (denial of service), güç kesintileri veya doğal felaketler gibi.
İnsan Faktörü: Kontrol etmesi zor olan insan risk faktörleri: Sosyal mühendislik aktiviteleri (şifreler gibi gizli bilgileri elde etmek isteyen "hacker"ler kendilerini gerçekte olmadıkları biri gibi tanıtıp, rol yapabilirler), kötü işe almalar, ekranların üzerinde şifreleri gösteren yapışkan-not kağıtları, omuz üzerinden gözetleme (birinin omuzlarının üstünden bakarak bilgi alma sanatı) gibi.
"Güvenilir" Elemanlar
Haber başlıklarının çoğunluğu dışardan gelen güvenlik riskleriyle ilgiliyken, sorunların büyük bölümü içerde düzenli olarak olan ve hala raporlanmayan savsaklamalardan meydana gelir. Information Security'nin yıllık endüstri anketindeki istatistiklere göre, dikkatler çoğunlukla hacking ve malware gibi dış tehditler üzerinde yoğunlaşırken, güvenilir çalışanlar ve içerdekilerin organizasyonun sayısal malvarlıklarına en büyük tehditi oluşturuyor.
"Kırmızı Kod" Tehlikeleri
Her gün, tehlikeli ve yıkıcı "malware" ve "worm" lar ilk kez ortaya çıkıyor. Gerçekte, her ay yaklaşık 200 yeni virüs ve kurt keşfediliyor. Information Security'nin anketine göre, 2001 yılında, ankete katılan organizasyonların yüzde 89'una bir virüs, kurt, ya da trojan zarar vermiş.
Bu sayıları bu kadar çarpıcı yapan ise, bu organizasyonların yüzde 88'inin AV çözümlerine sahip olmaları.
MessageLabs Şirketi'nin verilerine göre, Mayıs 2002 tarihi itibarıyla, Klez.H tüm zamanların en büyük virüsü haline geldi, dünya üzerindeki her 300 "e-mail" den birine bulaştı. MessageLabs, Nisan 2002'de virüsün keşfedilmesinden beri tam 826,000 kopyasını takip etti. Bulaşmanın maliyeti zincirleme olarak artıyor. Melissa virüsü 4 işgünü verimlilik kaybına ve yaklaşık 400 milyon dolarlık maddi kayıp ve hasara yolaçtı. Aşk Mektubu ("Love Letter") virüsü ise 5 saatlik işgünü verimlilik kaybı ile 8-15 milyar dolarlık kayıp ve hasara yolaçtı.

Sistem Zaaf Sorunları
Yeni sistem zaafları zaman ve enerji gerektiren düzenlemelerin artmasıyla daha fazla keşfediliyor. Rapor edilen zaaflarda 2001 yılından, 2000'e kıyasla yüzde 124'lük artış olmuştur. Web sitelerinin tahrif edilmeleri 1999 Mayıs'ında günde 12 adetken, Ocak 2002 yılında günde 470 adete ulaşmıştır. Sistem zaaflarını tespit etmek için yapılan "ping" lerin Eylül 1999'da haftada 1 olan sayısı, Ocak 2002'de günde 13 adete çıkmıştır.
Arta tehlikeye ek olarak, yanlış konfigüre edilen ürünlerin de sistem zaaflarını arttırıyor. Çoğunlukla, mevcut bilgisayar sistemlerine entegre edilen yeni IT ürünlerinin doğru konfigüre edilmiyor. Sonuç, yeni bir potansiyel giriş noktası.


 
 

 
  www.enter.com.tr sitesi içerisinde yer alan tüm metin, resim ve içeriklerin telif hakları ENTER Bilgisayar Sistemleri Ticaret A.Ş.'ne aittir.
Hiçbir şekilde basılı veya elektronik bir ortamda izinsiz kullanılamaz ve kopyalanamaz.