Merkezi bir yazılımı olan ve kilitli bir ofiste güvenle duran bir bilgisayara sahip olmanın günleri geride kaldı. Bugün bir şirketin Bilgi Teknolojisi (BT) ile ne kadar eleman ve insan etkileşimi olduğunu bir düşünün:
- Cihazlar (masaüstleri, dizüstü bilgisayarlar, mobil cihazlar; şirkete ait, kişisel)
- Yazılım ve uygulamalar (giderek daha fazla bulut veya SaaS tabanlı, örgütün tamamen kontrolünün dışında olduğu anlamına gelir)
- Servisler, API’ler ve entegrasyonlar
- Kurum içi personel, uzak çalışanlar, serbest çalışanlar, müteahhitler, diğer paydaşlar
Bu büyüyen bilgi ve teknoloji ekosistemi, BT ile ilgili büyük bir risk ortamı yaratıyor ve her geçen gün büyüyerek risk yaratmaya devam etmektedir. Önlenemeyen BT riskinin, işletme finansmanı, işlevselliği, moral ve itibar üzerinde önemli bir etkisi olacaktır. Son yıllarda artan siber güvenlik olayları – bu risklerin taşıdığı gerçek etkiyle birleştiğinde – kurumların güçlü bir BT risk yönetimi sürecine olan ihtiyacı görmezden gelemeyeceğini açıkça ortaya koymuştur. Bugün sizlerle bu yazımda aşağıda belirttiğim sorulara cevap olacak yanıtları sizinle paylaşacağım:
- BT risk yönetimi nedir?
- BT risk yönetiminde 5 adım nedir ?
- Hangi BT risk yönetimi stratejilerini izlemelisiniz?
- BT risk yönetimi için en iyi yöntemler nelerdir ?
BT Risk Yönetimi Nedir?
BT bir örgütün günlük işlemlerine daha fazla entegre hale geldiğinden, giderek artan bir risk oluşturur. BT Risk Yönetimi bu noktada devreye giriyor. BT risk yönetimi, BT’nin mülkiyeti, katılımı, işleyişi, etkisi, benimsenmesi ve kullanılması ile birlikte ortaya çıkan riskleri daha büyük bir işletmenin parçası olarak yönetmeyi amaçlar. Risk yönetimi organizasyonlar için yeni bir şey değildir; bu sadece büyüyen BT bağımlılığına uygulanan temel süreçler ve prosedürlerdir. Kuruluşlar BT risk yönetimi planları oluştururken, süreç genellikle bir Risk Yöneticisi ve bir Risk Düzeltme Analisti gibi bilinen rolleri içerecektir. Bu durumda, bu roller, risklerin doğru bir şekilde değerlendirilmesini ve ele alınmasını sağlamak için genel risk yönetimi uygulamalarının yanı sıra bir BT altyapısı hakkında da güçlü bir anlayışa sahip olmalıdır.
1. Adım: Riski Belirleyin
BT risk yönetiminin en temel unsuru, hangi risklerin mevcut olduğunu anlamaktır. Bu, daha geniş BT risk ortamına (önemli ve ortaya çıkan siber güvenlik tehditleri, en yaygın başarısızlık / ihlal noktaları vb.) bakarak ve bu genel tehditlerden hangisinin kuruluş için geçerli olabileceğini belirleyerek yapılmalıdır.
BT riskini tanımlamanın ikinci yönü, mevcut iç uygulamaları ve olası tüm zayıf yönleri (belgelenmiş güvenlik uygulamaları ve prosedürlerinin eksikliği, üçüncü taraf yüklenicilerin veya tedarikçilerin yoğun kullanımı, bulut ve SaaS çözümleriyle ilgili güvenlik ve sorumluluk anlayışının yetersizliği) değerlendirmektir. Bu adım, kuruluşlara hangi risklerin var olduğu, bu risklerin nerede olduğu ve ne zaman ortaya çıkabileceği hakkında genel bir fikir verir.
2. Adım: Riski Analiz Edin
Tüm riskler eşit değildir. Her risk’in risk ve potansiyel şiddeti çok farklıdır. Her bir riskin ortaya çıkma olasılığını ve potansiyel etkisini analiz etmek, kuruluşların stratejilerini ve önceliklerini belirlemede yardımcı olacaktır. Riski analiz ederken, aşağıdaki faktörleri göz önünde bulundurmalısınız:
- Oluşma olasılığı
- Finansal etki
- Operasyonel etki
- Kurum itibarı üzerindeki etkisi
- Düzenleyici sonuçlar için potansiyel (para cezaları, dış denetimler)
Tanımlanan her bir riskin kapsamlı bir analizi için zaman ayırmak, ekiplerin BT risk yönetiminin üçüncü adımına geçerken odaklanmalarına ve önceliklendirmelerine yardımcı olacaktır.
3. Adım: Riski Değerlendirin ve Sıralayın
BT ekiplerinin zamanları ve kaynakları sınırlı ve sürekli artan risk matrisi ile ekipler her bir riski eşit olarak ele alamıyorlar.
İkinci adımı kullanarak, kuruluşlar kendi risk alanlarını haritalandırabilir ve odaklanmanın en önemli olduğunu düşündükleri riskleri sıralayabilir. Unutmayın, yüksek riskler her zaman en büyük ticari etkiye sahip olmaz. Tersine, çok az meydana gelme şansı olan riskler belgelenmiş bir yanıt stratejisi gerektirebilir, çünkü gerçekleşirse, olumsuz etki felaket olabilir.
Risk sıralandıktan sonra, BT kuruluşları her bir riski ele almak için stratejiler geliştirmeye başlayabilir. BT risk yönetimi stratejileri geliştirirken, her bir riske eşlenmiş gerçekleşmesi gereken son tarihlerinde olduğu bir zaman çizelgesi oluşturmak akıllıca olacaktır. Bu, risk yönetimi planlamasının ilgili taraflara itilmemesini sağlayarak bir şirketi savunmasız bırakılmamasına yardımcı olur.
4. Adım: Riske Cevap Vermek
Her şirket, asla dördüncü adımla karşılaşmayacaklarını umuyor fakat maalesef bugünün risk ortamında bu arzulardan öteye geçmeyen bir düşüncedir. Bir şeyler olmak zorunda. Bir sorunun olumsuz etkisini başarılı bir şekilde sınırlandırmanın anahtarı, bir sorun oluşmadan önce belgelenmiş, onaylanmış ve iyi dolaştırılmış bir BT risk yönetimi sürecine sahip olmaktır. Bu, şirketin doğrudan sorunu ele almak, personeli, zamanı ve kaynakları gerektiği şekilde önceliklendirmek ve herkesin aynı hizada olmasını sağlamak için “saldırı planı” yaratır. Krizin ortasında (ister büyük ister küçük olsun) bir plan oluşturma zamanı değildir. Halihazırda uygun bir BT risk yönetimi süreci olan organizasyon, konuyla hızlı, etkili ve verimli bir şekilde başa çıkmaya ve etkisini en aza indirmeye hazırlanmaktadır.
5. Adım: Riski İzleme ve Gözden Geçirme
Şirketler sadece bazı planları yerine getirdikleri için BT risk yönetiminin “yapıldığını” çoğu zaman görmezler ve fark etmezler. Riskler her zaman evrim geçirmekte ve ortaya çıkmakta, başarılı BT risk yönetimi ekiplerinin düzenli olarak üçe kadar olan adımları tekrar ziyaret etmelerini gerektirmektedir. Risk tespiti, analizi ve sıralamasının ayrıca yeni bir satıcı, uygulama veya entegrasyon uygulandığında gerçekleşmesi gerekir. Yeni bir iş uygulaması (çalışanların uzaktan çalışmalarına veya kendi cihazlarını kullanmalarına izin vermek gibi) uygulanırsa, yeni bir risk seviyesi ortaya çıkar ve ele alınması gerekir. Bir sorun meydana gelirse, bu risk ve ilgili strateji yeniden analiz edilmeli ve değerlendirilmelidir. Kuruluş önceki değerlendirmesini ve faaliyet tarzını korumayı tercih edebilir veya stratejide değişiklik yapılması gerekebilir.
Bunun devam eden bir süreç olmasını sağlamak için, her gerçekleştirilen proje sonrasında, tüm işe alım ve uygulama planlarına risk analizi eklemek en iyi yöntemdir. Ayrıca, tüm riskler için düzenli olarak yinelenen bir gözden geçirme programı ve ek risklerin ortaya çıkmamasını sağlamak için genel bir risk peyzajı yeniden değerlendirmesi için belirlenmiş bir süre belirlemek akıllıca olacaktır.
Hangi BT Risk Yönetimi Stratejilerini Takip Etmeliyim?
Organizasyonun izlemesi gereken tek bir BT risk yönetimi stratejisi yoktur. Bunun yerine, şirketin kendine özgü durumuna ve risk iştahına uyması için tasarlanmış stratejiler ve yaklaşımların bir birleşimini geliştirmesi gerekmektedir.
Koruma Önlemlerini Uygula
Bir şirketin ne tür stratejiler uyguladığına bakılmaksızın, koruma önlemlerinin uygulanması her zaman BT risk yönetimi yaklaşımının bir parçası olmalıdır. Bu, güçlü parola gereklilikleri, doğru veri yönetimi, düzenli çalışan BT güvenliği eğitimi vb. gibi BT güvenliğini sağlamak amacıyla en iyi uygulamaların hayata geçirilmesini içerir. Bu basit uygulamalar risk yönetiminde uzun bir yol kat edebilir.
Genel BT riskini azaltmanın en etkili yollarından biri, uygun BT varlık yönetimi, ITIL Değişim Yönetimi ve yapılandırma yönetimidir. Bu kilit unsurlar, BT ekiplerinin varlıklar ve erişim üzerinde sıkı bir kontrol sahibi olmalarını sağlayarak, şirket ortamında neler olup bittiğini bilmelerini sağlar ve zor oyuncularının veya modası geçmiş öğelerin BT riskini artırmadığından emin olur. Bir şirketin risk almak için çok az iştahı varsa, uyguladıkları tek strateji bu olabilir. Bu durumda, organizasyon aktif olarak risk yönetimine büyük miktarda kaynak odaklanarak tüm risklerden kaçınmaya çalışır.
Riski devretmek
Bazı durumlarda, bir kuruluş risk yönetimini başka bir işletmeye devredebilir. Bu bir dış risk yönetimi servis sağlayıcısı, riski karşılayacak sigorta olabilir veya çözüm sağlayıcılarla risk paylaşılabilir. Çözümün şirket verilerinize erişimi olduğunda, çözüm sağlayıcılarla risk paylaşmak en yaygın olanıdır. Güvenliklerine bağlı olarak bir sorun ortaya çıkarsa, azaltma işleminden sorumlu olabilirler.
Riskin aktarılmasının bir sorunun bir şirket üzerinde gerçek bir etkisi olmayacağı anlamına gelmediğini hatırlamak önemlidir. Bir aktarım stratejisi uygulanmış olsa bile, bir kuruluş finansal, operasyonel ve itibarla ilgili sıkıntılara maruz kalabilir.
Etkiyi Azaltın
Koruma önlemleri uygulamak gibi, bu da BT risk yönetimine proaktif bir yaklaşımdır. Bu durumda, bir sorunu ortaya çıkarması durumunda düzeltmek için hangi metodoloji, takımlar ve kaynaklar gerekli olacaksa onu kullanarak bir azaltma planı uygulanır. Bu tarzda tam bir strateji içermelidir:
- Risk hakkında detaylı bilgi (olasılık, potansiyel ciddiyet, kilit kaynaklar ve zayıf yönler)
- Şirketin bir olayı ele alma eylem planı (roller, sorumluluklar, iletişim ve son teslim tarihleri dahil)
- Bu risk değerlendirmesi ve müdahale planını gözden geçirmek ve güncellemek için tekrar eden bir zaman çizelgesi
En iyi senaryoda, bu planlara ihtiyaç duyulmayacaktır. Ancak, bir sorun çıkmadan önce iyi belgelenmiş ve iletilmiş bir plana sahip olmak bir kuruluşun hızlı bir şekilde yanıt vermesine ve bir şeyler ters giderse olumsuz etkileri hafifletmesine izin verecektir.
Riski kabul et
Akla gelebilecek her risk için bir BT risk yönetimi stratejisi oluşturmaya çalışmak birçok şirket için boşuna gerçekleştirilen bir uygulamadır. Diğer önemli sorumluluklara odaklanmalarına izin vermeyecek şekilde bunu yapmak, BT’nin zamanının ve kaynaklarının büyük bir bölümünü alır.
Bir işletme için en mantıklı hareket tarzının, bir riskin var olduğunu kabul etmek, ancak normal güvenlik dışında en iyi uygulamaların dışında çok azını yapmak olduğu durumlar vardır. Bu genellikle düşük riskli tehditler ve düşük etkili riskler için geçerlidir.
Bu stratejiyi uygularken, bir sorun ortaya çıktığında, resmi planın olmamasına rağmen zamanında ele alınması gerekeceğini hatırlamak önemlidir. Riskin kabul edilmesi, şirketlerin ortaya çıkan sorunları açıkça belirtmediği anlamına gelmez.
BT Risk Yönetimi İçin En İyi Uygulamalar Nelerdir?
Bir şirketin BT risk yönetimi sürecinde nerede olduğuna veya hangi stratejileri uygulamayı seçtiğine bakılmaksızın, tüm kuruluşların aklında tutması gereken en iyi uygulamalar vardır. Şimdi bu uygulamalara biraz değinmek istiyorum.
Erken ve Sık Değerlendirmek
BT risk yönetimini ele almak için bir olay gerçekleşene kadar beklemeyin. Süreç büyük ve göz korkutucu görünmekle birlikte, yukarıda açıkladığım “5 Adım BT Risk Yönetimi” ni takip ettiğinizde kolayca ulaşılabilir kilometre taşlarına ayrılmış olduğunu göreceksiniz. Ekipler, başlamak için daha dar bir kapsama alanına ihtiyaç duymaları halinde veri güvenliği, varlıklar ve erişim gibi farklı alanlara da odaklanabilir.
Risk alanı küçülmüyor ve büyümesinin yavaşlaması beklenmiyor. BT risk yönetimini iş yapmanın devam eden bir parçası yapmak, kuruluşları riski azaltmak ve ele almak için en iyi konuma getirir. Bugün küçükten başlamak hiç başlamamaktan iyidir.
Paydaşları Dahil Edin
Bir kuruluştaki BT ekosistemi, merkezileştirilmiş BT ekiplerinin uygulamaların ve veri kullanımının kapsamını tam olarak bilemeyebileceği kadar genişlemiştir. Bu nedenle BT risk yönetimi ekiplerinin iç paydaşları risk belirleme aşaması kadar erken dahil etmeleri çok önemlidir. Varolduğunu bilmediğiniz şeyleri değerlendirip hafifletemezsiniz. Kapsam ve hedefi anlamak için proje paydaşları ile birlikte çalışın, aynı zamanda diğer departman yöneticileri potansiyel tanımlanamayan risk alanlarına ilişkin içgörü kazanmaya başlar.
C-seviye yöneticileri ve yönetim kurulu gibi daha büyük paydaşlar da mümkünse risk yönetimi süreçlerine dahil edilmesi önemlidir. Bu sayede tüm gruplar mevcut ve gelecekteki iş hedeflerini ve kuruluşun risk alma iştahını en iyi şekilde anlayacaklardır.
Onay ve İmza Süreci
Nihai onay için tamamlanmış planlar ve stratejiler sunmayı beklemeyin. BT risk yönetimi sürecinin her aşamasında imza atılması, ekiplerin gerektiği gibi doğru rotayı düzenlemesini sağlar ve şirketin genel risk yönetimi yaklaşımına daha fazla ışık tutacaktır. Bu, ekiplerin formlarını geri almalarını ve tekrar çalışma planlarını olmasını sağlar ve gelecekteki BT risk yönetimi planlamasını da kolaylaştıracaktır.
Tüm süreç boyunca kilit paydaşları onay süreçlerine dahil etmek, risk yönetimi planına nihai onay ve uygulama zamanı geldiğinde çok daha yüksek bir başarı şansı verir. Önerilen risk yönetimi stratejisi geçmişte nasıl yürüttükleri ile çelişebileceğinden, bu durum özellikle bölüm müdürü için çok önemlidir. Eğer bir çelişme olması durumunda tamamen görmezden gelinme gibi durumlarla sonuçlanabilir. Bununla birlikte, süreç boyunca onların girdilerine izin verilmesi, iyi karşılanması daha muhtemel olan işbirlikçi bir çaba haline getirmektedir. Bu şekilde bir strateji ile bu dar boğaz aşılabilir.