BİLGİ TEKNOLOJİLERİ RİSK DEĞERLENDİRİLMESİNDE KANTİTATİF YAKLAŞIM
Bilgi teknoloji (BT) risklerinin nasıl karşılanacağının belirlenmesi, ayrıntılı bir risk değerlendirmesine ihtiyaç gösterir. Genel olarak risk değerlendirmesi konusundaki yaklaşımlarsa üçe ayrılır: kantitatif, kalitatif ve bu ikisinin karışımı hibrid yaklaşımlar. Hangi yaklaşımın tercih edileceği kurumsal risk kültüre göre değişebilmektedir.
Kantitatif değerlendirmelerde, riskin gerçekleşmesi halinde uğranacak kaybın reel parasal değeri göz önüne alınır. Kalitatif değerlendirmelerde ise, öznel ve maddi olmayan değerler kullanılır ve daha çok senaryo bazlı uygulanır. Muhtemel kayıplara parasal değerler atamaktan ziyade, riskler bir skalaya göre derecelendirilir. Kalitatif risk değerlendirmesinin kalitesi, değerlendirmeye kurumun her kademesinden katkı sağlanmasına bağlıdır. Uygulama kolaylığı nedeniyle kalitatif yöntem daha yaygın şekilde kullanılır.
Hem kantitatif hem kalitatif yaklaşımların birlikte kullanılması sayesinde hibrid yaklaşımlarda risklerin daha dengeli bir bakış açısıyla değerlendirilmesi sağlanır.
Kantitatif yaklaşıma ilişkin sahip olduğum bilgileri, hazırlamış olduğum tabloların yardımıyla sade bir şekilde sunmak istedim.
Yukarıda risk faktörleri arasındaki ilişki gösterilmektedir. Buradaki kavramlara ilişkin açıklamalar ise aşağıdaki tabloda görülmektedir;
Kantitatif yöntemle;
- Risklerin gerçekleşmesi halinde oluşacak muhtemel zarar,
- Riskleri yönetmek için uygulanacak kontrol tedbirlerine ait maliyetler parasal değerleri ile hesaplanmaya çalışılır.
Peki bu nasıl yapılacak? Öncelikle birkaç kavramı daha açıklamak gerekir.
Kantitatif risk değerlendirmesi için sırasıyla bu altı adım izlenir;
6 numaralı basamakta yapılacak işlemde, yani fayda/maliyet analizinde; korunan varlığın değeri ile kontrol tedbirinin uygulama maliyetinin karşılaştırılması gereklidir. Kurum açısından ilgili varlığın değeri, uygulanacak kontrol tedbiri için katlanılabilecek maksimum maliyeti belirleyecektir. Bir kontrol tedbirinin maliyetinin ortaya konulması için; satın alma maliyeti, geliştirme maliyeti, kullanım lisans ücreti, yıllık operasyon maliyeti, bakım, yönetim, tamir maliyetleri gibi unsurların göz önüne alınması gerekir. Eğer bir kontrol tedbirinin maliyeti tam olarak hesaplanabilirse, o kontrol tedbirinin kullanılması halinde elde edilecek fayda da ortaya konulabilecektir.
Süreçteki son hesaplama kontrol tedbirinin fazla maliyete neden olmadan, istenilen güvenlik seviyesini sağlayıp sağlamadığının belirlenmesiyle ilgilidir. Bunun için aşağıdaki formül kullanılır;
Eğer bu işlemin sonucu negatif çıkarsa, kontrol tedbirinin kurum açısından, en azından parasal değer olarak makul olmadığı anlaşılacaktır. Ve kurum açısından ilgili varlık değerinden daha maliyetli bir kontrol tedbirinin uygulanması pek olası değil. Sonucun pozitif olması ise, kontrol tedbirinin uygulanabilir olduğu gösterir. Çoğu kurum bütçesinin sınırlı olması, maliyet etkin çözümlerin seçilmesini gerekli kılar.
Ancak tek başına parasal maliyetler, kontrol tedbirlerinin seçimi için yeterli bir kriter olamaz.
Yasal uyum, moral konular, itibar kaygıları gibi hususların da kurumlar açısından büyük önemi var. Ve bu tür risklerin öznel ve soyut sonuçları, rakamlar aracılığıyla ortaya konulamayacaktır. Tamamen kantitatif risk değerlendirmesinin mümkün olmadığı durumlarda, sonuçların kalitatif değerlendirme ile dengenlenmesi faydalı olacaktır.
Yandaki tabloda iki yaklaşımın basit bir karşılaştırmasına yer verilmiştir.
Konuyla ilgili faydalı bazı kaynaklar:
ISO/IEC 31010:2009
ISO/IEC 27005
ISACA The Risk IT Framework
NIST 800–30 Guide for Conducting Risk Assessments
