Bilgi Teknoloji Risklerinin Yönetimi
Dijital teknolojilerin beraberinde getirdiği risklerin yönetilebilmesi, riskle ilgili bakış açımızı değiştirmemizi zorunlu kılıyor.
Dijital dünyada risk kavramı başka bir boyut kazanmış durumda. Bilgi teknolojileri risklerinin yönetilebilmesi, riskle ilgili bakış açılarının değiştirilmesini zorunlu kılıyor. Kilitli dolaplarda tutulan, çoğaltılması sınırlandırılan bir belgenin elektronik versiyonunun da güvenliğinin sağlanması gerekir. Bilgi teknolojileri (BT) riskleri, organizasyonlar açısından önemli ve dikkatli yönetilmesi gereken zorlu bir alandır.
BT’nin bir organizyon içerisinde kullanımı, mülkiyeti, çalışması, faaliyetlere katılımı, etkisi ve sistemlerle uyumlaştırılması ile ilişkili riskler BT riskleri kapsamındadır. ISACA tarafından yayımlanan “The Risk IT Framework”de BT riski bir faaliyet riski olarak görülmekte, organizasyon hedeflerini etkileme potansiyeline sahip, bilgi teknolojileri ilgili olayları ifade ettiği belirtilmektedir.
Bu tanımda önemli bir nokta var. Bir olayın, bilgi teknolojileri riski olarak görülmesi için organizasyon hedeflerini etkilemesi gerektiği vurgulanmaktadır. IIA tarafından BT denetimleri için geliştirilmiş risk esaslı GAIT metodolojisinde de aynı noktaya değinilmektedir; bilgi teknoloji riskleri iş hedeflerine etkileri oranında, değerlendirilip çözümlenmelidir.
BT ile ilgili riskler tamamen bilgisayar tabanlı değildir. Bu açıdan BT risklerinin, sadece mantıksal veya teknik konularla sınırlandırılması hatalı olur. Mesela bilgi sistemlerinin fiziksel saldırılara karşı korunması da gereklidir. Dolayısıyla dengeli, çok yönlü bir risk değerlendirmesi zorunludur.
Aslında, BT risklerinin birçoğu bilgi sistemleri dışındaki kaynaklardan ortaya çıkmakta; çalışan hataları, satıcıların taahhütlerini karşılayamaması, çevresel şartlar gibi. Günlük faaliyetlerin her aşamasında yer alan bilgi sistemleri, organizasyon hedef ve amaçlarının gerçekleştirilmesini etkileyebilecek yapıya sahiptir, hatta piyasa koşullarında önemli bir kuvvet çarpanı olduğu söylenebilir. Bu açıdan barındırdığı risklerden dolayı bilgi sistemlerinden kaçınmak yerine, bu risklerin iyi yönetilmesini sağlamakta yarar var.
NIST 800–30 (Risk Management Guide for Information Technology Systems)’da BT risk yönetiminin amacı;
- Hedeflerini gerçekleştirirken organizasyona ait bilgileri depolayan, işleyen ve yayınlayan bilgi sistemlerinin güvenliğinin sağlanması,
- BT bütçesinin kullanılması ile ilgili yönetim kararlarının yeterli bilgiye dayanması,
- BT ile ilgili yönetim kararlarının, risk yönetim uygulamasına dayanan dokümantasyonla desteklenmesi olarak tanımlanmaktadır.
ISACA dokümanlarında BT risk yönetimi, devir daim eden ve dört adımdan oluşan bir süreç olarak gösterilmektedir. Bunlara sırayla göz atalım;
- Risklerin belirlenmesi; risklerin tespit edilmesi, tespit edilen risklerin listelenmesi ve dokümante edilmesi aşamalarından oluşmaktadır. Bu adımı risk değerlendirmesi takip eder.
- Risk değerlendirmesi; Risk IT Framework, OCTAVE, FAIR, NIST RMF ve TARA, BT risk değerlendirmesinde kullanılabilecek önemli BT risk değerlendirme çerçeveleridir. Risklerin önceliklendirilmesi dâhil riskin değerlendirilmesi faaliyetleri, risklerin cevaplanması ve izleme safhalarında göz önünde bulundurmak üzere yönetim için gerekli bilgiyi sağlayacaktır.
- Risklerin cevaplanması; organizasyonun risk iştahı ve toleransına uygun olarak gerçekleştirilir ve risklerin karşılanması için “maliyet etkin” çözümlerin bulunmasını sağlar.
- Risk izleme ile raporlama; bu safhada, kontroller ve risk yönetim çabaları, riskin güncel durumu dahil izlenir. Sonuçlar gerekli halde ilgili safhaya geri dönülmesine karar verecek üst yönetime raporlanır.
BT risk yönetimi sürecinden optimum faydanın sağlanması için bu adımların tam olarak izlenmesi gereklidir. Bu adımlarda her hangi birisinin eksik veya hatalı yapılması risk yönetim sürecinin hatalı sonuçlar vermesine neden olur.
Bütün yaşam döngülerinde olduğu gibi, BT risk yönetimi süreci; yenilenme, uyumlaşma, sürekli gelişim ile olgunluğun geliştirilmesi üzerine odaklanarak devam etmektedir. Risk yönetim çevrimi ne kadar sıklıkla tekrar edilirse, risk yönetimi çalışmaları daha etkin hale gelecek ve etkin sonuçlar elde edilecektir.
BT risk yönetiminin faydalarının ortaya konulması, risklere karşı alınacak aksiyonların belirlenmesi açısından önemlidir. Faydalar; kayıpların azaltılması ve etkinliğin artırılması gibi finansal tasarruflar ile itibar ve imaj gibi soyut girdileri içerebilir.
BT risk yönetiminin faydaları;
- Varlıklarının daha iyi korunması, kayıpların azaltılması,
- Tehditlerin, zayıflıkların ve risklerin tespit edilmesi,
- Risk cevaplarının uygun önceliklendirilmesi,
- Yasalara ve düzenlemelere uyumun sağlanması,
- Projelerin gerçekleşme olasılığının artırılması,
- Performansın ve iş hedeflerin gerçekleştirilme kabiliyetinin artırılması,
- Paydaş güveninin artırılması,
- Risk bilinçli bir kültürün oluşturulması,
- Karar alma süreçlerinin etkinliğinin artırılması,
- İş hedeflerini gerçekleştirilme kabiliyetinin artırılması olarak sayılabilir.
Organizasyon hedeflerinin BT hataları sonucu zarar görmemesi için, BT risk yönetiminin önemi büyük. KPMG tarafından küresel çapta yapılan incelemede; gerçekleşen BT olaylarının organizasyonlara ortalama zararı $640.000 olduğu ortaya konulmuştur. Böyle bir etki çoğu organizasyon için yıkıcı olabilir. Bulut bilişim, robotik otomasyon gibi teknolojik yeniliklerin zararlı etkilerinden kaçınıp, bunlardan maksimum faydanın elde edilebilmesi için, risklerinin iyi yönetilmesi bir zorunluluktur.
Bu makale Türkiye İç Denetim Enstitüsü (TİDE) tarafından çıkarılan “İç Denetim” adlı derginin Bahar 2017 sayısında yayımlanmıştır. http://www.tide.org.tr/uploads/dergi/tide-46-yarim.pdf
