Risk belirleme, risk değerlendirmesi (Risk analizi, risk önceliklendirmesi) ve risk iyileştirmesi
Risk belirleme ve Risk değerlendirmesi ( Risk analizi ve Risk önceliklendirmesi) kavramları günümüz de hem özel hayatımızda aldığımız kararlarda, iş hayatımızda yönettiğimiz süreçlerde, Şirketlerin ya da kurumların yaşam döngüsü içinde gerçekleşen tüm iş süreçlerinde öncesinde olası riskleri belirlemek, tahmin etmek ve riskleri değerlendirerek bu risklerin yönetilebilmesi için gerekli olan kaynakları belirlemede uyguladığı en önemli prosesler haline gelmiştir.
Durum böyle olunca dünya da sektörlere, standartlara ve ihtiyaçlara göre Risklerin nasıl yönetilebileceği ile alakalı da birçok farklı Risk belirleme, Risk değerlendirmesi ( Risk analizi, Risk önceliklendirmesi ) ve Risk İyileştirmesi süreçlerinin gerçekleştirilmesine yönelik hazırlanan metodlar bulunmaktadır.
Ben bu yazımda daha öncesinde bu alanda sektöründe değerli ve uzman birçok arkadaşımın yaptığının dışında daha yalın, sade ve anlaşılır bir dil ile herkesin okuduğunda kendi süreci için bir şeyler bulabileceği bir Risk belirleme, Risk Değerlendirmesi ( Risk analizi, Önceliklendirmesi), Risk İyileştirmesi aşamalarına yönelik yapılması gereken örnek bir süreci anlatıyor olacağım.
Risk; gerçekleşme ihtimali olan bir olay ve gerçekleşirse bu olay ile ilgili oluşacak etkinin tümüdür.
Peki riski oluşturan temel unsurlar nelerdir?
Bir olayın gerçekleşme olasılığını yaratan tehditler ve bu tehditlerin ortaya çıkmak için kullandığı zayıflıklar yani zafiyetlerdir. Yani temel unsurlarımız Tehditler ve Zafiyetlerdir.
Peki Risklerimizi nasıl belirleyeceğiz, tespit edeceğiz?
Risklerimizi belirlerken sorular sormamız, cevaplar almamız gerekiyor.
Örnek;
Ne olursa, Hangi olay olursa bu süreç gerçekleşmez, sekteye uğrar?
Bu sorularımızın cevapları riski oluşturan temel unsurları yani Tehditleri ve bu tehditlerin ortaya çıkmak için kullandığı Zafiyetleri bize verecektir. Genel bir risk değerlendirmesindeki yaklaşım bu şekilde gerçekleşmektedir.
Ancak yapılan Risk değerlendirmesine özel olarak aşağıdaki durum örneklerinde gösterildiği gibi soruları bu durumların özüne uygun olacak şekilde sormalıyız.
Örnek;
1- Kişisel Verilerin Korunması ile ilgili olarak hazırlamış olduğunuz Kişisel Veri İşleme Envanteri üzerinden risk değerlendirmesi yaparken yasa içinde istenen hususlar iyi anlaşılmalı ve sorular buna göre öncelikli olarak sorulmalıdır.
Ne olursa, Hangi olay olursa kişisel verilerin korunması kanunu kapsamında firma ceza alabilir?
Ne olursa, Hangi olay olursa kişisel veri ve/veya Özel nitelikte kişisel veri ihlali gerçekleşebilir?
Ne olursa, Hangi olay olursa kişisel verilerimiz izinsiz bir şekilde firma dışına çıkabilir?
Ne olursa, Hangi olay olursa kişisel verilerimiz Yetkisiz kişilerin eline geçebilir?
Ne olursa, Hangi olay olursa kişisel verilerimize Yetkisiz kişilerce erişim sağlanabilir, ele geçirilebilir?
Ne olursa, Hangi olay olursa Kişisel verilerimiz Yurt Dışında izinsiz tutulabilir, aktarılabilir? vb.
2- ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilgili olarak bir risk değerlendirmesi yapıyorsanız standardın özüne uygun yani Bilgi Varlıklarınızın maruz kalabileceği Gizlilik, Bütünlük ve Erişilebilirlik kayıpları üzerinden bir risk değerlendirme yapmalısınız. Buna göre de sorular sormalısınız.
Bilgi Varlıklarımıza ait Envanter hazırlandıktan sonra bu envanter üzerinden bilgilerimizin Gizlilik kaybı, Bütünlük kaybı ve Erişilebilirlik kayıplarını değerlendirebileceğimiz sorular sormalı ve cevaplar almalıyız.
Örnek;
Gizlilik kaybı; Ne olursa, Hangi olay gerçekleşirse X sunucumuz üzerinde tutulan gizli bilgilerimize yetkisiz erişim gerçekleşebilir? Yetkisiz kişilerin eline geçebilir? Yetkisiz kişilerce ele geçirilebilir? İzinsiz, yetkisiz firma dışına çıkarılabilir? Yetkisiz kopyalanabilir? vb
Bütünlük kaybı; Ne olursa, hangi olay gerçekleşirse kağıt ortamında duran gizli bilgilerimizin bütünlüğü zarar görür? Elektronik ortamda bulunan çalışma dosyalarımızın, ERP programının içinde bulunan, USB bellek ve disklerin içinde bulunan, Kartuşların için bulunan bilgilerimizin bütünlüğü zarar görür? vb.
Erişilebilirlik kaybı; Ne olursa, hangi olay gerçekleşirse ihtiyacım olduğunda ihtiyacım olan fiziksel ya da elektronik ortamda bulunan bilgilere erişim sağlayamam? vb.
Riskleri belirleme aşamasından sonra bu aşamasında tespit ettiğimiz risklere ait tehditlerin gerçekleşme olasılığı ve gerçekleşirse oluşturacağı etkisi ile ilgili bir değer belirleme aşamasına geçiyor olacağız.
Değer belirleme aşamasında dünyanın sıklıkla kullandığı 5X5= 25 li matrisi kullanabilirsiniz. Bu matrisi kullanarak elde edeceğiniz sonuç ile aynı zamanda risk derecelendirmesi yani önceliklendirmesi (riskin önem derecesi) ile ilgili süreci de gerçekleştiriyor olacaksınız.
Değer belirleme aşamasında değer verirken kullanacağımız aynı zamanda risk derecelendirmesi ( riskin önem derecesi ) aşamasında da kullanacağınız risk kıstaslarımızı oluşturmalıyız.
Örn: Risk belirlemede değer verebilmemiz ve aynı zamanda risk derecelendirmesi ( riskin önem derecesi ) yapabilmemiz için aşağıdaki örnekte olduğu gibi dünyada yaygın olarak kullanılan 25 li matrisi kullanabiliriz;
Tabloda görüldüğü gibi ilgili riske ait tehdidin Olma Olasılığını 1-5 arasında, tehdit gerçekleşirse etkisini de 1-5 arasında değer atayarak değerlendiriyoruz. Bu değerlendirmeyi yaparken Olma olasılığının ya da gerçekleşirse riskin etkisinin 1-5 arasında değer vermek için 1 verirsem ne anlama gelir? 2 verirse ne anlama gelir? Sorularının cevapları için elimiz de 1-5 arasında her bir değer için cevap bulabileceğimiz risk kıstaslarımız olması gerekiyor.
Örn;
OLMA OLASILIĞI
Çok Düşük (1) : Riskin gerçekleşme olasılığı çok düşük.
Düşük (2) : Riskin gerçekleşme olasılığı düşük.
Orta (3) : Riskin gerçekleşme olasılığı orta seviye.
Yüksek (4) : Riski gerçekleşme olasılığı yüksek
Çok Yüksek (5) : Riskin gerçekleşmesi kaçınılmazdır.
ETKİSİ
Çok Düşük (1) : Kayıplar yok denecek kadar azdır.
Düşük (2) : Ufak ölçekte kısmi arizalar, ufak ölçekte finansal kayıplar, ufak ölçekte kısmi müşteri şikayetleri ortaya çıkabilir.
Orta (3) : Kurumsal İtibar Kaybı, İş Sürekliliğinde kısa süreli kesintiler, küçük ölçekte güvenlik ihlali, Yasal ya da Müşteri Denetimi geçirme, müşteri yaptırımları, Orta ölçekte Finansal kayıplar, müşteri memnuniyetsizlikleri, sistemlerde kısa süreli kullanılamaz hale gelme gibi etkiler ortaya çıkabilir.
Yüksek (4) : Kurumsal İtibar Kaybı, Müşteri Kaybı, İş Sürekliliğinde Uzun süreli kesintiler, Gizlilik İhlalleri, Yasal ve Müşteri yaptırımları, Önemli Finansal kayıplar, sistemlerde uzun süreli kullanılamaz hale gelme gibi etkiler ortaya çıkabilir.
Çok Yüksek (5) : Kurumsal İtibar Kaybı, Firmanın yaşamını tehdit edecek ölçüde Müşteri Kayıpları, Önemli Yasal, Müşteri yaptırımları, İş Sürekliliğinde Uzun süreli kesintiler ve bilgi ( veri ) kayıpları , Gizlilik İhlalleri, Sistemlerde uzun süre kullanılamaz hale gelme, Büyük ölçekte finansal kayıplar gibi etkiler ortaya çıkabilir.
NOT: ETKİ Değerlendirmesini tamamen Finansal etkileri baz alarak ele alabileceğiniz gibi isterseniz de Finansal Etkisi, İş Sürekliliği Etkisi, Hukuki Etkisi, Müşteri Etkisi, Kurumsal İtibar ve İmaj Etkisi gibi kategori bazlı ayrı ayrı da ele alabilirsiniz.
Yukarıda kullandığımız 25 li matrise göre Risk formülümüz de ortaya çıkmış oluyor;
RİSK = Tehditin Olma Olasılığı X Tehditin Etkisi
Risk önceliklendirmesi ( riskin önem derecesi ) yaparken yine kullanmayı seçtiğimiz 25 li matrisin bize sunduğu risk öncelik kriterlerini kullanabiliriz. Yani tüm risklerimin içinde hangileri benim için öncelikli olarak ele almam gereken risklerdir? sorusuna cevap bulduğumuz ve ona göre aksiyon başlatabildiğimiz kriterler.
Örnek;
KABUL EDİLEBİLİR RİSKLER ( YEŞİL )
DİKKATE DEĞER RİSKLER ( SARI )
KABUL EDİLEMEZ RİSKLER ( KABUL EDİLEMEZ )
Bu kıstaslarımızı oluşturduktan sonra en önemli aşamalardan biri de; risk belirleme, risk kıstaslarını oluşturma, risk değerlendirmesi ( risk analizi, risk önceliklendirmesi ) aşamalarını birlikte tamamlayacağımız tespit edilen risklere ait belirlenen tehdit ve bu tehditlerin ortaya çıkması için kullandığı zafiyetlere yönelik olarak tehditin olma olasılığı ve etkisini düşüren elimizdeki uyguladığımız kontrolleri ( önlemleri ) belirlemektir.
Örnek; Tehdidimiz Üretimde kullandığımız makinamızın arızalanması, kullanılmaz hale gelmesi olsun.
Zaafiyeti belirlemek içinde yine sorumuzu soruyoruz;
Ne olursa, hangi olay olursa makinemiz arızalanır, kullanılmaz hale gelebilir?
Cevaplarımız geldiğinde elde ettiğimiz zafiyetler için tehdidimizin bu zafiyetleri kullanarak gerçekleşmesi olasılığını düşüren hangi kontrollere ( önlemlere ) sahibiz ve uyguluyoruz? Bu sorumuzun cevapları olma olasılığını düşüren içerde uyguladığımız kontrolleri ( önlemleri) verecektir.
Örnek Cevaplar;
Günlük temizlik ve bakım faaliyetleri ile Periyodik bakım planlarımız var ve uyguluyoruz.
Operatörlerimize makine kullanımı konusunda sürekli eğitimler aldırmaktayız. Tüm operatörlerimiz bu konuda yetkindir.
Tehdidimizin Etkisini düşüren kontrolleri belirlememiz içinde yine sorumuzu soruyoruz.
Makinemizin arızalanması, kullanılmaz hale gelmesi ile ilgili tehdidin gerçekleşmemesi için uyguladığımız kontrollere ( Önlemler ) rağmen bu tehdit gerçekleşirse olayın etkisini düşürecek hangi kontroller sahibiz ve uyguluyoruz?
Örnek Cevaplar;
Bu makinenin aynısından bir tane daha var. Buradaki işleri o makine üzerine taşırız.
Bu makine kapasitesinde olmasa da iki farklı makinede aynı işi yapmaya devam edebiliriz.
Bakım antlaşmamız var. 6 saat içinde müdahale ve parça garantisi var. Bu süreyi bekleyip arıza giderilince işe devam ederiz. v.b.
Daha sonrasında belirlediğimiz risklere ait tehditler için, bu tehditlerin olma olasılığını ve etkisini düşüren uygulamakta olduğumuz kontrolleri ( önlemler ) ve risk kıstaslarını göz önüne alarak risklerimizin değerlendirmesini ( risk analizi ve risk önceliklendirmesi ) yapıyoruz.
Elde ettiğimiz sonuçlara göre de risk iyileştirme yapılması gereken önem derecesine göre önceliklendirilmiş risklerimiz için risk iyileştirme ( risk işleme ) aksiyonlarını planlayıp gerçekleştiriyoruz.
Örnek;
Risk değerlendirmesi sonucunda Kabul edilemez olarak çıkmış bir riskin iyileştirmesi için aksiyon planı yapmamız ve gerçekleştirmemiz gerekir.
Risk İyileştirme ( Risk İşleme ) aşamasında yapılacak risk iyileştirmesi aksiyonu ile ilgili kullanacağımız 4 tane metod var. Yapacağımız her risk iyileştirme faaliyetini aşağıdaki yöntemlerden birini seçerek yapabiliriz.
Riski Düşürme : Riskin düşürülmesi için uygun kontrollerin ( önlemlerin ) belirlenerek uygulanması ve risk seviyesinin düşürülmesidir.
Riski Kabul etme : Mevcut riski olduğu gibi kabul etme kararıdır. Riski kabul etme ancak riskin düşürülmesi için yapılması gereken kontrollerin uygulanmasının mümkün olmadığı yada uygulanacak kontroller için harcanacak finansal maliyetlerin, yapılacak operasyonel işlerin riskin yarattığı etki boyutunu aşması durumunda tercih edilebilir.
Riski Devir etme : Riskin gerçekleşme ihtimaline karşı sigorta edilmesi veya riskin başkasına aktarılması veya devredilmesidir.
Riskten Kaçınma : Riske neden olan faaliyete başlamama veya devam etmeme karar vererek riski terk etmektir.