Bilgi güvenliği risk yönetiminde en uygun ve objektif yöntemin belirlenmesi

Abstract

Son yıllarda bilgi sistemleri ve ağ teknolojilerinin kullanım alanlarının yaygınlaşmasıyla beraber, bilgi güvenliğinin de önemi artmıştır. Bilgi güvenliği aktivitelerinde anahtar kavram, risk analizi ve risk yönetimidir. Sistemlerdeki güvenlik seviyesini tespit etmek ve daha iyi hale getirebilmek için, mevcut riskleri belirleyebilmek, bunları analiz etmek, karşı tedbirler geliştirebilmek, kısacası yönetmek gerekmektedir.Risk yönetiminde uzmanlaşmış yöntemler kullanmak, organizasyonlar için gelecekteki çalışmalarına daha planlı bir anlayış getireceğinden faydalı olacaktır. Bugüne kadar geliştirilmiş, karakteristikleri ve uygulanışları farklı pek çok risk analizi yöntemi bulunmaktadır. Bu yöntemlerin salt olarak birbirlerinden üstünlüklerinden bahsedebilmek mümkün değildir. Bir yöntem uygulandığı organizasyona bağlı olarak diğerlerine göre daha avantajlı hale gelebilir. Bu amaçla, organizasyonların kendi ihtiyaçlarına en uygun şekilde cevap verebilecek olan yöntemi seçebilmelerine yol gösterecek araçlara ihtiyaç duyulmaktadır. Bu tez çalışmasında, risk analizi ve yönetimi hakkında bilgi verilmiş, mevcut yöntemlere değinilmiş, uygun yöntemin seçimini tarafsız ve nicel olarak sağlayabilecek bir model tanımlanmış ve bu model dört adet risk analizi yöntemi üzerinde test edilerek uygulanmıştır. Önerilen yaklaşım, organizasyonların risk analizi ve yönetimine olan güvenini de arttırmayı hedeflemektedir.Due to spreading usage of information systems and network technologies, the importance of information security has also increased in recent years. The key concept in information security activities is risk analysis and risk management. To determine and improve the security level in the systems, one has to determine the current risks, to analyze them, to generate solution; that is to manage them.Using specialized methods for managing risk would be useful for organizations since it will bring more planned perspective to their future work. There are several risk analysis methods developed till now, varying in their characteristics and their applications. It is not possible just to mention the superiority of one over another. A method may be more advantageous than others depending on the organization in which it is applied. For this purpose, there is need to find guiding tools for choosing a method that can satisfy organizations? needs in the most useful way. In this thesis a model has been proposed to select most proper risk anaysis method. The model for selecting the most proper method neutrally and quantitatively is discussed and this model is applied by testing on four risk analysis methods. The proposed approach also targets to increase reliance to risk analysis and management method for the organizations.