İçeriğe atla

Tehdide Açıklık (Risk Yönetimi)

Tehdide açıklık, Açıklık,Savunmasızlık (vulnerability) Risk konusunda kaynaklarda vulnerability ifadesinin karşılığı olarak bu üç isimde kullanılmaktadır.

Fakat Açıklık ve Savunmasızlık çok genel ifadeler olduğundan Tehdide Açıklık ifadesi konuya çok daha açıklayıcı bir isim olmaktadır.

Tehdide Açıklık Konusunun Tanımı içinde özü aynı olmakla beraber farklı kaynaklarda farklı ifadeler bulunmaktadır.Bunlardan bazıları

  1. Bir kıymeti tehditlere karşı korumasız hale getiren unsurlar.
  2. Sistem prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır.
  3. İç kaynaklı sistemik hassasiyetlerin dış kaynaklı tehlikelerin etkisini artırmasını ifade etmektedir.

Tehdide Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.

Bu konuyla ilgili olarak The Geneva Association (Cenevre Derneği 22 Eylül 1973 tarihinde Paris’te bir komite girişimi altında ilk kez bir araya gelmiş olup "Sigorta ve ekonomi çalışması için uluslararası bir dernek" olarak kurulmuştur ve 40 yılı aşkın bir zamandır sigorta analizi ve risk yönetimi konusunda araştırma yapmaktadır.) organizasyonunda Working Paper Series of The Geneva Association adıyla yılda 10-12 kez yayınlanan dokümanlardan Mart 2006 da Brian Woodrow tarafından hazırlanan Risk ve tehlike için alternatif bir çerçeve olarak tehdide açıklık (Vulnerability as an alternative framework to risk and hazard)[1] adlı dokümanda

Tehdide açıklığın kümeleri olarak

1)Teknolojik

2)Çevre/Sağlık

3)Kurumsal/Kuruluş

4)Ekonomik/Finansal

Verilmektedir.

Ayrıca Tehdide açıklık,Belirsizlik, Risk ve Tehlike arasındaki ilişki olarak (Vulnerability in Relation to Uncertainty, Risk and Hazard)

TEHDİDE AÇIKLIK (VULNERABILITY) :Nedenleriyle veya belirsiz sonuçlarıyla meydana gelen doğal veya ikinci derecedeki durum(Inherent Or Circumstantial Condition Which Could Result in an Event/Outcome Occurring, With Causes or Consequences Unspecified).

TEHLİKE (HAZARD): Manevi zarar da dahil olmak üzere oluşacak olay ve sonucun beklenen olasılık ve onun sonucunun kabulü (Including Moral Hazard –Expectation That Some Particular Event/Outcome Will Occur, Including Acceptance of its Probability and Its Known Consequences).

BELİRSİZLİK (UNCERTAINTY):Herhangi bir olay veya olası sonuçları dahil olmak üzere ne veya nasıl meydana geleceğin bilinmezliği (Not Knowing What Will Occur or Why, Including Any Particular Event or Possible Consequences).

RİSK (RISK):Belirtilen sonuçları ve maliyetiyle birlikte meydana gelebilecek belirli bir olay veya oluşların olasılığı (Probability That Some Particular Event or Outcome Will Occur, With Specified Consequences and Costs).

Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlemesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.[2]

  • Açıklık listeleri ve açıklık veritabanları

(Örneğin http://nvd.nist.gov/ 22 Aralık 2015 tarihinde Wayback Machine sitesinde arşivlendi., https://web.archive.org/web/20111204124340/http://www.uscert.gov/cas/techalerts/, http://www.securityfocus.com/vulnerabilities11 Ocak 2016 tarihinde Wayback Machine sitesinde arşivlendi.)

  • Önceki BT sistemi denetim raporları, test raporları, hata raporları
  • Önceki Risk değerlendirme dokümanları
  • Üreticiler tarafından yayınlanan uyarılar
  • Güvenlikle ilgili web sayfaları ve e-posta listeleri
  • Yazılım güvenlik analizleri
  • Sistem güvenlik taramalarının ve sızma testlerinin sonuçları

Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.
Altyapı ve çevreyle ilgili açıklıklar

  • Binada yeterli fiziksel güvenliğin bulunmaması (hırsızlık)
  • Binalara ve odalara girişlerde yetersiz fiziksel kontrol (kasten zarar verme)
  • Eski güç kaynakları (güç dalgalanmaları)
  • Deprem bölgesinde bulunan yapılar (deprem)
  • Herkesin erişebildiği kablosuz ağlar (hassas bilginin açığa çıkması, yetkisiz erişim)
  • Dış kaynak kullanımında işletilen prosedür ve yönetmeliklerin veya şartnamelerin eksikliği/yetersizliği (yetkisiz erişim)

Donanımlarla ilgili açıklıklar

  • Periyodik yenilemenin yapılmaması (saklama ortamlarının eskimesi, donanımların bozulması nedeniyle erişimin durması)
  • Voltaj değişikliklerine, ısıya, neme, toza duyarlılık (güç dalgalanmaları, erişim güçlükleri vs.)
  • Periyodik bakım eksikliği (bakım hataları)
  • Değişim yönetimi eksikliği (kullanıcı hataları)

Yazılımlarla ilgili açılıklar

  • Yama yönetimi eksikliği/yetersizliği (yetkisiz erişim, hassas bilginin açığa çıkması)
  • Kayıt yönetimi eksikliği/ yetersizliği (yetkisiz erişim)
  • Kimlik tanımlama ve doğrulama eksiklikleri (yetkisiz erişim, başkalarının kimliğine bürünme)
  • Şifre yönetimi yetersizliği (yetkisiz erişim, başkalarının kimliğine bürünme)
  • Şifre veritabanlarının korunmaması (yetkisiz erişim, başkalarının kimliğine bürünme)
  • Erişim izinlerinin yanlış verilmesi (yetkisiz erişim)
  • İzinsiz yazılım yüklenmesi ve kullanılması (zararlı yazılımlar, yasal gerekliliklere uyum)
  • Saklama ortamlarının doğru silinmemesi ve imha edilmemesi (hassas verinin ortaya çıkması, yetkisiz erişim)

Dokümantasyon eksikliği/yetersizliği (kullanıcı hataları)

  • Yazılım gereksinimlerinin yanlış veya eksik belirlenmesi (yazılım hataları)
  • Yazılımların yeterli test edilmemesi (yetkisiz erişim, yazılımların yetkisiz kullanımı)

Haberleşmeyle ilgili açıklıklar

  • Korunmayan haberleşme hatları (haberleşmenin dinlenmesi)
  • Hat üzerinden şifrelerin açık olarak iletilmesi (yetkisiz erişim)
  • Telefon hatlarıyla kurum ağına erişim (yetkisiz erişim)
  • Ağ yönetimi yetersizliği/eksikliği (trafiğin aşırı yüklenmesi)

Dokümanlarla ilgili açıklıklar

  • Dokümanların güvensiz saklanması (hırsızlık)
  • Dokümanların kontrolsüz çoğaltılması (hırsızlık)
  • Dokümanların imha edilmemesi (hırsızlık, hassas bilginin açığa çıkması)

Personel ile ilgili açıklıklar

  • Eğitimi eksikliği (personel hataları)
  • Güvenlik farkındalığı eksikliği (kullanıcı hataları)
  • Donanımların veya yazılımların yanlış kullanılması (personel hataları)
  • İletişim ve mesajlaşma ortamların kullanımını düzenleyen politikanın eksikliği/yetersizliği (yetkisiz erişim)
  • İşe alımda yetersiz özgeçmiş incelemesi ve doğrulaması (kasten zarar verme)

Kaynakça

  1. ^ "Arşivlenmiş kopya". 24 Eylül 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 Ekim 2020. 
  2. ^ TÜBİTAK-UEKAE(BGYS RİSK YÖNETİM SÜRECİ KILAVUZU)

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Türkiye'de siyaset</span> Türkiye Cumhuriyetinin siyasi yapısı

Türkiye'de siyaset, Türkiye'nin kuvvetler ayrılığı ilkesine dayalı bir yapısı vardır. Yasama, Yürütme ve Yargı erklerinden oluşan üçlü kuvvet ayrılığı ilkesi temel alınmıştır. Buradaki üç erk; Yasama (TBMM), Yürütme (Cumhurbaşkanı) ve Yargı (Mahkemeler) tarafından oluşmaktadır.

<span class="mw-page-title-main">HACCP</span>

HACCP, gıda işletmelerinde, sağlıklı gıda üretimi için gerekli olan hijyen şartlarının belirlenerek bu şartların sağlanması, üretim ve servis aşamasında tüketici açısından sağlık riski oluşturabilecek nedenlerin belirlenmesi ve bu nedenlerin ortadan kaldırılması temeline dayanan bir ürün güvenilirliği sistemidir. HACCP, İngilizce Hazard Analysis and Critical Control Point - Tehlike Analizleri ve Kritik Kontrol Noktaları ifadesinin kısaltmasıdır. Sistem, ürün güvenliğini etkileyen tehlikelerin önceden belirlenmesi ve kontrol altına alınmasını sağlayan sistematik bir yaklaşımdır.

Risk veya riziko, bir olayın gerçekleşme olasılığı ve olaydan etkilenme olanağı. Değerler, fiziksel sağlık, toplumsal statü, duygusal durum ya da görülemeyen belirli bir eylem, aksiyon ya da eylemsizlik sonucu risk alındığında kazanılabilir ya da kaybedilebilir. Risk aynı zamanda belirsizlikle kasıtlı etkileşim olarak da tanımlanabilir. Belirsizlik olası, tahmin edilemeyen, ölçülemeyen ve kontrol edilemeyen sonuç olup; risk bu sonuca rağmen karar almanın bir neticesidir.

<span class="mw-page-title-main">Kalite maliyetleri</span>

Kalite maliyeti, mevcut kalitesizlikten ileri gelen ya da potansiyel kalitesizliği önlemek amacıyla alınan önlemler dolayısıyla ortaya çıkan maliyet. Kalite maliyetleri ile ilgili literatürde temel teşkil eden önemli çalışmalar, 1976'da Kaoru Ishikawa, 1979'da Philip B. Crosby, 1986'da William Edwards Deming, 1988'de Joseph Juran ve 1991'de Armand Vallin Feigenbaum tarafından gerçekleştirilmiştir. Kalite maliyeti kavramı, üretilen ürünlerin, müşteri beklentilerini karşılamamasını takiben hem ürün geliştirme hem de süreç iyileştirme çalışmalarının sonucu olarak doğmuştur. Kalite maliyetlerinin ölçülüp hesaplanması Toplam Kalite Yönetimi programının önemli ve gerekli aşamalarından biridir.

<span class="mw-page-title-main">Scrum</span>

Scrum, yazılım geliştirme ve yazılım Mühendisliği'nde bir uygulama geliştirme çerçevesidir. Proje yönetimi'nde karmaşık bir ortamda ürünleri geliştirmek, sunmak ve sürdürmek için Çevik yazılım geliştirme felsefesini benimseyen bir çerçevedir. "Hamleci yaklaşım" şeklinde bir çeviri önerilmiştir. Bu geliştirme çerçevesinin temel özelliği gözlemci, geliştirmeci ve tekrara dayalı olmasıdır. Birçok modern yazılım projesinin oldukça karmaşık olduğu ve en baştan tümünü planlamanın zor olacağı şeklindeki bir varsayımdan hareket eder. Bu karmaşıklığı üç ilke ile azaltmaya çalışır.

  1. Şeffaflık: Projedeki ilerlemeler ve sorunlar günlük olarak tutulur ve herkes tarafından izlenebilir olması sağlanır.
  2. Gözlem: Ürünün parçaları ya da fonksiyonları düzenli aralıklarla teslim edilir ve değerlendirilir.
  3. Uyumlanma: Ürün için gereksinimler en baştan bir defalığına belirlenmez, bilakis her teslimat tekrar değerlendirilir ve duruma göre uyarlamalar yapılır.

Metasploit Projesi, (İngilizce: Metasploit Project) güvenlik açıkları hakkında bilgi sağlayan, sızma testleri (pentest) ve IDS imza gelişmesinde yardımcı olan bir framework projesidir.

Zararlı yazılım, kötü amaçlı yazılım veya malware, bilgisayar ve mobil cihazların işlevlerini bozmak, kritik bilgileri toplamak, özel bilgisayar sistemlerine erişim sağlamak ve istenmeyen reklamları göstermek amacı ile kullanılan yazılımdır. 1990 yılında Yisrael Radai tarafından malware ismi konulmadan önce, bu tür yazılımlara bilgisayar virüsü adı veriliyordu. Kötü amaçlı yazılımların ilk türü, parazit (asalak) yazılım parçalarını yürütülebilir, çalışan içeriklere eklemekle ilgileniyordu. Bu yazılım parçaları, mevcut çalışan uygulamayı, sistem üstünde çalışan programları ve hatta bilgisayar sistemlerinin ayağa kaldırılmasında önemli rol oynayan önyükleme (boot) kodlarını etkileyen makine kodları olabilir. Kötü amaçlı yazılımlar, kullanıcıların gereksinimlerine karşı bir davranış sergiler ve sistemin yetersizliğinden kaynaklanan bir sorun yüzünden istemsiz, rastgele bir şekilde verecek yazılım parçaları içermez.

Mobil güvenlik ya da mobil telefon güvenliği, mobil işlemenin öneminin ve kullanılan akıllı telefonların sayısının artması ile birlikte öne çıkmıştır. Genel olarak bakıldığında, mobil güvenlik, mobil cihazlarda saklanan bilgilerin ve servislerin koruma altına alınması olarak değerlendirilebilir.

<span class="mw-page-title-main">Tehdit (risk yönetimi)</span> yaşam, sağlık, mülk veya çevre için potansiyel bir tehdit oluşturan durum

Tehdit veya tehlike, çalışma çevresinin fiziki kusurları ve uygun olmayan şartları ile insanların hatalı davranışları gibi, çalışma ortam ve koşullarında var olan ya da dışarıdan gelebilecek, kapsamı belirlenmemiş, maruz kimselere, işyerine ve çevreye zarar ya da hasar verme potansiyelidir. Çalışanların yaralanma ve sağlık sorunlarına neden olabilen güvenli olmayan iş ortamı ve uygulamalardır. İnsanların yaralanması veya sağlığının bozulması veya bunların birlikte gerçekleşmesine sebep olabilecek kaynak, durum veya işlemdir. İşyerinde var olan ya da dışarıdan gelebilecek, çalışanı veya işyerini etkileyebilecek zarar veya hasar verme potansiyelidir.

Risk kıymetlendirme: Belirlenmiş tehlikelerin gerçekleşme olasılıkları ve gerçekleşmesi durumunda oluşacak kaybın tespit edilmesi işleminin çeşitli araçlar üzerinden gösterilerek, analitik olarak hesaplanması ve simülasyonunun yapılması işlemine denir.

<span class="mw-page-title-main">Hata ağacı analizi</span>

Hata ağacı analizi (HAA), alt seviyedeki bir dizi olayı birleştirmek için kullanılan Boolean mantığı ile analizi yapılan sistemdeki arzu edilmeyen bir durum için uygulanan, yukarıdan aşağı ve tümdengelim mantığı olan başarısızlık analizidir. Bu analiz yöntemi, esas olarak güvenlik mühendisliği ve güvenilirlik mühendisliği alanlarında sistemlerin nasıl bozulabileceğini anlamak, riski azaltacak en iyi yolları tanımlamak veya sistemin belli bir seviyesindeki başarısızlığı veya emniyetli kaza olaylarının oranlarını belirlemek için kullanılır. HAA havacılık, nükleer enerji, kimyasal süreç, ilaç, petrokimya ve diğer yüksek tehlikenin bulunduğu endüstrilerde kullanılmaktadır, fakat sosyal hizmet sistemi başarısızlıkları ile ilgili risk faktörü tanımlamaları gibi farklı alanlarda da kullanılır. HAA aynı zamanda yazılım mühendisliğinde hata ayıklama amacıyla kullanılır ve hataları tespit etmek için kullanılan sebep-eleme tekniği ile yakından ilişkilidir.

6331 sayılı yasaya göre risk tehlikeden kaynaklanacak kayıp, yaralanma ya da başka zararlı sonuç meydana gelme olasılığı olarak tanımlanmıştır. Risk analizi,Bir işletmenin yaptığı faaliyetler sırasında olması muhtemel potansiyel tehlikelerin tanımlanarak, bunlara ilişkin risklerin kıymetlendirilmesi ve böylece gerçekleşmesi beklenen ve muhtemel risklerle ilgili kontrol tedbirlerinin alınmasına ilişkin yöntem ve esasların tümüdür.

Siteler arası betik çalıştırma, genellikle web uygulamalarında görülen, genellikle HTML enjeksiyonu zafiyetiyle birlikte ortaya çıkan veya Java Script kullanan bazı aplikasyonlarda bulunan bir güvenlik açıklığıdır. XSS, diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci taraflı Java Script kodunun enjekte edilmesine imkân verir. Siteler arası betik çalıştırma açıklığı, saldırganlar tarafından aynı kök politikası gibi bazı erişim kontrollerini atlatmak ve hedef adresin oturum katmanını ele geçirmek için kullanılabilmektedir. Web sayfaları üzerinde gerçekleştirilen siteler arası betik çalıştırma saldırıları, 2007 itibarıyla Symantec'in raporladığı tüm güvenlik açıklıklarının yaklaşık olarak %84'ünü oluşturmaktadır. Zafiyet içeren sitenin işlediği verinin hassasiyetine ve site sahibi tarafından uygulanan güvenlik tedbirlerine bağlı olarak, etkisi ufak bir aksamadan önemli bir güvenlik riskine kadar değişebilmektedir.

Veritabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir ve veri tabanlarınının(imkân dahilinde verileri, veritabanı uygulamalarını veya kayıt edilmiş işlevleri, veri tabanı sistemlerini, veritabanı sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel gibi çeşitli türde ve kategoride kontroller veritabanı güvenliği kapsamı içerisine girer. bilgisayar güvenliği, bilgi güvenliği ve risk yönetimi alanları içerisinde, veritabanı güvenliği uzmanlık gerektiren bir konudur.

Saldırı ağaçları, bir varlık veya hedefe nasıl saldırılabileceğini gösteren kavramsal diyagramlardır. Saldırı ağaçları birçok farklı uygulamada kullanılmıştır. Bilgi teknolojileri alanında, bilgisayar sistemlerindeki tehditleri ve bu tehditleri gerçek kılacak alternatif saldırıları tanımlamak için kullanılmışlardır. Ancak, saldırı ağaçlarının kullanımı sadece bilgi sistemlerinin analizi ile sınırlı değildir. Saldırı ağaçları, savunma ve havacılık alanında kurcalamaya karşı korumalı elektronik sistemlerde tehdit analizi için de sıklıkla kullanılmaktadır. Saldırı ağaçları artan bir oranda bilgisayar kontrol sistemlerinde de kullanılmaktadır. Saldırı ağaçları fiziki sistemlere saldırıları anlamak için de kullanılmıştır.

<span class="mw-page-title-main">Kimlik doğrulama</span>

Kimlik doğrulama, bir varlığın(kurum, kişi ya da sistem) doğruladığı bir veri parçasının doğruluğunun teyit edilmesidir. Kimlik tanıma(identification), bir kişinin veya bir şeyin kimliğini kanıtlayan veya gösteren bir eylemi tanımlamanın; kimlik doğrulama, bu kimliğin gerçekten doğrulanma sürecidir. Bu süreç, kişinin kimliğini, kimlik belgelerini doğrulanması, bir dijital sertifikayla internet sitesinin gerçekliğinin doğrulanması, bir yapının yaşının Radyokarbon tarihleme yöntemiyle belirlenmesi ya da bir ürünün ambalajına ve etiketine bakarak doğrulamasını içerir. Diğer bir ifadeyle, kimlik doğrulama, genellikle en az bir çeşit kimlik tanımının doğrulanmasını içerir.

Sızma testi, sistemin güvenliğini değerlendirmek üzere bir bilgisayar sistemi üzerinde gerçekleştirilen yetkilendirilmiş temsili bir siber saldırıdır. Test, yetkisiz kişilerin sistem özelliklerine ve verilerine erişme potansiyelini içeren her iki zayıf noktayı ve sistemin güçlü yönlerini belirlemek ve tam bir risk değerlendirmesi sağlamak için yapılır.

Çok faktörlü kimlik doğrulma (MFA) bir bilgisayar kullanıcısına, kullanıcının kimlik doğrulama mekanizmasına başarılı bir şekilde iki ya da daha fazla kanıt sağladığında erişim sağlandığı bir kimlik doğrulama yöntemidir: bilgi, sahiplik ve devralma.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Güvenlik açığı, bir sistem, yazılım, ağ veya diğer bilgi teknolojilerinde, yetkisiz erişim, veri sızdırma, sistem çökmesi veya başka zararlı etkilerin oluşabileceği zayıf noktalara verilen genel bir isimdir. Güvenlik açıkları, potansiyel olarak kötü niyetli kişilerin veya saldırganların sistemlere saldırmasına ve istenmeyen sonuçlara neden olmasına olanak tanır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.