Bilişim Evreni Bilgi Güvenliği’nde Risk Management (Risk Yönetimi), organizasyonel risklerin belirlenmesi, analiz edilmesi, izlenmesi ve azaltılması veya kabul edilmesi için stratejilerin oluşturulmasıdır. Risk değerlendirmesi yapılarak kritik sistemlerin zayıf noktaları belirlenir ve bu zayıf noktaların azaltılması için önlemler alınır. Risk Yönetiminde kullanılan yöntemler ve araçlar şunlardır;
Risk Değerlendirme Yazılımları:
- Risk değerlendirme yazılımlar, organizasyonel riskleri belirler, analiz eder, ve bu risklere uygun stratejiler geliştirilmesine yardımcı olur.
- Araçlar: RiskWatch, LogicManager, Resolver.
Kontrol ve Denetim:
- İç ve dış denetimleri yönetir, kontrol mekanizmalarını izler ve olası riskleri belirler.
- Araçlar: AuditBoard, ZenGRC, Riskonnect.
Risk Değerlendirme ve Önceliklendirme Matrisleri:
- Belirli risklerin değerlendirilmesi ve önceliklendirilmesi için kullanılır, böylece riskler ölçeklendirilir ve yönetilmesi için önceliklendirme yapılır.
- Araçlar: Risk Matrix, Risk Assessment Templates.
Olay ve Tehdit İzleme Sistemleri:
- Sistemlerde gerçek zamanlı olarak olay ve tehditleri izler, böylece potansiyel riskler tespit edilir ve yönetilir.
- Araçlar: SIEM (Security Information and Event Management) sistemleri, Threat Intelligence Platforms.
Kriz Yönetimi ve İş Sürekliliği Planlaması :
- Kriz anlarında kullanılacak planların hazırlanmasını, kriz durumlarında organizasyonun iş sürekliliğini sağlamak için stratejilerin geliştirilmesini destekler.
- Araç Örneği: Everbridge, OnSolve, IBM Resilient.
Proaktif Risk Değerlendirme:
- Poraktif risk değerlendirme, belirli bir ürün, hizmet veya süreçte olası başarısızlık noktalarını belirleyerek riskleri önceden değerlendirir.
- Araçlar: Failure Mode and Effects Analysis (FMEA), Fault Tree Analysis (FTA).
Kontrol ve Tedbir Katalogları:
- Belirli standartlarda veya yönergelerde tanımlanan kontroller, riskleri yönetmek için kullanılır ve uyumluluğu sağlar.
- Araçlar: NIST SP 800-53, ISO/IEC 27001 Kontrolleri.
