Bir ağın güvenliğini değerlendirmek her zaman bir risk değerlendirmesi planı ile başlar. Siber güvenlik risk değerlendirmesi korumaya çalıştığınız varlıkları, bu varlıklara yönelik tehditleri, sistemlerinizdeki güvenlik açıklarını ve IT varlıklarınızı korumak için hangi önlemleri alabileceğinizi göz önünde bulundurmayı içerir.
Riskin hesaplanması için bazı formüller bulunur. En temel hesaplama, tek bir kayıp beklentisi (SLE) veya tek bir kaybın ne gibi etkilere neden olacağını bilmektir. Bu varlık değerinin (AV) pozlama faktörü (EF) ile çarpılmasıyla hesaplanır. Maruz kalma faktörü, belirli bir olayda varlığın değerinin ne kadarını kaybedeceğinizi temsil eden bir yüzde sonucu verir. Örneğin, sigorta şirketlerine göre yüzde 20 oranında değer kaybeden bir dizüstü bilgisayar, kaybolması veya çalınması durumunda orijinal değerinin yalnızca yüzde 80’ine bedeldir ve bu bedel ödenir.
Formül: SLE = AV × EF
Bu nedenle, bir dizüstü bilgisayar 800TL karşılığında satın alınırsa ve yılda yüzde 10 değer kaybederse, böylece 0,9 (yüzde 90) pozlama faktörü verirse, çalınan veya kaybolan bir dizüstü bilgisayar için SLE değeri…
SLE = 800 (AV) × 0,9 (EF)
SLE = 720TL olarak bulunur.
Bir sonraki formül, yıllıklandırılmış zarar (ALE) beklentisidir. Ürünün bir yıl içinde belirli bir sorundan ne kadar kayıp bekleyebileceğinizi gösterir. Formül, SLE’nin yıllık gerçekleşme oranı (ARO) ile çarpımıdır:
ALE = SLE × ARO
Yani, önceki dizüstü bilgisayar örneğinde, yılda altı dizüstü bilgisayarı kaybedeceğinizi düşünüyorsanız, hesaplama
ALE = 720 (SLE) × 6 (ARO)
ALE = 4320TL şeklinde sonuçlanır.
Gördüğünüz gibi, matematik hesaplaması aslında oldukça basittir. Anlaşılması gereken diğer bir kavram da artık risktir. Temel olarak, riskle başa çıkmak için tüm adımları attıktan sonra ne kadar risk kaldığıdır. Ek olarak, bu konu bizi belirlediğiniz bir riskle nasıl başa çıkacağınız konusuna geri getirmektedir.
- Etki Azaltma: Bu, riski azaltmak için adımlar attığınız anlamına gelir. Ne yaparsanız yapın, biraz risk kalması muhtemeldir. Örneğin, kötü amaçlı yazılımlardan endişe ediyorsanız, antivirüs çalıştırmak risk azaltır. Bu en yaygın çözümlerden biridir.
- Kaçınma: Bu kategoriyi uygulamak zordur. Sıfır riskiniz olduğu anlamına gelir. Örneğin, bir web sitesinden virüs indiren kullanıcılardan endişe ediyorsanız, bundan kaçınmanın tek yolu, web’e erişmelerini kaldırmaktır. Bu genellikle uygun bir çözüm değildir ve uygulamada sorunlarla karşılaşılır.
- Aktarım: Bu kategori riski bir başkasına aktarmaktadır. Bunun en açık örneği siber risk sigortasıdır. Böyle bir sigortanız varsa, gerçekleşen bir riskin maliyeti sigorta şirketine aktarılır.
- Kabul: Riskin olasılığı çok uzaksa veya azaltma maliyeti gerçekleşen riskin maliyetinden daha yüksekse, hiçbir şey yapmamayı seçebilir ve riski kabul edebilirsiniz.