Active Directory veritabanı birleştirme işlemini  nasıl gerçekleştirebilirim? İşte bu yazı bu soruyu sık sık sorup bir cevap alamayanlar için yazıldı.

Ntds.dit'in boyutu farklı Domain Controller'lar üzerinde farklılık gösterebilir. Active Directory multi-master bağımsız modelinde Domain Controller'lar üzerinde yapılan değişikliklerin diğer D.C'lere aktarılmasının (replikasyon) zamanla gerçekleşir.

Domain Controller'lar arasında replike olan database değil değişen dosyalardır ve bu yüzden database'in boyutu tüm D.C'lerde aynı olmaz

Directory Service çalıştıran Windows Sunucular üzerinde 12 saatte bir gerçekleştirilen online birleştirme (defragmentation) işlemi ntds.dit veritabanının boyutunu azaltmaz Active Directory çalıştığı sürece de veritabanı gerçek anlamda birleştirilemez.

Active Directory'nin yaptığı birleştirme işlemi rutin bir işlemdir ve tombstaone nesnelerinin ortadan kaldırılması ile sınırlıdır.

Offline durumda birleştirilmiş (defragmante) bir ntds.dit dosyası benzer ntds.dit dosyalarının boyutundan daha küçük olabilir.

Ntds.dit dosyasını birleştirme işlemi yapılması zorunlu olan bir işlem değildir.

Peki bu defrag (birleştirme) işlemini nasıl gerçekleştireceğiz?

1.Öncelikle Active Directory’nin backup'ını almamız bizim açımızdan yararlı olacaktır.

2.Server’ı  yeniden başlattıktan sonar F8’e basarak gelişmiş açılış seçeneklerinden Directory service Restore Mode seçeneğini ve sonrasında dab u modda açmak istediğimiz işletim sistemini seçiyoruz.

3.Lokal kullanıcı adı ve parola bilgimizle logon oluyoruz.

4.Start menüsünde Run’a cmd yazarak komut satırını açıyoruz.

Komut satırında sırasıyla;

Ntdsutil

Files

Compact to c:\temp (siz c:\temp yerine farklı bir path kullanabilirsiniz)

Active directory veritabanı defragmentation (birleştirme) işlemi tamamlandıktan sonar aşağıdaki komutla  birleştirilen veritabanını eskisiyle değiştiriyoruz.

C:\> copy c:\temp\ntds.dit %systemroot%\ntds\ntds.dit

Log dosyalarının tamamını da silmemiz gerektiğini unutmamalıyız.

Server’ı restart ediyoruz ve normal şekilde açıyoruz.  Active Directory Offline Defragmentation işlemi bu kadar basit. Umarım yararlı olmuştur.

Active Directory veritabanının bakımı, birleştirmesi (defragmentation), veritabanı ve log dosyalarının farklı yerlere taşınması, veritabanının temizlenmesi gibi birçok işlemi gerçekleştirmek için NTDSUTIL aracını kullanırız.

 Bir kurumda bilgi güvenliğinin sağlanması adına, uygulanması ve uyulması gereken en önemli maddelerden biri olan erişim kontrolünün hangi açıdan bakarsanız mutlaklık içeren maddelerden oluştuğunu görebilirsiniz. Erişim kontrolünü etkin ve efektif olarak uygulamak, başta veri kaybı olmak üzere birçok konuda daha güvenli bir yapıda olmanızı sağlayacaktır.

Erişim kontrolü bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanması gibi kritik konuları kapsamaktadır. Bu denli kritik bir konuda güvenliğin sağlanması için aşağıdaki maddeler göz önünde bulundurulmalıdır;

Erişim Kontrolü İçin İş Gereksinimleri

Erişim Kontrolü Politikası

• Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş olmalıdır.

• Erişim denetimi hem fiziksel, hem işlevsel boyutları ile değerlendirilmiş olmalıdır.

• Erişim denetimi politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor olmalıdır.

• Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi iş gereksinimlerinin karşılanacağı iyice açıklanmış olmalıdır.

• Politika belgesi şu konuları içermelidir; her bir iş sürecinin güvenlik ihtiyaçları, iş süreçleri ile ilgili tüm bilgiler ve bu bilgilerin yüz yüze olduğu riskler, bilginin yayılması ve yetkilendirme ile ilgili politikalar, bilginin sınıflandırılması, güvenlik seviyeleri ve "gerektiği kadar bilme" prensibi, farklı sistem ve ağlardaki bilginin sınıflandırılması ve erişim denetimine ilişkin politikaların tutarlı olması, bilgiye erişimle ilgili olarak kontratlardan ve yasal yükümlülüklerden kaynaklanan şartların yerine getirilmesi, kurumun yaygın kullanıcı profilleri ile ilgili erişim hakları ve Erişimin talep edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması.

• Erişim haklarının "Yasaklanmadıkça her şey serbesttir" değil "İzin verilmedikçe her şey yasaktır" prensibine göre verilmesine dikkat edilmelidir.

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

• Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü olmalıdır.

• Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.

• Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.

• Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.

• Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.

• Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

• Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.

• Ayrıcalıklar "kullanması gereken" prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

• Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır.

• Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

• Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

Kullanıcı Sorumlulukları
 

Parola Kullanımı

• Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.

• Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır.

• Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.

• Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.

• Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.

• Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

Gözetimsiz Kullanıcı Ekipmanı

• Atıl cihazlara ait güvenlik gereksinimlerinden, bu cihazları koruma prosedürlerinden ve bu cihazları korumak için üzerlerine düşen sorumluluklardan kullanıcıların ve iş ortaklarının haberleri olmalıdır. (İşi biten kullanıcıların bilgisayarını kapatması ve şifreli ekran koruyucuların kullanılması gibi)

Temiz Masa ve Temiz Ekran Politikası
 

• Kuruluş kağıt ve taşınabilir elektronik depolama ortamlar ile ilgili olarak temiz masa politikası uygulamalıdır.

• Kuruluş bilgi veya bilgi işlem araçları ile ilgili olarak temiz ekran politikası uyguluyor olmalıdır.

• Hassas bilgileri içeren kağıt ve elektronik depolama ortamlarının kullanılmadığı zaman kilitlenmesi, bilgisayar başından kalkarken personelin oturumunu kapaması veya ancak parola ile açılabilen ekran koruyucu vb. önlemleri devreye sokması, gelen/giden postaya erişim noktalarının ve faks cihazlarının denetlenmesi, fotokopi makinesi, tarayıcı, sayısal fotoğraf makinesi gibi kopyalama teknolojilerinin yetkisiz olarak kullanılmaması ve hassas bilgi içeren dokümanların yazıcı üstünde bırakılmaması konularına özen gösterilmelidir.

Ağ Erişim Kontrolü

Ağ Hizmetlerinin Kullanılması İle İlgili Politikalar

• Kullanıcıların sadece kullanma yetkisine sahip oldukları ağ servislerine erişebilmesi sağlanmış olmalıdır.

• Ağlar ve ağ servisleri ile ilgili olarak şu konuları düzenleyen politikalar uygulanıyor olmalıdır; kimin hangi ağlara ve ağ servislerine erişebileceğini belirlemek için yetkilendirme prosedürü tanımlanmış olmalıdır, ağ bağlantılarını korumak ve ağ servislerine erişimi engellemek için yönetim denetimleri ve süreçleri belirlenmiş olmalıdır.

Harici Bağlantılar İçin Kullanıcı Kimliği Doğrulaması

• Sisteme dışarıdan yapılacak kullanıcı bağlantıları için kullanıcı kimliği doğrulama mekanizmaları uygulanmalıdır. (Kripto tabanlı teknikler veya klasik "challange- response" mekanizmaları ile çözülebilir. VPN çözümleri de bu teknikleri kullanmaktadır.)

Ağlarda Cihaz Kimliği Belirleme

• Bağlantının belli bir cihaz kullanılarak yapıldığından emin olmak için otomatik cihaz kimliği belirleme yöntemleri kullanılıyor olmalıdır.

Uzaktan Tanı ve Yapılandırma Portu Koruma

• Yönetim ve yapılandırma portlarına fiziksel ve işlevsel erişimi denetleyen bir güvenlik mekanizması olmalıdır.

Ağlardaki Ayrım

• Bilgi sistemi üstündeki kullanıcı ve  servisler gruplara ayrılmış olmalıdır.

• Kurumun ağı dahili ve harici etki alanlarına bölünmüş olmalıdır.

• Etki alanları kurumun erişim kontrol politikası ve erişim ihtiyaçları uyarınca oluşturulmuş olmalıdır.

• Etki alanları sınır güvenliği sistemleri ile korunmalıdır.

• Telsiz ağların diğer ağlardan ayrılması ile ilgili olarak çalışma yapılmış olmalıdır.

Ağ Bağlantı Kontrolü

• Kurum sınırlarının dışına taşan ağlar ve ağ bağlantılarının kullanımı, kurumun erişim kontrol politikası uyarınca kısıtlanmış olmalıdır.

• Elektronik mesaj, tek veya çift yönlü dosya aktarımı, interaktif erişim, bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilmiş olmalıdır.

Ağ Yönlendirme Kontrolü

• Ağ yönlendirme kontrolleri, bilgisayar bağlantılarının ve bilgi akışının erişim politikasına uygun gerçekleşmesini sağlayacak şekilde tanımlanmış olmalıdır.

• Ağ iletişimi kaynak adres ve hedef adreslere bağlı olarak güvenlik duvarı vb. cihazlar aracılığı ile kontrol ediliyor olmalıdır.

İşletim Sistemi Erişim Kontrolü

Güvenli Oturum Açma Prosedürleri

• Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiş olmalıdır.

• Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmelidir.

• Bilgisayarda sadece yetkili personel tarafından erişilebileceğini bildiren uyarı mesajı gösterilmelidir.

• Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmalıdır.

• Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlemelidir.

• Sistem tarafından izin verilen başarısız giriş denemelerine sınırlama getirilmiş olmalıdır.

• Oturuma giriş işlemi için zaman sınırı olmalıdır.

• Başarısız giriş denemeleri kaydedilmelidir.

• Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.

Kullanıcı Kimlik Tanımlama ve Doğrulama

• Gerektiğinde sistem kayıtlarının incelenmesi ve bir işlemin sorumlusunun bulunabilmesi açısından her bir kullanıcıya kendine özgü bir kullanıcı kimliği verilmiş olmalıdır.

• Sistem yöneticilerine ait kullanıcı kimlikleri birbirinden faklı olmalıdır.

• Kurum bünyesinde kullanılan kullanıcı tanımlama ve yetkilendirme mekanizmaları iş gereklerine uygun olmalıdır.

Parola Yönetim Sistemi

• Kurum bünyesinde kullanılan belirli bir parola yönetim sistemi olmalıdır.

• Parola yönetim sistemi şu özelliklere sahip olmalıdır; kullanıcıları bireysel parolaların kullanımına zorluyor olmalıdır, kullanıcıların kendi parolalarını seçmelerine ve değiştirmelerine izin veriyor olmalıdır, kullanıcıyı kuvvetli parola seçmeye zorlamalıdır, kullanıcıyı belli zamanlarda parolasını değiştirmeye zorlamalıdır, sisteme ilk girişte geçici parolayı değiştirmeye zorlamalıdır, eski parolaları hatırlayarak tekrar kullanılmalarına engel olmalıdır, parolalar ağ üstünden gönderilirken ve saklanırken kriptolama gibi yöntemlerle korunuyor olmalıdır.

Yardımcı Sistem Programlarının Kullanımı

• Sistem araçlarının sistem özelliklerini ve uygulama programlarının yetkilerini aşarak ekstra işlemler yapmadığı kontrol ediliyor olmalıdır.

Oturum Zaman Aşımı

• Kullanılmayan oturumlar tanımlı bir süre sonunda kapatılmalıdır.

Bağlantı Süresinin Sınırlandırılması

• Kurum dışından veya halka açık alanlardan yüksek riskli uygulamalara erişim durumunda bağlantı süresi kısıtlanmalıdır.

• Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanıyor olmalıdır.

Uygulana ve Bilgi Erişim Kontrolü

Bilgi Erişimi Kısıtlaması

• Erişim kontrolü politikası uyarınca kullanıcılar ve destek personeli için bilgi sistemleri fonksiyonları ve bilgilerine erişim kısıtlanmış olmalıdır.

• Kullanıcıların bilgiyi yazma, okuma, silme veya çalıştırma hakları düzenlenmelidir.

Duyarlı Sistem Yalıtımı

• Uygulamanın duyarlılığı uygulama sahibi tarafından açıklanmış ve belgelenmiş olmalıdır.

• Duyarlı bilgilerin bulunduğu sistemler diğer sistemlerden izole edilmelidir. (Kendisine ait bilgisayarda çalıştırılması, ayrı ağ bölmesine yerleştirilmesi, ağ kaynaklarının ayrılması, sadece gerekli uygulamalar ile iletişim kurulması vb. İzolasyon fiziksel veya işlevsel olarak gerçekleştirilebilir.)

Mobil Bilgi İşleme ve Uzaktan Çalışma

Mobil Bilgi İşleme ve İletişim

• Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için benimsenmiş bir politika ve uygulanmakta olan güvenlik önlemleri olmalıdır.

• Mobil bilgi işlem politika belgesi fiziksel koruma, erişim denetimi, kriptografik denetimler, yedekleme ve virüs koruması konularını içermelidir.

• Mobil bilgi işlem araçlarının halka açık yerler, toplantı odaları gibi korumasız ortamlarda kullanılması sırasında yetkisiz erişime ve bilginin açığa çıkmasına karşı kriptografik tekniklerin kullanılması gibi önlemler alınıyor olmalıdır.

• Hırsızlığa karşı önlemler alınıyor olmalıdır.

• Hassas bilgi içeren araçların başıboş bırakılmamasına özen gösterilmelidir.

Uzaktan Çalışma

• Uzaktan çalışma faaliyetleri için organizasyonun güvenlik politikasına uygun plan ve prosedürler geliştirilmiş olmalıdır.

• Uzaktan çalışmanın yapılacağı yerde ekipman ve bilginin çalınmasına, bilgiye yetkisiz erişim yapılmasına, kuruluşun dahili sistemlerine uzaktan yetkisiz erişime ve bilgi işlem araçlarının kötüye kullanılmasına engel olmak için uygun önlemler alınmış olmalıdır.

Risk analizi, riski tahmin etmek amacıyla yapılan sistematik çalışmalardır. Yapılan risk tahminleri karşı önlemlere karar verilmesi aşamasında önemli bir parametre olarak kullanılırlar. Risk analizi yapılmadan tesis edilen karşı önlemlerin ihtiyacı karşılayamaması veya gereğinden fazla karşılaması ihtimali büyüktür.
 

Bilgi güvenliği risk analizi konusunda akademik yayınlarda bir çok metot önerilmiştir. Akademik yayınlar dar problem alanlarına yönelmekte ve belli bir durum için daha etkin çözüm önerileri getirmeye çalışmaktadır.  Bu nedenle akademik yayınlardaki öneriler kurumsal beklentileri karşılayacak düzeyde olmamaktadır. [1] Bilgi güvenliği risk analizi sürecini otomatikleştirmeye ve kolaylaştırmaya yönelik bir çok ticari yazılım mevcuttur.  Ticari yazılımlar ise her kurum tarafından tercih edilmemektedir. Bunun nedenleri arasında, yazılımın pahalı bulunması, tam olarak kurumun ihtiyaçlarına yönelmemesi, yazılımın karmaşık olması ve kurumun yazılım çerçevesinde  kalmak istememesi  yer almaktadır [2].
 

Akademik yayınlar ve ticari yazılımlar risk analizi sürecinin belli başlı zorluklarına değinirler, bu zorlukların nasıl aşılabileceği, risk analizi sürecinin nasıl etkin ve kolay yürütülebileceği konusunda öneriler getirirler.
 

1. Bilgi Güvenliği Risk Analizinin Temel Zorlukları

Riskin bir olasılık olması: Risk, kesin ve somut bir değer değildir. Risk bir olasılık olduğu için risk analizi temelde bir olasılık analizidir. Bu nedenle, risk analizi yapılırken tahminler yapılmalıdır. Tahminler, bir risk modeli ile belli bir çerçevede ele alınırlar. Eğer risk modeli nicel ise kullanılan matematikten dolayı zorluklar yaşanmakta, nitel ise risk analizi sürecinde tahminler subjektif olabilmektedir.

Riskin, varlık, açıklık ve tehdit değerlerini girdi olarak alan bir olasılık fonksiyon olması: Risk, hesaplaması basit bir olasılık değeri değildir. Risk, bir varlıktaki bir açıklığın bir tehdit tarafından kullanılma olasılığıdır.  Bu olasılık, “Risk=F(Varlık, Açıklık, Tehdit)” formülü ile ifade edilebilir. Bu formüldeki fonksiyon (F) risk modelini temsil etmektedir. Sonuç olarak risk modelinin hesaba katması gereken üç temel parametresi bulunmaktadır.

En temel ve önemli varlık olan bilginin soyut olması: Bilgi kurumlar tarafından risk analizlerinde farkına en zor varılan varlıktır. Bunun yanında, bilgi aynı zamanda en dikkatli analizi yapılması gereken en önemli varlıktır.  Sunucular, depolama medyaları gibi fiziksel varlıklar risk analizi yapan kişiler tarafından kolaylıkla tanımlanabilirken, bilgi soyut bir kavram olduğu için tanımlanmasında ve gizlilik, bütünlük, süreklilik değerlerinin verilmesinde güçlükler yaşanabilmektedir.
 

Bilginin bir çok değişik formda bulunması: Bilgi donanım ve yazılımlar tarafından işlenir, elektronik ve manyetik medyada depolanır, yazılı dokümanlar bilgi içerir, bir kurumda çalışanlar zihinlerinde, düşüncelerinde ve konuşmalarında bilgiyi taşırlar. Sonuç olarak, bilgi elektronik, manyetik, kağıt, ses gibi bir çok değişik formada işlenir. Risk analizinde bir çok farklı formda depolanan bilginin ele alınması gerekmektedir.
 

Bilgi sistemlerinin karmaşık ve yaygın bir yapıda olması: Bilgi sistemleri, 1970 ve 1980’lerdeki merkezi ve basit yapıda değildirler. Günümüzdeki, tüm kurumlarda, hemen hemen her çalışana bir bilgisayar düşmektedir. Kurumların hemen hemen tüm iş süreçleri, az veya çok bilgi işlem altyapısı ile kesişmektedir.

Varlık, açıklık, tehdit ve karşı önlemler arasındaki ilişkiler: Herhangi bir varlıktaki veya varlık kategorisindeki (Örnek kategoriler: donanım, yazılım, medya, basılı doküman, personel) bir açıklık, başka bir varlık veya varlık kategorisi için tehdide dönüşebilir. Bir tehdit birden çok varlığı veya varlık kategorisini farklı oranlarda etkileyebilir. Bütün ilişkiler, risk analizi metodunda değerlendirilmelidir.

2. İdeal Bilgi Güvenliği Risk Analizinin Özellikleri

Hızlı sonuçlar vermesi: Risk analizi sürecinin uzun sürmesi özellikle iş gücü maliyetlerini artırır. Ayrıca, sürekli gelişen ve değişen bir bilgi işlem altyapısında çok uzun süren risk analizlerinin sonuçları tutarlı olmayabilir. Risk analizi metodunun süresi, kurumun tolere edebileceği bir seviyede olmalıdır.
 

Maliyet etkin olması: Kurumlar, getirdiği maliyetten dolayı da risk analizi sürecine uzak durabilmektedirler. Genel olarak bilgi güvenliği kurumlar tarafından lüks olarak görülebilmektedir. Bu nedenle, risk analizi sürecinde  maliyet etkin araçların kullanılması ve sürecin kendisinin maliyet etkin olması önemli bir beklentidir.
 

Objektif sonuçlar vermesi: Risk analizi sürecinin farklı kişiler tarafından tekrarlandığı zaman benzer sonuçlar vermesi önemli bir özelliktir. Planlama, uygulama, kontrol etme ve önlem alma döngüsü içerisinde tekrarlanacak olan risk analizinin tutarlı sonuç vermesi bilgi güvenliği yönetim sistemlerinin düzgün bir şekilde yürütülmesinin garantilerinden biridir. [3]
 

İş süreçleri odaklı olması: Hedefin BT altyapısı olduğu risk analizleri odağını kaybetmiş risk analizleri olarak değerlendirilebilir. Örneğin bilgi işlem altyapısındaki, donanımların gizlilik, bütünlük ve süreklilik değerlerinin  ortaya konulduğu ve bu donanımlardaki açıklıkların ve bu donanımları etkileyebilecek tehditlerin ortaya konulduğu ve bunlara göre belli bir risk seviyesinin tespit edildiği bir risk analizi süreci, bu donanım üzerinde hangi iş süreçlerinin işletildiğini hesaba katmadığı için doğru ve tutarlı sonuçlar vermeyecektir. Risk analizinde en temelde incelenmesi gereken iş süreçleridir. Günümüzde, bilgi işlem odaklı risk analizleri bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda gerçekleştirilmekte ve faydası sınırlı olmaktadır.
 

Bilgi odaklı olması: Süreç odaklı yaklaşıma benzer olarak, bilgiyi göz ardı eden risk analizi süreçleri tutarlı sonuç vermezler. Bu risk analizi metotları bilgiyi işleyen donanım ve yazılımlara öncelik verirler ve sadece bunları değerlendirirler. Bu durumda da risk tahminleri  tutarsız olacaktır.
 

Kurum personelinin katılımına imkan vermesi: Bütün risk analizi sürecinin kurumdaki çalışanlar tarafından gerçekleştirilmesi beklenemez. Ancak, risk analizi sürecinin iş süreçlerinde önemli görevleri olan personelin katılımına imkan verecek bir yapıda olması gerekmektedir. Diğer bir ifadeyle, analizin belli başlı yerlerinde kurum çalışanlarının fikirlerinin ve düşüncelerinin alınması ve bunun risk analizi takımı tarafından değerlendirmeye sokulması gerekmektedir.
 

Risk modelinin açık olması: Risk modelinin açık olması, kurumların bilgi güvenliği risk analizi metoduna duyduğu güvenli artıracaktır. Ayrıca, kurum ihtiyaçlarını karşılayacak şekilde risk modelinde değişiklikler yapmasına imkan sağlanmış olacaktır.

3. Çerçeve Metot Önerisi

Bu bölümde, bilgi güvenliği risk analizinin zorluklarını göz önüne alan ve risk analizi sürecinden beklenen özellikleri yerine getirebilecek bir risk analizi metodunda yer alabilecek hususlara tablo-1 ve tablo-2’de değinilmiştir.

Tablo 1: Temel zorluklar ve ne şekilde önüne geçilebilecekleri

Tablo 2: Temel özellikler ve nasıl karşılanacakları

Sonuç olarak, süreçleri dikkate alan ve modelleyen, kurum bünyesinde çalışanların fikirlerini anketler yardımıyla ele alan,  karmaşık matematiksel araçları içermeyen nicel bir risk analizi yöntemi günümüzde kurumların ihtiyacını karşılabilecektir.

Bilge Karabacak

http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/kurumsal-bilgi-guvenliginde-etkin-risk-analizi.html