Risk Açıklamaları Daha İyi Nasıl Yazılır?

Risk Açıklamaları Nasıl Daha İyi Yazılır?

Bilişim sistemleri denetimi ve kontrolünü gerçekleştiren denetçinin görevlerinin en temel adımı risk tanımı ve risk analizidir. Daha da açmak gerekirse, verimli risk yönetimi adına risk açıklamaları net bir şekilde ve kısaca belirtilmelidir. Bu yüzden, denetçilerin etkili ve iyi bir risk değerlendirme raporunun nasıl yazıldığını bilmesi kritik derecede önemlidir.
Risk Açıklamaları

İyi bir risk değerlendirme raporunu diğerlerinden ayırt edebilmek için aşağıdaki üç sorunun cevaplanabiliyor olması gerekmektedir:

  • Başımıza ne gelebilir?
  • Bunun nedeni olabilir?
  • Bu durum bizim için neden önemli?

Özetlemek gerekirse, risk tanımlanması ve risk analizinin doğru yapılması için özel bir formül yoktur; fakat “ISO 31000:2009 Risk Management – Principles and guidelines” standardı riskin daha iyi açıklanabilmesi için kılavuzluk edebilir.

İyi bir risk değerlendirme raporu yazmanın anahtar yolu, risk bileşenleri ve bunların kendi aralarındaki ilişkinin temelde anlaşılmasından geçer. Risk ile alakalı koşulları ve bunların tanımları ile birlikte işletmenin ticari amaçlarını iyice anlamak risklerin daha iyi açıklanabilmesine yardım edecektir.

ÖRNEK BİR DURUM VE TANIMLAR

Aşağıdaki tanımların pratikte uygulanmasını canlandırabilmek için kurgusal olarak bir banka düşünelim ve bu bankanın amacı “müşteri bilgilerini gizli tutmak” olsun. Bu amaç, müşteri bilgilerini işleyen ve çok karışık olan müşteri hesaplarının yönetimi sisteminde bazı değişiklikler gerektirmektedir.

Tanımlar aşağıdaki gibidir:

Risk, amaçlar ile alakalı belirsizliklerin etkisidir.

Etki, umulan/beklenen durumdan yaşanılan sapmaya denir. Banka örneğinde ise bu etki “müşteri bilgilerinin gizli tutulması” amacından yaşanabilecek herhangi bir sapmayı ifade eder. Çünkü umulan/beklenen durum bilgilerin güvenli bir şekilde saklanabilmesidir. Bu tarz beklentiler, yani umulan/beklenen durumlar bankanın yazılı amaçları ve politikaları ile belirlenir.

Belirsizlik, kısmi de olsa, bir olayın sonuçları ya da olasılığına dair bilgi eksikliğidir. Banka örneğindeki belirsizlik ise, müşteri bilgilerinin yönetildiği sistemde yapılacak değişikliğin sistemin çok karmaşık doğası nedeniyle ne tür sonuçlara yol açacağının bilinmemesidir. Doğal belirsizliklerin boyutu risk altındaki sistemlerin karmaşıklığı ile doğru orantılıdır.

Olay, bir veya birden fazla şart veya durumun değişmesidir ve bir olayın birden fazla sebebi olabilir. Banka örneğini ele almak gerekirse, sistemde yapılan değişikliğin kendisi olay olarak görülebilir fakat eğer bu değişiklik sorunsuz bir şekilde planlanana uygun gerçekleşirse bankanın amaçları üzerinde doğrudan bir etkiye sebep olmayacaktır. Olay, amaçlara doğrudan etki etmelidir. Örnek olarak, yapılan değişikliklere bağlı bir sebepten dolayı müşteri bilgisinin çalınması bir olaydır ve bu olayın müşteri bilgilerini gizli tutabilmek amacına doğrudan etkisi vardır.

Sebep, herhangi bir oluş, olgu ya da durumu ortaya çıkaran kavramdır. Olay ve sebep kavramlarının karıştırılmaması çok önemlidir. Banka örneğinde bu durumu şöyle görebiliriz: Mesela şifreleme algoritmasındaki kusurlu bir değişiklik, bilgilerin istenildiği gibi şifrelenememesine neden olur ve bu durum bilgilerin çalınması şeklinde sonuçlanabilir. Burada, yapılan kusurlu değişikliklerin müşteri bilgilerinin gizli tutulması amacı üzerinde doğrudan bir etkisi yoktur. Dolayısıyla bu kusur olaydan ziyade sebeptir. Diğer yandan bilgi çalınması ise bankanın amacını doğrudan etkilediği için sebep değil olay olarak adlandırılır. Bir riskin açıklanması, birden fazla sebep içerebilir.

Sonuç, amaçları etkileyen olayların çıktısıdır. Riskin değerlendirilmesinde sonuç çok önemlidir; çünkü aslında o riskin neden ve ne kadar dikkate alınması gerektiğini ortaya koyar. Sonucun ilgili, makul ve ölçülebilir olması riskin tam olarak anlaşılabilmesi için ciddi derecede önemlidir. “Firma itibarı zarar görebilir” şeklindeki muallak bir ifade yeterli değildir. Çünkü firmanın itibarının zedelenmesi firmayı nasıl etkileyecektir? Eğer firma, pazarda tekel durumundaysa itibar zedelenmesi problem olmayabilir. İdeal olarak sonuç, endüstriyel inceleme verileri, firma içi yönetim bilgisi ya da bilinen sebep-sonuç ilişkileri göz önüne alınarak ölçülebilir olmalıdır. Örnekteki gibi bir bilgi çalınması durumunda sonucu değerlendirmek için, düzenleyici kurumların uyguladığı cezalar ve müşterilerin daha önce bu tip olaylara gösterdikleri tepki gibi bilgiler kullanılabilir. Gerçek hayattan bir örnek olarak, İngiltere Bilgi Komiserliği Ofisi’nin gizli müşteri verisinin sızdırılması ya da çalınması gibi durumlarda uyguladığı azami 500 bin pound’luk ceza gösterilebilir.

Olasılık, bir olayın gerçekleşme şansına verilen addır. Risk, olası olayların ve sonuçlarının gerçekleşme olasılıkları ile birlikte bir bileşimidir. Bir şeyin olasılığını tahmin edebilmek için endüstride benzer olayların gerçekleşme sıklığını analiz etmek ya da konunun uzmanları ile fikir alışverişi yapmak yardımcı olabilir. Örneğe geri dönmek gerekirse, risk uzmanı geçmiş yılda dâhili kayıtlardaki gerçekleşen veri kayıplarının sayısını ya da genel olarak bu kayıtları tutan kuruluşların bilgilerini kullanarak bu olayın gerçekleşme olasılığını tanımlayabilir.

Bu tanımları baz alan bir risk açıklaması aşağıdaki gibi olmalıdır:

[Sebep ya da sebepler] yüzünden gerçekleşen [Sonuç üzerinde doğrudan etkiye sahip olay], [Sonuç ya da sonuçlar] gibi bir duruma yol açabilir.

Yine banka ile ilgili olarak şu şekilde bir risk açıklaması yazılabilir:

Şifreleme algoritmasında yapılan kusurlu değişiklikler yüzünden gerçekleşen bilgi hırsızlığı, bankanın 100 bin TL ceza ödemesi gibi bir duruma yol açabilir.

Bilgilerin çalınması, bozulması ya da erişilemez olması bilgi güvenliği başarısızlığıdır. Çünkü bilgilerin gizli ve güvenli tutulması amacı etkilenmiştir. Yetkisiz, kusurlu ya da uygunsuz değişiklikler amaç üzerindeki bu etkinin sebepleridir. Sonuç ise, bankanın amacına ulaşması yolunda uğradığı başarısızlık sonucunda maruz kaldığı durum olarak tanımlanmıştır.

NOTLAR

Amaçlara farklı şekilde yaklaşılabilir. Doğru noktadan yaklaşabilmek için risk değerlendirmesi yaptığınız organizasyonel birimi dikkate almak önemlidir. Örneğin bilgiyi gizli ve güvende tutmak bilgi teknolojileri biriminin bir amacı ve fonksiyonudur. Yaklaşım farkını görebilmek için aşağıdaki iki örneğe bakalım:

  1. Sistemde yapılan kusurlu değişiklikler yüzünden gerçekleşen bilgi hırsızlığı, 1 milyon pound’luk finansal dolandırıcılık ve 500 bin pound’luk ICO cezası ve ayrıca %6.4’lük müşteri kaybı ile sonuçlanabilir.
  2. Sistemde yapılan kusurlu değişiklikler yüzünden gerçekleşen bilgi hırsızlığı, müşteri kaybı, dolayısıyla pazar payı küçülmesi ve 200 milyon pound’luk gelir kaybı ile şirket hisselerinde %12’lik bir düşüş şeklinde sonuçlanabilir.

Bu iki risk açıklamaları kendi bağlamlarında geçerlidir. İlk açıklama, müşteri bilgisinin gizli tutulması bağlamındayken, ikinci risk açıklaması firmanın iş planının başarısı bağlamındadır. İlk cümle bilgi sistemleri güvenliğini sağlayan insanlara neyin kontrol edilmesi gerektiğini söylemektedir. İkinci cümle ise, daha yüksek seviyedeki yöneticiler için daha uygun olacaktır. Çünkü yöneticilerin sorumluluk alanı sistemde yapılacak değişiklikleri birincil elden gerçekleştirmek değil, yapılan alt seviye uygulamalardan sonra iş planı hedeflerini tutturabilmektir. Dolayısıyla hitap edilen kitleyi bilmek ve risk açıklamalarını buna göre hazırlamak önemlidir.

Bir diğer önemli nokta ise bütün olası sebepler ve sonuçlar içinde debelenmekten kaçınmaktır. Yalnızca anahtar öneme sahip sebep ve sonuçlar vurgulanmalıdır.

Riskin en temel bileşenlerinden birisi olasılıktır. Bir kavramın gerçekten risk olarak adlandırılabilmesi için ortada bir belirsizlik olması gereklidir. Eğer risk faktörünün gerçekleşme olasılığı %100 ise bu bir risk değil, sorundur. Eğer risk faktörünün gerçekleşme olasılığı imkânsız ise bu sadece durumla ilgisiz bir konudur. Örnek vermek gerekirse bir firmanın iki ayrı kıtalardaki veri merkezlerine aynı anda meteor düşmesi yüzünden ortaya çıkan veri kaybının herhangi bir sonuca yol açması gibi bir riskten bahsedemeyiz.

BULGULARI RAPORLAMA

Bulgular rapora yazılırken risk açıklamasının “[Sebep(ler)] yüzünden olan [Olay(lar)]” kısmı bulgu başlığı için kullanılmalıdır. Eğer başlık bulguyla uyuşmazsa, daha kısa yazmaya çalışmak ya da kritik olmayan sebepleri başlıktan çıkartmak gerekebilir. Risk açıklamasının tam hali bulgunun raporlandığı metinde olmalıdır.

SONUÇ

Risk ne kadar iyi açıklanırsa o kadar iyi anlaşılır ve yönetilebilir. Bu yüzden, risk açıklamaları yazılırken risk ve ilgili tanımları bilmek önemlidir. Risk altında olan amaçları iyice anlamak da anahtar noktalardan birisidir. Bilgi güvenliği denetim uzmanı risk açıklamaları bilgisi açısından zengin, durum ve hitap ettiği kitleyi dikkate alan kısa bir şekilde yazmalıdır. Böylelikle risk değerlendirmesi risk yönetiminde etkili ve yardımcı olacaktır.

KAYNAKLAR

  • Power, B. (2014). Writing Good Risk Statements. ISACA Journal, vol.3, 42-44
  • International Organization for Standardization (ISO), ISO 31000:2009, Risk management – Principles and guidelines, Switzerland, 2009
  • Ibid.
  • Oxford University Press, Oxford English Dictionary (Online Edition), UK, 2013
  • Op cit, ISO, 2009