InfoSec'in Tartışmasız ve Mutlak Başarısızlığı
Noam Eppel'in
The Complete, Unquestionable And Total Failure of Information Security makalesini şiddetle tavsiye ederim.
Özellikle verdiği bazı istatistikler ve çarpıcı tespitler açısından sektörün bilinçlendirilmesi için kullanılabilecek bir döküman.
Devamı
Kuş Gribi Örnekleri ile Risk Analizi
Risk sözlük anlamı ile ?zararlı veya istenilmeyen bir olayın meydana gelme olasılığıdır.?[1] Risk Yönetimi faaliyeti ise bu riskin tanımlanıp, değerlendirilmesi ve kabul edilebilir bir seviyeye azaltılması ile onu bu seviyede tutacak mekanizmaların kurulması olarak tanımlanabilir. Risk yönetimini ve altındaki aktiviteleri tartışmaya başlayınca gerçekten çok zor ve karmaşık bir işmiş gibi görünür. Sistematik ve detaylı bir çalışma olduğu kesindir ancak her insan günlük yaşantısında aldığı kararlar ile birer risk yönetim uzmanı gibi davranır. Nasıl mı?
Bunu ispatlamak için daha önce risk analizi yapmadığını zanneden bir gruba, son zamanlarda tavuk yiyip yemediğini sorabilirsiniz. Bu sorunun yanıtını ararken risk analizi işi başlamıştır bile.
Neyi korumak istiyorum?
Risk analizinin ilk adımı neyi korumak istediğimizi bilmektir. H1N5 ve türevleri olarak bilinen kuş gribi vakasında ilk korumak istediğimiz şey kendi sağlığımızdır. Bu tehdit karşısında zarar görecek şey insan sağlığıydı. Benzer şekilde bir çiftçinin korumak isteyeceği varlıklar ise kendi sağlığı, ailesinin sağlığı ve başta tavukları olmak üzere kanatlı hayvanlarıdır.
Benim için değeri nedir?
İkinci adım, bu korumak istediğimiz varlığın bizim için değerini tespit etmektir. Konu sağlığımız olunca bundan vazgeçmek olası değildir. Sofrasından tavuğu eksik etmeyen bir aile böyle bir risk karşısında bir süre evine tavuk almayabilir. Beyaz ete daha düşkün bir aile ise gerekli önlemleri aldığını garantileyen tavuk üreticilerini ve markaları tercih edebilir.
Geçimini sadece kanatlı hayvan yetiştirerek sağlayan bir çiftçi ise daha farklı davranacaktır. Öncelikle sağlığını tehlikeye atmadan önlemler alması ve gerekiyorsa tavukları kamu kurumlarının önerdiği yöntemlerle imha etmesi beklenebilir. Bu durumda geçimini nasıl sağlayacağını da planlaması gerekecektir. Bunun içindir ki, televizyonlarda yayımlanan kuş gribi haberlerinde dramatik sahneler yer almıştı. Tavuklarını almak için gelen devlet görevlilerine ?Tavuklarımı bırakın, eşimi alın? diyen çiftçi acaba risk değerlendirmesi yapıp, kendisi için önemli olan varlıkları önceliklendirmiş miydi? Böyle olmadığı çok açık.
Neye karşı koruyorum?
Bu adımda tehditler belirlenir. Kuş gribi hastalığı diğer kanatlı hayvanlardan geçmektedir. Göçmen kuşlar bu vakada bir tehdittir. Bu durumda kapalı mekanlarda olan kanatlılar için bir tehlike yoktur. Göçmen kuşların göç yolu üzerinde olan yerleşim alanları ile bu yol üzerinde olmayan yerler arasında fark olacaktır. Bunu bilmek bir sonraki adım olan kontrol seçme aşaması için önemlidir. Ayrıca bu aşamada olasılık hesabı yapılır. ?Bu tehdit ile karşılaşma olasılığım nedir? sorulur ve cevaplar değerlendirilir.
Nasıl kontrol ederim?
Artık neyi korumak istediğimi, bu korumak istediğim varlığın benim ve çevrem için değerini, bu varlığa zarar verecek tehditleri biliyorum. Alacağımız önlemler varlığın değerinden daha fazla maliyetli olmamalıdır. Fayda maliyet analizi yapılmalıdır. Eğer bu tehlike geçinceye kadar tavuk eti yememek bizim için kabul edilebilir bir davranış ise bu güzel bir önlem olabilir. Tehdidi iyi tanımlayıp tavsiye edilen derecede tavuk etini pişirmek ise hem bizi bu lezzetten hem de sağlığımızdan uzaklaştırmayacak bir çözümdür. Yine de seçim, risk analizi yapan karar vericinin olmalıdır.
Riski Yönetmek
Tavuk yetiştiren çiftçi örneğinde olduğu gibi her zaman önlem almak mümkün olmaz. Teorikte riski yönetmek için 4 farklı yöntem tercih edilebilir; önlem almak, riski kabul etmek, riski transfer etmek ve riski görmezden gelmek.
Riski kabul etmek; ?ben bu risk seviyesi ile yaşayabilirim? demektir. Tavuk etini çok seven veya yemek zorunda olan bir kişi bu kararı verebilir.
Riski transfer etmek; riske konu olan tehdidi uzaklaştırmaktır. Tavuğu evde pişirmek yerine dışarda yemek, tavuk üreten bir firmanın kendi çiftliğinde üretim yapması yerine başka bir yerde bu üretimi yapması veya sigorta yaptırmak bu yönteme birer örnektir.
En kötüsü ise riski görmezden gelmektir. Bu yöntem hiç bir değerlendirme yapmadan, karar almadan, çevredeki gelişmelerden haberdar olmadan yaşamaya devam etmektir.
İnsanların günlük hayatta risk değerlendirmesi yaptıklarını ve yaşantını rastlantılara bırakmadıklarını biliyoruz-en azından ben böyle düşünüyorum. Karşıdan karşıya geçerken, evimize yeni bir eşya alırken, yeni bir semte taşınırken risk değerlendirmesi yapıyoruz. Şirketler de yeni geliştirdikleri işler ve şirket dışındaki gelişmeler ile ilgili risk analizi yapmalı ve olası kayıpları mümkün olduğu ölçüde engellemelidirler. Bunu bir kez yapılacak bir iş gibi görmemeli, her bahar mevsimi sonrası göç mevsiminde gözden geçirmelidirler.
Okyar Tahaoğlu
[1] Longman İngilizce Sözlük
Devamı
