Risk Yönetimi Çerçevesi nedir?

Risk yönetimi çerçevesi; bir kuruluş içindeki riski incelemeye, azaltmaya ve izlemeye yardımcı olmak için sıralı olarak yapılandırılmış, kurallara dayalı, belgelenmiş bir yaklaşımdır. Kuruluşlar, geçici süreçlerle riske yaklaşmak yerine standartlaştırılmış çerçeveleri seçer veya kendi çerçevelerini oluştururlar. Bir çerçeve kullanırsanız beklenmedik bir olay durumunda daha iyi sonuçlar ve daha hızlı yanıtlar elde etme konusunda daha emin olabilirsiniz.

Risk yönetimi; genellikle siber güvenlik veya uyumluluk departmanında bulunan yönetişim, risk ve uyumluluk (GRC) iş alanının bir işlevidir. Kuruluşunuzun riskleri ele alma şekli; iş sürekliliği, operasyonlar, mevzuat uyumluluğu ve itibar açısından kritik olabilir. Risk yönetimi çerçeveleri, kuruluş genelinde riskleri tanımlamanıza, değerlendirmenize, azaltmanıza ve izlemenize yardımcı olur. 

Riskler; kuruluşu, iş kollarını ve işletme varlıklarını etkileyebilir. Buna operasyonel ve yasal riskler ile iş, uyumluluk, siber güvenlik, birleşme ve satın alma, gizlilik, donanım, yazılım ve sözleşme riskleri dâhildir. Şirketler genellikle siber riske odaklanır ancak diğer risk türlerini göz ardı etmemek de önemlidir. Bu belge, bulut için geçerli olması sebebiyle temel olarak operasyonel riskler ile iş ve uyumluluk risklerini kapsayacaktır.

Operasyonel risk; altyapının kullanılabilirliği, güvenilirliği, performansı ve güvenliği ile ilgilidir. Bu risk kategorisi günlük operasyonlar için en önemlisidir.

İş riski; itibar, rekabet gücü ve pazar koşulları ile ilgilidir. Bu tür risklerin kapsamı operasyonel riskten daha geniştir ve işletme üzerinde daha önemli bir genel etkiye sahip olabilir.

Uyumluluk riski, iş operasyonlarının gerekli bir mevzuat uyumluluğu standardını karşılamama olasılığını ifade eder. Bu tür riskler para cezalarına, yaptırımlara, yasal sonuçlara veya artan denetim ve raporlama seviyelerine neden olabilir. Uyum hedefleri endüstri standartlarından, federal kurumlardan ve diğer düzenleyici kurumlardan gelir.

Yaygın risk yönetimi çerçeveleri şunları içerir:

• Bilgi Sistemleri ve Kuruluşları için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Risk Yönetimi Çerçevesi (RMF)
• COBIT
• ISO/IEC 31000 Risk yönetimi - Yönergeler
• ISO/IEC 27005:2022 Bilgi güvenliği, siber güvenlik ve gizlilik koruması - Bilgi güvenliği risklerinin yönetilmesine ilişkin yönergeler
• Bilgi Riskinin Faktör Analizi

Riski yönetmeye ilişkin en iyi uygulamalar konusunda güncel bilgiler almak için bilinen ve düzenli olarak güncellenen bir risk yönetimi çerçevesi kullanılması tavsiye edilir.

Sağlam bir risk yönetimi çerçevesi, kuruluş genelinde her türden riskin yönetilmesine yardımcı olur.

Risk tanımlama

Kuruluş mimarisindeki tüm varlıkları, tehditleri ve güvenlik açıklarını tanımlayın. Risk, bir varlığa yönelik olarak güvenlik açığından kaynaklanan tehdittir. Potansiyel riskleri belirlemek, birden fazla kurumsal vektörü ve iş hedefini kapsayan uzun bir süreç olabilir.

Riskleri teknik, çalışanlar, süreç, finansal veya üçüncü taraf gibi alanlara ayırabilirsiniz. Ayrıca bu daha geniş kategorilerin her birini de alt bölümlere ayırabilirsiniz. Örneğin, "çalışanlar" kategorisini, beceri, manuel hata ve bilgi siloları şeklinde ayrıntılandırabilirsiniz.

Etki analizi

Varlıklarınızı, tehditlerinizi ve güvenlik açıklarınızı analiz ederek bir riskin ortaya çıkma olasılığını ve etkisinin boyutunu belirleyebilirsiniz. Analiz ve risk değerlendirmesi, nitel ve nicel ölçümleri içerir. Örneğin, belirli bir risk türüyle ilgili tüm ayrıntıları toplayabilir veya riskleri kategorize etmek için sonuçları ve azaltma stratejilerini belirleyecek risk puanlama matrisleri geliştirebilirsiniz. Bu kategoriler, bir olayın ortaya çıkma olasılığına ve beklenen etkisine bağlı olarak düşük, orta, yüksek ve çok yüksek gibi risk puanlarını içerebilir.

Azaltma stratejileri

Aşağıdakiler, her bir spesifik riski ele almaya yönelik dört risk azaltma stratejisidir:

• Azaltma: Riski ortadan kaldırmak veya azaltmak için denetimler uygulayın
• Kabul: Riskin olasılığına veya ciddiyetine ilişkin değişiklikleri dikkatle izlerken riski olduğu gibi kabul edin
• Kaçınma: Riski ortadan kaldırın ve sistemleri yeniden yapılandırın
• Transfer: Riskle ilgili işlevi dışarıdan temin edin, sözleşmeye dayalı azaltma önlemleri oluşturun veya olaya karşı sigorta sağlayın

Riskin kritikliğine ve olasılığına ek olarak kurumsal risk iştahı da uygun stratejinin belirlenmesine yardımcı olabilir.

Çözüm uygulaması

Seçilen azaltma stratejisine bağlı olarak denetimler uygulayabilir, sistem değişiklikleri yapabilir, izleme çözümleri sunabilir ve riski dışarıdan temin edebilirsiniz. Denetimler idari, fiziksel veya teknik olabilir. Bu aşama, istenen sonucu üretmek için birden fazla sistemi, iş birimini, paydaşı ve adımı içerebilir.

Bir risk azaltma çözümü, olay sonrası planlar geliştirmek için risk bildirme süreçlerini, risk sahiplerini ve olay müdahale ekipleriyle iş birliğini içerebilir.

Çözümü uyguladıktan sonra kalan riski hesaplayın. Çoğu çözüm, riski tamamen ortadan kaldıramaz. Bu nedenle geride bir miktar risk kalacaktır. Bu kalan risk, koşullar değiştikçe dalgalanabilir.

Yönetişim ve sürekli izleme

Risk azaltma çözümü uygulamasından sonra gerektiğinde riskleri izlemeli, takip etmeli, analiz etmeli ve denetlemelisiniz. Risk sahipleri, GRC ekipleri ve yöneticiler için risk izleme sürecine raporlamayı eklemelisiniz.

Yönetişim çerçevesinde, işletmeye yönelik yeni ve artan riskleri belirlemek için isteğe bağlı ve düzenli olarak planlanmış bir süreç olmalıdır. Risk yönetimine ve mevcut süreci yeniden değerlendirme sıklığına ilişkin politikalar oluşturmalı ve uygun ekip üyelerine eğitim vermelisiniz. Aynı risk türlerinin tekrarlamasını otomatik olarak önlemeye yardımcı olmak için bütünlük korumaları uygulayın.

Bu kılavuz, tipik bir risk yönetimi çerçevesinin aşamalarıyla uyumlu bir AWS işlem hattının nasıl uygulanacağını gösterir.

Destek için risk yönetimi sürecinin her aşamasında üç temel AWS hizmeti kullanılır:

• AWS Denetim Yöneticisi'ni kullanarak risk ve uyumluluk değerlendirmesini basitleştirmek üzere AWS kullanımınızı sürekli olarak denetleyin
• AWS Config'i kullanarak kaynaklarınızın yapılandırmalarını belirleyin, denetleyin ve değerlendirin
• AWS Security Hub'i kullanarak otomatik korelasyon ve gelişmiş risk bağlamının yanı sıra güvenlik durumu raporlaması gibi özellikler aracılığıyla kritik güvenlik sorunlarınızı önceliklendirin

1. Planlama

Planlama aşaması, kuruluşun en iyi risk yönetimi süreç uygulamalarını oluşturmak için sağlam bir altyapıya sahip olmasını sağlar.

Aşağıdaki hizmetlerle en iyi risk yönetimi etkinlik uygulamalarını gerçekleştirmeyi planlayın:

• AWS CloudTrail ile kullanıcı etkinliğini ve API kullanımını izleyin
• AWS Control Tower ile güvenli ve birden çok hesaplı AWS ortamınızı kurup yönetin
• AWS Kimlik ve Erişim Yönetimi ile kimliklerin yanı sıra AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetin
• AWS IAM Erişim Yöneticisi ile AWS kaynaklarınıza yönelik haricî, dâhilî ve kullanılmayan erişimi belirleyin
• AWS Kuruluşlar ile birçok AWS hesabı için politikaya dayalı yönetim sağlayın
• AWS Gizli Bilgi Yöneticisi ile kuruluşunuz genelinde gizli bilgilere erişimi yönetin
• AWS Sistem Yöneticisi ile otomatik yama ve uyumluluk sağlayın

2. Keşif

Keşif aşaması; varlıklarınızı, kaynaklarınızı ve hizmetlerinizi keşfedip etiketler.

Varlıklarınızı keşfetmek ve kategorilere ayırmak için aşağıdaki AWS hizmetlerini kullanın:

• Amazon Macie ile hassas verilerinizi keşfedin ve koruyun
• AWS CloudFormation ile kod olarak altyapıyı (IaC) sisteme katın
• AWS Kaynak Gezgini ile AWS genelinde ilgili kaynakları arayın ve keşfedin
• AWS Sistem Yöneticisi Envanteri ile AWS bilgi işlem ortamınıza görünürlük sağlayın
• AWS Well-Architected Aracı ile bulut mimarinizi en iyi uygulamalara göre değerlendirin

3. Denetimlerin ve kuralların seçimi

Seçim aşaması, tanımlanan risklere karşı korunmak için denetimler ve kurallar sunar.

Aşağıdaki AWS hizmetlerinde, önceden tanımlanmış en iyi uygulama kurallarından denetimler seçin:

• AWS Config yönetilen kuralları, AWS kaynaklarınızın yaygın en iyi uygulamalara uygun olup olmadığını değerlendirmek için kullandığı önceden tanımlanmış ve özelleştirilebilir kurallardır
• AWS Control Tower ve AWS Security Hub, güvenlik denetimleri sunarken AWS Denetim Yöneticisi ise politika uyumluluk denetimleri sağlar.
• AWS Sistem Yöneticisi Uyumluluğu, AWS Sistem Yöneticisi'nde bulunan, BT veya iş gereksinimlerinize göre kendi uyumluluk türlerinizi ve tanımlarınızı oluşturabileceğiniz bir araçtır

4. Uygulama

Uygulama, denetimlerin istenen tüm varlık ve ortamlara tutarlı bir şekilde uygulanmasıdır.

AWS hizmetlerinde aşağıdaki denetim uygulama araçlarını kullanabilirsiniz:

• Gömülü denetim dağıtımları için olan AWS CloudFormation ile AWS Hizmet Kataloğu'nu birlikte kullanarak seçilmiş IaC şablonlarınızı oluşturun, paylaşın, düzenleyın ve yönetin
• AWS Config ile denetim kuralları oluşturun ve sonraki adımlara geçin
• AWS Security Hub ile güvenlik kurallarını uygulayın
• AWS Sistem Yöneticisi ile kaynaklar ve hizmetler genelinde politikalara uyum sağlayın

5. Değerlendirme

Değerlendirme, uygulanan denetimlerin pratikte ne kadar iyi performans gösterdiğini ölçer.

Kuruluşunuzun riskleri ne kadar iyi yönettiğini aşağıdaki AWS hizmetleri kombinasyonuyla değerlendirebilirsiniz:

• AWS Denetim Yöneticisi ile izlenebilir değerlendirmeler oluşturun
• AWS Config ile uyumluluk kurallarına göre kontrol edin
• Amazon Detective ile potansiyel güvenlik sorunlarını denetlemek adına güvenlik verilerini inceleyip görselleştirin
• Amazon GuardDuty ile AWS hesaplarında, iş yüklerinde ve verilerde sürekli tehdit izleme gerçekleştirin
• AWS Inspector ile otomatik güvenlik açığı risk değerlendirmeleri gerçekleştirin
• AWS Security Hub ile her zaman açık güvenlik riski değerlendirmeleri elde edin

AWS Trusted Advisor, risk yönetimi çerçevelerini ayarlayan kuruluşlar için başka bir seçenektir. AWS Trusted Advisor hizmeti; maliyet optimizasyonu, performans, güvenlik, hata toleransı, hizmet sınırları ve operasyonel mükemmellik konularında denetimler sağlar. Uyarıları, önerilen eylemleri ve ek kaynakları, pano aracılığıyla görüntüleyebilirsiniz. AWS müşterileri araca şu adresten erişebilir:​https://console.aws.amazon.com/trustedadvisor/home.

6. Yetkilendirme

Yetkilendirme işlevi; kalan riske ve izlemeye yönelik yaklaşımı, önceki adımları ve kabulü resmîleştirir.

Aşağıdaki AWS hizmetlerini kullanarak güvenle yetki dağıtın:

• AWS Artifact; AWS ve ISV için güvenlik ve uyumluluk raporları üretir
• AWS Denetim Yöneticisi, karar vericilere rapor sağlar
• AWS Config, uyumluluk raporlarını ve izlemeyi ayrıntılarıyla açıklar
• AWS Security Hub, sistem güvenliği ve raporlama durumunun gerçek zamanlı görünümünü sunar

7. İzleme

Sürekli izleme, risk yönetimi sürecinin güncel kalmasını ve yeni ve değişen riskleri içermesini sağlar.

Aşağıdaki AWS hizmetleriyle sürekli izleme yeteneği elde edin:

• AWS CloudWatch; uygulamaları izler, anormallikler hakkında uyarılar yapar ve uyumluluk için operasyonel duruma ilişkin öngörüler sağlar
• AWS Config, sürekli uyumluluk izleme özelliği sunar
• Amazon EventBridge, diğer AWS hizmetlerindeki tetikleyicilere dayalı otomatik yanıtlar oluşturur
•  AWS Security Hub, sürekli güvenlik izleme özelliği sunar
• AWS Sistem Yöneticisi, yama ve yapılandırma izleme özelliği sunar

Kurumsal dayanıklılıklarını ve performanslarını geliştirmek isteyen kuruluşlar bir risk yönetimi çerçevesi uygulamalıdır. Risk yönetimi çerçeveleri, işletmeye yönelik riskleri azaltmaya ve anlamaya yardımcı olarak bu bilinmeyenleri çok daha yönetilebilir hâle getirir.

Standartlaştırılmış bir çerçeve seçmek ve üzerine inşa etmek, başlamak için iyi bir yoldur. AWS, çerçeve uygulamalarını kolaylaştıran hizmetler sunar. AWS Well-Architected Çerçevesi ile birlikte AWS'de yönetişim, risk ve uyumluluk için sağlam bir altyapı oluşturabilirsiniz.

AWS'de kendi risk yönetim süreçlerinizi oluşturmaya başlamak için hemen ücretsiz bir hesap açın.