Kurumsal risk yönetimi dendiği zaman akla doğal olarak pek çok konu gelmektedir. Temelde hedeflerimize ulaşmamızı etkileyen tüm iç ve dış kaynaklı olayları risk olarak değerlendirebiliriz. Risk yönetimi ise; potansiyel risklerin tehlikeye dönüşmeden, sistematik olarak, olası zararların etkisini azaltıcı yönde ve verilere dayanarak yönetilmesidir.
Tehdit bir ortamdaki mevcut ve genel tehlikeler, risk ise bu tehlikelerden kaynaklanabilecek sonuçlardır. Her tehdit her mekana ve değere risk oluşturmayabilir veya alınan önlemlerle risk seviyesi düşürülebilir.
Güvenlik teknolojilerinin risk yönetimin sadece bir parçası olduğu doğru ancak en önemli parçalardan biri olduğu da tartışılmaz. Güvenlik risk analizi herhangi bir kurumu, şirketi, yapıyı, binayı detaylı şekilde inceleyerek olası tehditleri saptamayı ve bu tehditleri en aza indirecek şekilde planlama yapılmasını içerir. Risk değerlendirmesi tarafsız ve yaratıcı olmalı ve bu değerlendirmenin sonrasında bir olasılık-etki matriksi oluşturulmalıdır. İçinde bulunduğumuz şartlar dinamik olduğu için analizlerin belirli sıklıkta tekrarlanması planlarımızın güncel olması açısından büyük önem taşır.
Güvenlik riskleri dendiğinde risklerin tek tek ele alınması da yeterli olmayabilir, çünkü gerçek yaşamda olaylar zincirleme reaksiyonlar şeklinde ya da eş zamanlı gerçekleşebilir. İnsanları, şirketleri, yatırımları koruyabilmek için tehditlerin farkında olmak ve en büyük etkiyi yapacak riskler üzerine odaklanmak gereklidir.
Güvenlik tehditleri neler olabilir diye düşündüğümüzde ilk aklımıza gelenler:
1) Hırsızlık ve dolandırıcılık
2) Markalara ve şirket bilinirliğine dönük saldırılar
3) Veri kaybı
4) Doğal afetler
5) Vandalizm
6) Kişilere dönük tehditler
7) Kazalar
8) Terörizm
Tehditler elbette bölgeye ve işletmeye göre değişiklik gösterir ve kapsamları farklılık gösterebilir. Örneğin hırsızlık illa elle tutulan, somut birşeyin çalınması demek değildir, son yıllarda üzerinde sıklıkla konuşulan fikir hırsızlığı pek çok şirketin en büyük riskleri arasında yer almaktadır. Şirket bilgisayarından küçücük bir USB belleğe aktarılan veriler pek çok şirketin kaderini değiştirebilir.
Risk analizi yapılırken mevcut tehditlerin yanısıra mutlaka geçmiş veriler de değerlendirilmelidir.
1) Son 2 yılda gerçekleşen güvenlikle ilgili vakalar
2) Geçmiş olayların tipleri ve kategorizasyonu
3) Mevcut güvenlik önlemleri ve planları
4) Olası diğer risk ve tehditler
5) Olayların kurum üzerindeki etkisi-finansal ve operasyonel
Yine aynı süreçte dikkate alınması gereken diğer konular ise:
1) Karar vericilerin saptanması-hangi durumda hangi merci karar vermeye yetkili
2) Prosedürlerin incelenmesi ve etkinliklerinin değerlendirilmesi
3) Güvenlik prosedürlerinin şirket politika ve genel prosedürleriyle uyumu
4) Güvenlik harcamalarının değerlendirilmesi
5) Mevcut güvenlik sisteminin etkinliğinin değerlendirilmesi
İyi bir güvenlik ve risk analizinin elbette ayrılmaz parçası saha analizidir. Saha analizi sadece kurumun kendi fiziksel güvenliğinin incelenmesinden ibaret değildir, dış çevrenin de mutlaka değerlendirilmesi gerekir. İyi bir saha analizi çevre şartlarını ve kurumun kendi fiziksel güvenliğini kapsamalı, yangın ihbar ve söndürme sistemlerinin değerlendirmesini de içermelidir.
Elbette hedeflenen güvenlik seviyesi şirketten şirkete farklılık gösterebilir. Dolayısıyla değerlendirmeler yapılırken mutlaka beklenen güvenlik seviyesi de göz önüne alınmalıdır. Temelde göz önüne alınması gereken konular:
1) Kapsam ve sınırlar: Güvenlik sağlanması istenen bölgenin net bir şekilde tanımlanması gerekir. Bu tanımlama içinde işletmenin çalışma saatleri, insan ve araç trafiği gibi konular da değerlendirilir.
2) Mevcut sistem ve altyapı: Mevcut sistem ve etkinliği değerlendirilmelidir.
3) Yasal düzenlemeler: Bölgeye veya işletmeye dönük özel yasal düzenlemeler varsa bunlar da mutlaka göz önüne alınmalıdır.
4) Olası ek önlemler: Kurulması gereken ek sistemler düşünülmelidir. Ancak bu esnada iletişim altyapısı ve enerji gereksinimleri de göz önünde bulundurulmalıdır.
Olasılık-etki matriksi nedir?
Olası risklerin ve saha analizinin tamamlanmasının ardından olasılık-etki matriksinin hazırlanması gerekir. Bu matriks temelde işletmenin karşıya karşı olduğu riskler, bu risklerin ortaya çıkma olasılığı ve işletme üzerindeki etkisini değerlendirmeye dönüktür. Örneğin şiddetli bir depremin etkisi işletme üzerinde yıkıcı olabilir ancak deprem bölgesinin dışında kurulmuş bir işletme söz konusuysa bu riskin olasılığı çok düşük olacağından kritik olarak değerlendirilmez.
Açıkça anlaşılabileceği gibi olasılık-etki matriksinde öncelikli ele alınması gereken konular kırmızı alanlardır, ancak bu matriks elbette işletmenin politikalarıyla eş güdümlü şekilde değerlendirilmelidir. Örneğin olasılığı çok düşük olsa dahi gerçekleşmesi halinde şirketi yıkıma sürükleyecek bir konuya dair de hazırlıklı olmak tercih edilebilir.
Dolayısıyla genel olarak bakıldığında:
1) Durum değerlendirmesi ve saha analizi yapılmalı
2) Gerçekçi ve tarafsız bir değerlendirme ile riskler ve tehditler saptanmalı
3) Bu risklerin/tehditlerin gerçekleşme olasılıkları değerlendirilmeli
4) Olasılık-etki analizi tamamlanmalı
5) Risklerin gerçekleşme ihtimalini azaltacak aksiyonlar planlanmalı
6) Riskin gerçekleşmesi durumunda neler yapılacağı planlanmalı
