Doğal Riske Karşı Artık Risk: Farklılıklar ve Açıklanan Örnekler

Yayınlanan: 2022-09-29

Bu yazıda, Doğal risk ile Artık riskler arasındaki temel farkların neler olduğuna bakacağız. Her ikisinin de kendi sonuçları var, bu yüzden önce risk yönetiminin ne olduğuna bakalım.

Risk Yönetimi Nedir?

Risk yönetimi, şirket ve kuruluşlarda gerçekleştirilen en temel süreçlerden biridir. Kurumun kar ve kaynak risklerini değerlendirmek, tanımak ve yönetmek olarak açıklanabilir. Konsept yeni değil; ancak kuruluşların riske bakış açısı değişti.

Herhangi bir kuruluşun önemli riskleri arasında finansal güvenlik, düzenleyici yükümlülükler, stratejik yönetim, doğal tehlikeler ve diğer olaylar yer alır. Şirketler genellikle riskleri göz önünde bulundurmadan risk oluştururlar ve görünmeyen riskler oluştuğunda operasyonlarını aksatabilirler. Bu risklerin doğru yönetilememesi, organizasyonun uzun vadeli hedeflerini belirlemesini oldukça zorlaştıracaktır.

Yöneticiler, operasyonda var olan çeşitli risk türlerinin farkında olmalıdır. Riskleri doğru bir şekilde yönetmek için, belirli kontrollerin tasarlanıp uygulanmasından önce ve sonra bunların nasıl değerlendirileceğini anlamak son derece önemlidir. Bu bizi riskler, doğal risk ve kalıntı risk açısından daha önce duymuş olabileceğiniz iki terime getiriyor.

Kuruluş içinde en yaygın ve uygulanabilir iki riske daha yakından bakacağız; birbirleriyle ilişkilidirler ve iyi yönetilmeleri gerekir.

Doğal Risk nedir?

Doğal risk, kısıtlamalar ve kontroller uygulanmadan operasyonda var olan risklerin sayısını ifade eder. Diğer bir deyişle, içsel riskler genellikle operasyonlar üzerinde kontrol olmadığında ortaya çıkar. Bu tür bir tehdit, onları çözmek için herhangi bir çaba gösterilmeden önce doğal olarak mevcuttur; dolayısıyla söz konusu riskler için kurtarma stratejisinin geliştirilmesini etkiler.

Doğal risk, ancak şirketin amaç ve hedefleri belirlendikten ve şirketin hedeflere ulaşmasını engelleyebilecek tüm engellerin farkına varıldıktan sonra belirlenebilir. Riskin organizasyona getirebileceği etkilerin farkına varmanın yanı sıra, yöneticiler, risklerin doğal sebeplerden mi yoksa hatalardan mı kaynaklandığını, nedenini ve kaynağını belirlemeyi de düşünmelidir. Bu, riskin özelliklerini ve kaynağını ortaya çıkaracak ve böylece meydana gelme olasılığını azaltacaktır.

Doğal Risk Örnekleri

Yapısal risk şirketten şirkete farklılık gösterse de, kontrollerle ele alınmadığında önemli güvenlik sorunlarına neden olma potansiyeline sahip bazı yaygın örneklere bir göz atalım.

  • Hassas ve kişisel verilerin kaybı veya yanlış kullanımı – Uygun kontroller olmadan tüm verilerin korunduğundan ve saklandığından emin olun. Yöneticiler ve şirketler, şirket veya müşteri verilerini açığa çıkarabilir veya kaybedebilir.
  • Güvenlik yazılımı veya cihazının olmaması – Çalışan yönergelerinin standart hale getirilmesi ve çalışanların cihazlarına nasıl hitap etmesi gerektiğine ilişkin parola kuralları oluşturulması, şirket yazılımını ve donanımının güvenliğini sağlamaya yardımcı olabilecek kontrollere oldukça iyi örneklerdir. Bu kontroller mevcut değilse veya çok gevşekse, büyük olasılıkla veri ihlalleri olacaktır.
  • Yetkisiz ve uygunsuz kullanıcı erişimi – Bilgiye erişim, yalnızca yetkili çalışanların belirli bilgileri görüntüleyebilmesi ve işleyebilmesi için izlenmeli ve düzenlenmelidir. Belirli bilgilere yanlış bakış açısına sahip olmak, gizlilik yasalarının ihlali, olası davalar, sözleşme ihlali vb.

Denetim, birden fazla risk türünü içerir ve doğal risk, en riskli tehditlerden biri olarak kabul edilir. Daha fazla güvenlik önlemini veya denetçiyi ortadan kaldırmak hafife alınmaz. Ancak, kuruluşun mali tablolarını analiz ederken ele alınmalıdır.

Artık Risk nedir?

Risk yönetiminde, ticari faaliyetlerdeki risklerin üstesinden gelmenin birçok yolu vardır. Artık risk, mekan içinde kontrol olmaksızın var olan bir risktir. Bu tür bir risk, herhangi bir kuruluşun risk olayının olasılığını ve etkisini en aza indirmek için önleyici tedbirler almasından sonra bile hala devam eden risk olarak kolayca gündeme getirilebilir.

Risk transferi, riskin başka bir takıma veya tarafa kaydırılmasıdır. Son olarak, risk kabulü, yönetim belirli bir riskin farkında olduğunda ancak riski çözmek için yatırım yapmamaya karar verdiğinde gerçekleşir. Risklerle başa çıkmak için yapılan tüm çabalara rağmen, var olan veya olmayan tüm riskleri ortadan kaldırmak oldukça karmaşık ve imkansızdır. Riskler, kontrolün hafifletilmesinden sonra kalır ve genellikle artık riskler olarak bilinir.

Artık Risk Örnekleri

Doğal riskler gibi, kalan riskler de her şirket için farklıdır. Güvenlik kontrol altındayken izlenmesi gereken en önemli kalıntı risk örneklerinden bazıları şunlardır:

  • E-posta kimlik avı – Dış taraflardan her zaman bir risk vardır. E-posta kimlik avı, bir saldırganın kişisel bilgi elde etmek için bir e-posta göndermesi veya yalnızca bir sistemi hacklemesidir. Kimlik avı e-postaları genellikle müşteri hizmetleri, şirket yöneticileri veya İK departmanları vb. gibi yetkili göndericilerden geliyormuş gibi görünecek şekilde oluşturulur. Ancak, başlangıçta mesajlar yalnızca kötü niyetli nitelikte üçüncü taraflarca gönderiliyordu.
  • Üçüncü taraf siber saldırı – Bu tür siber saldırılar genellikle, kuruluşun şirket ağı içinde depolanan bilgileri devre dışı bırakmak, bozmak veya kontrol etmek için harici bir niyet olduğunda gerçekleşir. Saldırılar üçüncü şahıslar tarafından gerçekleştirildiğinden, bir saldırının olup olmayacağını ve ne zaman gerçekleşeceğini bilmek oldukça imkansızdır. Uygun kontroller ve düzenli kontrollerle bile, bu hala bir kalıntı risk olarak kalır.
  • Dahili bilgi hırsızlığı – İnsanlar genellikle siber saldırıları yüzü olmayan üçüncü taraf aktörlerle ilişkilendirir. Günlüğe kaydetme ve izleme yoluyla kişisel verilerin yanlış kullanılması ve ayrıcalıklı hesapların kötüye kullanılması gibi doğal riskleri ele alabilirsiniz, ancak bu tür bir saldırı olasılığına yardımcı olabilir, ancak yine de artık bir risk olarak kabul edilir. Şirket içindeki kişiler tarafından gerçekleştirilen sabotajlar da dikkate alınmalıdır.

Risk değerlendirmesi

Yapısal risk değerlendirmeleri, CISOS ve güvenlik ekiplerine güvenlik kontrollerini geliştirmek için bir çerçeve sunar. En üst düzey değerlendirmenin yanı sıra, doğal risk değerlendirmeleri çok az değere sahiptir. Artık risk değerlendirmeleri gerçek değere sahiptir ve siber suçlular bunları istismar etmeden önce riskleri belirlemeye ve gidermeye yardımcı olur.

Artık Risk ve Doğal Risk ve Nasıl Değerlendirilir

riskler nasıl değerlendirilir

Tüm açıklamaları, örnekleri ve doğal risk ile artık riskin nasıl ilişkili olduğunu öğrendikten sonra. Herhangi bir operasyondaki riskleri değerlendirmek ve kontrol etmek için izlenebilecek bazı adımlara bir göz atalım.

1. Riske karşı yanıtı oluşturun

İlk olarak, bir riskin ortaya çıkması durumunda alınması gereken yanıtı bulmak esastır. Bu, risk olasılığı ve risk etkisi, operasyona ve işin kendisine getirebileceği ciddiyet açısından oldukça ilginç hale gelebilir. Analiz dikkatli bir şekilde yapıldıktan sonra risk kolayca yönetilebilir.

2. Deneme kontrolleri

Yerleşik risk kontrollerine erişmek ve istenen riskler için çözüm kadar etkili olup olmadıklarını tahmin etmek için deney yapmak esastır. Riski ortadan kaldırmak için mükemmel olabilir veya olmayabilir, ancak risk belirli bir seviyeye indirilebildiği sürece amaç bu olmalıdır.

3. Risk kontrollerinin oluşturulması

Risk kontrolleri esas olarak riskleri çözmek ve risk azaltmayı yaygın olarak uygulamak için yapılır. Çoğu durumda, risk kontrolü, maliyetten etkilenebilecek riskleri azaltmak için iş operasyonunda ek bir prosedür gerektirir.

tazminat

Kişisel olması gereken riskler çözülürken tüm onarım ve düzeltme planları yapıldı. Bu, daha fazla iyileştirme için veya aynı tehditlerin tekrar tekrar meydana gelmesi durumunda gelecekte referans olması için bilgi getirebilir.

Doğal risk genellikle aşağıdaki gibi soruları yanıtlar:

  • Bu üçüncü taraf hangi genel riski oluşturur?
  • Doğal risk, şirketlerden oluşan ekosistemim genelinde nasıl dağıtılır?
  • Bu üçüncü şahıs bir siber olay yaşarsa, ne kadar kötü olabilir?
  • Hangi üçüncü taraflar birbirine göre en büyük ve en az doğal riski oluşturur?

Artık risk genellikle aşağıdaki gibi soruları yanıtlar:

  • Üçüncü taraf özellikle ne tür bir risk oluşturuyor?
  • Bu üçüncü tarafı etkilemesi muhtemel risklerin türü nedir?
  • Artık risk, şirketlerin ekosisteminde nasıl dağıtılır?
  • Kalan risk bu bireysel üçüncü taraf içinde nasıl dağıtılır?
  • Hangi üçüncü taraflar belirli kontroller, siber olay türleri ve diğer şeyler için en az ve en büyük artık riski oluşturur?

İlişkili:

En İyi 24 Risk Yönetimi Yazılımı

Sarmalamak

Kurumsal risk ve riskin nasıl yönetileceği konusunda gerçek bir anlayış, herkesin hayatının bir parçasıdır. Gelecekteki herhangi bir proje yöneticisi için, farklı risk türlerini nasıl ayırt edeceğinizi ve planlayacağınızı öğrenmek, kaynakları ve zamanı daha verimli yönetmenize yardımcı olacaktır.