7 En İyi Risk Uygulaması

Yapamadığınız Değerlendirme Raporlaması

17 Ocak 2018 | Blog, Risk, Vulnerability

Güvenlik Danışmanlığı Endüstrisinde kimsenin değinmediği küçük kötü bir giz vardır. Çoğu güvenlik profesyoneli bunu az çok bilir, kimileri bunu yüksek sesle itiraf eder, kimileri ise bu konuda hiçbir şey yapmazlar. Bu gizem hakkında; çoğu güvenlik danışmanı risk değerlendirme raporlamasını göz ardı ederler.

Bu problemin iki hassas yönü vardır. Birincisi, raporlama Best Pratiklerin neyle başlaması gerektiğinin net olmamasıdır. İkincisi ise; bu net bile olsa, çoğu danışmanın isteseler de gereklilikleri karşılayamamasıdır.

İlk problem standart oluşturma konusudur. Risk Değerlendirmesinde objektif standartlar olmadan raporlama standardını anlayamayız. İkinci problem ise; teknoloji konusudur. Güvenlik danışmanları kâğıda dayalı raporlama metotlarına bağlı kalsalar da, müşterilerinin aradıkları raporlama standartlarını karşılayamazlar.

Teknoloji konusunu daha önce ele aldık, yeniden değinmeyeceğiz. Bunun yerine, güvenlik profesyonellerinin sundukları her değerlendirme raporunda karşılamaları gereken 7 temel uygulamaya değineceğim.

İlgili Konu: Risk Analiziniz Gerçeklere mi, yoksa hayallere mi dayanmaktadır?

1) Müşteri Odaklı Raporlama

Risk Değerlendirme Raporlaması için en temel ve en iyi uygulama Müşteri Odaklı olmasıdır. Müşteriler riski indirgemek ve kaybı önlemek için size iyi para ödüyorlar. Çoğu zaman, uygunlukları sağlamada ve ağır cezalardan kaçınabilmekte size güveniyorlar. Bazıları ise insanlarını saldırılardan korumak için bunu yapıyor. Bu büyük mesele!

Her iki halde de, danışmanlar unutmamalı ki; müşteriler kendi işlerini geliştirebilmek üzere oluşturulacak gerçek değer hakkında danışmanlara güvenmektedirler. Müşterilerin üstün güvenlik ihtiyaçlarını karşılamak için raporlarınızı uygun hale getirin.

2) Detaylı Raporlama

Halihazırda bildiklerini onlara söylemeye kimse danışman tutmaz. Yine de danışmanlar defalarca, müşterinin bildiği temel bilgilerle bezenmiş sıkıcı raporları kullanır dururlar : Yıldız Şti. 400 m² ‘lik otoparkı olan 6000 m²lik alan üzerinde 300 m² lik alanda 3 katlı bir tesisten oluşmakta olup, altı tane çift kapılı girişi, 24 güvenlik kamerası, 18 dış ışıklandırması, 3 acil çıkış kapısı …

Bu tür bir rapor müşterilerinizi hiçbir şey ifade etmez ve assetlerini korumaya hiçbir faydası olmaz. Bunun yerine, her bir risk değerlendirme raporunda uygunsuzluğu ifade eden, riski arttıran hususlar listelenmelidir:

• Uygunsuzluk nedir?
• Nerededir?
• Nasıl giderilebilir?
• Önceliği ne düzeydedir?

Bu tür detaylar olmaksızın raporlar müşterinin riskini azaltmaz.

3) Görsel Bilgi

Kâğıt temelli raporların bir diğer problemi ise; bir problemin tarifi veya konumu için çokça kelime içermesidir. Bu tür hatalar raporun kullanışlığını azaltır çünkü rapordan alınacak küçük bir bilgi için bile çok fazla enerji gerektirir. Her bir uygunsuzluk için kullanılacak sayfalarca kelime raporu bir klasöre dönüştürür ve içinden küçük bilgilere ulaşma zorlaşır.

Diğer taraftan raporda kullanacağınız görsellerle, sayfalarca yazıda verilecek bilgiyi tarif edebilirsiniz. Herbir konu ile ilgili fotoğrafları ve mümkünse jeolojik zemin planlarını içeren görsel bilgi her raporda bulunmalıdır.

Resimler sadece etkin iletişimi sağlamaz, aynı zamanda rapora duygusal bağlam (emotional context) da ekler. Yönetsel Liderler zemin planlarında kırmızı noktalar gördükçe bu durum onların acil düzeltici aksiyonları derhal giderme gerekliliklerine yöneltir.

4) Eylemsel Öğeler

Risk değerlendirme raporlarınızın değeri düzeltici aksiyonları temin etmenizi sağlar. Raporunuzda her konuyu listelemeniz, sorunu nasıl gidereceğini bilmeyen müşteriye fayda sağlamaz.

Birçok güvenlik danışmanı detaylı düzeltici aksiyondan bahsetmeden verdikleri raporlarla müthiş bir iş yaptıklarını düşünür. Ancak tedavisiz teşhisler hiçbir hastayı iyileştirmez. Yanlış olan şeyi düzeltecek detaylı aksiyon planlarına yer vermedikçe müşterilere yardım etmiş olunmaz.

5) Proje Yönetimi

Açık kalan konulardaki gelişmelerin takibini sağlayarak müşterilerinize işi kolaylaştırın. Raporlarınızı aşağıdaki proje yönetimi detaylarını içerecek şekilde sunun.

• Konunun önceliği
• Konunun durumu
• Sorumlu kişi
• Çözümleme termin tarihi
• Çözümleme gideri ve senelik bakım gideri

Hazır proje yönetimi araçları (Microsoft Project) müşterilerinize raporlarınızdan daha yüksek kazanım çıkarmalarını öne çıkarır ve her bir konuyu hallettikçe ilerlemelerini takip etmelerini sağlar.

6) Analytics

Müşteriler ilerlemelerini zaman zaman gözlemleyebilmelidir. Birden fazla tesisleri varsa, binaları karşılaştırma ve trendleri belirleyebilmelidirler. Arama ve Süzme imkanlarını tanıyan raporlar müşterilere tesislerini analiz etme imkânı tanır. Bu durum, kağıtla veya pdf ile verilen raporlarla sağlanamaz. Ancak dijital teknoloji hizmet alan müşterilere zengin analitik imkanlar sunup, başarılarına katkı sağlar.

7) Güvenli Veri

Bu konunun 2018 de halen gündemde olması bizi şaşırtmaktadır. Güvenlik Danışmanları daima güvensiz veriyi güvensiz networklerde paylaşmaktadır. Email’ler, PDF’ler güvensizdir. Laptop’ınız güvenli değildir. Hatta kâğıda geçen notlar da güvenli değildir. WiFi kullandığınızda da güvensiz networklerdesinizdir.

Bu tür teknolojileri her kullandığınızda müşterinizin hassas verisini riske atarsınız.

Bunun yerine, müşterinizin bilgilerini korumak için güvenli Cloud hesaplarına itibar etmelisiniz. Güvenli veri merkezlerince korunan güvenli server’lara raporlarınızı saklayınız. Bu server lara korunan şifrelerle erişilir. Zaafiyet ve tehditlerle uğraştığınızda, bundan daha azı etik olmaz.

İlgili Konu: [Exper Röportajı] Müşterinizin verisini yeterince koruyor musunuz?

Ne Yapacaksınız?

Risk Değerlendirme Raporlaması için belirlenmiş bir Best Practices (İyi Uygulama) yoktur. Bunun için bir endüstriyel standart geliştirilmelidir. Danışmanlık Müşterileri bunu hak ediyor ve ilgili makamlar da bunun beklentisi içindedir.

Related original link : https://www.circadianrisk.com/2018/01/17/7-best-practices-of-risk-assessment-reporting-that-youre-not-doing/?utm_source=twitter&utm_medium=blog&utm_campaign=7+best+practices