Üst Menu
Search
Generic filters

Ana Menu

Güvenlikte Risk Analizi ve Yöntemi

Güvenlik; sözlüklerde güvende olma hali olarak yer almakta, tehlike, korku ve endişeden uzak olma mahiyetindedir. Güvenlik; insanları, varlık ve değerleri (Asset), bina, operasyon ve ticari süreçleri korumak üzere, kurum ve kuruluşların her birinin özelliklerine göre geliştirilen metodoloji ve stratejilerle sağlanır.

Tayfun BORA
Emekli Emniyet Müdürü

Bunlar yapılırken güvenlik yönetim planları, uygulamaları, gözlemleri, değişik alternatiflerle kullanılan insan gücünü, giriş kontrol tekniklerini ve alarm sistemleri ile tahkikatlar gibi koruma stratejileri kullanılır. Bu olguları birbiri ile bağdaştıran nokta ise prosedürlerdir. Dolayısıyla prosedürleri de bu stratejiler arasında saymak gerekir.

Ortaya konulan tüm yapılarda akıldan çıkarılmaması gereken en önemli olgulardan biri; güvenliğin sadece bir güvenlik yöneticisi veya ekibinin bu işi üstlenmesi ile yürütülmemesidir: Güvenlik topyekûn bir faaliyettir. Güvenlik yöneticileri bu faaliyette yönlendirici, eğitici ve değerlendirici koordinatör vasfında çalışmalıdırlar. Çeşitli yönetim fonksiyonlarının ne tür saldırılar altında kalabileceği Güvenlik bakış açısına sahip kadrolarca netleştirilebilir çünkü onlar suçlu yaklaşımları konusunda araştırmacı ve geniş bilgi sahibi insanlardır. Ancak bu kadrolar da yönetim ve imalat süreçlerini tam bilmezler. Onun için iş kolları ile birlikte çalışmalıdırlar. Bu durum aynen, bilgisayarcıya iş süreçlerinde kullanılacak yazılımı yazdırmak gibidir.

Güvenliğin hayata geçirilebilmesi için birkaç çeşit uygulama bulunmaktadır. Hepsinin kendince farklı yararlılıkları vardır ve en yaygın dört tanesi şunlardır.

  • Temel Güvenlik
  • Paket Güvenlik
  • Güvenlik Zafiyet Analizi ve,
  • Güvenlik Risk Analizine Dayalı Güvenlik Önlemleri

Araştırmacı Broder 2006 yılında yayımlanan çalışmasında güvenlik risk analizinin faydalarını; hangi bölgelerin daha fazla veya daha az güvenlik gerektirebileceğini belirlemek ve uygun maliyetli karşı tedbirler geliştirebilmek ve bunun için makul gerekçeler toplamaya destek olmak olarak tanımlar.

Risk Analizleri hazırlanırken, topyekûn faaliyet bakış açısıyla, sürdürülecek faaliyetlerde organizasyonun iş kolları ile iş birliğine dayalı kapsamlı yaklaşımın sergilenmesi ön plana çıkar. Dolayısıyla güvenlik; ekibin elinde silah, korumayı sadece kendi yapmaktan ziyade, herkese nasıl korunulabileceği mantığını öğretmekle yürütülmelidir. Bu bilgi ile tüm personel kendi riskini kendi azaltır. İşte o zaman karşı korunma tedbirleri, diğer tüm personelin de katkılarıyla topyekûn bir faaliyet olur: 10 kişilik bir güvenlik ekibinin görmesi ve duyması veya algılayıp müdahale etmesinin ötesinde, güvenlik faaliyeti o organizasyonda kaç kişi varsa (100, 1000, 10.000 vs.) o kadar fazla algı ve tepki ile yürütülür.

M.Ö. 460 – M.Ö. 395 yıllarında yaşamış Atinalı filozof, tarihçi ve General Thucydides “Bir Şehrin güvenliği kuvvetlendirme faaliyetlerinden ziyade, İçinde oturanların ruh durumu ile ilgilidir.” demiştir. Bu durum organizasyon içindekilerin organizasyona bağlılığı ve korunma konusunda göstereceği azim ile tasvir edildiğinden, çalışan katkısının gerekliliği topyekûn olabilme olgusunun korunmada ne kadar önemli olduğunun göstergesidir.

Başarılı bir güvenlik risk analizi sağlamak için temel şartlardan birisi yönetim kademeleri ile varlık (Asset) sorumluları arasındaki tutarlı ilişkidir. Bu iki yolla edinilebilir:

İlki; üst yönetimden tüm yöneticilerin katılımıyla güvenlik risk analiz süreci ile ilgili resmi, onaylı bir yönergenin tüm organizasyona tebliğ edilmesi gerekmektedir. Böylece tüm organizasyon içinde herkes yönetimin bu konuya çok değer verdiğini görerek istekli ve katılımcı davranacaklardır. Aksi takdirde bu şuna benzer: Hastasınızdır ve kendinizi hastalıktan uzak tutmak ve tedavi için doktor temin edersiniz, çağırır veya ona gidersiniz ama verdiği ilaçları almazsınız. HİÇ FAYDASI OLMAZ.

İkinci olarak, güvenlik yöneticisi tüm bağlı bölüm müdürleri ve varlık sorumlularıyla önceden hareket ederek irtibat halinde olabilir ve bazı güvenlik risk analiz toplantıları düzenleyebilir. Bu toplantılar çoğu zaman beyin fırtınası oturumu şeklinde olur (yorumların analiz sonuçlarının geri dönüşümü için muhtemelen her üç ayda bir yineleme gerekir.). Bu noktada beyin fırtınası sayesinde katılımcılar kendi tehditlerini kendileri tespit etmiş ve karşı tedbirleri de kendileri bulmuş gibi hissedeceklerinden güvenlik programlarına daha katılımcı davranacaklardır.

Güvenlik müdürü bu sürece liderlik eder, detaylı perde arkası analizini yürütür ve bu metodoloji için sistemler üretir.

TEMEL GÜVENLİK ÖNLEMLERİ:

Temel Güvenlik Önlemlerinin birçok alternatif içerisinden kullanılması çoğu yanlış ve anormal davranışı, suçu belirler. Kullanılabilecek bu alternatifler; Giriş kontrol sistemleri, Engeller (Bariyerler),Gözetleme, Nöbetçiler, Prosedürler vb. gibidir.

PAKET GÜVENLİK:

Paket güvenlik, kurumun politikaları ile ve bina türlerine göre ne tür güvenliğin ticari güvenlik için kullanılabileceğinin belirlendiği, çok kullanılan bir yaklaşımdır. Bunda, şirket politikası uyarınca zorunlu olan güvenlik önlemleri de içerilebilir. Paket güvenlik genellikle tam zamanlı güvenlik yöneticisi yerine temas kurulan güvenlik noktası bulunan yerlerde bulunur. Dağınık tesisli büyük kuruluşlar için paket güvenlik düzgün çalışabilir.

GÜVENLİK ZAAFİYET ANALİZİ:

Operasyon, iş ya da tesiste; suça fırsat veren güvenlik açıklarının tespit edilmesini sağlayan bir yöntemdir. Bunun etkili olabilmesi için, mevcut yerel suçların bilinir olması gerekmektedir. Güvenlik risk analizi sürecinin ayrılmaz bir parçası olan teorik yaklaşımlarla yürütülür.

Temel Güvenlik Önlemleri, Güvenliğin temelini ve Güvenlik Risk Analizini oluşturur ve ek güvenlik önlemlerinin nerede ve ne zaman gerekli olduğunu belirler. Bu ortak çalışmaya dayalı ve tekrarlı bir metodolojidir, tüm Varlık Sorumlularını kapsar, Güvenlik riskleri; sürekli olarak gözden geçirilir ve özel, uygun, risk orantılı güvenlik önlemleri temel standartlar üzerine inşa edilmiştir.

(Yani tüm kapılar kilit gerektirir, fakat bir suç tehdit oluşturuyorsa ve kapıların alarma ihtiyaç olması yönünde bir önlem gerekiyorsa bunu güvenlik risk analizi belirler.)

Örneğin; Çoğu petrol (gaz) istasyonlarında standard temel güvenlik önlemleri bulunur (CCTV, Kasa, panik düğmeleri, kilitler, Sızma detektörleri vs.). Fakat ne zaman ki risk analizleri soygun riskinin arttığını gösterir, o zaman özellikle gece saatlerinde otomatik dükkân kitleme, kurşun geçirmez bir bölmeden servis verme gibi daha gelişmiş tedbirlere gerek duyulur.

Bilindiği gibi biz güvenlikçiler, “Asla 100 % güvenlik diye bir şey yoktur.” İfadesini çok sık kullanırız. Aynı durum risk değerlendirmede de benzer şekilde ifade edilir.

Riskler, önceliklendirme ve öncesinden analiz edilme ile azaltılabilir. Asla tam olarak ortadan kaldırılamaz. Bu risk azaltması da, güvenlik önlemlerinin uygulanması, faile suçu daha riskli hale getirmek için çevrenin yeniden şekillendirilmesi (dizayn), bir ticari faaliyeti yürütmek için daha az riskli bir yol bulunması, olasılıkları ve doğal iş zafiyetlerini ortadan kaldırma ve sigorta gibi bir takım yöntemlerle elde edilebilir.

Güvenlik risk analizi, önemli bir kurumsal yönetim aracı olan güvenlik risk yönetiminin genel sürecindeki ilk aşamadır. Güvenlik risk analizi; istenmeyen, genellikle kötü niyetli olayların olasılığını değerlendirme ve potansiyel etkisi ve zafiyetlerine karşı önlemlerin alınma metodolojisini sağlar.

  • Varlıkları tanımlamak ve var olan içeriklerini karakterize etmek.
  • Olası istenmeyen olayları(tehditler) tanımlamak.
  • Her tehdidin olasılığını hesaplamak.
  • Tehdit oluştuğu zaman varlığa (asset) olası etkilerini belirlemek.
  • Bir grafik üzerinde ‘ham’ riskin seviyesini (IRV ya da orta risk değeri olarak da bilinir) belirleyen olasılıkları ve etkileri göstermek.
  • Koruma önceliklerini belirlemek için Zafiyete ve kontrol edilebilirliğe karşı ‘ham’ riskin ölçülmesi.

Risk hesaplaması yukarıdaki ölçütlerin yerine getirilmesi ile ortaya konur. Risk değerlendirmeleri yapılırken genelde bazı hatalara düşülür. Bunların başında riskin tanımlanması gelir. Risk tanımlanırken tanımın içerisinde 3 olgunun tanım içerisinde yer alması gereklidir. Bu üç olgu; Saldırgan, Asset (Korunması gereken değer) ve Saldırganın davranışı (Niyeti ve hareket tarzı) dır. Saldırgan; “kim varlığa zarar vermek isteyebilir?” sorusunun cevabıdır. Asset (Değer); “hangi organizasyonel veya kişisel varlık (hedef) risk altındadır?” sorusunun cevabıdır. Davranış ise; “Saldırgan ne ve nasıl elde etmeye çalışır?” sorusunun cevabıdır. Görüldüğü gibi bu olguların yan yana getirilerek oluşturulacak risk tanımlaması aslında Saldırının Senaryosu gibidir.

Kurtuluş Savaşı esnasında stratejisini belirlerken Atatürk’ün büyük sözü “Hattı Müdafaa yoktur. Sathı Müdafaa vardır. O satıh; bütün vatandır.” savunma sanatında, güvenlik açısından da korunma uygulamalarında iki yaklaşımı ortaya koyar. Bir noktanın (hat) korunması ve Genel (satha yaygın) korunma. Özellikle terör tehditleri bağlamında genel koruma devletin icraatları ile sürdürülmektedir. Ancak devlet, her noktaya kendi birlikleri ile bizzat koruma sunamayabilir. Bu noktada görev, şirket güvenlik yöneticilerinin yaklaşımlarına ve özel güvenliklerin işlerini iyi yapmalarına yönelir. Bu iki olgu (Devlet ve Özel Güvenlikler) birleştiğinde her yer (daha geniş alan) korunur olabilir. Aksi takdirde, MÖ.544 – MÖ. 496 yılları arasında yaşamış Çinli Komutan Sun Tzu’nun Savaş Sanatı (Art of War) adlı kitabında da belirttiği gibi “Her şeyi korumaya çalışırsan, hiçbir şeyi koruyamazsın.” Bu bakımdan korumanın bir stratejiye bağlı olması gerekir ve bu stratejiyi de bize Risk Analizleri gösterir.

Risk Analizleri; ihtiyaca göre iki yaklaşımla hazırlanır, Jeopolitik Analiz ve Suç Risk Analizi.

Jeopolitik Analizlerin içerisinde bulunması gereken olgular şunlardır:Yolsuzluk, Siyasi istikrar, Militan hareketi, İşçi sömürüleri, İnsan hakları ihlalleri, Terörizm ve isyan, Toplumsal gerilim ve çatışma, İç huzursuzluk ve sosyal bozukluk, Nüfus sayımı ve işsizlik, Bölgesel istikrar (komşu ülkelerle istikrar)

 Suç Risk Analizi ise: Bazen sokak seviyesinde olmakla da birlikte suç patlama durumunu veren hükümet ya da Polis İstatistikleri bu tür bilgileri içerir. Ancak ne yazıktır ki, Güvenlik Müdürlerine yön verebilecek nitelikte, suçların sokak suçu ve ticarete yönelik suç olarak ayrıştırılmaması güvenlik müdürlerine her zaman sorun oluşturur. Yine de her iki istatistik de aynı zamanda çalışanların veya taşeron çalışanların hedefi olma ve bu yönlü suçluluk durumunu içermez. Organizasyonlarda suçluluk genelde kara rakam olarak kalmaktadır.

Buna rağmen suç risk analizlerini ele alırken hem iç hem de dış saldırılar ele alınmalıdır. İçeride çalışanların dışarıdaki suçlularla iş birliği içerisinde olabilecekleri de göz ardı edilmemelidir. İç saldırganlar özellikle çalışan ve taşeron gruplarından çıkar, ki bazı sektörlerde suçluluğun çoğunluğunu onlar oluşturur.

Riskler belirlendikten ve önceliklere göre aksiyon planları oluşturularak riskler minimize edilmeye çalışılırken bu aşamada bazı risk azaltma uygulamaları vardır. Bunlar; Riski transfer etme, Elimine etme, Risk Alma ve Risk indirgemedir.

Transfer: En basit şekliyle bir risk sigortaya transfer edilebilir. Güvenlik tedbirleri almaktan daha ucuz olabilir.Pratikte hem sigorta hem güvenlik tedbir kombinasyonu olabilir. Sigorta genelde varlığın defter değerini karşılar. Sigorta kuruluşun varlığının gerçek değerini öngörmez ve sonuçta maruz kalınan kayıp mevcut olmaz.Güvenlik riski sözleşme imzalanan alt şirkete transfer edilebilir (ÖrnekCIT [Cash in Transit];Para NakilSözleşmeleri).

Eliminasyon: (Ortadan Kaldırma) Bir güvenlik riski bir güvenlik tedbiri ile ortadan kaldırılamaz. En iyi haliyle, risk azaltılabilir. Her şeye rağmen, bir riskin ortadan kaldırılması gerekirse, tek yapılacak şey saldırganı cezbeden mekânı veya uygulamayı bırakmak / terk etmektir. Örneğin: Gidilen yerdeki güvenlik tedbirlerine bağlı kalmaksızın bir ülkede kilit personelin kaçırılması yüksek riskli değerlendiriliyor ve bu risk kabul edilemez ise oraya gidecek yöneticinin gideceği alternatif yerlere bakılması düşünülmelidir.

Risk Alma: Bazı güvenlik riskleri etki bakımından önemsiz ve olabilirlik bakımından da düşüktür ki, bu tür riskler sadece kabul edilebilir. Etkisi önemsiz olan bir risk; örneğin kalem silgi çalınmasıdır. Bu gibi durumlarda çıkış esnasında personelin aranması gerekmez. Düşük olasılıklı ve bu sebeple kabul edilen (tedbir alınmayan) bir örnek ise hoşnutsuz personelin iş yerinde şiddet sergilemesidir. İngiltere’de bu nadirdir. Bazı uzak ülkelerde ise bu çok yoğun yaşandığı için Tedbir Planında yer alması gereklidir.

Risk İndirgeme: Risk indirgemenin en yaygın kullanımı, risk seviyesinin uygun maliyetle hayata geçirilmesidir (İngilizcede ALARP[AsLow As Reasonably Practicable ] olarak bilinir). Bu yaklaşım, suç önleme tedbirleri veya fırsatı ortadan kaldıran güvenlik uygulamaları ile sağlanabilir. Bu süreçlerin çoğu riski indirgeme için kuvvetli güvenlik dizayn prensiplerine dayalı güvenlik önlemlerinin uygulanması yöntemleri ile olur.

Risk indirgemelerinin; Müşteri Erişimi ve Beklentileri, Sağlık, Güvenlik ve Yangın/Can güvenliği yönetmelikleri ve Bütçe Sınırlamaları ile Yerel Şartlar gibi uygulama kısıtlamaları vardır. Planlar yapılırken bunlar da mutlaka göz önünde bulundurulmalıdır.

Yukarıda değişik birçok yerde değindiğimiz gibi güvenlik, içinde bulunulan çevre, yerel olgular ve konumuz insan olduğu için yerel kültürle çok alakalıdır. Dolayısıyla bir bölge içerisinde koruma yapacak koruma müdürü o bölgenin tüm yerel dinamiklerini bilmek durumundadır. İlgili birimlerle beyin fırtınası yaparken de doğru yönlendirmeleri yapabilmelidir. Bu yerellik bilgisi, ilgili birimlerle iyi ve tutarlı ilişkiler bu faaliyetler sürdürülürken can alıcı nokta olurlar. İş kolları ile iletişim, işin sahibi organizasyonun işi bilen personelleri ile tehdidi belirleme noktasında öne çıkar. Güvenlik yöneticileri içine girdikleri organizasyonun işe dayalı dinamikleri öğrenmeleri her zaman ve genelde mümkün olmaz. Bir bankacılık veya Lojistik alanında çalışan bir şirketin güvenlik müdürü o şirketin dinamiklerini tam anlayabilmek için bazen IK, bazen operasyon, bazen satın alma vs. gibi olabilmelidir. Olamayacağı için bu iletişimi sağlamak üzere hem eğiterek bilgi aktarıcı hem de açık fikirlerle bilgi alıcı vasıf taşımalıdırlar…

Sonuçta risk analizi için elimize kâğıdı kalemi aldığımızda da şöyle çalışırız. Risk; yukarıda bahsettiğimiz 3 olgu ile belirlenen senaryonun (tehdidin) gerçekleşme olasılığı ile gerçekleştiği zaman etkisinin ne olacağının bir grafik üzerinde gösterilip önceliklendirilmesidir. Her kurumun kendince grafikler kullanmasına karşın en basitinde gösterge yandaki şekilde verilir.

Bu şekil en alt satırında alınan tedbirlerin (kontrol) düzeyini de içermektedir. Bu tabloda 14 ayrı Asset, Saldırgan, Eylem varyasyonu bulunmaktadır. Artık bu tür bir tablodan hareketle önceliklendirme yapabilir ve hepsini engellemek için ayrı ayrı stratejiler belirleyebiliriz.Bu stratejiler şu olguları içermelidir. Caydırma, (Caymıyorsa) Algılama, Geciktirme ve Etkisizleştirme.Algılama, algı ihtimali ile ölçülür (Pd), ondalık rakamla ifade edilir. Probability of Detection, Geciktirme sızma süresine dayalı ölçülür,Etkisizleştirme ise olaya tepki süresi ve bertaraf etme ihtimali ile ölçülür (Pn)Probability of Neutralisation.

Bu noktada başarımızın düzeyini ortaya çıkarmada karşımıza çıkacak olumsuzluklardan biri decaydırmanın başarısıdır. Kaç girişimin caydığını rakamsal olarak ifade etmek imkansızdır.

Bu süreç zor ve detay gerektiren bir iştir; iletişim becerileri iş kolları ile ilişkilerde en önemli unsurdur çünkü kişisel negatif yaklaşımlar ve egolar çok ön plana kayabilir

Bu işe gönül verenlere kolaylıklar diliyorum.

Saygılarımla.