Saturday, September 13, 2008

Risk Yönetimi

Risk yönetimi sınırlı kaynaklar altında risk ile yaşamasını becermek anlamına gelir. Büyümek, kazanmak bilgi ve yaratıcılığın yanısıra risk almayı gerektirir. Risk yönetimi için sıkça kullanılan yöntem riskin olma olasılığı ile risk gerçekleştiğinde başımızın ne kadar belaya gireceğine dair rakamları belirleyerek (istatistik yoksa işkembeden sıkarak) bunların çarpımlarının yüksek olduğu durumlara karşı tedbir almaktır.


Bence çarpım işlemine girmesi gereken iki faktör daha var:

* Riski ortadan kaldırmak için ödenecek maliyet

* Riski ortadan kaldırma çalışmalarının yaratacağı verimlilik düşüşü, moral kaybı

Güzel bir örnek şirketlerin bilgi güvenliğini sağlama çalışmalarıdır. Örneğin bilgi güvenliğini sağlamanın en kolay yollarından bir tüm bilgisayarların USB girişlerini ve DVD yazıcılarını iptal etmektir. Ama o zaman PC'deki sunuşu laptop'a aktarmak gibi işler kabusa döner, bilgi işlemin yükü artar.

Bir başka örnek de şifrelerin sık sık değiştirilme zorunluluğu benzeri önlemlerdir. İnsanlar zırt pırt karmaşık şifreler üretip hatırlayamadığından gittikçe daha basit, dolayısı ile de tahmini kolay şifrelere yönelirler. O zaman da güvenliği arttırmak için oturtulan sistem aslında güvenliği azaltmaya başlayabilir.

Velahsıl risk yönetimi aşağıdaki unsurladan oluşan zahmetli bir süreçtir:

* Riskin gerçekleşme olasılığı
* Gerçekleştiğinde ne kadar sıkıntı yaratacağı
* Riski düşürmek için kullanılacak yöntemin maliyeti
* Yöntemin olası yan etkileri:
** Yöntemin çalışma verimliliği üzerine etkileri
** Riskin artması

Yöntemi belirlerken ilk yapılacak iş insanların bilgilendirilmesi ve ikna edilmesidir. Akabinde küçük çaplı uygulamalarla iteratif ilerlenmesidir. Aksi takdirde riskleri yönetiyoruz yanılsaması yaşanır, kimse de mutlu olmaz.

Bonus: Risks that Increase Probability of Death by One Chance in a Million


mp3: The Rolling Stones - Angie

No comments: