Abstract :Bir tehdit kaynağı nedeniyle oluşabilecek güvenlik açığının negatif bir etkisi olarak tanımlanan risk, aynı zamanda güvenlik açığının gerçekleşme olasılığının ve etkilerinin bir fonksiyonudur. Bilgi sistemleri güvenliğinin önemli bir konusu olan risk yönetimi ise bir kuruluşun bilgi varlıklarına ve altyapısına yönelik ilgili riskleri tanımlama, değerlendirme ve kontrol etme gibi faaliyetleri içeren bir süreçtir. Risk tanımlamada, kuruluşun güvenlik duruşunun ve karşılaştığı risklerin incelenip belgelendirilmesi gerçekleştirilmekte risk değerlendirmede, kuruluşa ait hangi bilgi varlıklarının riske maruz kaldığı belirlenmekte risk kontrolünde ise, risk oluşumlarını kabul edilebilir bir düzeye indirgemek amacıyla mevcut riskleri azaltmak amaçlanmaktadır. Bilgi güvenliğinin sağlanmasındaki en önemli amaç varlıkların gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanmasıdır. Gizlilik, bütünlük ve kullanılabilirliği ortadan kaldırarak güvenlik ihlallerine neden olan her türlü eylem tehdit olarak adlandırılmaktadır. Tehdit modelleme, sistemde oluşabilecek tehditlerin belirlenip belgelendirilmesi ve önlemler alınarak tehditlerin azaltılması olarak gerçekleştirilen bir süreçtir. Bu süreç güvenlik geliştirme takımlarının, uygulamaları potansiyel düşman gözünden inceleyerek sistemin tehdit profilini anlamalarına yardımcı olmaktadır. Ayrıca, sistemle ilişkili olabilecek risklerin saptanmasında da önemli bir role sahiptir. Bu nedenle, tehdit modelleme risk yönetimi için gereken bir girdi olarak düşünülmektedir. Bu çalışmada, bilgi güvenliği kapsamında risk yönetimi ve tehdit modelleme kavramları incelenmekte, bu kavramların bilgi güvenliğinin sağlanmasındaki önemi ve bu amaçla uygulanan teknikler açıklanmaktadır. Keywords : Risk Yönetimi, Tehdit Modelleme, Bilgi Güvenliği
