Artificial Intelligence Supported Risk Analysis İn Institutional Information Security Management

Yıl 2024, Sayı: 31, 144 - 155, 01.12.2024

Mustafa Coşar

https://doi.org/10.58348/denetisim.1519578

Öz

In the digital age where life is becoming increasingly digitalized, the value and importance of information are growing each day. The main way to enhance the value and importance of information is to preserve its elements of confidentiality, security, and integrity. These elements collectively form a system in which numerous components and factors interact continuously and in a multifaceted manner. Due to the structure of this system, it also brings along many risks. In order to identify, calculate, and analyse these risks beforehand, a strong understanding of risk management is required. Information technologies introduce various new methods and techniques to support this management approach. For example, artificial intelligence methods and techniques can be cited in this context. It is observed that artificial intelligence plays significant roles in pre-determining vulnerabilities, gaps, and risks emerging during the process of ensuring information security, enabling proactive measures to be taken. Particularly, data analytics encompassing data collection, processing, decision-making processes facilitate prediction and decision-making, while machine learning and natural language processing algorithms achieve notable successes in detecting abnormal situations during data transmission and access. This study delves into AI-supported risk analysis in corporate information security management. The characteristics of AI applications used within this scope are explained, and an AI-supported sample risk analysis model is developed. This model specifies AI methods, techniques, and tools. Furthermore, the integration of AI into risk analysis processes and its potential benefits in information security are emphasized. The study investigates the compatibility of AI techniques and models with risk analysis stages in the proposed model, and application-based correlations are made. Another aim of the study is to enhance awareness about methods created with the support of next-generation IT technologies as compared to traditional risk analysis methods.

Anahtar Kelimeler

Information security, Information security management, Artificial intelligence, Risk analysis

Kurumsal Bilgi Güvenliği Yönetiminde Yapay Zekâ Destekli Risk Analizi

Öz

Yaşamın giderek dijitalleştiği bilgi çağında, bilginin değeri ve önemi her geçen gün artmaktadır. Bilginin değerini ve önemini artırmanın esas yolu; onun gizliliği, güvenliği ve bütünlüğü unsurlarını korumaktan geçmektedir. Bu unsurların tümü pek çok bileşenin ve faktörün bir arada olduğu, sürekli ve çok yönlü etkileşimde bulundukları bir sistemi oluşturmaktadır. Bu sistemin yapısı gereği pek çok riski de beraberinde getirmektedir. Bu risklerin önceden belirlenmesi, hesaplanması ve analiz edilmesinde iyi bir risk yönetim anlayışına ihtiyaç vardır. Bilişim teknolojileri bu yönetim anlayışına destek olmak için pek çok yeni yöntem ve teknik ortaya koymaktadır. Yapay zekâ yöntem ve teknikleri buna örnek olarak verilebilir. Bilgi güvenliğini sağlama aşamasında ortaya çıkan açıkların, eksiklerin ve risklerin yapay zekâ ile önceden belirlenerek önlemlerin alınmasında önemli roller üstlendiği görülmektedir. Özellikle veri toplama, işleme ve karar verme süreçlerini kapsayan veri analitiği ile tahmin etme ve karar vermeyi kolaylaştırmaktadır. Ayrıca, veri iletimi ve erişimi sırasında oluşan anormal durumların tespitinde makine öğrenimi ve doğal dil işleme algoritmaları önemli başarılar elde etmektedir. Bu çalışma, kurumsal bilgi güvenliği yönetiminde yapay zekâ destekli risk analizine değinmektedir. Bu kapsamda kullanılan yapay zekâ uygulamalarının özellikleri açıklanırken, yapay zekâ destekli örnek bir risk analizi modelini oluşturulmuştur. Bu model içerisinde yapay zekâ yöntem, teknik ve araçları belirtilmiştir. Ayrıca, yapay zekânın, bilgi güvenliği alanında risk analizi süreçlerine entegrasyonu ve potansiyel faydaları üzerinde durulmaktadır. Çalışmada, önerilen modelde yer alan yapay zekâ tekniklerinin ve modellerinin risk analizi aşamalarına uygunluğu araştırılırken uygulama temelli ilişkilendirmeler yapılmıştır. Çalışmanın diğer bir amacı ise, geleneksel risk analizi yöntemlerine kıyasla yeni nesil bilişim teknolojileri desteğiyle oluşturulan yöntemlere yönelik farkındalığın artırılmasıdır.

Anahtar Kelimeler

Bilgi güvenliği, Bilgi güvenliği yönetimi, Yapay zekâ, Risk analizi

Teşekkür

Bu Makale, 2 Temmuz 2024 tarihinde gerçekleştirilen "3. Uluslararası Kamu İç Denetim Kongresi" nde sözlü sunum olarak sunulmuş bildiri özetinin güncellenmiş, genişletilmiş ve yeniden hazırlanmış halidir.

Kaynakça

• Ağdeniz, Ş. (2024). Güvenilir Yapay Zeka ve İç Denetim. Denetişim (29), 112-126. https://doi.org/10.58348/denetisim.1384391
• Alberts, C., Dorofee, A., Stevens, J. & Woody, C. (2003). Introduction to the OCTAVE Approach. Pittsburgh, PA, Carnegie Mellon University, pp.72-74.
• Bilbao, A. (1992, October). TUAR-A Model of Risk Analysis in The Security Field. In Proceedings 1992 International Carnahan Conference on Security Technology: Crime Countermeasures (pp.65-71). IEEE.
• CCTA, U. (2005). CCTA Risk Analysis and Management Method CRAMM. United Kingdom Central Computer and Telecommunication Agency. User Guide.
• Cibaroğlu, M. O. & Yalçınkaya, B. (2019). Belge ve Arşiv Yönetimi Süreçlerinde Büyük Veri Analitiği ve Yapay Zeka Uygulamaları. Bilgi Yönetimi, 2(1), 44-58. https://doi.org/10.33721/by.570634
• C&A Systems Security Limited. (2000). COBRA Consultant Products for Windows Evaluation & User Guide (2000)
• Coles, R. S., Moulton, R. (2003). Operationalizing IT Risk Management. Computers & Security, Volume:22, Issue:6, pp.487-493, https://doi.org/10.1016/S0167-4048(03)00606-0
• Coşar, M. (2022a). Privacy and Security on Blockchain. In: Blockchain Innovative Bossiness Processes and Long-Term Sustainability, Eds: Mert G., Zeren S.K., Yılmaz O., Nobel Bilimsel, Edition 1, ISBN: 978-625-433-841-0, Ankara.
• Coşar, M. (2022b). Siber Dünyanın Karanlık Yüzü: DeepWeb ve DarkNet. Journal of Management Theory and Practices Research, 3 (1), ss.58-71.
• Coşar, M. (2023a). Tedarik Zinciri Yönetiminde Yapay Zekâ ve Robotik. Editör: Taşkın, B. & Çağlar, B., Tedarik Zincirinde Dijital Dönüşüm, (5. Bölüm, ss.69-93), 1. Baskı, Ekin Yayınevi. ISBN: 978-625-6952-95-9
• Coşar, M. (2023b). Yapay Zekâ Türleri ve Bileşenleri. Editör: Kılıç, S. Yapay Zekâ Teori ve Uygulamalar, (7. Bölüm, ss.129-146), 1. Baskı, Nobel Bilimsel, ISBN: 978-625-393-169-8
• Guo, W., Zhou, Z.Z. (2022). A comparative study of combining tree-based feature selection methods and classifiers in personal loan default prediction. Journal of Forecasting, 41, 1248-1313. https://doi.org/10.1002/for.2856
• ISF. (1997). Simplified Practical Risk Analysis Methodology (SPRINT) User Guide. Information Security Forum (ISF)
• Jenkins, B. D. (1998). Security Risk Analysis and Management. White Paper, Countermeasures, Inc. Internet, Erişim Adresi: https://home.nr.no/~abie/RA_by_Jenkins.pdf (Erişim Tarihi: 21 Haziran, 2024)
• ISO. (2022a). ISO/IEC 15408-1:2022, Information security, cybersecurity and privacy protection — Evaluation criteria for IT security. International Standart Organization, Parts 1, Edition 4. Internet, Erişim Adresi: https://www.iso.org/standard/72891.html (Erişim Tarihi: 21 Haziran, 2024)
• ISO. (2022b). ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Standart Organization, Edition 3, Internet, Erişim Adresi: https://www.iso.org/standard/27001 (Erişim Tarihi: 21 Haziran, 2024)
• Jacobson, R.V. (1996). CORA Cost-of-Risk Analysis. In Proceedings of IFIP’96 WG11.2 Somos, Greece. Kailay, M. P., Jarratt, P. (1995). RAMeX: A Prototype Expert System For Computer Security Risk Analysis and Management. Computers & Security, Volume:14, Issue:5, pp.449-463, https://doi.org/10.1016/0167-4048(95)00013-X
• Karabacak, B., & Sogukpinar, I. (2005). ISRAM: Information Security Risk Analysis Method. Computers & Security, Volume:24, Issue:2, pp.147-159, https://doi.org/10.1016/j.cose.2004.07.004
• Kazan, G. (2023). Tedarik Zinciri Yönetiminde İç Kontrol: Verimliliğin ve Risk Yönetiminin Artırılması. Denetişim, Cilt:28, ss.123-136, https://doi.org/10.58348/denetisim.1320143
• Kure, H.I., Islam, S., Razzaque, M.A. (2018). An Integrated Cyber Security Risk Management Approach for a Cyber-Physical System. Applied Sciences, Volume:8, No:6, 898, https://doi.org/10.3390/app8060898
• Liu, M., Yu, D. (2023). Towards Intelligent E-learning Systems. Education and Information Technologies, Volume:28, pp.7845-7876, https://doi.org/10.1007/s10639-022-11479-6
• Mesri, K., Tahseen, I., Ogla, R. (2021). Default on a credit prediction using decision tree and ensemble learning techniques. Journal of Physics: Conference Series, https://doi.org/10.1088/1742-6596/1999/1/012121
• Öner, S. C., Şahan, H., Demirdağ M. & Bayrak, A. T. (2024, May). Anomaly Detection in Stock Market Transactions: A Comparison of Deep Learning Methods. 2024 32nd Signal Processing and Communications Applications Conference (SIU), Mersin, Turkiye, 2024, pp.1-4, https://doi.org/10.1109/SIU61531.2024.10601101.
• Stoneburner, G., Goguen, A. & Feringa, A. (2002). Risk Management Guide for Information Technology Systems. Nist Special Publication, 800(30), National Institute of Standards and Technology (NIST), https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30.pdf
• Singil, N. (2022). Yapay Zekâ ve İnsan Hakları. Public and Private International Law Bulletin, Volume:42, Issue:1, ss.121-158, https://doi.org/10.26650/ppil.2022.42.1.970856
• Ten, C. W., Liu, C. C., & Govindarasu, M. (2008, May). Cyber-vulnerability of Power Grid Monitoring and Control Systems. In Proceedings of the 4th annual workshop on Cyber security and information intelligence research: developing strategies to meet the cyber security and information intelligence challenges ahead (pp. 1-3).
• Tian, Y., Li, J. & Huang, X. (2022). A Cybersecurity Risk Assessment Method and its Application for Instrumentation and Control Systems in Nuclear Power Plants. IFAC-PapersOnLine, Volume 55, Issue 9, pp.238-243, https://doi.org/10.1016/j.ifacol.2022.07.042
• Yıldız, M., Yıldırım, F.B. (2018). Yapay Zekâ ve Robotik Sistemlerin Kütüphanecilik Mesleğine Olan Etkileri. Türk Kütüphaneciliği, Cilt:32, Sayı:1, ss.26-32, http://doi.org/10.24146/tkd.2018.29