S İ B E R G Ü V E N L İ K FA R K I N D A L I Ğ I , FA R K I N D A L I K Ö L Ç Ü M Y Ö N T E M V E M O D E L L E R İ
133
renmesi yaklaşımları
ile anormallik tespiti, anormallik zekâsı ile
anormallik önleme ve çok katmanlı elektronik güvenlik farkında-
lık modeli katmanı (MEAM) olmak üzere 3 katmandan oluşmak-
tadır. MEAM yapılacak işlemlere göre uygulamaların kişisel ya da
kurumsal, çevrimiçi ya da çevrimdışı olmasına, kaynakların harici
ya da paylaşımlı olmasına, kişilerin teknik personel ya da sıradan
kullanıcı olmasına, servislerin bağımsız ya da destekleyici olmasına
göre, yıllık ortalama farkındalık, yıllık ortalama gerçekleşen saldırı
ağırlığı gibi parametreler ile sezgisel kavramları içeren 7 kural ile
kullanıcıların önemli verilerle işlem yaparken güvenli davranması-
nı amaçlamaktadır.
ENISA bilgi güvenliği farkındalığı programlarında;
-
Planlama (bilgi güvenliği politikaları,
risk değerlendirmesi,
uyumluluk riski, bütçe gibi parametreleri kapsar),
-
Uygulama (yüz yüze ve bilgisayar tabanlı eğitimler, Intranet si-
teleri, test ve küçük sınavlar parametreleri kapsar) ve
-
Gözden geçirme (Güvenlik olayları kök sebepleri, denetim so-
nuçları, eğitimi tamamlayan kullanıcı sayıları gibi parametreleri
kapsar)
adımlarından oluşan iteratif bir modeli benimsemiştir [60].
ISO/IEC 27001 [61] Bilgi Güvenliği Yönetim Sistemi (BGYS); bu
sistemi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçir-
mek, sürdürmek, denetlemek ve iyileştirmek
için izlenmesi gere-
ken adımları belirlemiştir. Bilgi güvenliği sisteminin yönetimi için
BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin geliş-
tirilmesini kapsayan planlama, BGYS politikası, kontroller, süreçler
ve prosedürlerin gerçekleştirilip işletilmesini kapsayan uygulama,
BGYS politikası, amaçlar ve süreç performansının değerlendirilme-
si, uygulanabilen yerlerde ölçülmesi ve sonuçların rapor edilmesi-
ni kapsayan kontrol et ve yönetimin gözden geçirme sonuçlarına
dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesini
kapsayan önlem al adımlarından oluşan
PUKÖ Döngüsü Modelini
önermiştir. PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsü-
nün girdisi
güvenlik gereksinimleri, çıktısı ise güvenliktir.
Valentine [62] çalışmasında; geleneksel farkındalık programlarının
çalışılan pozisyon ya da görevlerden bağımsız olarak tüm çalışanlar
S A L İ H E R D E M E R O L - Ş E R E F S A Ğ I R O Ğ L U
134
için tek tip eğitim yaklaşımını benimsediğini belirtmiştir. Daha ve-
rimli ve maliyet etkin yaklaşım olarak çok fazlı modelin kurumların
ihtiyaçlarını daha iyi karşılayacağı değerlendirilmiş, hangi varlıkla-
rın korunması gerektiğinin belirlendiği
değerlendirme, bu varlık-
larla hangi çalışanların ilişkili
olduğunun belirlendiği tanımlama
ve sonrasında senaryo bazlı eğitimleri de kapsayan
eğitim adında 3
fazdan oluşan bir model önermiştir.
Dostları ilə paylaş: