Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
Şekil 4.3. Bilgi güvenliği unsurları ile insan faktörünün ilişkisi
Bilgi ve farkındalık eksikliği olması durumunda insanın bulunduğu konum ve etki alanı doğrultusunda bilgi güvenliği zafiyetleri doğu- racağı açıktır. Tüm teknoloji, altyapı, politik/standart/kanun ve de- netim alanlarının başarısı insan tarafından gerçekleştirilmektedir. Dolayısıyla günümüzde insan bilgi güvenliğinin bir bileşeni olmak- İnsan S A L İ H E R D E M E R O L - Ş E R E F S A Ğ I R O Ğ L U 112 tan çıkmış güvenliğin ana unsuru ve tüm bileşenlerini etkiler hale gelmiştir. Saldırganların günümüzde teknolojik önlemleri aşmaya çalışmak yerine daha kolay ve maliyetsiz olduğu değerlendirilen sosyal mühendislik yöntemlerini sıklıkla kullanır hale gelmesi ve en önemli etken olan insan bileşenini zafiyete uğratması da bu tezi doğrulamaktadır. Temelde insanın yer aldığı bir yapıda sosyo-politik faktörlerin üze- rinde durulması kaçınılmazdır. Hambrick ve Chen’in yeni akade- mik alanlarda başarının yönlendiricileri konulu çalışmasında sos- yo-politik faktörlerin (davranışsal düşünceler) yeni akademik alan- ların yükselişinde entelektüel gelişmeler (teknik düşünceler) kadar önemli olduğu vurgulanmıştır [11]. Günümüzde bilgi güvenliğinin teknolojik bir çözümden ziyade teknolojik bir problem olduğunun ispatlandığı çalışmaların da bulunması [12] farkındalık kavramının öneminin daha da arttığını açıkça göstermektedir. Özellikle kurum- sal anlamda teknik alanlardan ziyade yönetimsel alanlara yoğunla- şılması ve çalışanların farkındalık seviyesinin arttırılması kurum- sal güvenlik anlamında daha iyi sonuçlar vermektedir. Bu nedenle bilgi güvenliği problemine yönelik davranışsal düşüncelere yönelik katkıların en az teknolojik çözümlere yapılan katkılar kadar önemli olduğu değerlendirilmektedir. Sosyal mühendislik kavramının zararlı yazılımlarla bütünleşik sal- dırılara ortam hazırlamasıyla beraber insan faktörü yönetilmesi ge- reken en önemli bileşen haline dönüşmüştür. Bilgi güvenliği farkın- dalığını kavramsal olarak açıklayabilmek için öncelikle bileşenleri- nin anlaşılması gerekmektedir. NIST 800-16’ya [13] göre farkındalık bir eğitim değildir ve farkındalık sunumlarının amacı dikkatin gü- venlik üzerine yoğunlaştırılmasıdır. Farkındalık sunumları kişilerin BT güvenlik tehditlerinin tanıması ve uygun şekilde davranmasını hedefler. Özetle kişilerin sadece tehditlerin farkında olmasını değil uygun davranışları sergilemesi gerektiğini belirtmektedir. Kişinin tehditler doğrultusunda uygun davranışları seçmesi ise bilgi gü- venliği algısı ile mümkün olmaktadır [14]. Bu tanımlamalar doğ- rultusunda tehdit, algı, farkındalık ve davranış olarak 4 ana unsur bilgi güvenliği farkındalığının temel bileşenleri olup bu bileşenler aşağıda kısaca tanıtılmıştır. S İ B E R G Ü V E N L İ K FA R K I N D A L I Ğ I , FA R K I N D A L I K Ö L Ç Ü M Y Ö N T E M V E M O D E L L E R İ 113 Yüklə 3,91 Mb. Dostları ilə paylaş:
|