Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- • Güvenlik Programı Kıyaslaması
- 4.4.2. Farkındalık Yeterlilik Seviyesi Ölçüm Modelleri
- Kurs Sonu Değerlendir- mesi
|
• Güvenlik Programı Kıyaslaması
Benzer durumda olan kurumların genel ortalaması ile bahse konu kurumun durumunun uzmanlar tarafından kıyaslanmasıdır. • Kullanıcı Gözlemleri Ağ trafiğinin incelenmesi, çalışma ofislerinin ziyareti, parola veri tabanının analiz edilmesi vb. konularda 6 başlık altında gruplan- dırılmıştır. 4.4.2. Farkındalık Yeterlilik Seviyesi Ölçüm Modelleri Kişisel anlamda farkındalık yetenek seviyesinin ülke genelinde öl- çümlenerek mevcut durumunun ortaya konulması, sonrasında da bu seviyeler doğrultusunda uygun programlar ve modeller ile ge- liştirilmesinin kişisel, kurumsal ve ulusal bilgi güvenliğe en az tek- nolojik gelişmeler kadar katkı sağlayacağı değerlendirilmektedir. Farkındalığın ölçülmesine yönelik olarak, tüketicilerin de bilgi gü- venliği farkındalık programlarında göz önüne alınması gerektiği ortaya konulan çalışmada [41], telekomünikasyon alanında özellik- le akıllı telefon kullanıcıları temel alınarak “güvenlik politikalarına uyumluluk, kişisel verilerin korunması, sahte/istenmeyen mesajlar, mobil uygulamalar, güvenlik olay bildirimi” olmak üzere 5 odak konuya (focus area) ilişkin bilgi ve davranışları üzerinden bilgi güvenliği farkındalıkları ölçülmeye çalışılmıştır. Bilgi davranış bo- yutları arasında davranışsal anlamda tutarsızlıklar olduğu ortaya konulmuştur. NIST 800-16 Bilgi Teknolojileri Güvenlik Eğitim Gereksinimleri [13] dokümanında performans ve rol tabanlı bilgi güvenliği farkındalık eğitimlerinin etkinliğinin ölçülmesine yönelik dört seviyeli bir de- ğerlendirme oluşturulmuştur. Karmaşıklık sırasına göre; - Öğrencilerin memnuniyetini kapsayan Kurs Sonu Değerlendir- mesi (1. seviye), - Öğrenilenlerin etkinliğini kapsayan Davranış Hedef Testleri (2. seviye), - Performans etkinliğini kapsayan İş Aktarma Yetenekleri (3. se- viye) ve - Kurumsal faydaları kapsayan Eğitim Program Etkinliği (4. sevi- ye) seviyeleri bulunmaktadır. S A L İ H E R D E M E R O L - Ş E R E F S A Ğ I R O Ğ L U 128 Kullanıcıların farkındalık seviyelerinin dünya genelinde ölçülmesi amacıyla, güvenlik kılavuzları ve daha önce yapılan çalışmalardan toplanan; bilgisayar kullanıcılarının potansiyel riskli davranışları- nın içeren 20 soru, kullanıcılarının farkındalık seviyelerini ölçen 6 soru, kullanıcıların ön yargılarını ölçen 5 soru ve parola kalitesi ve parolaların güvenliğine yönelik 6 soruyu içeren toplam 4 bölüm 37 adet anket sorusundan oluşan Kullanıcı Bilgi Güvenliği Farkındalık Anketinin (UISAQ-Users’ Information Security Awareness Questi- onniare) hazırlanmasına yönelik bir çalışma yapılmıştır [42]. Uluslararası madencilik hizmeti veren bir firmanın bilgi güvenliği farkındalık seviyesinin ölçülebilmesi amacıyla bir prototip model geliştirilmiştir [31]. Bu model; tutum, bilgi ve davranış boyutların- dan ve bu boyutlar altında yer alan (her zaman şirketin politikaları- na uyar, parola ve kişisel tanıtıcı numaralarını gizli tutar, internet ve e-postaları güvenli kullanır, mobil ekipmanları kullanırken dikkatli olur, virüs gibi olayları bildirir ve tüm işlemlerin sonuçları olabile- ceğinin farkındadır olarak belirlenmiş) 6 odak konu ve bu konular altında belirlenmiş alt konulardan oluşmaktadır. Belirtilen boyutlar ve odak konulardaki seviyeleri ölçmek için yapılan çalışmalar ile bölgesel ve dünya genelindeki farkındalık seviyesinin ölçülebilmesi amaçlanmıştır. İnternet kullanımında kullanıcıların karşılaştığı risk ve sonuç farkın- dalığına yönelik araştırma yapılarak elde edilen bulguların mevcut güvenlik ölçütlerinin eksikliklerinin giderilmesine nasıl etkileri ola- cağı analiz edilmiş ve bu durumun nasıl azaltılabileceğine yönelik tavsiyelerde bulunulmuştur [43]. Senaryo tabanlı değerlendirmeler sonucunda kullanıcılar tarafından algılanan risklerin genel olarak çok çeşitli olduğu ve bu risklerin çoğu zaman teknolojik önlemlerle ortadan kaldırılmasının mümkün olmadığı ortaya konulmuştur. Bilgi güvenliği farkındalık programının etkinliğinin ölçülmesine yönelik olarak yapılan çalışmada [44] “İzlenen ve ölçülen şeyler ya- pılır” cümlesi ana düşünce olarak ortaya konulmuştur. Yıllık ola- rak parolalar, virüsler, kişisel bilgisayar güvenliği, bilgi güvenliği standartları, veri sınıflandırması ve uzaktan erişim, sosyal mühen- dislik, sosyal medya gibi konuları kapsayan diğer olarak belirlenen başlıkları kapsayan soruları kapsayan anketler oluşturulmakta ve bu anketler şirketin CEO’su dâhil tüm seviye kullanıcılara uygu- lanmaktadır. Yıllara göre elde edilen sonuçlar doğrultusunda geli- S İ B E R G Ü V E N L İ K FA R K I N D A L I Ğ I , FA R K I N D A L I K Ö L Ç Ü M Y Ö N T E M V E M O D E L L E R İ 129 şimin izlenebileceği ve yapılan ölçümler doğrultusunda farkındalık programının etkinliğinin belirlenebileceği değerlendirilmektedir. Çalışanların bilgi güvenliği farkındalığını İnsan Yönüyle Bilgi Gü- venliği Anketi (HAIS-Q) [45] ile belirlemek üzerine yapılan çalış- mada McGuire’nin çalışması temel alınmıştır. Politika ve prosedür bilgisine yoğunlaşılan çalışmada politika ve kılavuzlar, üst yönetim ile yapılan röportajlar ve odak alanları üzerine yapılan araştırma- lar doğrultusunda üzerinde çalışılacak odak alanları belirlenmiştir. İnternet kullanımı, e-posta kullanımı, sosyal ağ kullanımı, parola yönetimi, olay raporlama, bilgi işleme ve mobil hesaplamadan oluş- mak üzere 7 odak alanı ve insan hatalarını temel alacak şekilde bu alanlarla ilişkili alt odak alanları belirlenmiştir. Her odak alanı için İyi Davranışlar, Nötr Davranışlar ve Kötü Davranışlar belirlenmiş- tir. Çalışma sonucunda çalışanların politika ve prosedür bilgilerinin arttırılmasının davranışlarını olumlu etkilediği, model ve anket so- rularının doğruluğu ortaya konulmuştur. Bilgi sistem kullanıcılarının bilgi güvenliği riske sokabilecek dav- ranışlarını belirlemek amacıyla yapılan çalışmada [46], kullanıcılar tarafından kullanılan önleyici uygulamalar, maruz kalabilecekleri tehditler ve riski hangi genişlikte algıladıkları konuları da araştırıl- mıştır. Öğrenci, akademisyen ve üniversitelerin yönetim kademe- sinde bulunan kişilere yapılan anketlerin değerlendirilmesi ile bilgi güvenliği farkındalığı ve güvenlik davranışının değerlendirilmesin- de kullanılabileceği değerlendirilen; - Riskli Davranış Ölçeği, - Korumacı Davranış Ölçeği, - Saldırıya Maruz Kalma Ölçeği ve - Risk Algı Ölçeği olmak üzere 4 ölçek ortaya konulmuştur. Literatürde yer alan çalışmalar genel olarak değerlendirildiğinde; 1. Anket ve odak alanı temelli yaklaşımların kullanıldığı, 2. Skor tabanlı seviyelendirme yapıldığı (Üretilen puan yüksek ola- bilir ancak kör noktaların ve eksiklik bulunan yeteneklerin tespi- tinde zorluklar yaratmaktadır), S A L İ H E R D E M E R O L - Ş E R E F S A Ğ I R O Ğ L U 130 3. Soru tabanlı yaklaşım kullanıldığı (Sorular hazırlayan kişinin ye- tenek ve bilgisine bağlı, tüm yetenekler karşılanmayabilir), 4. Belirli seviyelere yönelik hazırlanmış olduğu (Kişisel, Kurumsal, Ulusal), 5. Ölçüm modellerinde standardizasyon olmadığı, 6. Seviyelendirme standardizasyonu olmadığı (Benzer seviyede bulunan kişi, kurum ya da ulusların birbirleri ile kıyaslama yap- masına imkân bulunmamaktadır) görülmektedir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|