top of page

Bilgi Güvenliğinde Farkındalık ve İnsan Faktörü

Güncelleme tarihi: 25 Oca


Bilgi Güvenliğinde Farkındalık ve İnsan Faktörü

1. Giriş

Kurumların sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir. Bilgiye olabilecek yetkisiz erişimlerin engellenmesine gizlilik, yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasına bütünlük, ihtiyaç halinde kolay ulaşılabilir olması erişilebilirlik denir. Bu bileşenler korunacak bir bilginin üç temel özelliğini teşkil eder. Bu, temel niteliklerin korunabilmesi için sistem üzerinde sadece teknik açıdan önlem almakla yetinilmemelidir.

Bilgi güvenliğine dayalı problemlerin yalnızca teknik yöntemlerle çözümlenebileceği düşüncesi, bilgi güvenliğinin sağlanmasında belki de en önemli unsur olan insan faktörünün göz ardı edilmesine neden olmaktadır.

2. Bilgi Güvenliğinde Farkındalığın Önemi ve İnsan Faktörü

Bir kurum, maliyetine bakmaksızın paranın alabileceği en ileri güvenlik teknolojilerini kullanabilir, sistemleri tasarlayabilir ve adeta kendisini bir güvenlik çemberinden geçirebilir. Bu şekilde sadece en son teknolojiyi kullanarak üst seviyede güvenlik önlemleri alabilen bir kurumda bilgi güvenliğinin tamamen (%100) sağlanmış olduğundan bahsedilemez.

Bilgi güvenliğinin sağlanması, üç temel sürecin bütünsel bir şekilde gerçekleşmesi ile yakında ilgilidir. Bunlardan biri doğru plan, strateji ve politikalarla doğru bilgi güvenliği yönetimi uygulamalarını kapsayan yönetsel süreç, ikincisi ise; şifreleme, güvenlik duvarları, antivirüs yazılımları, yedekleme, denetim gibi teknik içerikli çözümleri kapsayan teknolojik önlem süreci ve son olarak kullanıcıların eğitim yoluyla bilgi güvenliği bilinci kazanmalarını sağlayan eğitim ve farkındalık sürecidir.

Bilgi güvenliğine yönelik yapılan çalışmalarda güvenliğin en zayıf unsuru olan insan faktörü ikinci plana atılmaktadır. Tüm teknoloji, altyapı, politik/standart/kanun ve de­netim alanlarının başarısı insan tarafından gerçekleştirilmektedir. Dolayısıyla günümüzde insan, bilgi güvenliğinin bir bileşeni olmak­tan çıkmış güvenliğin ana unsuru ve tüm bileşenlerini etkiler hale gelmiştir.

Teknoloji her geçen gün gelişip zorlaştıkça saldırganların insan faktörlü açıklıklarından faydalanma yüzdesi artmaktadır. İnsan kaynaklı tehditleri; bir kullanıcının, sistemi bilinçsiz ve bilgisizce, yeterli eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan kötü niyet barındırmayan tehditler ve sisteme zarar verme amacıyla sisteme yönelik olarak saldırganlar tarafından yapılacak atakları kötü niyet barındıran tehditler olarak iki alt grupta değerlendirilebiliriz.

Kullanıcının sistemi bilinçsiz ve bilgisizce, yeterli eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan kötü niyet barındırmayan tehditlere örnek olarak, genelde e-posta gibi yollarla kişilere ulaşan Phishing saldırıları kişilerin kredi kartı gibi ayrıntılarını sanki resmi bir kurummuş gibi ister. Bu tip mailleri cevaplayan kullanıcıların da hesapları, şifreleri vb. özel bilgileri çalınmaktadır. Bir başka örnekte kullanıcıların çok az bir kısmının parola güvenliği konusunda tedbir aldığı saptanmıştır.

Sisteme zarar verme amacıyla sisteme yönelik saldırganlar tarafından yapılan ataklar kullanıcı bilgisi dışında sistem üzerinde istenmeyen değişiklikler yapan saldırılar olarak tanımlanabilir. Bu tür tehditlerde saldırganlar tehdit kaynağı ve sistemde bulunan güvenlik boşluklarından yararlanırlar. Truva atları, virüsler, solucanlar, yazılım bombaları, fidye yazılımları, robotlar ve casus yazılımlar örnek olarak gösterilebilir.

Bir kurumun bilgi güvenliği açısından karşı karşıya bulunduğu riskleri azaltmada kullanılması gereken ana yöntemlerden biri eğitimdir. Bilgi sistemlerini kullanan kullanıcıların, bilgi güvenliği konusunda eğitimlerle bilinçlendirilmesi, onların bir güvenlik boşluğu olmasını ve kurum açısından risk oluşturacak bir etken olmaları olasılığını en aza indirecektir.

Güvenliğin sağlanması için teknolojiden önce insana yatırım yapılması, en tepeden en alt çalışana, hatta bilgi alışverişi yaptığı, varsa tedarikçileri, müşteri ve ziyaretçilerini bilgilendirmesi, onlar üzerinde bir bilgi güvenliği farkındalığı oluşturması, kendini geliştirmesi, bilgi güvenlik faaliyetlerinin benimsenmesi, önemsenmesi ve desteklemesi çok önemlidir. Farkındalık ile çalışanlar üzerinde güvenlik bilinci oluşturulurken hangi bilgilerin korunması gerektiği, bunların ne tür tehditlere karşı nasıl korunması gerektiği konusunda bilinçlendirme yapılır. Bilgi güvenliğini, çalışanların düşünce ekseninde tutmanın en etkili yollarından biri çalışanın bilgi güvenliği sorumluluklarını aynı zamanda bir iş sorumluluğu olarak görmesini sağlamaktan geçer.

Bilgi güvenliği farkındalığı oluşturmadaki asıl amaç; bilgi eksikliğinden kaynaklanabilecek insan hatalarını ve teknolojinin yanlış kullanılması risklerini azaltmak, bireylerin bilgi güvenliği tehditleri ve sorunlarından haberdar edilmesi, normal çalışma zamanları içinde kurumun güvenlik politikasını desteklemek üzere donanımlı bir hale getirebilmeyi sağlamak olmalıdır.

3. Sonuç

Güvenlik kuralları; bilgiyi korumak amacıyla, çalışan davranışları için yön gösterici bir rehberdir ve güvenlik tehditlerini bertaraf edebilmek içinde etkili kontrol geliştirilmesinin temel yapı taşıdır. İyi tasarlanmış ve kurgulanmış farkındalık programı güvenlik çemberinin en zayıf halkasının güçlenmesini sağlayacaktır.

En önemli ve en etkili güvenlik önlemi kurumun çalışanlarını mutlaka ama mutlaka eğitmesi ve bilinçlendirmesinden geçmektedir. En basit bir ciddiyetsizlik, dikkatsizlik, sorumsuzluk bilginin yetkisiz kişilerin eline geçmesine ve kurum için maddi manevi çok büyük belki telafisi mümkün olmayabilecek kayıplara sebep olabileceği hiçbir zaman unutmamalıdır.

Kaynaklar

Shephard, B. 2002. Information security-who cares?. Power System Management and Control, Fifth International Conference on (Conf. Publ. No. 488), 126s.

Moffett, J. 1990. Network security management. Security and Networks, IEE Colloquium on, 4- 6

Akademik Bilişim’09 - XI. Akademik Bilişim Konferansı Bildirileri 11-13 Şubat 2009 Harran Üniversitesi, Şanlıurfa , 597-598s

Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan, BGD Siber Güvenlik ve Savunma Kitap Serisi 1, 110-112s

Boujettif, ve Wang,Y. (2010). Constructivist approach to information security awareness in the Middle East

Pro-G. (2003). Bilişim güvenliği 16-19s

Arachchilage, N.A.G., Love, S. (2014). Security awareness of computer users: A phishing threat avoidance perspective. Computers in Human Behavior, 38, 304-312.

http://cdn.istanbul.edu.tr/FileHandler2.ashx?f=bilisimdekariyer2.pdf

Semanur ÖZTEMİZ ve Bülent YILMAZ BİLGİ DÜNYASI, 2013, 14 (1) 87-100

Meltem DOĞAN

33 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

Comentários


bottom of page