TOPIC:

Bu yazı dizisinin ikinci bölümü olan bu makalede; Bilgi güvenliği farkındalığının ölçümü için kullanılan yöntemler hakkında literatürden ikinci örnek olarak bir Bilgi Güvenliği Farkındalığı Değerlendirme Modeli açıklanacaktır.

Bir önceki yazıda bilgi güvenliği farkındalık programı veya eğitiminin, uygulandığı kuruma ya da kişiye değer kazandırıp kazandırmadığının anlaşılması için etkilerinin ölçülmesi gerektiği belirtilmişti. Bu konu hakkında yapılmış çalışmalardan ve örnekler faydalanmak için önce bunları anlamak, olumlu ve olumsuz yönlerini tespit etmek gerekiyor. Bu yazıda açıklanmaya çalışılacak olan bilgi güvenliği farkındalığı değerlendirme modeli, farkındalık değerlendirmesini bir önceki yazıdaki prototipten [2] bir adım daha ileriye götürmektedir. Bu modelin en önemli farkı, kullanıcılardan elde edilen bilgi güvenliği farkındalık değerlendirmelerinin, sistemden elde edilen kayıtlarla karşılaştırarak bir analiz sunmasıdır.

Bilgi Güvenliği Farkındalığı Değerlendirme Modeli[1]
Bu çalışmada aktarmaya çalışılacak değerlendirme modeli, bir önceki yazıdaki prototip yaklaşımını [2] temel alan bir çalışma olduğundan yöntem açısından benzerlikler ihtiva etmektedir. Önerilen değerlendirme modeli Şekil 1’de şematik olarak gösterilmiştir.
İlk olarak değerlendirmeye esas olan odak alanlarının belirlenmesi gerekmektedir. Bu odak alanları, işveren veya paydaşlarla birlikte belirlenmesi gereken, kurum için önemli ve değerlendirmeye temel olacak alanlar olmalıdır. Bu çalışmada, Değer Odaklı Yaklaşım (Value Focused Approach, VFA [3]) ile işveren veya paydaşların bilgi güvenliği farkındalığı konusundaki görüşlerinden faydalanılarak odak alanları belirlenmiştir. Bunun için yönetim çalışanlarına bir anket uygulamak yerine bir tartışma ortamı oluşturularak hedeflerin belirlenmesi sağlanmıştır. Tartışmada katılımcılara, “Bilgi güvenliği farkındalık seviyesini arttırmak için neler yapılabilir?”, “Size göre bilgi güvenliği farkındalığı konusunda önemli olan nedir?” gibi sorular yöneltilmiş ve alınan cevaplarda doygunluğa ulaşıldıktan sonra görüşmeler bitirilmiştir. Daha sonra bu odak alanlarından aşağıdaki temel öğrenme hedefleri çıkarılmıştır:

Veri bütünlüğünü sağlamak

Veri gizliliğini sağlamak

Elektronik haberleşme sistemlerini verimli ve etkili kullanmak

Donanım ve yazılım güvenliğini sağlamak

Sorumluluk bilincini aşılamak

Kaynakların etkin kullanımını sağlamak

Daha sonra bu temel hedeflerden ayrılan, “güçlü şifrelerin kullanılması”, “fiziksel erişim kontrolünün sağlanması”, “virüs etkinliğinin azaltılması” gibi birçok alt hedeflerin belirlenmesi sağlanmıştır.

Odak alanları ve hedefler belirlendikten sonra yapılması gereken, çalışanların bilgi güvenliği farkındalık seviyelerini belirlemek için belirlenen hedeflere uygun sorulardan oluşan bir anket uygulanmasıdır. Bu anket uygulamasında bir önceki yazıda anlatılan metodoloji temel alınmıştır [2]. Yine üç seviyede; bilgi (ne bildiğiniz), eğilim (ne düşündüğünüz) ve davranış (ne yaptığınız) soruları ile farkındalık ölçülerek çalışanların bilgi güvenliği farkındalığı seviyesi belirleniyor.

Sistem Verilerinin Kullanılması
Değerlendirme modelindeki en önemli yenilik, çalışan anketlerine ek olarak, uygun sistem verilerinin de girdi olarak farkındalık ölçümünde kullanılmasıdır. Sistem verileri ile çalışanların güvenlik konusundaki davranışlarının tespit edilmesi amaçlanmaktadır. Sistem verilerinin güvenilir, nesnel ve elde edilmesi kolay olması, çalışanlara uygulanan farkındalık anketinden çıkan değerlere tamamlayıcı olarak kullanılmasına olanak sağlamaktadır. Ancak burada dikkat edilmesi gereken bir başka husus ise sistem verilerini kullanırken etik sonuçlarını da düşünmektir. Hastalara klinik tedaviye başlamadan önce yapılan bilgilendirme ve alınan rıza gibi sistem verilerini kullanacağınız kişilerden de “bilgilendirilmiş rıza”larını almak etik olarak önemlidir. Bu konuda, kişisel bilgilerin gizliliği ile ilgili etik davranma konusundaki referanslardan faydalanılabilir (ACM [4]). Bu değerlendirme modelinde kullanılması muhtemel sistem verileri, amaçları ve veri kaynakları Tablo 1’de özetlenmiştir.
Son olarak, çalışan anket verileri ve sistem verileri belirlenen önem dereceleri ile birleştirilerek sonuç model oluşturulur. Buradaki hesaplamalar için yönetim bilimleri tekniklerinden herhangi biri seçilerek (değer ağaçları, puantaj cetveli gibi) faydalanılabilir. Önemli olan herhangi bir hesaplama yöntemi ile farklı seviyelerde ve farklı odak alanları için hem özel hem de genel bir değerlendirme sonucuna ulaşmaktır. Bu metotları uygulamanın bir zorluğu da bilgi güvenliği ve bilgi güvenliği farkındalık alanlarının sürekli değişen, dinamik ve yeni teknolojilerden etkilenen alanlar olmasıdır.

Özetle, uygulanan farkındalık eğitim programlarının sonuçlarının araştırılması ve etkilerinin analiz edilmesi için sistem verilerini çalışanlara uygulanan farkındalık anketleriyle birleştiren bir yöntem incelenmiş oldu. Çalışanların bilgi güvenliğiyle ilgili davranışlarını tespit etmek için sistem verilerini kullanmak önemli gelişme olarak değerlendirilebilir. Bu modeli geliştirmek için sistem verilerini daha verimli kullanmanın yolları araştırılmalı. Bu yazı dizisiyle bugüne kadar yapılmış çalışmalar aktarılmaya devam edilecektir.