Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (2)

27.11.2010 tarihinde Ulusal Bilgi Güvenliği Kapısı’nda yayınlanan ancak artık erişilemediği için kendi sayfamdan paylaştığım bu yazı dizisinin ikinci bölümü olan bu makalede; Bilgi güvenliği farkındalığının ölçümü için kullanılan yöntemler hakkında literatürden ikinci örnek olarak bir Bilgi Güvenliği Farkındalığı Değerlendirme Modeli açıklanacaktır.

Bir önceki yazımda bilgi güvenliği farkındalık programı veya eğitiminin, uygulandığı kuruma ya da kişiye değer kazandırıp kazandırmadığının anlaşılması için etkilerinin ölçülmesi gerektiğini belirtmiştim. Bu konu hakkında yapılmış çalışmalardan ve örnekler faydalanmak için önce bunları anlamak, olumlu ve olumsuz yönlerini tespit etmek gerekir. Bu yazıda açıklamaya çalışacağım bilgi güvenliği farkındalığı değerlendirme modeli, farkındalık değerlendirmesini bir önceki yazıdaki prototipten [2] bir adım daha ileriye götürmektedir. Bu yapının en önemli farkı, kullanıcılardan elde edilen bilgi güvenliği farkındalık değerlendirmelerinin, sistemden elde edilen kayıtlarla karşılaştırılarak bir analiz sunmasıdır.

Bilgi Güvenliği Farkındalığı Değerlendirme Modeli [1]

Bu çalışmada aktarmaya çalışacağım değerlendirme modeli, bir önceki yazıdaki prototip yaklaşımını [2] temel alan bir çalışma olduğundan yöntem açısından benzerlikler ihtiva etmektedir. Önerilen değerlendirme modeli Şekil 1’de şematik olarak gösterilmiştir.

Şekil 1. Değerlendirme Modeli [1]

İlk olarak değerlendirmeye esas olan odak alanlarının belirlenmesi gerekmektedir. Bu odak alanları, işveren veya paydaşlarla birlikte belirlenmesi gereken, kurum için önemli ve değerlendirmeye temel olacak alanlar olmalıdır. Bu çalışmada, Değer Odaklı Yaklaşım (Value Focused Approach, VFA [3]) ile işveren veya paydaşların bilgi güvenliği farkındalığı konusundaki görüşlerinden faydalanılarak odak alanları belirlenmiştir. Bunun için yönetim çalışanlarına bir anket uygulamak yerine bir tartışma ortamı oluşturularak hedeflerin belirlenmesi sağlanmıştır. Tartışmada katılımcılara, “Bilgi güvenliği farkındalık seviyesini arttırmak için neler yapılabilir?”, “Size göre bilgi güvenliği farkındalığı konusunda önemli olan nedir?” gibi sorular yöneltilmiş ve alınan cevaplarda doygunluğa ulaşıldıktan sonra görüşmeler bitirilmiştir. Daha sonra bu odak alanlarından aşağıdaki temel öğrenme hedefleri çıkarılmıştır:

  • Veri bütünlüğünü sağlamak
  • Veri gizliliğini sağlamak
  • Elektronik haberleşme sistemlerini verimli ve etkili kullanmak
  • Donanım ve yazılım güvenliğini sağlamak
  • Sorumluluk bilincini aşılamak
  • Kaynakların etkin kullanımını sağlamak

Daha sonra bu temel hedeflerden ayrılan, “güçlü şifrelerin kullanılması”, “fiziksel erişim kontrolünün sağlanması”, “virüs etkinliğinin azaltılması” gibi birçok alt hedeflerin belirlenmesi sağlanmıştır.

Odak alanları ve hedefler belirlendikten sonra yapılması gereken çalışanların bilgi güvenliği farkındalık seviyelerini belirlemek için belirlenen hedeflere uygun sorulardan oluşan bir anket uygulanmasıdır. Bu anket uygulamasında bir önceki yazımda anlattığım metodoloji temel alınmıştır [2]. Yine üç seviyede; bilgi (ne bildiğiniz), eğilim (ne düşündüğünüz) ve davranış (ne yaptığınız), ölçülerek çalışanların bilgi güvenliği farkındalığı seviyesi belirleniyor.

Sistem Verilerinin Kullanılması

Değerlendirme modelindeki en önemli farklılık, çalışan anketlerine ek olarak, uygun sistem verilerinin de girdi olarak farkındalık ölçümünde kullanılmasıdır. Sistem verileri ile çalışanların güvenlik konusundaki davranışlarının tespit edilmesi amaçlanmaktadır. Sistem verilerinin güvenilir, nesnel ve elde edilmesi kolay olması, çalışanlara uygulanan farkındalık anketinden çıkan değerlere tamamlayıcı olarak kullanılmasına olanak sağlamaktadır. Ancak burada dikkat edilmesi gereken bir başka husus ise sistem verilerini kullanırken etik sonuçlarını da düşünmektir. Hastalara klinik tedaviye başlamadan önce yapılan bilgilendirme ve alınan rıza gibi sistem verilerini kullanacağınız kişilerden de “bilgilendirilmiş rıza”larını almak etik olarak önemlidir. Bu konuda, kişisel bilgilerin gizliliği ile ilgili etik davranma konusundaki referanslardan faydalanılabilir (ACM [4]). Bu değerlendirme modelinde kullanılması muhtemel sistem verileri, amaçları ve veri kaynakları Tablo 1’de özetlenmiştir.

Sistem Verileri Amaç Veri Kaynağı
Internette geçirilen zaman Kurum politikaları ile uyum Internet kayıtları
Yasal olmayan sitelere erişim Kurum politikaları ile uyum Internet kayıtları
Şifreler Güçlü şifre kullanımı Şifre analiz programı
Şüpheli e-postalar Çalışanların virüs bulundurma ihtimali olan şüpheli e-postalara reaksiyonu Şüpheli e-posta gönderimi ile okunma, silinme, iletme istatistikleri
Oltalama (phishing) Kimlik hırsızlığı testi E-posta gönderimi ile kişisel bilgi talebi
Anti-virüs yazılımı Kurum politikaları ile uyum Sistem kayıtları
Bilgisayarların mesai sonrası kapatılması Yetkisiz erişim, Casus Yazılımlar Sistem kayıtları
Güvenlik duyuruları sayfasına erişim Kurum politikaları ile uyum Internet / Intranet kayıtları
E-posta eklentileri Eklenti boyutları ve virüslü eklentiler E-posta sistem verileri
Internetten dosya indirme Kurum politikaları ile uyum Internet kayıtları
Olay bildirimi Bilgi kaybı, performans kaybı, fiziksel erişim Yardım masası ve olay bildirim merkezi verileri
Çalışanların erişim hakları Mantıksal erişim denetimi, veri bütünlüğü denetimi Sistem kayıtları

Tablo 1. Sistem Verileri [1]

Son olarak, çalışan anket verileri ve sistem verileri belirlenen önem dereceleri ile birleştirilerek sonuç model oluşturulur. Buradaki hesaplamalar için yönetim bilimleri tekniklerinden herhangi biri seçilerek (değer ağaçları, puantaj cetveli gibi) faydalanılabilir. Önemli olan herhangi bir hesaplama yöntemi ile farklı seviyelerde ve farklı odak alanları için hem özel hem de genel bir değerlendirme sonucuna ulaşmaktır. Bu metotları uygulamanın bir zorluğu da bilgi güvenliği ve bilgi güvenliği farkındalık alanlarının sürekli değişen, dinamik ve yeni teknolojilerden etkilenen alanlar olmasıdır.

Özetle, uygulanan farkındalık eğitim programlarının sonuçlarının araştırılması ve etkilerinin analiz edilmesi için sistem verilerini çalışanlara uygulanan farkındalık anketleriyle birleştiren bir yöntemi incelemiş olduk. Çalışanların bilgi güvenliğiyle ilgili davranışlarını tespit etmek için sistem verilerini kullanmak önemli gelişme olarak değerlendirilebilir. Bu modeli geliştirmek için sistem verilerini daha verimli kullanmanın yolları araştırılmalı. Bu yazı dizisiyle bugüne kadar yapılmış çalışmaları aktarmaya devam edeceğim.

Referanslar

[1] Kruger H.A., Drevin L. & Steyn T. (2006). A framework for evaluating ICT security awareness. Proceedings of the ISSA 2006 from Insight to Foresight Conference, South Africa.

[2] Kruger H.A. & Kearney W.D. (2006). A prototype for assessing information security awareness. Computers & Security vol. 25, p.289-296.

[3]Keeney R.L. (1994). Creativity in decision making with value-focused thinking. Sloan Management Review, Summer:33-41.

[4] ACM (2006). Association for Computer Machinery, Code of Ethics and Professional Conduct.

http://www.acm.org/about/code-of-ethics#sec1

Asıl Yayınlanan

Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (2)“, 27.11.2010, Ulusal Bilgi Güvenliği Kapısı, TÜBİTAK – BİLGEM – UEKAE.

http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/bilgi-guvenligi-farkindaligi-nasil-olculur-2.html