Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (1)
21.11.2010 tarihinde Ulusal Bilgi Güvenliği Kapısı’nda yayınlanan ancak artık erişilemediği için kendi sayfamdan paylaştığım bu yazı dizisinin ilk bölümü olan bu makalede; Bilgi güvenliği farkındalığının ölçümü için kullanılan yöntemler hakkında literatürden örnekler verilecek, her makalede farklı bir yöntem açıklanacaktır.
Bilgi güvenliği uygulamaları için teknik çözümlere milyonlar harcayan kurumlar ve şirketler, genelde insan faktörünü gözardı etmektedirler. Teknik önlemler bilgi güvenliği için çok önemlidir, ancak kullanıcı bilincinin önemi de teknik önlemlerin önemine eş değerdedir. Kullanıcıları güvenlik olaylarına karşı hazırlamanın en iyi yolu bilgi güvenliği farkındalık programları ve eğitimleridir. Bu eğitimleri uygulamak, sonuçlarını değerlendirmek, revize etmek ve tekrarlamak gerekir. Bir bilgi güvenliği farkındalık programı veya eğitiminin, uygulandığı kuruma yada kişiye değer kazandırıp kazandırmadığının anlaşılması için etkilerinin ölçülmesi önemlidir. Bu konuda daha önce yapılmış çalışmalardan örnekler aktarmaya çalışacağım.
Bilgi Güvenliği Farkındalığı Ölçmek için bir Prototip [1]
Bu çalışmada, bir uluslararası madencilik şirketinde uygulanmış olan farkındalık eğitiminin etkilerini ölçümlemek için bir prototip geliştirilmiştir. Uygulanan farkındalık eğitimi altı ana odak noktasını hedef almıştır:
- Şirket (kurum) politikalarına bağlı kalmak
- Şifre gibi kişisel bilgileri korumak, başkalarıyla paylaşmamak
- E-posta ve interneti dikkatli kullanmak
- Mobil cihazları kullanırken güvenliğe dikkat etmek
- Virüsler, hırsızlık ve bilgi kaybı gibi olayları bildirmek
Yukarıdaki odak noktalarına göre uygulanan eğitim programı sonrasında, farkındalık ölçümünün yapılabilmesi için iki soruya cevap bulunması gerekir. İlk olarak “neyi ölçeceğiz?” sorusuna, daha sonra da “nasıl ölçeceğiz?” sorusuna cevap bulduktan sonra böyle bir çalışmaya başlanabilir. Bu çalışmada neyin ölçüleceği sorusuna yanıt olarak üç seviye değerlendirme düşünülmüş. Ölçülecek üç seviye; bilgi (ne bildiğiniz), eğilim (ne düşündüğünüz) ve davranış (ne yaptığınız) olarak karşımıza çıkıyor. Daha sonra bu üç seviye, yukarıda belirlenen altı odak noktasından oluşan faktörlere ayrılıyor. Örneğin, şifre konusu, “şifrelerin amacı” ve “şifrelerin gizliliği” gibi iki alt faktöre, şifrelerin gizliliği ise “güçlü şifre yazma” ve “şifreleri paylaşma” gibi iki alt faktöre daha ayrılıyor (Şekil 1.).
Şekil 1. Değerlendirme Ağaç Yapısı [1]
Genel farkındalık seviyesini belirlerken, bütün faktörlerin aynı öneme sahip olduğunu düşünemeyiz. Ölçümlenecek faktörler belirlendikten sonra bu faktörlerin önem derecesinin belirlenmesi gerekir. Yukarıdaki ağaç yapısında görülen her seviye için farklı bir önem derecesi ve her odak noktası için yine ayrı bir önem derecesine sahip olması düşünülmüş. Faktörlerin önem derecelerinin belirlenmesi ise ayrı bir problem olarak karşımıza çıkıyor. Önem dereceleri belirlenirken, basit puantaj cetveli (değer fonksiyonu hesaplaması [2]) veya analitik hiyerarşi işlemi (analytic hierarchy process (AHP) [3]) gibi matematiksel çözümler kullanılabilir. Hesap edilen önem dereceleri ile bir değer ağacı oluşturulduğunda, hem genel farkındalık seviyesi hem de farklı seviye veya faktör bazında farkındalık seviyeleri tespit edilmiş olur.
Değerlendirme sonucunda oluşturulan değer ağacı, farklı bakış açılarından farkındalık seviyesi vermesi yanında bir çok bilgi vermektedir. Yönetim açısından, yetersiz farkındalık odakları belirlenerek eğitimlerin tekrarlanması planlanabilir. Periyodik olarak tekrarlanan eğitimler ile bilgi güvenliği farkındalık seviyesi değişimleri gözlemlenebilir.
Uygulamayı somutlaştırmak ve farklı seviyelerdeki bilgi güvenliği farkındalığınının nasıl belirlendiğini göstermek için Şekil 2’deki örnek faydalı olacaktır. Bu örnekte şifreler konusunda bilgi, eğilim ve davranış seviyesinin farklı sorularla tespit edilmesi amaçlanmıştır.
| Bilgi değerlendirmesi için örnek soru:
Güçlü bir şifre en az 8 karakter uzunluğunda olmalı, büyük harf, küçük harf, rakamlar ve alfa-nümerik karakterleri birlikte bulundurmalıdır. |
|
| 1.Doğru 2.Yanlış 3.Bilmiyorum | |
| Eğilim değerlendirmesi için örnek soru:
Şifrelerin arasıra değiştirilmesi gerektiğini biliyorum ama bunu kurum güvenlik politikalarına eklemenin gerekli olmadığını düşünüyorum. |
|
| 1.Doğru 2.Yanlış 3.Bilmiyorum | |
| Davranış değerlendirmesi için örnek soru:
Başkalarıyla şifremi paylaşmamak gerektiğini biliyorum, ama ara sıra da olsa iş arkadaşıma işlerin aksamaması için şifremi veriyorum (sadece güvendiğim arkadaşlarıma!) |
|
| 1.Doğru 2.Yanlış 3.Bilmiyorum | |
Şekil 2. Örnek sorular [1]
Bilgi güvenliği farkındalığı konusunda neyin ölçüleceğine karar vermek için değer ağacı oluşturulduktan sonra Şekil 2’deki gibi sorulardan oluşan bir anket uygulanmalıdır. Yalnızca yukarıdaki örnekteki tip sorular yerine, açık uçlu, çoktan seçmeli sorularla çeşitlilik sağlanarak otuz kadar soruyla bilgi güvenliği farkındalığı değerlendirilebilir. Daha sonra yapılması gereken, kurum yönetiminin görüşleriyle bir farkındalık ölçeği üzerinde uzlaşmaktır. Şekil 3’de örnek bir farkındalık değerlendirme ölçeği verilmiştir.
| Farkındalık Seviyesi | Ölçülen Değer (%) |
| YÜKSEK | 80-100 |
| ORTA | 60-79 |
| DÜŞÜK | 59 ve daha az |
Şekil 3. Değerlendirme Ölçeği[1]
Sonuç olarak, bir kurumun kendi bilgi sistemlerinin güvenliğini sağlamak için teknik önlemler almasının yanında insan faktörünü gözardı etmeden kurum içi farkındalığı arttırması, alınan teknik önlemlerin de etkisini arttıracaktır. Bunun için uygulanan eğitim programlarının sonuçlarının araştırılması ve etkilerinin analiz edilmesi için bir ölçümleme mekanizmasına ihtiyaç kaçınılmazdır. Literatürde bu konuda yapılmış çok fazla çalışma olmaması araştırmacılar için bir fırsat olabilir. Bu yazı dizisiyle bugüne kadar yapılmış çalışmaları aktaracak, farkındalık ölçümü konusunun önemine dikkat çekmeye çalışacağım.
Referanslar
[1] Kruger H.A. & Kearney W.D. (2006). A prototype for assessing information security awareness. Computers & Security vol. 25, p.289-296.
[2] Belton V. & Stewart T.J. (2002). Multiple criteria decision analysis. An integrated approach. Dordrecht: Kluwer Academic Publishers.
[3] Saaty T.L. (1980). The analytic hierarchy process. McGraw-Hill.
Asıl Yayınlanan
“Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (1)“, 21.11.2010, Ulusal Bilgi Güvenliği Kapısı, TÜBİTAK – BİLGEM – UEKAE.
