BİLGİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN EĞİTİM VE

4. BULGULAR

4.9. BİLGİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN EĞİTİM VE

Bilgi güvenliğinin sağlanmasına ilişkin eğitim ve farkındalık konusunda hazırlanan sorular, üniversitelerde hukuksal düzenlemelerin ve alınan teknik önlemlerin yetersizliği karşısında katılımcıların ne tür önlemler aldıkları ve eksikliklerin giderilmesi için hangi yöntemlerin etkin olabileceğini düşündüklerini anlamaya yönelik olarak hazırlanmıştır. Sorular hazırlanırken; katılımcıların konuya ilişkin olarak almış oldukları eğitim, bilgi düzeyi ve farkındalıkları ayrı ayrı ölçülerek, alınan eğitimin farkındalığa dönüşümüne ilişkin bilgilerin de elde edilmesine çalışılmıştır. Elde edilen bulgular ışığında, geliştirilecek olan bilgi güvenliği politikasında eğitim ve farkındalığın ağırlığının ne ölçüde olacağına ilişkin çıkarımda bulunulması hedeflenmiştir. Bu amaçla BİDB, PDB ve KDB katılımcılarına; bilgi varlıklarının korunmasına ilişkin eğitim ve toplantı durumu, veri ihlali olması halinde uygulanacak eylem planı, hassas ve kişisel veri kapsamında değerlendirilen bilgilerin neler olduğu kişisel verilerin korunmasına yönelik önlemlerin önceliğine ilişkin farklı sorular yöneltilmiştir.

Üniversitelerde kişisel verilerin yoğun olarak işlendiği birimlerin yöneticileri olarak PDB ve KDB katılımcılarına bilgi varlıklarının korunmasına ilişkin eğitim ve toplantılara katılma durumları sorulmuş ve katılımcıların yanıtları Tablo 11 üzerinde ayrı ayrı gösterilmiştir. Bir PDB katılımcısı haricindeki tüm katılımcılardan (N=29) bu soruya yönelik yanıt alınmıştır. Görüşme esnasında bilgi varlıklarının korunmasına ilişkin eğitim ve bilinçlendirme toplantılarıyla ilgili durumun yanı sıra, uygulamalar ve önceliklerin belirlenmesi hakkında da bilgiler alınmıştır.

Tablo 11 Bilgi varlıklarının korunmasına ilişkin eğitim ve toplantı durumu Kişisel verilerin korunmasına ilişkin olarak bilgilendirildiniz mi?

PDB KDB Toplam

N % N % N %Ort

Evet 6 42,9 1 6,7 7 24,1

Hayır 8 57,1 14 93,3 22 75,9

PDB katılımcılarının %57,1’i, KPB katılımcılarının ise %93,3’ü bilgi varlıklarının korunmasına ilişkin olarak herhangi bir bilgilendirme toplantısına katılmadıklarını belirtmektedirler. Bilgilendirme toplantılarına katıldığını belirten altı PDB katılımcısının dördü, soru üzerindeki açıklama kısmında diğer kurum ve kuruluşlarda (Sosyal Güvenlik Kurumu, Yükseköğretim Kurulu, Arşivler Genel Müdürlüğü vd.) yapılan bu tür eğitim ve toplantılara kendi istek ve taleplerine bağlı olarak katıldıklarını ifade etmişlerdir. Sadece bir PDB ve bir KDB katılımcısı üniversite tarafından bilgi güvenliği konusunda bilinçlendirme toplantıları düzenlendiğini ancak bunun da düzenli aralıklarla yapılmadığını belirtmektedir. Katılımcıların açıklamaları da dikkate alınarak değerlendirildiğinde, üniversitelerin %89,5’inde bilgi varlıklarının korunmasına ilişkin yeterli ve düzenli bilgilendirme toplantılarının yapılmadığı görülmektedir.

BİDB, PDB ve KDB katılımcılarına kişisel verilerin ihlal edilmesi durumunda konuya ilişkin olarak kimlerin ya da hangi birimlerin haberdar edileceği sorulmuştur. PDB ve KDB katılımcılarına yöneltilen soruya BİDB’ye yöneltilen sorudan farklı olarak “BİDB’nin haberdar edilmesi” seçeneği de ilâve edilmiştir. BİDB’ye yöneltilen soru tüm katılımcılar (N=15) tarafından yanıtlanmış, PDB ve KDB’ye yöneltilen sorular ise bir PDB katılımcısı haricindeki (N=29) tüm katılımcılar tarafından yanıtlanmıştır. BİDB’den elde edilen bulgular Şekil 7 üzerinde, PDB ve KDB’den elde edilen bulgular ise Şekil 8 üzerinde gösterilmiştir. Katılımcıların bu soruları yanıtlarken birden fazla seçeneği işaretlemelerine olanak sağlanmıştır. Şekil 8 üzerinde belirtilen oranlar, sorulara yanıt veren katılımcılar üzerinden hesaplanmıştır.

Şekil 7 Kişisel verilerin ihlal edilmesi durumunda haberdar edilme önceliği (BİDB) %0 %20 %40 %60 %80 %100

İdari amir Veri öznesi Savcılık Haber Verilmez Fikrim Yok %86,7

%53,3

%20,0

%0,0 ^%6,7

Üniversitelerde henüz veri ihlali nedeniyle yaşanmış bir adli olay ya da soruşturmanın olmadığı tüm katılımcılar tarafından ifade edilmektedir. Bununla beraber, herhangi bir veri ihlali ya da bilgi varlıklarına yönelik saldırılar nedeniyle zararın oluşması durumunda, BİDB katılımcılarının %86,7’si öncelikle bağlı bulunulan idari amirin haberdar edileceğini belirtmektedirler. Bu katılımcıların bir bölümü savcılığın haberdar edilmesi gereken durumlarda bunun idari amir tarafından yapılması gerektiğini düşünmektedirler. BİDB katılımcılarının yarısı (%53,3), kişisel bilgileri ihlal edilen veri sahiplerinin de gerekli önlemleri alabilmeleri amacıyla haberdar edilmeleri gerektiğini düşünmektedirler.

Şekil 8 Kişisel verilerin ihlal edilmesi durumunda haberdar edilme önceliği (PDB ve KDB)

PDB ve KDB katılımcılarının da kişisel verilerin ihlal edilmesi durumunda haberdar edilecek kişi ve birimlere ilişkin sorulara vermiş oldukları yanıtlar BİDB ile benzer niteliktedir. PDB katılımcılarının %92,9’u ile KDB katılımcılarının %66,7’si, öncelikle bağlı bulunulan idari amirin haberdar edileceğini belirtmektedirler. BİDB’nin bu soruya vermiş olduğu yanıtlardan farklı ve ilâve olarak, PDB katılımcılarının %64,3’ü ile KDB katılımcılarının %46,7’si, BİDB’nin de durum ve gelişmelerden haberdar edilmesi gerektiğini düşünmektedirler. Kişisel verileri ihlal edilen kişilerin bilgilendirilmesi gerektiğine inanan PDB katılımcılarının oranı %64,3 iken, KDB katılımcılarının oranı %20’dir. PDB ile KDB katılımcıları arasındaki bu görüş farkının nedeni, KDB katılımcılarının kendileri tarafından kaydedilmemiş ve diğer sistemler üzerinden (öğrenci/personel bilgi sistemi vd.) almış oldukları bu bilgilere ilişkin olarak veri sahibine karşı kendilerini sorumlu hissetmemeleridir. Bu açıdan bakıldığında, KDB katılımcılarının verilerin saklanmasına ilişkin sorumlulukları hakkındaki düşünceleri ile

%0 %20 %40 %60 %80 %100

İdari amir BİDB Veri öznesi Savcılık Haber

Verilmez Fikrim Yok %9 2 ,9 %6 4 ,3 %6 4 ,3 %2 1 ,4 %0 ,0 %0 ,0 %66, 7 %46, 7 %20, 0 %0, 0 %0, 0 _%13, 3 ^PDB KDB

kişisel verilerin ihlal edilmesi durumunda ilgili birim ya da kişilerin haberdar edilmesi konusundaki düşünceleri arasında doğrusal ilişki bulunmaktadır. BİDB, PDB ve KDB katılımcılarının hiçbiri “haber verilmeksizin en kısa sürede sistem yeniden aktif hâle getirilir” seçeneğini işaretlememişlerdir.

PDB ve KDB katılımcılarına hassas ve kişisel veri kapsamında hangi bilgilerin korunması gerektiğini düşündükleri sorulmuş ve elde edilen bulgular Tablo 12 ve Tablo 13 üzerinde gösterilmiştir. Üniversite PDB ve KDB birimlerinde işlenen kişisel veriler farklı olduğu için, PDB ve KDB katılımcılarına yöneltilen soruların içeriğinde ilgili birime uygun seçeneklere yer verilmiş ve bu soruya verilen yanıtlar ayrı ayrı değerlendirilmiştir. PDB katılımcılarına yöneltilen soru 14 katılımcı tarafından yanıtlanırken, KDB katılımcılarına yöneltilen soru tüm katılımcılar (N=15) tarafından yanıtlanmıştır. Tablo 12 üzerinde belirtilen oranlar, sorulara yanıt veren katılımcılar üzerinden hesaplanmıştır.

Tablo 12 Hassas ya da kişisel veri kapsamında korunan bilgiler (PDB)

Aşağıdaki seçeneklerden hangilerinin personel ile ilişkilendirilmesi halinde “hassas” ya da “kişisel veri” kapsamında korunması gerektiğini düşünüyorsunuz?

PDB

N %

Personelin sicil bilgileri 11 78,6

Personelin PDB kaynaklarına bağlandığı IP adresi 9 64,3

Personelin kimlik bilgileri (Ad-Soyad, TC kimlik numarası vd.) 14 100 Personelin iletişim bilgileri (adres, telefon, e-posta adresi vd.) 14 100

Personelin akademik özgeçmişine ilişkin bilgiler 8 57,1

Personelin etnik, din, dil, ırk bilgileri 13 92,9

Hiçbiri - -

DD 1 -

PDB katılımcılarının %50’si, seçeneklerde yer alan tüm bilgilerin kişisel veri olarak korunması gerektiğini düşünmektedirler. İki katılımcı sicil bilgilerinin artık kullanılmadığı gerekçesiyle bu seçeneği işaretlememiştir. Ancak eski sicil bilgilerini de bu kapsamda dikkate alabileceklerinin belirtilmesi üzerine, iki katılımcı da bu bilgilerin kişisel veri olarak korunması gerektiğini düşündüklerini ifade etmişlerdir. Bu nedenle, seçeneklerde yer alan tüm bilgilerin korunması gerektiğini düşünen katılımcılar hesaplanırken, bu iki katılımcı da değerlendirmeye dâhil edilmiştir. PDB katılımcıları bu soruyu yanıtlarken, en fazla IP adreslerinin (%64,3) ve personelin akademik özgeçmişine

ait bilgilerinin (%57,1) kişisel veri olarak korunması gerektiği ya da gerekmediği noktasında tereddüt etmektedirler. Katılımcılar görüşme esnasında genel olarak IP adresinin korunması konusunda detaylı bilgi sahibi olmadıklarını, akademik özgeçmiş bilgilerinin ise internet ortamından da erişilebilir olduğu ifade etmişlerdir. Kimlik ve iletişim bilgilerinin kişisel veri kapsamında korunması gerektiği noktasında ise tüm katılımcılar birleşmektedir.

Tablo 13 Hassas ya da kişisel veri kapsamında korunan bilgiler (KDB)

Aşağıdaki seçeneklerden hangilerinin kullanıcı ile ilişkilendirilmesi halinde “hassas” ya da “kişisel veri” kapsamında korunması gerektiğini düşünüyorsunuz?

KDB

N %

Kullanıcının araştırma konusu 11 73,3

Kullanıcının danışma hizmetleri kapsamında edindiği bilgiler 8 53,3

Ödünç alınan yayınların listesi 5 33,3

Web sayfasına yapılan ziyaretlere ilişkin kayıtlar 9 60

Bilgi merkezi kaynaklarına ve veri tabanlarına bağlandığı IP adresi 8 53,3 Kullanıcının kimlik bilgileri (Ad-Soyad, TC kimlik numarası vd.) 14 93,3 Kullanıcının iletişim bilgileri (adres, telefon, e-posta adresi vd.) 14 93,3

Hiçbiri - -

KDB katılımcılarının hassas ve kişisel veri kapsamında korunması gereken bilgilerin neler olabileceğine ilişkin düşüncelerinde farklılıklar bulunmaktadır. Bu nedenle seçeneklerde sunulan tüm bilgilerin kişisel veri olarak korunması gerektiğine yönelik görüş bildiren KDB katılımcısı oranı düşük seviyededir (%26,7). KDB katılımcılarının hassas ya da kişisel veri kapsamında korunmasına ilişkin olarak en fazla tereddüt ettikleri bilgiler, ödünç alınan yayınların listesi (%33,3), danışma hizmetleri kapsamında edinilen bilgilerin listesi (%53,3) ve IP adresleridir (%53,3). KDB katılımcılarının büyük çoğunluğu bu üç seçeneği işaretleme konusunda tereddüt etmişlerdir. Ancak görüşme esnasında bu verilerin neden korunması gerektiği konusunda bilgi verilmesi sonrasında bu seçenekleri işaretlemişlerdir. İletişim ve kimlik bilgilerinin korunması gerektiği konusunda ise KDB katılımcılarının büyük bölümünün (%93,3) tereddüdü bulunmamaktadır. PDB ve KDB katılımcılarının vermiş olduğu yanıtlardan, her iki birimin de konuya ilişkin görüşlerinde büyük benzerlik olduğu görülmektedir.

KDB katılımcılarının bilgi varlıklarının korunmasına vermiş oldukları önem ve önceliklerinin daha detaylı olarak anlaşılabilmesi amacıyla, bilgi hizmetlerinin sunulmasına yönelik önceliklerini belirtmeleri istenmiştir. Katılımcılara bilgi hizmetlerinin sunulması esnasında göz önünde bulundurulabilecek ve aynı zamanda hukuksal, teknik, etik ve uygulamaya yönelik mesleki prensipleri içeren seçenekler sunularak aralarında bir öncelik sıralaması yapmaları istenmiştir. Soru tüm KDB katılımcıları (N=15) tarafından yanıtlanmıştır. Ancak dört KDB katılımcısı tüm seçeneklerin kendileri için eşit öneme sahip olduğunu vurgulayarak tercihlerini bu doğrultuda yapmışlardır. Bu katılımcıların yanıtları Şekil 9 üzerinde yer alan diğer öncelik değerlerini değiştirmemesi için ayrıca gösterilmiştir. Şekil 9 üzerindeki hesaplamalar, öncelik belirten katılımcıların (N=11) vermiş oldukları yanıtlara bağlı olarak yapılmıştır.

Şekil 9 Bilgi hizmetlerinin sunulmasıyla ilgili hukuksal, teknik ve etik öncelikler

Bu soruyu yanıtlarken katılımcılardan bilgi hizmetlerinin sunulması esnasında “ihmal edilebilirliği” göz önünde bulundurmaları istenmiştir. Ancak yanıtların dağılımı içerisinde katılımcıların %81,8’inin “bilgi erişiminin sağlanması ve araştırmacıların en

%9,1 %0,0 %9,1 %81,8 %9,1 %54,5 %27,3 %9,1 %9,1 %18,2 %63,6 %9,1 %54,5 %36,4 %0,0 %9,1 %0 %10 %20 %30 %40 %50 %60 %70 %80 %90 %100

Bilgi varlıklarının ihlallere karşı etik ve hukuksal koşullar çerçevesinde korunması Düşünce özgürlüğü çerçevesinde sınırsız bilgi

hizmeti sunulması Bilgi varlıklarının gizliliği, bütünlüğü ve kullanılabilirliğinin teknik olanaklarla sağlanması Bilgi erişiminin sağlanması ve araştırmacının en kısa

sürede bilgi ile buluşturulması

Aşağıda tanımlanan amaçları bilgi hizmetlerinin sunulmasıyla ilişkili olarak öncelik sırasına göre “1” (en öncelikli) ile “4” arasında sıralayınız.

4 3 2 1

kısa sürede bilgi ile buluşturulmasını” en öncelikli olarak işaretlediği görülürken; %54,5’inin “bilgi varlıklarının etik ve hukuksal koşullar çerçevesinde korunmasına” en düşük önceliği vermeleri dikkat çekicidir. Katılımcılara bu seçeneğe ilişkin olarak “bilgi varlığı” kavramı ile hassas ve kişisel verilerin kast edildiği bilgisi verilmiştir. Bu seçeneği öncelikler arasında son sıraya yerleştiren katılımcıların oranı, “düşünce özgürlüğü çerçevesinde sınırsız bilgi hizmeti sunulması” seçeneğini son sıraya yerleştiren katılımcıların oranından (%36,4) daha fazladır. Katılımcıların büyük bölümünün (%63,6) üçüncü öncelikli olarak gördükleri seçenek ise “bilgi varlıklarının gizliliği, bütünlüğü ve kullanılabilirliğinin teknik olanaklarla sağlanması” olmuştur. Bununla beraber, sunulan tüm seçeneklerin öncelikli olduğunu belirten dört katılımcının (%26,6) olması önem taşımaktadır. Bu katılımcılar, sunulan seçenekler arasında bir denge bulunduğunu ve birinin tamamen ihmal edilmesi halinde diğerlerinin üzerinde olumsuz etkisi olabileceğini ifade etmektedirler. Şekil 9’dan elde edilen veriler, genel olarak KDB katılımcıları için bilgi hizmetlerinin sunulmasında hukuksal, etik ve teknik önlemlerin alınmasının daha düşük öncelikli olduğunu göstermektedir. Bu soruya verilen yanıtlar ile katılımcıların kişisel veri kapsamında korunması gereken bilgilere ilişkin görüşlerini ortaya koyan soruya vermiş oldukları yanıtlar arasında doğrusal ilişki olduğu görülmektedir.

PDB ve KDB katılımcılarına ayrıca kişisel verilerin işlendiği bilgisayarlardaki oturum açma politikalarına ilişkin uygulamaları sorulmuştur. İki PDB katılımcısı haricindeki tüm PDB ve KDB katılımcıları (N=28) bu soruyu yanıtlamıştır. Alınan yanıtların biri haricinde tamamı (%96,4), kişisel verilerin işlendiği bilgisayarları her personelin kendi kullanıcı hesabı ile açabildiğini ve böylece yapılan işlemlerin hangi personel tarafından gerçekleştirildiği bilgilerine ulaşılabileceğini belirtmişlerdir. Ortak kullanıcı hesabı kullanıldığını ifade eden KDB katılımcısı ise, kurulum aşamasında olduklarını ve henüz yeterli sayıda bilgisayarın bulunmadığını belirtmektedir.

PDB ve KDB katılımcılarından personel ve kullanıcılara ait kişisel verilerin korunmasına ilişkin önlemleri öncelik sırasına göre sıralamaları istenmiş ve elde edilen bulgular Tablo 14 üzerinde gösterilmiştir. Bu sıralama ile katılımcıların kişisel verilerin korunmasına yönelik hangi önlemlerin (hukuksal, teknik, idari ve etik) öncelikle alınmasına ihtiyaç

duyduklarının ve daire başkanlarının bu konuya bakışlarındaki farklılıkların belirlenmesi hedeflenmiştir. Bir PDB katılımcısı haricindeki tüm katılımcılar (N=29) soruyu yanıtlamıştır. Ancak dört KDB katılımcısı tüm seçeneklerin ya da içlerinden bazılarının kendileri için eşit öneme sahip olduğunu vurgulayarak tercihlerini bu doğrultuda yapmışlardır. Bu katılımcıların yanıtları Tablo 14 üzerinde yer alan öncelik değerlerini değiştirmemesi için hesaplamalarda değerlendirme dışı bırakılmıştır.

Tablo 14 Personel ve kullanıcılara ait kişisel verilerin korunmasına ilişkin öncelikler

Personel ve kullanıcılara ait kişisel verilerin korunmasına ilişkin önlemleri öncelik sırasına göre “1” (en öncelikli) ile “4” arasında sıralayınız.

1 2 3 4

PDB KDB PDB KDB PDB KDB PDB KDB

N % N % N % N % N % N % N % N %

Hukuksal düzenlemeler

kapsamında korunmalıdır ¹⁰ ^71,4 ⁸ ^72,7 ² ^14,3 ¹ ^9,1 ^- ^- ¹ ^9,1 ² ^14,3 ¹ ^9,1

Teknik önlemler alınmalıdır 1 7,1 1 9,1 3 21,4 3 27,3 8 57,1 5 45,5 2 14,3 2 18,2

İdari önlemler alınmalıdır - - 1 9,1 7 50 2 18,2 6 42,9 5 45,5 1 7,1 3 27,3

Etik ilkeler çerçevesinde

korunmalıdır ³ ^21,4 ¹ ^9,1 ² ^14,3 ⁵ ^45,5 ^- ^- ^- ^- ⁹ ^64,3 ⁵ ^45,5

PDB katılımcıların %71,4’ü ile KDB katılımcıların %72,7’si kişisel verilerin korunmasına ilişkin olarak alınması gereken önlemlerin hukuksal düzenlemeler kapsamında olması gerektiğine inanmaktadırlar. Seçenekler arasında PDB ve KDB katılımcılarının büyük bölümü (sırasıyla %64,3 ve %45,5) en düşük önceliği etik ilkelere bağlı olarak alınacak önlemlere vermişlerdir. Ancak KDB katılımcılarının ikinci öncelikli olarak alınması gereken önlemler konusunda da “etik değerler” üzerinde yoğunlaştıkları (%45,5) görülmektedir. Bu sonuçlar, KDB katılımcılarının görüşme esnasında vurgulamış olduğu “hukuksal düzenlemelerin yetersizliği nedeniyle bilgi güvenliği önlemleri etik kurallar çerçevesinde alınıyor” ifadesiyle de örtüşmektedir. Uygulamadaki yaklaşım ile olması gerektiği düşünülenler arasında bu tür farklılıklar görülebilmektedir. Uygulamada KDB katılımcıları etik ilkeleri daha fazla dikkate almakta ve bu kapsamda sorumluluklarının bulunduğunu düşünmektedirler. PDB katılımcılarının ikinci öncelikli olarak alınması gereken önlemler konusunda KDB katılımcılarından farklı düşündükleri ve “idari önlemler” üzerinde yoğunlaştıkları (%50) görülmektedir. Teknik önlemlerin alınması konusu ise PDB ve KDB katılımcılarının ancak üçüncü öncelikli tercihi olabilmiştir.

Kişisel verilerin korunmasına ilişkin sorumluluğu bulunmadığını düşünen ve bu nedenle öncelik belirlemek istemeyen katılımcılar için, soruya “kişisel verilerin korunması PDB’nin sorumluluklarından biri değildir” seçeneği de ilâve edilmiştir. Ancak PDB ve KDB katılımcıları arasında kişisel verilerin korunması konusunda sorumluluğunun bulunmadığını düşünen katılımcı bulunmamaktadır.

Tablo 14 üzerinde yer alan veriler incelendiğinde, KDB katılımcılarının bilgi hizmetlerinin sunulması esnasındaki öncelikleri ile kişisel verilerin korunmasına yönelik önlemlerin alınmasındaki öncelikleri arasındaki farklılık dikkat çekmektedir. Bu fark katılımcılardaki iki soruya yönelik algı farkının ötesinde, bilgi hizmetlerinin sunulması esnasındaki risklere yönelik algılarından kaynaklanmaktadır. KDB katılımcıları bilgi hizmetleri kapsamında edinilen bilgilere ilişkin kayıtların hassas ya da kişisel veri olarak korunması gerektiğini düşünmemektedirler. Bilgi hizmetlerinin sunulması esnasındaki risk algısının düşük olması, hukuksal düzenlemelere yönelik önceliği azaltırken; kişisel

verilerin korunmasına ilişkin önlem alınması söz konusu olduğunda, KDB katılımcıları öncelikle hukuksal düzenlemeler kapsamında önlem alınmasını öngörmektedirler.

4.10. KATILIMCILARIN KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN

Belgede Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü (sayfa 162-172)