T.C.
GAZĐ ÜNĐVERSĐTESĐ
EĞĐTĐM BĐLĐMLERĐ ENSTĐTÜSÜ
EĞĐTĐM BĐLĐMLERĐ ANA BĐLĐM DALI
EĞĐTĐM TEKNOLOJĐSĐ BĐLĐM DALI
YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ:
BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN
BĐR MODEL ÖNERĐSĐ ve UYGULAMASI
DOKTORA TEZĐ
Hazırlayan Necla VARDAL Ankara Aralık, 2009
T.C.
GAZĐ ÜNĐVERSĐTESĐ
EĞĐTĐM BĐLĐMLERĐ ENSTĐTÜSÜ
EĞĐTĐM BĐLĐMLERĐ ANA BĐLĐM DALI
EĞĐTĐM TEKNOLOJĐSĐ BĐLĐM DALI
YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ:
BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN
BĐR MODEL ÖNERĐSĐ ve UYGULAMASI
DOKTORA TEZĐ
Necla VARDAL
Danışman: Prof. Dr. Halil Đbrahim YALIN
Ankara Aralık, 2009
i
JÜRĐ ÜYELERĐNĐN ĐMZA SAYFASI
Necla Vardal’ın “Yükseköğretimde Bilgi Güvenliği: Bilgi Güvenlik Yönetim Sistemi Đçin Bir Model Önerisi ve Uygulaması” başlıklı tezi 08.12.2009 tarihinde, jürimiz tarafından Eğitim Bilimleri Anabilim Dalı Eğitim Teknolojisi Bilim Dalında Doktora Tezi olarak kabul edilmiştir.
Adı Soyadı Đmza
Üye (Tez Danışmanı): Prof. Dr. Halil Đbrahim YALIN ……….
Üye: Prof. Dr. Ahmet MAHĐROĞLU ……….
Üye: Prof. Dr. Hafize KESER ……….
Üye: Doç. Dr. Halil Đbrahim BÜLBÜL ……….
ii
ÖNSÖZ
Günümüzde belki de en önemli konulardan biri olan bilgi güvenliği hakkında yapılmış olan bu çalışmanın yükseköğretim kurumlarına ve bilgi güvenliğini artırmak isteyen kişi ve kurumlara katkıda bulunması en içten dileğimdir.
Araştırmam süresince yardım ve desteğini esirgemeyen, bilgi güvenliğine farklı bir bakış açısı ile yaklaşmamda vesile olan başta danışmanım Prof. Dr. Halil Đbrahim Yalın olmak üzere tez izleme komitemde bulunan Prof. Dr. Ahmet Mahiroğlu ve Prof. Dr. Hafize Keser’e teşekkürü borç bilirim.
Önerilen modelin üniversitelerde uygulanmasına izin ve destek verildiği için Gazi Üniversitesi, TOBB Ekonomi ve Teknoloji Üniversitesi ile Ankara Üniversitesi’ne ve model uygulanması aşamasında birlikte çalıştığım üniversite mensuplarına; araştırmada önerilen model ve bilgi toplama araçları konusunda değerli görüşlerine başvurulan uzmanlara ve bu uzun süreçte yanımda bulunan eşim ve Aziz oğluma teşekkürlerimi sunarım.
iii
ÖZET
YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ: BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN BĐR MODEL ÖNERĐSĐ ve UYGULAMASI
VARDAL, Necla
Doktora, Eğitim Teknolojisi Bilim Dalı Tez Danışmanı: Prof. Dr. Halil Đbrahim YALIN
Aralık- 2009, xi+235 Sayfa
Bilgi güvenliği kurumlar yanında yükseköğretim kurumları içinde çok önemlidir. Bu araştırma güvenlikle ilgili standartlar ve en iyi kullanım örneklerinin karşılaştırmalı olarak incelenmesi ve yükseköğretim kurumları için bilgi güvenlik yönetim sistemi modelinin önerilmesi amacıyla yapılmıştır. Literatür incelemesi yapılmıştır. Ortak güvenlik kontrolleri ve modelin bileşenleri seçilmiştir.
Bu çalışmada standartlar/en iyi kullanım örnekleri incelemesi ve üniversiteler için Önerilen Bilgi Güvenlik Yönetim Sistemi Modeli (ÖBGYS) sunulmuştur. Bu modelin amacı, güvenlikte en zayıf halka olan insan faktörünün güçlendirilmesi ve üniversiteler için kullanımı kolay olan talimat ve ipuçlarının verilmesidir. Bu model teknoloji ve bilgi merkezli geleneksel modellerin yerine insan ve bilgi merkezli bir modeldir.
Pilot uygulama için bir anket ve kontrol listesi geliştirilmiştir. Seçilen üniversitelerde önerilen modelin pilot uygulaması yapılmıştır. Bilgiler çevirimiçi anket ile toplanmıştır. Anket bilgileri, analiz edilmek için SPSS’e aktarılmıştır.
Toplanan veriler SPSS istatistik paket programı kullanılarak çözümlenmiştir. Verilerin çözümlenmesinde frekans(f), yüzde (%) ve aritmetik ortalamadan yararlanılmıştır. Verilerin kullanıcı grubu ve katılımcıların bilgi güvenliği hakkındaki
iv
görüşlerine göre karşılaştırılmasında tek faktörlü varyans analizi (ANOVA), Tukey ve Dunnett C testleri kullanılmıştır. Çalışma katılımcıların örneğin “bilgi korunması gereken bir varlıktır ve bilgi güvenliği üniversiteler için gereklidir” gibi önerilen ifadelere yüksek derecede katıldığı tespit edilmiştir. Pilot çalışma sonrasında model ve yol haritası gözden geçirilmiş ve son haline getirilmiştir.
Bu çalışma bilgi güvenliğinin üniversiteler için önemli olduğunu ve önerilen insan merkezli modelin kolaylıkla uygulanabilir bir model olduğunu göstermektedir. Aynı zamanda bu çalışma farklı standartlar/en iyi kullanım örneklerinin detayları ve benzerlikleri hakkında bilgi içermektedir ve güvenliği artırmaya istekli üniversiteler yanında diğer kurumları için kullanımı kolay bir model ve yol haritası olabilir. Son olarak bu çalışma diğer araştırmacılara bilgi güvenlik yönetim sistemini farklı bir bakış açısıyla yorumlama konusunda ilham verebilir.
Anahtar Kelimeler: Bilgi güvenliği, kurumsal bilgi güvenliği, yükseköğretimde bilgi güvenliği, bilişim güvenliği, bilgi güvenlik standartları, bilgi güvenlik yönetim sistemleri, güvenlik farkındalığı.
v
ABSTRACT
INFORMATION SECURITY AT HIGHER EDUCATION: INFORMATION SECURITY MANAGEMENT MODEL PROPOSAL and IMPLEMENTATION
VARDAL, Necla
Doctor of Philosophy, Department of Educational Technology Supervisor: Prof. Dr. Halil Đbrahim YALIN
December-2009, xi+235 Pages
Information security is very important for enterprises as well as for higher education institution. The research was conducted in order to make comparative analysis of security related standards/best practices and to propose an information security management model for higher education institutes. The literature has been reviewed. Common security controls and model’s components have been selected.
A review study on standards/best practices and proposed Information Security Model for universities have been presented in this study. The goals of this model are to improve human factor which is the weakest link in security and to give easy to use instructions and tips for universities. This model is human and information centric instead of traditional models which is technology and information centric.
A survey and control list has been developed for pilot study. Proposed model’s pilot study has been applied at the selected universities. The information has been collected by online questionnaire. Questionnaires have been transferred to SPSS for analyzing.
The data collected has been analyzed by SPSS statistics package program. In data analysis frequency (f), percentage (%) and arithmetic mean have been used. In comparisons of user group and opinion of participants about information security one way variance analysis (ANOVA), Tukey and Dunnett C tests have been used. The survey shows that participants were agree to statements proposed such as “information
vi
is a valuable asset and information security is really important for universities”. After pilot study the model and roadmap has been revised and finalized.
It was concluded that this study shows that information security is important for universities and proposed human centric model would be easy to apply. This study also give details about different standards/best practices and commonalities of them and would suggest an easy to use model and roadmap for universities as well as other enterprises willing to improve their security. Finally this study could be inspiring other researcher about interpretating information security management model from the different point of view.
Keywords: Information security, enterprise information security, higher education information security, IT security, information security standards, information security management model, security awareness.
vii
Đ
ÇĐNDEKĐLER
JÜRĐ ÜYELERĐNĐN ĐMZA SAYFASI... i
ÖNSÖZ ... ii ÖZET...iii ABSTRACT... v TABLOLAR LĐSTESĐ ... x ŞEKĐLLER LĐSTESĐ ... xi BÖLÜM I :GĐRĐŞ ... 1 1.1. Problem ... 1 1.2. Amaç ... 10 1.3. Önem ... 11 1.4. Varsayımlar ... 12 1.5. Sınırlılıklar ... 13 1.6. Tanımlar ... 13
BÖLÜM II: KAVRAMSAL ÇERÇEVE ... 15
2.1. Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş ... 16
2.2. Bilgi Teknolojileri ve Üniversiteler ... 18
2.3. Bilgi Güvenliği... 21
2.4. Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama Örnekleri)... 27
2.4.1. BS 7799 Part 1 ; ISO/IEC 17799:2000; ISO/IEC 17799:2005 ; ISO/IEC 27002:2005; TS ISO/IEC 17799:2002; TS ISO/IEC 17799:2006 ... 28
2.4.2. BS 7799 Part 2; ISO/IEC 27001:2005; TS 17799-2; TS ISO/IEC 27001... 31
2.4.3. TCSEC Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri (Trusted Computer Security Evaluation Criteria) - 1983 ... 36
2.4.4. ITSEC... 37
2.4.5. CTCPEC... 37
2.4.6. ISO/IEC 15408 Ortak Kriterler (Common Criteria ) ... 37
2.4.7. RFC (Request for Comments) 2196... 38
2.4.8. ISO/IEC 13335 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz (Information Technology—Guidelines for the Management of IT Security) ... 38
2.4.9. COBIT (Bilgi ve Đlgili Teknoloji için Kontrol Hedefleri/Control Objectives for Information and Related Technology)... 43
2.4.10. Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama Standartları (The Information Security Forum’s (ISF’s) Standard of Good Practice for Information Security)... 46
viii
2.4.11. NIST 800-12 Bilgisayar Güvenliğine Giriş- NIST Elkitabı (An Introduction to
Computer Security- The NIST Handbook)... 49
2.4.12. OCTAVE... 56
2.4.13. PCI (Payment Card Industry) Data Security Standart... 58
2.4.14. OWASP (Open Web Application Security Project) Guide ... 62
2.4.15. Diğer Standart ve Kılavuzlar ... 63
BÖLÜM III: YÖNTEM ... 66
3.1. Araştırma Modeli ... 67
3.2. Çalışma Evreni ... 68
3.3. Verilerin Toplanması ... 68
3.4. Verilerin Analizi... 71
BÖLÜM IV: BULGULAR VE YORUM... 73
4.1. Standartların ve Kılavuz Dokümanlarının Ortak Noktaları... 73
4.2. Üniversiteler Đçin Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS) Modelinin Bileşenleri... 88
4.3. ÖBGYS Süreç Adımları... 95
4.4. Üniversitede Bilgi Güvenliğine Yönelik Görüşler... 109
4.4.1. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşler ... 110
4.4.2. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşler ... 113
4.4.3. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşler ... 116
4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler... 120
4.4.5. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşleri ... 122
4.5. Model Uygulamasında Karşılaşılan Ortak Sorunlara Yönelik Bulgular... 125
4.5.1. BT Birimi Personel Sayısı ve Yönetimi ... 125
4.5.2. Dokümantasyon Eksikliği ... 126
4.5.3. Bilgi Güvenliğine Yönelik Farkındalık Çalışmaları... 127
4.5.4. Kapsamlı Bir Bilgi Güvenlik Yönetim Sistemi... 128
BÖLÜM V: SONUÇ VE ÖNERĐLER ... 132
5.1. Sonuç... 132
5.2. Öneriler ... 135
KAYNAKÇA ... 139
EKLER ... 147
EK-1: Yükseköğretimde Bilgi Güvenliği Anketi... 148
EK-2: ÖBGYS Güvenlik Kontrol Listesi ... 151
EK-3: Üniversitelerde ÖBGYS Modeli ile Oluşturulabilecek Örnek Dokümanlar163 EK-3.1: Örnek- Üniversite Bilgi Güvenlik Politikası ... 164
ix
EK-3.2: Örnek- Varlık Envanteri ... 183
EK-3.3: Örnek- Risk Analiz Tablosu... 188
EK-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali ... 200
EK-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali ... 206
x
TABLOLAR LĐSTESĐ
Tablo 1. Anket Bölümleri ve Soru Numaraları... 70
Tablo 2. Doküman Taksonomisi... 75
Tablo 3. Đnceleme Đçin Seçilen Dokümanlar ... 77
Tablo 4. Dokümanların Kapsam Alanlarının Karşılaştırması ... 77
Tablo 5. Süreç Adımları Karşılaştırması ... 97
Tablo 6. Örnek ÖBGYS Bileşen Đlişkiler Tablosu ... 104
Tablo 7. Araştırmaya Katılanların Kullanıcı Grubuna Göre Frekans ve Yüzde Dağılımları ... 109
Tablo 8. Araştırmaya Katılanların Üniversite ve Kullanıcı Grubuna Göre Dağılımı.. 110
Tablo 9. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ... 110
Tablo 10. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Üniversite Bazında Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları .... 112
Tablo 11. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ... 113
Tablo 12. Bilgi Güvenliğe Yönelik Sorunlar Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları... 115
Tablo 13. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları... 117
Tablo 14. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-1 ... 118
Tablo 15.Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-2 ... 119
Tablo 16. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkından Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-3 ... 119
Tablo 17.Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ... 120
Tablo 18. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları ... 121
Tablo 19. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşlerinin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ... 122
Tablo 20. Bilgi Güvenliğine Yönelik Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları... 124
xi
Ş
EKĐLLER LĐSTESĐ
Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri ... 25
Şekil 2. Güvenlik Olayları ... 26
Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları... 27
Şekil 4. ISO/IEC 17799:2000 Konu Alanları ... 30
Şekil 5. ISO/IEC 17799: 2005 Konu Alanları ... 31
Şekil 6. Standartların Yayınlanma Süreleri ... 36
Şekil 7. Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS)Modeli Bileşenleri ... 89
Şekil 8. Đnsan Grupları Örneği... 90
Şekil 9. Bilgi Grupları Örneği ... 91
Şekil 10. Fiziksel ve Çevresel Gruplar Örneği ... 95
Şekil 11. ITIL Bilgi Güvenlik Modeli ve BT Güvenlik Yönetim Süreci ... 96
Şekil 12. BGYS Süreçlerinde PUKO Modelinin Uygulanması ... 96
Şekil 13. ISO 9001 Süreç Modeli ... 97
Şekil 14. ADDIE Süreç Modeli ... 98
Şekil 15. ÖBGYS Modeli Süreç Adımları ... 100
Şekil 16. ÖBGYS Modeli Đpuçları... 130
BÖLÜM I
1.
GĐRĐŞ
Bu bölümde araştırmanın problemi, amacı, önemi, sınırlılıkları ve temel kavramların açıklamaları verilmektedir.
1.1.
Problem
Mal ve hizmet üretimindeki temel girdiler arasında belki de en pahalı ve en önemli olanı bilgidir (Gökçen, 2002). Đnsanlar, daha nitelikli bir yaşam için bilgiye ulaşma, bilgiyi kullanma, kısacası bilgiye sahip olma gereksinmesi içindedir ve bu da bilginin elde edilmesi, saklanması ve iletilmesinde kullanılan bilgi teknolojilerinin hızla gelişmesinin en önemli nedenini oluşturmaktadır. Bilgi ve iletişim teknolojilerinin günümüzde toplumlar üzerinde büyük etkisi bulunmakta ve birçok alanda kullanılan bilgi teknolojileri modern toplumların güçlü araçları olarak karşımıza çıkmaktadır (Tandoğan ve başk.,1998).
Karahan (2003:88) bilgi teknolojilerini “bilginin yaratılması, biriktirilmesi, işlenmesi, yeniden elde edilmesi, yayılması, korunmasına yardımcı olan araçlar” olarak tanımlamakta; Uzay (2001:16) ise bilgi ve iletişim teknolojilerini “Bir bilginin toplanmasını, işlenmesini, bilginin saklanmasını ve gerektiğinde herhangi bir yere iletilmesini ya da herhangi bir yerden bu bilgiye erişilmesini otomatik olarak sağlayan teknolojiler bütünü” olarak ifade etmektedir. Bilgi çağı olarak adlandırılabilen çağımızın en önemli özelliği, bilgi teknolojilerinin yoğun olarak kullanılması ve maddi ürün yerine bilgi üretiminin önem kazanmasıdır (Tandoğan ve başk.,1998; Yıldırım ve Öner, 2004).
1980’li yıllardaki, bilim ve teknolojideki hızlı gelişmeler bilgi toplumunun oluşmasının başlangıç yılları olmuştur. “Bilginin bir güç ve kuvvet olduğu Frances Bacon tarafından 1600’lu yıllarda ifade edilmiş olmasına karşın, insanlar ilk defa 2000’li yıllara doğru bilgi toplumundan söz etmeye başlamışlardır” (Aktaş, 2003: 46). “Çağın toplumlarının hedefi bilgi toplumu olmaktır. Çünkü içinde yaşadığımız dönem bilginin güç olarak görüldüğü bir dönemdir” (Tandoğan ve başk., 1998: 10). Ünlü savaş uzmanı Napolyon’a göre, doğru bilgiyi doğru zamanda temin etmek savaşın onda dokuzunu kazanmak demektir (Şimşek, 2002).
Bilgi toplumu bireylerin paylaşıldıkça artan bilginin gücü ve üstünlüğünü kabul ettiği ve aktif olarak kullandığı bir yaşam biçimidir ve bilgi, toplumun stratejik kaynağını oluşturmaktadır. Naissbitt ve Aburdene (1990)’nin ve Drucker, (1994)’ın da belirttiği gibi bilgi toplumunda birey merkezi bir konuma sahiptir. Teknolojinin gelişmesiyle paralel şekilde bilginin bireyler ve kurumlar için önemi de artmıştır. Son yıllarda önemli bir güç haline gelen bilginin, üretilmesinin yanı sıra muhafaza edilmesi ve paylaşılması için kullanılan bilgi ve iletişim teknolojileri hayatın her alanında yer almaya başlamıştır. Özellikle her alanda elektronik ortamlara geçişle birlikte erişilmesi kolaylaşan bilginin güvenliğinin sağlanması da, son derece önem kazanmıştır.
“Bilgi Güvenliği”, bilginin gizlilik (bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etme), bütünlük (bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etme, yetkisiz olarak bilginin değiştirilmemesini sağlama) ve kullanılabilirlik/erişilebilirlik (yetkili kullanıcıların, gerek duyulduğunda, bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etme) unsurlarının temini ve bilgi işleme ekipmanlarının, yazılımlar ve diğer bilgi teknolojisi varlıklarının meydana gelebilecek risklere karşı korunması demektir.
Bilgi güvenliği kurumlar ve bireyler için vazgeçilmez ve değerli bir varlık olan bilginin korunması için gerekmektedir. Bir diğer husus bilginin işlenmesi için kullanılan ve sürekli gelişim gösteren teknolojilerin de bilgi unsuru için riskler yarattığı gerçeğidir. Genel olarak bakılacak olursa, bilgi uygunsuz bir şekilde ifşa edilebilir (gizlilik unsuru sağlanamaz), uygun olmayan bir şekilde değiştirilebilir (bütünlük unsuru sağlanamaz), zarar görebilir veya kaybedilebilir (kullanılabilirlik unsuru sağlanamaz) (Blackley ve
başk., 2001). Đnsanlar yeni teknolojileri kullanırken bu teknolojilerin sağlayacağı faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında olmalıdır.
Bilgi güvenliğinin sağlanması konusunda belkide en önemli hususlardan birisi nasıl hareket edilmesi gerektiğidir. Dünyada içerisinde bilgi güvenliği unsuru da geçen pek çok farklı standart ve en iyi uygulama örnekleri (TS ISO/IEC 27001, TS ISO/IEC 17799, RFC2196, NIST800-12, COBIT, PCI vb.) bulunmaktadır. Bu durum bilgi güvenlik yönetim sistemini kurmak isteyen kişi ve kurumlar için “Nereden başlamalıyım? veya “Hangisi güvenlik için daha uygun olur?” gibi sorulara neden olabilmektedir. Farklı ihtiyaçlar ve amaçlar için özelleştirilerek hazırlanmış olan bu dokümanlar incelendiğinde temelde pek çok unsurun tekrarlandığı görülebilecektir.
Güvenliğin en önemli zaafının insan davranışı olduğu bilinmektedir. Son yıllarda güvenlik ile ilgili yapılan araştırmalarda güvenliğin sağlanmasında insan faktörünün önemi fark edilmiştir (Brostoff ve Sasse, 2001). Schneier (2000), güvenliğin sadece en zayıf halkanın güvenliği kadar olabileceğini ve insanların zincirdeki en zayıf halka olduğunu belirtmiştir. Poulsen (2000) ise bilgisayar güvenliğindeki insan faktörünün gözden kaçırıldığını, kurumların güvenlik duvarları, şifreleme ve güvenli erişim cihazlarına milyonlarca dolar harcadıklarını, ancak bu teknik önlemlerin güvenlik zincirindeki en zayıf halka olan insan unsurunu adreslemediği için harcanan paranın boşa gittiğini belirtmektedir. Gonzales ve Sawicka (2002), bilgi güvenliğinin teknoloji ve insanı içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve uygulanmış olursa olsun insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan faktörünün daha iyi anlaşılması gerektiğini belirtmektedir. Bu çerçevede bakıldığında kurumlar için bilgi güvenliğinin sağlanmasında teknik altyapının oluşturulması kadar insan faktörünün de dikkate alınması ve bilgi güvenliğinin sağlanması için sistem tasarlanırken kullanıcıların bilinçlendirilmesi için eğitim programları ile bilgi güvenlik yönetim sistemin desteklenmesi gerekliliği ortaya çıkmaktadır.
Özelikle son yıllarda bilgi güvenliği konusunda artan sayıda araştırma yapılmaya başlanmıştır. Fakat genelde yapılan çalışmalar mühendislik bilimlerinde yoğunlaşmaktadır. Geleneksel olarak güvenlik modelleri hangi koruma mekanizmalarının olması gerektiğini tanımlamaktadır (Anderson, 2001). Bu modeller
günlük hayatta karşılaşılabilecek güvenlik problemlerini ele almamaktadır. Bilgi güvenliğine teknik bakış açısının dışında yaklaşılması faydalı olacaktır.
“Bilginin üretildiği, öğretildiği ve sunulduğu yerler olan eğitim örgütleri bilgi toplumunun vazgeçilmez kurumlarıdır. Yirmi birinci yüzyılın ilk yıllarını yaşarken eğitim örgütlerinin, bireyleri bilgi toplumuna hazırlamanın ve onları bu toplumun seçkin bir üyesi yapmanın örgütsel misyonunu üstlenmiş bulunmaları kaçınılmazdır” (Can, 2002:2). Bilgi toplumunda en önemli görev üstlenen kurumlardan birisi üniversitelerdir. Çünkü, üniversiteler bilgi ekonomisinin “hammadde”si olan bilginin üretiminden ve dağıtımından sorumlu temel kurumlardır. Bilgi teknolojisi diğer bütün kurumları olduğu gibi üniversiteleri de etkilemektedir. Kısa bir süre öncesine kadar üniversitelerimizdeki çoğu öğrenci-öğretim elemanının yabancısı olduğu internet teknolojisinin günümüz eğitim-araştırma dünyasındaki yerini ve önemini düşünecek olursak, bilgi teknolojisinin üniversiteler üzerindeki etkisi daha kolay anlaşılabilir (Tonta, 1999). Eğitim kurumları, toplumsal değişme ve gelişmeleri hem başlatan hem de yönlendiren kurumlar olarak teknolojik gelişmeleri de izlemek, kullanmak ve bunların nasıl kullanıldığını öğretmek durumundadır. Günümüzde eğitim kurumları, toplumun gereksinmeleri doğrultusunda, öğrencileri bilgi çağına uygun, bilgi toplumunun özelliklerini göz önünde tutarak yetiştirmelidir (Tandoğan ve başk., 1998; Karahan, 2003). Vural ve Sağıroğlu’nun (2007) da belirttiği gibi;
“Bilgi güvenliğini sağlamak toplumda sadece güvenlikle uğraşan kişi ve kuruluşların görevi değil, bilgi çağı olarak adlandırılan günümüzde, bilgi sistemlerinin küreselleşmesi sonucunda bu sistemlerle herhangi bir şekilde doğrudan veya dolaylı yönden ilişkisi olan ve bu sistemleri kullanan tüm birey, kurum ve kuruluşların katkıda bulunması ve görev alması gereken önemli bir konu halini almıştır.”
Bilgi güvenliğinin sağlanabilmesi için insan unsurunun mutlaka dikkate alınması, yanı sıra ülkemizdeki üniversitelerin bilgi güvenliği hakkında insanların bilinçlendirilmesi konusunda öncü kurumlar olması gerekmektedir. Bu alanda yapılacak çalışmaların yayınlanması ve her kesimden kişilerin kullanımına sunulması şüphesiz faydalı olacaktır. Ülkemizde özellikle eğitim kurumlarında bilgi güvenliğine yönelik görüşlerin belirlenmesine yönelik yapılmış detaylı bir çalışmaya rastlanmamıştır. Araştırmacı tarafından üniversite web siteleri incelenmiş, ancak üniversitelerin bir
kısmında bilgi güvenliğine yönelik doküman ve bilgiler bulunmakla birlikte sistematik bir bilgi güvenlik yönetim sistemi oluşturulduğuna yönelik bir bulgu tespit edilememiştir.
Bilgi güvenliği için genelde yapılan araştırmalar teknik alanlarda ve mühendislik bilim dalları tarafından gerçekleştirilmektedir. Ülkemizde yapılmış olan tezler incelendiğinde sayısı fazla olmamakla birlikte bilgisayar güvenliği, yazılım güvenliği, iletişim güvenliği, elektronik savaşlar vb. alanlarda çalışmalar tespit edilmiştir.
Yurtdışında eğitim kurumları için bilgi güvenliğine yönelik yapılan çalışmalar bulunmaktadır. Örneğin Teknolojinizin Korunması, Bilgi Güvenliği Elektronik Eğitim için Pratik Kılavuz (Safeguarding Your Technology, Practical Guideline For Electronic Education Information Security) (NCES- Eğitim Đstatistikleri için Ulusal Merkez/ National Center For Education Statistics, 2006) NCES tarafından elektronik eğitimde bilgi güvenliğinin sağlanması için oluşturulan kılavuz niteliğinde bir çalışmadır. Güvenliğin neden gerekli olduğunu açıklayan bir bölüm yanı sıra, güvenlik yönetimi ve sistemlerin korunması için (fiziksel, yazılımsal, erişim, internet güvenliği vb.) yapılması gerekenleri içeren bölümler bulunmaktadır. Farklı konuları içeriyor olmasına rağmen sistematik ve basit bir şekilde nelerin yapılması gerektiği net olarak belirtilmemiştir.
UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) (UCISA- Üniversiteler ve Fakültelerin Bilgi Sistemleri Birliği/Universities and Colleges Information Systems Association, 2006) UCISA tarafından 2005 Eylül ayında BS7799 temel alınarak hazırlanmıştır ve UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) isimli kılavuzun 2. versiyonu yayınlanmıştır. Kılavuzda bilgi güvenlik yönetim sistemi oluşturulması için öneriler yer almaktadır. BS7799 standardı temel alınarak hazırlandığı için temelde bu standart gerekliliklerinin anlatıldığı bir doküman olarak değerlendirilebilir. Dokümanda, önceliklendirmenin nasıl olduğu veya kritik hususların neler olduğu net olarak belirtilmemiştir.
Yükseköğretimde Bilgi Güvenliği (Information Security in Higher Education) (Elliot ve diğerleri, 1991) çalışmasında 1989 yılında Amerika’da seçilmiş olan 8 kolej ve üniversitede yüksek eğitimde bilgi güvenliği ile ilgili yapılan araştırmanın bulguları sunulmuştur. Çalışmada görüşme yoluyla bilgi güvenliği hakkında edinilen bulgular sunulmaktadır. Yaşanan sorunlar, bilgi güvenliği için ayrılan kaynak gibi farklı konularda derlenen bilgiler son derece faydalıdır. Fakat bilgi güvenlik yönetim sistemi oluşturulması için nasıl bir süreç izlenebileceği net olarak belirtilmemiştir. Bilgi Güvenlik Yönetim Sistemi Modeli oluşturulurken mevcut görüşlerin toplanması aşamasında bu çalışmadan faydalanılmıştır.
Suudi Kraliyet Deniz Birliği için Bilgi Güvenliği Farkındalığı Eğitim Programı Geliştirilmesi (Development of an Information Security Awareness Training Program for The Royal Suidi Naval Forces) (Alageel ,2003) çalışması, Suudi Kraliyet Deniz Birliği (Royal Suidi Naval Forces) için bilgi güvenliği farkındalık eğitim programının tasarlanması hakkında yapılmış bir yüksek lisans çalışmasıdır. Bilgi güvenliği için öncelikle korunması gereken varlıkların neler olduğu ve ne gibi tehditlerden korunması gerektiği anlatılmıştır. Mevcut eğitim programlarının değerlendirmesi yapılarak, eğitim için stratejiler oluşturulmuştur. Bilgi güvenlik yönetim sistemi oluşturulması aşamasında özellikle farkındalığın artırılması için faydalı olabilecek bu çalışma eğitim programının detayında hangi konu başlıklarını içermesi gerektiği açısından da faydalanılabilecek bir kaynak çalışmadır. Üniversitelerde tasarlanan modelin uygulanması aşamasında seminer materyallerinin geliştirilmesi aşamasında bu çalışmadan da faydalanılmıştır.
Büyük Kurumlardaki Güvenlik Çözümlerinin Analizi (Analysis Of Security Solutions In Large Enterprises) (Bailey, 2003), geniş iletişim ağlarına sahip kurumlarda güvenlik yönetiminin incelenmesi hakkında yapılmış bir yüksek lisans çalışmasıdır. Kamu ve özel sektörde çalışan uzmanlardan belirlenen güvenlik sorunları ile ilgili görüşme yoluyla bilgilerin toplanması ve analizi gerçekleştirilmiştir. Cevap aranan sorular arasında; büyük kurumlarda işletim sistemi güncellemelerinin ne şekilde yapıldığı; konfigürasyon yönetiminin ne şekilde yapıldığı; yüksek miktardaki verilerin nasıl yönetildiği, izlendiği ve yedeklendiği; bilgi sistemlerinde tutulan güvenlikle ilgili
kayıt loglarının nasıl yönetildiği, izlendiği vb. sorular bulunmaktadır. Mevcut durumun analizi aşamasında kullanılabilecek yöntem ve sorular açısından faydalı bir çalışmadır. Ancak bilgi toplamanın sonrasında bilgi güvenlik yönetim sistemi oluşturulması için yapılması gerekenler hakkında bilgi içermemektedir. Üniversitelerde tasarlanan modelin uygulanması aşamasında bilgi toplama araçları geliştirilirken bu çalışmadan da faydalanılmıştır.
STRATEJĐK GÜVENLĐK Kritik Güvenlik ve Stratejik Organizasyonel Öğrenme Konuları için Geliştirici Araştırma: Güvenlik Tasarımı Teorisine Doğru (STRATEGIC SECURITY A Constructivist Investigation of Critical Security and Strategic Organisational Learning Issues: Towards a Theory of Security Development) (Makinen, 2005) isimli doktora tezinde öğrenen örgütler çerçevesinde güvenliğin incelenmesi hedeflenmiştir. Araştırmanın amacı stratejik güvenlik modeli ve stratejik güvenlik liderliği modelinin oluşturulmasıdır. Finlandiya Savunma Bakanlığı’ndaki personel ile model oluşturulmuş ve test edilmiştir. “Öğrenen organizasyonda değişen ortamlarda stratejik güvenliğin rolü nedir?” araştırmanın temel sorusunu oluşturmaktadır. Çalışmada stratejik planlama ve personelin, güvenliği artırmak için anahtar faktörler olduğu belirtilmektedir. Stratejik düşünme ve süreçlerle entegrasyon açısından bilgi güvenlik yönetim sistemini inceleyen bu çalışma temel başarı faktörlerinin de ipuçlarını sunmaktadır.
Güvenlik Üzerine Dört Bakış Açısı (Four Views on Security) (Virtanen,2002) isimli bir diğer doktora çalışmasında güvenlik kavramı farklı bakış açılarından incelenmektedir. Kullanıcılar, sistemi tasarlayanlar, organizasyonlar ve bilim adamlarının bakış açısı ve Finlandiya’da kullanılan iki güvenlik modeli incelenmektedir. Çalışmada güvenliğin iş modelleri ve yeni ürünler için gerekli olduğu, güvenliğin organizasyonun kültürüne bağlı olduğu, eğitimin ise güvenlik için önemli bir yeri olduğu belirtilmektedir. Farklı gruplar tarafından güvenliğin ne şekilde algılandığının incelendiği bu çalışma bilgi güvenliğine farklı bakış açıları ile yaklaşıldığını göstermektedir.
Türkiye’de yapılan çalışmalar incelendiğinde; doğrudan bilgi güvenlik yönetim sistemi ile ilgili olmasa bile, yükseköğretimde e-öğrenme için bir model ve yol haritası sunması açısından faydalı olabilecek bir tez çalışması tespit edilmiştir. Yüksek Öğretimde E-Öğrenme: Çevrimiçi Eğitim Vermek Đsteyen Türk Üniversiteleri Đçin Bir Yol Haritası (Nişancı, 2005) isimli doktora tezinde, Türkiye’deki üç üniversite (Eskişehir Anadolu Üniversitesi, Đstanbul Bilgi Üniversitesi, Orta Doğu Teknik Üniversitesi) tarafından çevrimiçi olarak verilmekte olan lisansüstü eğitim programlarının kavram aşamasından uygulama aşamasına derinlemesine bir incelemesini yapmak suretiyle, web tabanlı uzaktan eğitim programları başlatmak ve uygulamak isteyen diğer Türk üniversiteleri için bir rehber oluşturma amacıyla hazırlanmıştır. Çalışma, görüşmeler ve belge analizleri yoluyla, elektronik ortamda lisansüstü eğitim verme fikrinin nasıl oluştuğunu, hangi idari ve yönetsel önlemlerin alındığını, hangi işbirliği çalışmalarının benimsendiğini, hangi sıkıntılarla karşılaşıldığını, hangi öğretimsel kaygıların göz önüne alındığını, öğretim üyelerinin sürece nasıl dâhil olduklarını, hangi derslerin edinildiğini ve Türk yükseköğretiminin geleceğinde e-öğrenmenin rolünü ortaya koymaktadır. Çalışma sonucunda elde edilen bulgular, Türkiye’de yükseköğretim kurumlarının e-öğrenme faaliyetlerinde faydalanacakları bir model oluşturmada kullanılmıştır. Bilgi güvenlik yönetim sistemi modeli tasarlanırken ve planlanırken bu çalışmadan faydalanılmıştır.
Teknik bakış açısı ile hazırlanmış çalışmalardan biri olan Bilgisayar Ağ Güvenliği ve Güvenlik Duvarı (Çakar, 2005) isimli yüksek lisans tezinde, bilgisayar ağlarındaki güvenlik sorunları, güvenliği sağlama yöntemleri, saldırı türleri, koruma mekanizmaları, güvenlik sınıflandırmaları ve güvenlik duvarı yapısı incelenmiştir. Güvenlik duvarı uygulaması (ISA sunucu) gerçekleştirilerek kurulan küçük ölçekli bir ağda bu sistemin etkileri ve özellikleri incelenmiştir. Güvenlikte sadece teknik bir katmanın (ağ güvenliği) incelendiği çalışmada bütünsel bir model için bilgiler bulunmamaktadır. Fakat, özellikle ağ güvenliği ve ağlardaki tehditler açısından faydalı bir kaynaktır.
Veri Güvenliğinde Saldırı ve Savunma Yöntemleri (Özkan, 2004) isimli yüksek lisans tezinde, bilgi güvenliği kavramları yanı sıra bilgisayar ağları ve saldırı
çeşitlerinden bahsedilmiş ve bilgi güvenliği politikasında olması gereken başlıklar aktarılmıştır. Yine teknik bakış açısı ile güvenlik ürünlerinin nasıl yerleştirilmesi gerektiğine de değinilmiştir. Bütünsel bir model içermemekle beraber, bu çalışma temelde saldırılar ve bu saldırılara karşı teknolojik imkânlarla neler yapılabileceğini gösteren faydalı bir çalışmadır.
Küreselleşen Dünyada Bilgi Güvenliğine Yönelik Politikalar: Sayısal Đmza Teknolojisi ve Türkiye (Öğüt, 2006) isimli yüksek lisans tezinde, iletişim ağları ve bilgi güvenliği kavramlarından bahsedilmiş, Türkiye’nin bilgi güvenliğine yönelik politikaları ve 5070 sayılı Elektronik Đmza Kanunu aktarılmıştır. Amaçlanan ise bilgi güvenliği uygulamalarının hukuki ve teknik altyapısının dünyada ve Türkiye’de ne
şekilde yapılandığı ve bu yapılanma sürecinde belirleyici olan faktörleri ortaya koymaktır. Bilgi güvenlik yönetim sisteminin bir kısmının detaylı incelendiği bu çalışma özellikle sayısal imza alanında faydalı bilgiler içermektedir.
Bilgi Güvenlik Yönetim Sistemi Modeli için Otomasyon Aracı (An Automated Tool for Information Security Management System Model) (Erkan, 2006) isimli yüksek lisans tezinde, Bilgi Güvenliği Yönetimi Sistemi (BGYS) süreçlerinin otomasyonu konusu incelenmiş ve geliştirilen bir uygulama ile örneklendirilmiştir. Tezde ISO/IEC 27001:2005 ve ISO/IEC 17799:2005 standartlarına uygun olarak dokümante edilmiş olan bir BGYS için gerekli faaliyetlerin mümkün olduğunca otomatikleştirilmesinin kurumlara yardımı olacağından yola çıkılarak “Infosec Toolkit” adlı bir araç geliştirilmiştir. Sadece tek bir standardın ne şekilde uygulanacağı ve bu uygulamalar yapılırken süreçlerin örneğin varlık envanteri, risk analizi gibi çalışmaların otomatizasyonu sağlaması açısından faydalı bir çalışmadır. Tezde standardı uygulayabilmek için kullanılabilecek diğer hazır araçlardan da bahsedilmektedir.
Yukarıda bahsedildiği üzere giderek daha fazla bilgi ve iletişim teknolojilerinin kullanıldığı eğitim kurumlarında bilgi güvenliğinin sağlanmasında pratik olarak kullanıma elverişli ve eğitim odaklı bir çalışma ülkemizde tespit edilmemiştir. Böyle bir çalışmanın yapılması ve ek olarak bilgi güvenliğinin sağlanmasında teknolojik
boyut ile birlikte insan faktörünü de dikkate alan bir modelin tasarlanması, uygulanması ve uygulama sonuçlarının değerlendirilmesi yararlı olacaktır.
1.2.
Amaç
Bu araştırmanın genel amacı, üniversitelerde bilgi ve iletişim teknolojisinin kullanımında bilgi güvenliğinin sağlanabilmesi için insan ve eğitim faktörlerinin vurgulandığı bir bilgi güvenlik yönetim sistemi modeli tasarlamak, tasarlanan modeli seçilen üniversitelerde uygulayarak revize etmek ve özellikle eğitim kurumlarının faydalanabilecekleri bir yol haritası oluşturmaktır. Tasarlanan modelin sadece eğitim kurumlarında değil, uyarlandığı takdirde bilgi ve iletişim teknolojisi kullanan her kurumda uygulanabilecek bir çalışma olması hedeflenmiştir. Bu amaçla çalışmada aşağıdaki sorular oluşturulmuş ve bu sorulara yanıtlar aranmıştır:
1. Bilgi güvenliği ile ilgili hususları içeren standartlar/kılavuzların (en iyi uygulama örnekleri) kesiştiği noktalar nelerdir?
2. Üniversiteler için bilgi güvenlik yönetim sistemi modelinin bileşenleri (modelin öğeleri/alt boyutları) neler olmalıdır?
3. Modelin uygulanmasındaki süreç adımları neler olmalıdır?
4. Üniversitede kullanıcı gruplarının (öğrenciler, idari personel, akademik personel ve teknik personelin) bilgi güvenliğine yönelik görüşleri nelerdir?
a. Bilgi ve iletişim teknolojilerinin (BIT Sistemlerinin) kullanım alanlarına yönelik görüşleri nelerdir?
c. Bilgi güvenliğine yönelik sorunların olası kaynakları hakkındaki görüşler nelerdir?
d. Bilgi güvenliği sağlanamaması durumunda olası etkileri hakkındaki görüşler nelerdir?
e. Kullanıcı gruplarının bilgi güvenliğine yönelik görüşleri arasında anlamlı bir farklılık var mıdır?
5. Modelin uygulanması aşamasında üniversitede karşılaşılan ortak sorunlar ve modeli kullanacak kişilere kılavuz olabilecek ipuçları/öneriler nelerdir?
1.3.
Önem
Eğitim sisteminin ve özellikle yükseköğretim kurumlarının, teknolojinin getirmiş olduğu yeni şartların ve yeni teknolojik ortamın etkisinin dışında kalması söz konusu olamaz. Eğitim sektöründe gelişen teknolojilerin kullanılması kaçınılmazdır. Eğitimde teknoloji kullanımının eğitim süreçlerine etkilerinin ve katkılarının anlaşılması için pek çok araştırma yapılmıştır ve yapılmaktadır. Yapılan bazı araştırma ve çalışmalar eğitimde teknoloji kullanımının öğrenme sürecinin etkisinin artırılmasına katkıda bulunduğunu göstermiştir. Ancak eğitim süreçlerinde, özellikle bilgi işleme ve iletişim teknolojilerinin kullanımında bilgi güvenliğinin etkileri konusunda çok fazla araştırma bulunmamaktadır. Yapılan literatür incelemesinde Türkiye’de özellikle eğitimde teknoloji kullanımında bilgi güvenliği konusunda kapsamlı bir çalışmaya rastlanılmamıştır.
Bilgi güvenliği konusu özellikle son yıllarda önem kazanmış ve bu alanda artan sayıda araştırmalar yapılmaya başlanmıştır. Mühendislik bilimlerinde yoğunlaşan teknoloji odaklı çalışmalar yanı sıra bilgi güvenliğine farklı bir bakış açısıyla yaklaşarak; tasarım ve uygulama aşamalarında insan faktörünü ve eğitimi temel alan ve bu faktörün güçlendirilmesine yönelik önerileri de içeren bir çalışma yapılması faydalı olacaktır. Hangi koruma mekanizmalarının olması gerektiğini tanımlayan teknoloji odaklı güvenlik modelleri günlük hayatta karşılaşılabilecek güvenlik problemlerini adreslemekte yetersiz kalabilmektedir. Bu nedenle güvenliğin sağlanmasında çok
önemli bir yeri olan ve aynı zamanda en zayıf halka olarak nitelendirilen insan faktörünün güçlendirilmesine katkı sağlayacak bakış açısıyla konuya yaklaşılmalıdır. Bunun ise bilgi güvenlik yönetim sistemi modelinin tasarlanması aşamasında insan unsurunun ve yeteneklerinin geliştirilmesine katkı sağlayacak hususların model içerisine yerleştirilmesi ile sağlanabileceği düşünülmektedir.
Bilgi güvenliği gereklidir, çünkü bilginin önemi artmakla birlikte bilginin işlenmesi için kullanılan teknolojiyle birlikte bilgiye erişimde kolaylaşmaktadır. Eğitim kurumları yeni teknolojileri kullanırken, riskleri de dikkate alarak bilgi güvenliğini sağlamalıdır.
Üniversitelerde bilgi ve iletişim teknolojisi kullanımının yaygınlaşması ile birlikte önem kazanan bilgi güvenliğinin sağlanması konusunda yapılacak bu araştırma, bilgi güvenliğinin farklı alanlarında yapılan araştırmalar, dünyada kabul görmüş standartlar ve uygulama örneklerinin irdelenerek oluşturulacak model önerisinin sunulması ve uygulanması ile Türkiye’de ilk olması açısından önemli ve güncel; üniversitelerde bilgi güvenliği ile ilgili risklerin etkilerinin azaltılması için rehber niteliğinde olacağından işlevsel bir çalışma olacaktır. Ayrıca bu çalışma bilgi güvenliğinin sağlanmasında eğitimin ve insan faktörünün ön plana çıkartılması açısından az sayıdaki araştırmalardan birisi olacaktır. Bu çalışmanın ülkemizde bilgi güvenlik yönetimi, bilgi güvenlik farkındalığı ve eğitimi konularında yapılacak diğer çalışmalara referans olması ve bu tarzda yapılacak çalışmalara tetikleyici bir unsur olması ümit edilmektedir. Yapılacak çalışma ile yöntem ve eğitim materyalleri Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi tarafından tüm kullanıcılara açılabilir ve kurumlar için faydalanabilecekleri bir kaynak olabilir.
1.4.
Varsayımlar
Mevcut durumun tespit edilmesi için kullanılan anket ve soru kâğıdı için uzman görüşleri alınmıştır. Görüşü alınan uzmanlar gerekli yeterliliğe sahiptir; kanıları
yeterlidir ve görüşlerinde objektif ve samimidirler. Bilgi toplama araçları için (elektronik anket) kişiler soruları içten, yansız ve doğru cevaplandırmıştır.
1.5.
Sınırlılıklar
Bu tez çalışmasında tasarlanan model, Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi bilgi işlem daire başkanlıklarında uygulanmıştır.
1.6.
Tanımlar
Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin/ erişilebilirliğinin korunması.
Đhtiyaç analizi: Mevcut durumla olması gereken/hedeflenen durumun karşılaştırılması.
Risk: Kurum’a veya paydaşlarına zarar verme potansiyeli olan durumu veya bir varlıktaki/süreçteki bir açıklığın (vulnerability) bir tehdit tarafından kullanılma (exploit) ihtimali.
Risk Değerlendirmesi: Bilişim kaynaklarının, zafiyetlerin ve tehditlerin dikkate alınarak risklerin belirlenmesi; risklere karşı mevcut kontrollerin dikkate alınarak bu risklerin oluşma olasılığı ve oluşması durumunda etkisinin analiz edilmesi ve riskin oluşma olasılığı ve/veya etkisinin azaltılması için alınabilecek aksiyonların belirlenmesi.
Risk Yönetimi: Bilişim kaynaklarını/mevcut süreçleri etkileyebilecek olan risklerin; uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması süreci.
BÖLÜM II
2.
KAVRAMSAL ÇERÇEVE
Bu bölümde araştırmanın kavramsal çerçevesini oluşturan bilgi güvenliği, teknoloji, eğitim, bilgi güvenlik yönetim sistemi ile ilgili temel kavramlar, ilkeler ve araştırma sonuçları incelenmiştir. Kaynak taramasında aşağıdaki veri tabanları ve indeksler kullanılmıştır.
Academic Search Premier ERIC
EDUCAUSE ISACA ISC2 ACM
ProQuest Digital Dissertations YÖK Kütüphanesi
YÖK tez veritabanı linkleri
Kaynak taramasında aşağıdaki anahtar kelimeler ve ifadeler ile değişik yazımları kullanılmıştır:
Kurumsal bilgi güvenliği (Enterprise information security) Bilgi güvenlik eğitimi (Information security learning)
Yükseköğretim bilgi güvenlik (Higher education information security) Güvenlik farkındalığı (Security aweraness)
Bilgi güvenlik yönetim sistemleri (Information security management model) BT güvenliği (IT security)
Güvenlik standartları (Security standard)
Kaynakların seçiminde tezin kavramsal çerçevesi ve araştırma soruları ile ilişkisi göz önünde bulundurulmuş ve kavramsal çerçevenin oluşturulmasında, genelden özele doğru bir sıra izlenmiş ve araştırma bulguları sunulmuştur. “Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş” bölümünde teknolojinin hayatımızdaki yeri ve toplumda bilginin öneminin artışı aktarılmaya çalışılmıştır. “Bilgi Teknolojileri ve Üniversiteler” bölümünde üniversitelerde bilgi teknolojilerinin kullanımı incelenmiştir. “Bilgi Güvenliği” kısmında bilgi güvenliğinin ne anlama geldiği ve neden önemli olduğu vurgulanmış ve üniversitelerde bilgi güvenliğinin önemi konularına değinilmiştir. “Bilgi Güvenliğine Yönelik Standart ve Kılavuzlar” bölümünde ise içerisinde bilgi güvenliği ile ilgili kısımlar bulunan dokümanlar hakkında araştırma ve inceleme sonuçları sunulmuştur.
2.1.
Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş
Bilgi, mal ve hizmet üretimindeki, personel, malzeme, makine (tesis ve enerjiyi de içerir) ve para gibi temel girdilere ilave edilen belki de en pahalı ve önemli girdi olarak ifade edilmektedir (Gökçen, 2002). Bilgi, toplanmış, organize edilmiş, yorumlanmış ve belli bir yöntemle etkin karar vermeyi sağlamak amacıyla ilgili birime iletilmiş, belirli bir amaç doğrultusunda kullanılan, yararlı biçime dönüştürülmüş ve kullanıcıya değer sağlayan verilerdir. Bilgi, çoğulculuğu, çeşitliliği, kurum içi etkileşimleri ve organizasyon faaliyetlerinin mantıksal arka planını oluşturmaktadır.
Bilginin ihtiyaç duyulduğu an erişilebilir olması da son derece önemlidir, ünlü savaş uzmanı Napolyon’un belirttiği gibi, doğru bilgiyi doğru zamanda temin etmek savaşın onda dokuzunu kazanmak demektir. Günümüzde de bilgi güç olarak görülmektedir. Toplumların yapısını ve eğitim sistemlerini etkileyen etkenlerin başında gelen bilim ve teknolojideki ilerlemeler, iletişim teknolojilerinin gelişimi, küreselleşmenin etkileri, kurumsal ve toplumsal boyutta kaçınılmaz bir dönüşüme yol açmıştır. Bu dönüşüm günümüzde “enformatik devrim”, “bilgi toplumu” olarak nitelendirilmektedir ve bilgi patlaması, bilimsel ve teknolojik alanda kaydedilen hızlı gelişme ve değişimlere bağlı olarak çağımıza “bilgi çağı”, “iletişim çağı”, “uzay çağı”, “bilişim çağı” gibi adlar verilmektedir. Bu değişim ve gelişmeler, hem bireyleri hem de toplumları etkilemekte, onların yaşam biçimlerini değiştirmektedir. Bilgi çağı olarak adlandırılan bu çağın en önemli özelliği, bilgi teknolojilerinin yoğun olarak kullanılması ve maddi ürün yerine bilgi üretiminin önem kazanmasıdır (Şimşek, 2002; Tandoğan ve diğerleri, 1998; Yıldırım ve Öner, 2004).
Bilgi toplumu kavramı çeşitli ülkelerin resmi politika belgelerinde “sosyo-ekonomik faaliyetlerin giderek etkileşimli sayısal iletişim ağlarının katılımıyla veya bu iletişim ağların yoğun kullanımıyla gerçekleştirilmesi yanında bu amaçla kullanılan her türlü teknolojinin ve uygulamanın üretilmesi olarak” tanımlamaktadır (TUBĐTAK, 2002).
Bilgi toplumu, bilginin temel güç ve ana sermaye olduğu, ancak amaç değil, araç olduğu ve toplumsal yaşamın her aşamasını aydınlatan, yönlendiren başlıca güç olduğu bir hayat biçimi, bir düşünce biçimidir. Başka bir ifadeyle bilgi toplumu bireylerin paylaşıldıkça artan bilginin gücü ve üstünlüğünü kabul ettiği ve aktif olarak kullandığı bir yaşam biçimidir ve bilgi, toplumun stratejik kaynağını oluşturmaktadır. Naissbitt ve Aburdene (1990: 269)’nin ve Drucker, (1994)’ın da belirttiği gibi bilgi toplumunda birey, merkezi bir konuma sahiptir. Bilgiyi üreten de kullanan da insan olduğu için, insan kaynakları, dolayısıyla eğitim bu toplumun varlığını sürdürebilmesinin vazgeçilmez koşulu haline gelmiştir (Çetin, 2004). Eraydın (2002)’da benzer şekilde bilgi toplumunda insanın bilgiyi en etkin ve en yararlı
olarak kullanabilmesi için onun eğitiminin her zamankinden daha fazla önem kazandığını belirtmektedir. Sonuç olarak, bilgi toplumunda son derece önemli olan; bilginin kaynağı diye nitelendirebileceğimiz, bilginin üretildiği, sunulduğu ve insanlara öğretildiği yerler olan eğitim örgütlerinin kişileri bilgi toplumu olma yönünde hazırlaması da son derece doğaldır (Can, 2002).
Son yıllarda önemli bir güç haline gelen bilginin, üretilmesi yanı sıra muhafaza edilmesi ve paylaşılması için kullanılan bilgi ve iletişim teknolojileri hayatın her alanında yer almaya başlamıştır.
2.2.
Bilgi Teknolojileri ve Üniversiteler
Bilim ve teknoloji alanlarındaki gelişmeler, bir yandan toplumsal yapıları uygun bir dönüşüme zorlarken, bir yandan da bireyler bu gelişmelerin her geçen gün hızla değiştiği yeni ortamlara uyum sorunlarıyla karşılaşmaktadır. Böylece gerek yaşamlarını dengeli bir biçimde sürdürebilmeleri, gerekse içinde bulundukları topluma yapıcı bir üye olarak katılabilmeleri için, bireylerin gerekli bilgi, beceri ve tutumlarla donatılması ihtiyacı ortaya çıkmaktadır. Bunun yapılması ise rastlantılara bırakılamaz. Bu noktada önce teknoloji sonra da eğitim kavramları devreye girmektedir (Tosun, 2006).
Eğitim ve teknoloji, bireylerin yaşamlarını, uluslar arasındaki siyasal-ekonomik-kültürel ilişkileri ve toplumların sosyal refah düzeylerini belirlemede en önemli faktörler arasındadır. Özellikle teknolojide yaşanan değişim ve gelişimler eğitimi, buna bağlı olarak da toplumu etkilemektedir. Bu nedenle teknoloji ve eğitim birbirleriyle sıkı bir şekilde ilintili kavramlardır (Özkul ve Girginer, 2001). Son yıllardaki gelişmeler değerlendirildiğinde de eğitimde teknolojiden faydalanma oranının arttığı görülmektedir.
Yükseköğretim, akademik dereceler vermek üzere üniversiteler ve diğer kuruluşlar tarafından sunulan bir hizmettir. Yükseköğretim hem öğretim hem de
araştırma aktivitelerini barındırmakta ve öğretim süreci farklı şekillerde adlandırılsa bile lisans ve lisansüstünü kapsamaktadır. Tarihte yükseköğretimin içeriği ve şekli değişmiş olsa da son yıllarda malumat (information) ve bilginin (knowledge) iletimindeki köklü ve hızlı değişimler yükseköğretimin kitlelere iletilme şeklini de değiştirmeye başlamıştır. Geçmişte olduğu gibi şu anda da teknolojik gelişmeler eğitim dünyasında da kendisine kullanım alanları bulmaktadır (Ersoy ve Acartürk, 2006).
T.C. Devlet Teşkilatı Rehberin (1998: 513)’de tanımlanan yükseköğretimin görevleri incelendiğinde bilgi güvenliği konusunda görev tanımları ile ilişkilendirilen konular özetle aşağıda sunulmuştur:
“1) Çağdaş uygarlık ve eğitim-öğretim esaslarına dayanan bir düzen içinde, toplumun ihtiyaçlarına ve kalkınma planları ilke ve hedeflerine uygun ve ortaöğretime dayalı çeşitli düzeylerde eğitim, öğretim, bilimsel araştırma, yayın ve danışmanlık yapmak;” (Dünyadaki gelişime bakıldığında bilgi güvenliğinin öneminin arttığı ve ülkemizde özellikle bilgi güvenliği konusunda yükseköğretim kurumlarının topluma destek olması gerekliliğinin de arttığı bir gerçektir).
“2) Kendi uzmanlık gücünü ve maddi kaynaklarını rasyonel, verimli ve ekonomik şekilde kullanarak, milli eğitim politikası ve kalkınma planları ilke ve hedefleri ile Yükseköğretim Kurulu tarafından yapılan plan ve programlar doğrultusunda ülkenin ihtiyacı olan dallarda ve sayıda insan gücü yetiştirmek;“ (Teknolojinin hızlı gelişimi karşısında yükseköğretim kurumlarının müfredatlarını gözden geçirerek özellikle bilgi güvenliği alanında yetişmiş insan gücünün temin edilmesinde destekleyici programlarla yardımcı olması gerekmektedir).
“3) Türk toplumunun yaşam düzeyini yükseltici ve kamuoyunu aydınlatıcı bilim verilerini söz, yazı ve öteki araçlarla yaymak;” (Yükseköğretim kurumları bilgi güvenliği konusunda araştırma yapılmasına öncülük ederek bilgi güvenlik yönetim sistemi kurulumu için kılavuz olacak yayınları paylaşmalıdır ve bu yayınların artırılmasını sağlamalıdır).
“4) Ülkenin bilimsel, kültürel, sosyal ve ekonomik yönlerden ilerlemesini ve gelişmesini ilgilendiren sorunlarını, öteki kuruluşlarla işbirliği yaparak, kamu kuruluşlarına önerilerde bulunarak öğretim ve araştırma konusu yapmak, sonuçlarını toplumun yararına sunmak ve kamu kuruluşlarınca istenecek inceleme ve araştırmaları sonuçlandırarak düşüncelerini ve önerilerini bildirmek;” (Yükseköğretim kurumları bilgi güvenliği konusunda öncülük edici çalışmalar yanı sıra özellikle ülkemizde kamu kurumlarında bilgi güvenliğine yönelik çalışmalarda bulunarak bu kültürün yaygınlaşmasına destek olmalıdır.).
“5) Eğitim teknolojisini üretmek, geliştirmek, kullanmak, yaygınlaştırmak.“ (Yükseköğretim kurumları eğitim teknolojisinin üretilmesi, kullanılması ve yaygınlaştırılmasını sağlarken bu teknolojideki bilgi güvenliğinin sağlanması gerekliliğini de dikkate almalıdır).
Üniversite, “evrensel kavrayışla pozitif bilimin, insan aklına ve uygarlığın bilgi birikimine duyulan güvenle geliştirildiği yenilendiği araştırma, aydınlanma kurumları”dır (Gürel,1995: 47). “Üniversiteler iki temel amaç için vardır. Birincisi, cinsiyet gözetmeden insanları belli meslekler için eğitmek, ikincisi kısa vadeli yarar gözetmeden bilim ve araştırmayı sürdürmektir” (Russell, 2001: 206). Günümüzde önemi gittikçe artan bilgi güvenliği konusunda gerek yetişmiş insan gücü sağlanması gerekse bu alanda yapılacak araştırma ve inceleme faaliyetlerinin artırılması hakkında üniversitelere büyük sorumluluk düşmektedir.
Bilgi toplumunda en önemli görev üstlenen kurumlardan birisi üniversitelerdir. Çünkü, üniversiteler bilgi ekonomisinin “hammadde”si olan bilginin üretiminden ve dağıtımından sorumlu temel kurumlardır. Üniversite, kamu yararı için bilgi üreten, bilgiyi ileten ve yayan özerk bir öğretim ve araştırma kurumudur (Ortaş, 2004). TC Devlet Teşkilatı Rehberinde (1998: 513) ve 2547 sayılı kanunda (1981) yükseköğretimin kuruluş amacı “…yüksek düzeyde bilimsel çalışma ve araştırma yapmak, bilgi ve teknoloji üretmek, bilim verilerini yaymak, ulusal alanda gelişme ve kalkınmaya destek olmak, yurtiçi ve yurtdışı kurumlarla işbirliği yaparak bilim
dünyasının seçkin bir üyesi haline gelmek, evrensel ve çağdaş gelişmeye katkıda bulunmak” olarak belirtilmektedir. Bilgi teknolojisi diğer bütün kurumları olduğu gibi üniversiteleri de etkilemektedir.
2.3.
Bilgi Güvenliği
Günümüzde bilgi teknolojileri kullanımı ile bilginin üretilmesi, depolanması, paylaşılması ve kullanılması kolaylaşmış; bilgi, bilgi çağıyla birlikte bilgi teknolojilerinin yaygınlaşması sonucunda hızlı ve sürekli bir şekilde üretilebilen, geliştirilebilen, iletişim kanallarıyla taşınan, bölünebilen, paylaşılabilen ve üretim faktörleri ile ikame edilebilen bir ürün halini almıştır. Organizasyonlar ve bireyler arasındaki kompleks ilişkiler bilginin alıcısına ulaşma güvenirliğini azaltmaktadır (Guredin, 1994: 4). Bilginin bu kadar hayati önem taşıdığı bir ortamda bilginin güvenliğinin sağlanması da kuşkusuz önemlidir. Çünkü bilgi ve bilginin işlendiği sistemler ve bilgisayar ağları önemli ticari varlıklardır. Konuya kurumsal düzeyde bakıldığında, korunması gerekenlerin, kurum içi veri, kurum içi bilgi sistemleri ve kurum itibarı olduğu görülmektedir. Bilginin gizliliği, güvenilirliği ve kullanılabilirliğinin sağlanması yani bilgi güvenliğinin sağlanması; kurumların ayakta kalabilmesi ve hedeflere ulaşabilmesi için son derece önemlidir. Benzer şekilde bilgi güvenliği, yasal yükümlülükleri yerine getirebilmek, rekabet gücünü ve ticari/sosyal imajı korumak ve sürdürmek için zorunlu ve gereklidir. Herhangi bir şekilde güvenliğin ihlal edilmesi kurumlar için verdikleri hizmetlerin aksamasına, maddi zararlara ve en az maddi zararlar kadar yıkıcı etkisi olan manevi zararlara neden olabilir. Kurumun, kamu, müşteriler, iş ortakları ve hissedarlar karşısında güven kaybına uğraması, stratejik bilgiden yoksun kalması ve kurumsal itibarın zedelenmesi gibi zararlarla karşı karşıya kalması söz konusu olabilir.
Bilgi güvenliğinin sağlanabilmesi için sadece teknoloji kullanımı yeterli değildir. Güvenliğin teknik yönü kadar sosyal yönü de dikkate alınmalı ve güvenlikte en zayıf halka olarak nitelendirilen insan faktörü güçlendirilmelidir. Aksi takdirde bilgi güvenliğini sağlamak için sadece teknolojiye yapılan yatırımların boşa gitmesi ihtimali
bulunacaktır. Gonzales ve Sawicka (2002), bilgi güvenliğinin teknoloji ve insanı içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve uygulanmış olursa olsun insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan faktörünün daha iyi anlaşılması gerektiğini belirtmektedir. Bu görüşlerin doğruluk payı bulunmaktadır. Kurumun/sistemin kullanıcıları bilinçlenmemişse, en güçlü güvenlik ürünleri bile yeterli koruma sağlayamaz. Bu çerçevede bakıldığında kurumlar için bilgi güvenliğinin sağlanmasında teknik altyapının oluşturulması kadar insan faktörünün de dikkate alınması ve bilgi güvenliğinin sağlanması için sistem tasarlanırken kullanıcıların bilinçlendirilmesi için eğitim programları ile bilgi güvenlik yönetim sistemin desteklenmesi gerekliliği ortaya çıkmaktadır. Ancak burada önemli olan bilgi güvenlik yönetim sisteminin planlama aşamasından itibaren insan ve eğitim faktörlerinin sürece dâhil edilmesidir.
Bilgi güvenliğinin sağlanması diğer sektörlerde olduğu gibi eğitim alanında da gereklidir. Çünkü daha önce eğitim kurumlarında saklanması gereken kritik kâğıt belgelerin yerini elektronik kayıtlar almakta, elektronik imzanın uygulanması ile birlikte dijital ortamlara geçişin hızlanacağı öngörülmektedir. Kâğıt ortamda kilit altında saklanan bu belgelere gösterilen özenin elektronik kayıtlara da gösterilmesi gerekmektedir. Günümüzde bilgi güç demektir. Bilişim sistemleri eğitim kurumlarında eğitimsel süreçlerin daha etkili hale getirilmesi için kullanılabilecek bir araçtır. Öğrenciler, personel, dersler, programlar, verilen hizmetler hakkındaki bilgiler bilgi teknolojileri ile toplanabilir ve yönetilebilir. Böylelikle eğitim kurumları öğrencilere sunulan hizmetleri daha iyi koordine edebilir, öğrenme süreçlerini daha az kaynakla ölçebilir; personele görev atamalarını yaparak bunları ve kaynakların kullanımını takip edebilir, topluma pek çok katma değerli hizmet sunabilirler. Dijital kütüphaneler, çevirimiçi eğitim bu hizmetlere örnek olarak verilebilir.
Bilgi ve iletişim teknolojileri eğitimsel kayıtların saklanması, bilgiye erişim ve kullanımı kolaylaştırmaktadır, ancak beraberinde bilgi güvenliği ile ilgili riskleri de getirmektedir. Eğitim kurumları yeni teknolojileri kullanırken bu teknolojilerin sağlayacağı faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında olmalıdır. Bilgi güvenliğinin eğitim sürecine dolaylı yoldan etkilerinin olması söz
konusudur. Bir üniversitede elektronik olarak tutulan öğrenci notlarının değiştirilmesi durumunda ya da daha vahimi bu notların tamamının kaybı durumunda dolaylı yoldan eğitim sürecine etkisinin yüksek olduğunu söylemek yanlış olmaz. Ya da bir akademik personelin bilgisayarında tuttuğu araştırma verileri veya eğitimle ilgili kullandığı bilgi varlıklarının; kütüphanede kullanılan ve kullanılan kaynak bilgileri ile birlikte ödünç alma verilerinin bilgi sistemlerinde tutulması söz konusu ise bu bilgi varlıklarının; öğrenciler ve personelle ilgili bilgi sistemlerinde tutulan bilgi varlıklarının değiştirilmesi, zarar görmesi veya tamamen kaybedilmesi durumunda etkilerinin göz ardı edilmemesi gereklidir. Eğitimde kullanılan bilgisayar laboratuarlarının veya çevrimiçi eğitim sistemlerinin zararlı kodlar (virüs, solucan vb.) sebebiyle iş göremez hale gelmesi, konuyla ilgili yeterli hazırlıkların yapılmamış olması durumunda bu sistemlerin tekrar işler hale getirilmesinde geçecek zaman ve işgücü kaybının etkilerinin de yüksek olacağı söylenebilir.
Eğitimsel Güvenlik Olayları (ESI- Educational Security Incidents) web sitesinde dünyadaki kolej ve üniversitelerde meydana gelmiş ve basında yer almış olan bilgi güvenlik olaylarının kayıtları tutulmaktadır. Bu web sitesinin amacı eğitim kurumlarına eğitimsel bilgi ve bilgi sistemlerine karşın tehditlerin var olduğunu anlamalarına yardımcı olmaktır (Dodge, 2008). ESI başlangıçta kolej ve üniversitelerin bilgi güvenliği hakkında düşünmeye başlamalarını sağlayabilmek için kişisel bir araştırma projesi olarak başlatılmıştır. Dodge (2008) raporunda da belirtildiği gibi güvenlik olayları 6 sınıfta gruplandırılmıştır. Bunlar:
• Çalışan Sahtekârlığı (Employee Fraud): Çalışanlar tarafından sahtekârlığa yönelik aktiviteleri içeren olaylar.
• Taklit (Impersonation): Bir kişinin (kişilerin) farklı bir kişi (kişiler) veya kurum gibi kendini tanıtarak gerçekleştirilen olaylar.
• Kayıp (Loss): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı materyallerin kaybolması tahrip edilmesini içeren olaylar.
• Sızma/Nüfuz Etme (Penetration): Bilgisayar yazılımı, bilgisayar sistemi veya bilgisayar ağına sızma olayları.
• Hırsızlık (Theft): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı materyallerin çalınmasını içeren olaylar.
• Yetkisiz Açıklama, Đfşa (Unauthorized Disclosure): Bilinmeyen ve/veya yetkisiz kişilere bilginin gösterilmesini içeren olaylar.
Raporda güvenlik olaylarına konu olan bilgi için de aşağıdaki 6 sınıfta gruplama yapılmıştır. Bunlar:
• Eğitimsel (Educational): Bireylerin ders programı, not bilgileri gibi eğitimsel bilgilerini içermektedir.
• Finansal (Financial): Bireylerin banka hesap numaraları, kredi kartı numaraları gibi finansal bilgileri içermektedir.
• Tıbbi (Medical): Bireylere ait tıbbi bilgileri içermektedir.
• Kişi Olarak Tanımlayıcı (Personally Identifiable): Bir bireye ait olan bilgiyi içermektedir (ama ille de özel olması gerekmez, örneğin isim, adres, doğum tarihi, e-posta adresi, vb. olabilir).
• Sosyal Güvenlik Numaraları (Social Security Numbers): Bireylerin sosyal güvenlik numaraları (veya ABD dışındaki ülkelerde benzer amaç için kullanılan bilgileri) içermektedir.
• Kullanıcı adları ve şifreleri (Usernames and Passwords): Bireyin bilgi kaynağına erişimi için kullandığı erişim bilgilerini içermektedir.
Aşağıda Şekil 1’de görüldüğü gibi “Kişi Olarak Tanımlayıcı Bilgi” 2007 yılındaki bilgi güvenlik olaylarında liderliği sürdürmektedir. Grafikte görülen kullanıcı adı ve şifrelerle ilgili güvenlik olayı az görünmesine rağmen son derece önemlidir. Çünkü bireyler, kurumun bilgisayar ve ağ sistemlerine girmek için bu bilgileri kullanmaktadır ve bu bilgilerin ele geçirilmesi yetkisiz olarak sistemlere giriş imkânı sağlayacaktır (Dodge, 2008).
Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri
Aşağıdaki Şekil 2’de görüldüğü üzere en genel güvenlik onayı %38 oranı ile yetkisiz açıklama, diğer bir deyişle bilginin yetkisi olmayan kişiler tarafından görülebilir ve kullanılabilir olmasıdır. Bunu % 28 ile hırsızlık olayları takip etmektedir. 2007 yılı boyunca çalışanların faaliyetleri sebebiyle yaşanan güvenlik olayları oranının yüksek olduğu görülmektedir. Saldırganlar tarafından gerçekleştirilen sızma olayları %22 iken, kötü niyetle olmasa bile çalışan faaliyetleri sebebiyle ortaya çıkan kayıp ve yetkisiz açıklama oranı toplamı %47 gibi bir orana sahiptir (Dodge, 2008).
Şekil 2. Güvenlik Olayları
Gartner (2006) tarafından yayınlanan raporda aşağıdaki Şekil 3’de görüldüğü üzere, güvenlik olaylarının/saldırılarının %52’si kötü niyetli olmayan personel hatalarından kaynaklanmaktadır. Yine aynı raporda geçen verilere göre güvenlik saldırısı kaynakları incelendiğinde bu kaynaklar içerisinde personel birinci sırada yer almaktadır.
Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları
Đnsan unsurunun bilgi güvenliğinin sağlanmasında önemini vurgulayan bu çalışmalar, bilgi güvenlik yönetim sistemi oluşturulurken de insan ve bilgi odaklı, eğitimsel hedeflerin birinci öncelikte dikkate alındığı bir modelin uygulanmasının da fayda sağlayacağını göstermektedir.
Bir başka raporda (Gartner, 2001), yükseköğretim kurumlarından güvenlik yapısını planlama ve uygulamayı başaramayan kurumlardan yüzde yetmiş beşinin sonraki beş yıl içerisinde en az bir güvenlik ihlali ile stratejik servislerinde kesinti olacağını öngörüldüğü belirtilmektedir. Unutulmaması gereken nokta, şimdiye kadar sorunla karşılaşılmamış olmasının bundan sonra da sorun yaşanmayacağının garantisini vermediği gerçeğidir.
2.4.
Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama
Örnekleri)
BT kullanımında güvenliğin sağlanması başka bir ifade ile bilgi güvenlik yönetim sistemi oluşturulması, bilgi ve iletişim sistemlerinin etkili kullanımı için dünyada çeşitli standartlar ve en iyi kullanım örneklerini içeren kılavuzlar bulunmaktadır. Bunlara BS7799; ISO/IEC 17799; ISO/IEC 27002; BS7799 part2;
![[Müfettiş Fethi İsfendiyaroğlu tarafından bakanlığa gönderilen rapor özeti]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)