T.C.
KASTAMONU ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ
MALZEME BİLİMİ VE MÜHENDİSLİĞİ ANA BİLİM DALI
BİLGİ GÜVENLİĞİ HİZMET YÖNETİMİ: BİLGİ GÜVENLİĞİ YÖNETİMİNE BİR HİZMET YÖNETİMİ YAKLAŞIMI VE BİR KURUMUN MÜŞTERİNİN MEMNUNİYETİ VE GÜVENİRLİĞİ
ÜZERİNDEKİ ETKİSİ
Jamal Abdulsalam Mohamed ELATTRESH
DOKTORA TEZİ
Dr. Öğr. Üyesi Ümit TOKEŞER
ŞUBAT - 2022
KASTAMONU
TAAHHÜTNAME
Bu tezin tasarımı, hazırlanması, yürütülmesi, araştırmalarının yapılması ve bulgularının analizlerinde bütün bilgilerin etik davranış ve akademik kurallar çerçevesinde elde edilerek sunulduğunu; ayrıca tez yazım kurallarına uygun olarak hazırlanan bu çalışmada bana ait olmayan her türlü ifade ve bilginin kaynağına eksiksiz atıf yapıldığını, bilimsel etiğe uygun olarak kaynak gösterildiğini bildirir ve taahhüt ederim.
Jamal Abdulsalam Mohamed ELATTRESH
ÖZET
DOKTORA TEZİ
BİLGİ GÜVENLİĞİ HİZMET YÖNETİMİ: BİLGİ GÜVENLİĞİ YÖNETİMİNE BİR HİZMET YÖNETİMİ YAKLAŞIMI VE BİR KURUMUN
MÜŞTERİNİN MEMNUNİYETİ VE GÜVENİRLİĞİ ÜZERİNDEKİ ETKİSİ JAMAL ABDULSALAM MOHAMED ELATTRESH
KASTAMONU ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ MALZEME BİLİMİ VE MÜHENDİSLİĞİ ANA BİLİM DALI
DANIŞMAN: DR. ÖĞR. ÜYESİ ÜMİT TOKEŞER
Bilgi Güvenliği yönetimi, birçok kuruluş tarafından giderek daha fazla ilgi gören önemli bir konudur. Ayrıca, güvence ve refah yeteneklerinin, güvenlik stratejilerinin ve kontrolünün avantajlarını etkileyen unsurlar, veri güvenliği kaygıları, müşteri taahhüdü, desteklenebilirlik ve açıklık, tehlikelere dikkat ve belgelere ilişkin asgari gözlemsel kanıt bulunmaktadır.
Dahası, farklı unsurların çeşitli sigorta ve yetenek aşamalarını nasıl etkilediği ve diğer tüm güvenlik yönetim kurulu faktörlerinin Hatif Libya Firması (HLC) genelinde benzer şekilde önemli olup olmadığı da aynı şekilde açıkça anlaşılmamıştır. Bu çalışma, Hatif Libya Şirketinde (HLC) etkin bir bilgi güvenliği yönetimini geliştirmek için uygulanan ve kullanılan bilgi güvenliği yönetiminin hizmet yönetimi yaklaşımına etki eden faktörleri değerlendirmeyi amaçlamaktadır. Bunun yanısıra, kurum içindeki karar vericilerin kurumsal varlıklarını yönetmeleri ve dayanıklılıklarını sağlamaları için eyleme geçirilebilir bilgiler sunmak amacıyla bilgi güvenliği hizmet yönetiminin yapı geçerliliği ve bilgi güvenliği ilkeleri sunulmuştur. Ayrıca, bu çalışma temelde, çalışma katılımcıları için çevrimiçi bir anket tasarlayıp uygulayarak gerekli verileri toplamak için analitik tanımlayıcı metodoloji yaklaşımına dayanmaktadır. Veri toplamayı desteklemek için yorumlayıcı bir vaka çalışması yaklaşımı ve anketler kullanılmıştır. Öte yandan araştırmacı, benzer konulardan bahseden önceki çalışmaları da incelemiştir.
Son olarak, tartışma ve analiz süreçlerinden sonra, tüm araştırma faktörlerinin HLC'deki bilgi güvenliği yönetimi üzerinde önemli bir istatistiksel etkiye sahip olduğu hakkında bulgulardan bahsedilmektedir. Ek olarak, bulgular, tüm hipotez faktörlerinin HLC tarafından sağlanan olumlu bir hizmet performansını yansıtan pozitif ve anlamlı bir korelasyona sahip olduğunu teyit etmektedir. Ek olarak, bu çalışma, güven ve kullanılabilirlik gibi bilgi güvenliği yönetimini etkileyebilecek daha fazla değişkeni incelemek için daha fazla araştırma yapılmasını önermektedir.
ANAHTAR KELİMELER: Bilgi güvenliği, Bilgi güvenliği yönetim sistemi (BGYS), Çalışan memnuniyeti, Koruma ve güvenlik, Performans ve yetenek, risk yönetimi.
Şubat 2022, 102 Sayfa
ABSTRACT
PH.D THESIS
A STUDY BASED ON FACTORS EFFECT ON INFORMATION SECURITY MANAGEMENT AND THEIR IMPACT ON ORGANIZATIONAL PERFORMANCE AND CUSTOMER SATISFACTION : CASE STUDY;
HATİF LİBYA COMPANY ( HLC )
JAMAL ABDULSALAM MOHAMED ELATTRESH KASTAMONU UNIVERSITY INSTITUTE OF SCIENCE DEPAERTMENT OF ENVIRONMENTAL ENGINEERING
SUPERVISOR: ASSİST. PROF. DR. ÜMİT TOKEŞER
Information Security management is an important issue which is gaining more and more interest by several organizations. Furthermore, there is minimal observational proof on the elements that influence the advantages endeavor of assurance and wellbeing aptitudes, security strategies and control, the information about data security Concerns, client fulfillment, supportability and openness, attention to dangers and documentations. Moreover, it is likewise not obviously realized precisely how different elements influence the various phases of insurance and abilities and whether all other security the board factors are similarly significant across Hatif Libya Firm (HLC). What's more, this study aims to evaluate the factors which effect on the service management approach of the information security management that applied and utilized to improve an effective information security management in the Hatif Libya Company (HLC). Moreover, construct Validity of the Information Security Service Management and principles of information security have been presented in order to deliver actionable information for decision makers within the organization to manage their corporate assets and ensure their resilience. Besides, this study research mainly depend on the analytical descriptive methodology approach to collect the required data by designing and distributing an online questionnaire for the study participants. An interpretive case-study approach as well as questionnaires were employed to support data gathering. On the other hand, the researcher has been exhibited previous studies that talked about subjects.
Finally, after the discussion and analysis processes, the ramifications of the discoveries are talked about all the research factors have a significant statistical influence on InfoSec management at HLC. In addition, the findings reaffirm that all the hypothesis factors have a positive significant correlations which reflects a positive services performance that provided by HLC. Additionally, this study may suggest conducting further research to study more variables which may affect the information security management such as trust, and usability.
KEYWORDS: Information security, Information security management system (ISMS), employee satisfaction, Protection and safety, performance and ability, risk management.
February 2022, 102 Page
TEŞEKKÜR
Öncelikle ve en önemlisi, araştırmamı başarıyla tamamlamak için yaptığım araştırma boyunca şükranlarını yağdıran Yüce Tanrı'ya şükrediyorum. Bu araştırmayı yapmam için bana altın fırsatı veren, prospektüs, teklif ve nihai dokümantasyonumu karşılamada gerekli tavsiye ve rehberliği sağlayan amirime (Dr. ÜMİT TOKEŞER) şükranlarımı sunarım. Birçok araştırma makalesi yapmama yardımcı olan gereksinimler ve birçok yeni şey hakkında bilgi sahibi oldum; Ona gerçekten minnettarım. Ayrıca Kastamonu Üniversitesi malzeme bilimi ve mühendisliği enstitüsünün tüm personeline destek ve nezaketleri için teşekkür ederim. İkincisi, anne ve babama beni geleceğim için eğitip hazırladıkları için sevgileri, duaları, ilgileri ve fedakarlıkları için son derece minnettarım. Aileme ve eşime bu araştırma çalışmasını tamamlamak için gösterdikleri sevgi, anlayış, dua ve sürekli destekleri için çok müteşekkirim. Ayrıca kardeşlerime destekleri ve değerli duaları için teşekkür ederim. Son olarak, arkadaşlarıma, araştırma arkadaşlarıma ve araştırmayı doğrudan veya dolaylı olarak tamamlamamı destekleyen tüm insanlara teşekkür ederim.
Jamal Abdulsalam Mohamed ELATTRESH Kastamonu, 2022
İÇİNDEKİLER
Sayfa
TEZ ONAYI ... ii
TAAHHÜTNAME ... iii
ÖZET ... iv
ABSTRACT ... v
TEŞEKKÜR ... vi
İÇİNDEKİLER ... vii
ŞEKİLLER DİZİNİ ... ix
TABLOLAR DİZİNİ ... x
SİMGELER VE KISALTMALAR DİZİNİ ... xi
1. GİRİŞ ... 1
1.2 Bilgi Güvenliği Tarihi ... 4
1.3 Bilgi Güvenliği Çeşitliği ... 6
1.4 Başarılı Bir Kuruluş, Operasyonlarını Korumak İçin Aşağıdaki Çoklu Güvenlik Katmanlarına Sahip Olmalıdır: ... 7
1.5 Hatif Libya Şirketi Ne Zaman Bilgi Güvenliği Yönetimine İhtiyaç Duyar? ... 8
1.6 Bilgi Güvenliği Hizmet Yönetimi ... 9
1.6.2 Bilgi Güvenliği Yöneticisi ... 10
1.6.3 Bilgi Güvenliği Politikası ... 11
1.6.4 ISO / IEC 27001: 2013 Nedir? ... 12
1.6.5 ISO / IEC 27001: 2005'in Faydası ... 15
1.7 Bilgi Güvenliği Yönetim Sisteminin Gerekliliği ve Faydaları ... 16
1.8 Bilgi Güvenliğinin Önemi ... 17
1.9 Bilgi Güvenliği Yönetimi Ve Risk ... 17
1.10 Araştırma Problemi ... 19
1.11 Araştırma Hedefleri ... 19
1.12 Araştırma Hipotezi ... 21
1.13 Araştırma Araçları ... 21
1.14 Tez Yapısı ... 24
2. LİTERATÜR TARAMASI ... 26
2.1 Giriş ... 26
2.2 Bilgi Güvenliği Tanımı ... 26
2.2.1 Bilgi Güvenliğinin Temel Kavramları ... 28
2.3 Bilgi Güvenliği Yönetim Hizmeti ... 29
2.4 Bilgi Güvenliği Yönetim Hizmetinin Faydaları ... 31
2.5 Bilgi Güvenliği Yönetim Hizmetinin Başarısı ... 32
2.6 Libya'da Bilgi Güvenliği Yönetimi Hizmeti ... 36
2.7 Libya'da Bilgi Güvenliği Yönetim Hizmetine Duyulan İhtiyaç... 38
2.8 Libya'da Bilgi Güvenliği Yönetim Hizmetinin Geleceği ... 40
2.9 Hatif Libya Şirketinde Bilgi Güvenliği Yönetim Hizmetine Duyulan İhtiyaç ... 41
2.10 Bilgi Güvenliği Yönetim Hizmetinin Bir Değerlendirmesi ... 42
3. ARAŞTIRMA METODOLOJİSİ ... 45
3.1 Giriş ... 45
3.2 Araştırma Metodolojisi ... 45
3.2.1 Veri Analizi Prosedürü ... 46
3.2.2 Hedef Örnek ... 46
3.2.3 Araştırma Aracı ... 46
3.3 Geçerlilik ve Güvenilirlik Ölçekleri ... 48
3.3.1 Bilgi Güvenliği Hizmet Yönetimi Ölçeğinin Yapı Geçerliliği ... 48
3.3.2 Doğrulayıcı Faktör Analizi (DFA) Model Uyumu ... 51
3.3.3 Doğrulayıcı Faktör Analizi (CFA) Endeksleri Kaynakları ... 51
3.3.4 Bilgi Güvenliği Hizmet Yönetimi Ölçeği ve Alt Ölçeklerinin Güvenilirliği ... 52
4. ARAŞTIRMA SONUCU ... 55
4.1 Giriş ... 55
4.2 Normallik Testleri ... 55
4.3 İstatistiksel Analiz ... 56
4.3.1 Demografik Değişkenlerin Sıklıkları... 56
4.3.2 Katılımcıların Yaşa Göre Dağılımı ... 57
4.4 Çalışma Değişkenlerinin Tanımlayıcı İstatistikleri ... 60
4.5 Bağımsız Örneklem T-Testi Kullanılarak Grup Varyanslarının Analizi ... 64
4.6 Değişkenler Arasındaki Korelasyonlar ... 69
4.7 Müşteri Memnuniyetinin Öngörücüleri ... 71
5. TARTIŞMA VE SONUÇ ... 74
5.1 Giriş ... 74
5.2 Araştırmanın Sınırlılıkları ... 74
5.3 Tartışma ... 75
5.4 Sonuç ... 78
5.5 Öneriler ve Tavsiyeler ... 79
KAYNAKLAR ... 83
EKLER ... 92
EK- A Çalışmanın Anketi ... 93
ÖZGEÇMİŞ ... 101
ŞEKİLLER DİZİNİ
Sayfa Şekil 1.1 Whitman ve Mattord tarafından uyarlanmış veri güvenliği
çerçevesi ... 2
Şekil 1.2 Hatif Libya Şirketi web sayfası ... 8
Şekil 1.3 BGYS Çerçevesi ... 10
Şekil 1.4 ISO/IEC 27001 Değerlendirmesi ... 12
Şekil 1.5 Risk Yönetimi Geliştirme ... 18
Şekil 2.1 Bilgi Güvenliği Yönetimi ve Risk Transferi ... 29
Şekil 3.1 Analiz Modeli ... 47
Şekil 4.1 Cinsiyete Göre Katılımcı Dağılımı ... 56
Şekil 4.2 Katılımcılar Pozisyonlarına Göre Dağılımı ... 59
Şekil 4.3 Koruma ve Güvenlik Becerileri ve Öğelerinin Açıklayıcı İstatistikleri ... 61
TABLOLAR DİZİNİ
Sayfa
Tablo 1.1 PC Güvenliğindeki Önemli belgeler ... 5
Tablo 1.2 ISO 27001:2005’deki Kontrol Alanları ... 13
Tablo 1.3 Soruların Yedi Kategorisi ve Gerekçesi ... 22
Tablo 3.1 Desen Matrisi ... 48
Tablo 3.2 Model Uyum Göstergeleri ... 51
Tablo 3.3 Güvenilirlik İstatistikleri ... 52
Tablo 4.1 Demografik Değişkenlerin Sıklıkları ... 56
Tablo 4.2 Katılımcıların Yaşa Göre Dağılımı ... 57
Tablo 4.3 Katılımcıların Eğitim Düzeyine Göre Dağılımı ... 57
Tablo 4.4 Deneyime Göre Katılımcı Dağılımı ... 58
Tablo 4.5 Katılımcıların Bilgi Güvenliği Yönetimi Kullanımlarına Göre Dağılımı ... 58
Tablo 4.6 Katılımcıların Görev yerine Göre Dağılım ... 58
Tablo 4.7 Katılımcıların Pozisyonlarına Göre Dağılımı ... 59
Tablo 4.8 Güvenlik Politikaları ve Denetimi ve Öğelerinin Açıklayıcı İstatistikleri ... 60
Tablo 4.9 Koruma ve Güvenlik Becerileri ve Öğelerinin Açıklayıcı İstatistikleri ... 61
Tablo 4.10 Müşteri Memnuniyeti Faktörünün Tanımlayıcı İstatistikleri ... 62
Tablo 4.11 BG Endişeleri Hakkındaki Bilgilerin Tanımlayıcı İstatistikleri ... 62
Tablo 4.12 Desteklenebilirlik ve Erişilebilirliğin Açıklayıcı İstatistikleri ... 63
Tablo 4.13 Risk Farkındalığına İlişkin Tanımlayıcı İstatistikler ve Belgeler .... 64
Tablo 4.14 Bağımsız Örneklem T-Testini Kullanan Grup Varyansları ... 65
Tablo 4.15 Bağımsız Örneklem Testi ... 67
Tablo 4.16 Korelasyonlar Testi ve Faktörler ... 69
Tablo 4.17 Müşteri Memnuniyetinin Öngörücüleri ... 72
SİMGELER VE KISALTMALAR DİZİNİ
Kısaltmalar
BGYS : Bilgi Güvenliği Yönetim Sistemi BilGü : Bilgi Güvenliği
KYS : Kalite Yönetim Sistemi BB : Bulut Bilişim
BGÇ : Bilgi Güvenliği Çerçevesi HLC : Hatif Libya Şirketi
1. GİRİŞ
Bilgi güvenliği çerçevesi (InfoSec), stratejileri ve modelleri kullanarak bilgilerin çıktılara dönüştürülmesini sağlayan çok katmanlı bir yapıdır, PC çerçevesi ise otomatikleştirilmiş bir veri çerçevesinin bir özelliği olarak tanımlanabilir. Veri çerçevesi, sinir sistemi ile karşılaştırılabilir. Tek bir yerde bozulması, tüm yapının hayal kırıklığına uğramasına ve tehlikeye yol açmasına neden olabilir. Bu şekilde, uygun güvenlik seviyesi dahil olmak üzere üstün bir veri çerçevesi sürdürmek, yapıların krize nasıl tepki vereceğini doğrudan etkileyebilir (Wawak, 2010).
Veri güvenliği, verileri ve veri çerçevelerini onaylanmamış erişme, kullanma, maruz kalma, bozulma ve değiştirmeye karşı korumak olarak tanımlanır (O'Brien ve Marakas, 2005; Andress, 2011). Başka bir tanım, verilerin temel nitelikleri olarak gizlilik, doğruluk, fayda ve sahipliğin bir özeti olduğunu söyler (O'Brien ve Marakas, 2005). Veri Güvenliği, İnternet aracılığıyla iletilen verileri, onu zayıflatan tehlikelerden sabitleyen uzman bir çerçeve (Boehmer, 2008). İnovasyonun ilerlemesi ve verileri çeşitli şekillerde saklama ve ticaret yapma yöntemleri veya bir alandan başlayıp diğerine sistem üzerinden sözde veri aktarımı ile bu tür verilerin güvenliği önemli ve zorunlu bir konudur.
Çok sayıda veri güvenliği uzmanı, veri güvenliği ihtiyaçlarını iş hedefleriyle ayarlamanın herhangi bir kuruluşun ilk gereksinimleri olması gerektiğini düşünmektedir. Güvenlik, saldırganların tehlikesinden uzak, güvenli olmanın kalitesi veya koşuludur. Ayrıca, kasıtlı veya genel olarak hedef olan kişilerin düşmanlarına karşı teminattır. Örneğin, ulusal güvenlik, bir ekspres şirketinin egemenliğini, avantajlarını, varlıklarını ve kaynaklarını sağlayan çok katmanlı bir çerçevedir. Bir kuruluş için uygun güvenlik seviyesini elde etmek de benzer şekilde çok yönlü bir çerçeve gerektirir.
Veri güvenliği, hassas iş verilerini ayarlama, kesinti, yok etme ve incelemeden korumak için planlanan ve iletilen prosedürler ve aygıtlardır. Zorlayıcı veri güvenliği, güvenlik öğelerini, ilerlemeleri, yaklaşımları ve ek yöntemleri birleştirir (Alberts ve Dorofee, 2002; Boehmer, 2008). Bir kuruluş tarafından bakılan her bir
veri güvenliği sorunu tek başına öğe toplanması ile çözülemez. Her ikisi de hayati önemde olsa da, inovasyonların düzenlenmesi ve sergilenen endüstri provalarına bağımlılıktan başka bir şey gereklidir. Güvenlik duvarları, kesinti algılama çerçeveleri ve güçsüzlük tarayıcıları gibi öğeler, tek başına uygulanabilir veri güvenliği sağlamak için yeterli değildir.
Şekil 1.1 (Whitman ve Mattord, 2011) tarafından uyarlanmış veri güvenliği çerçevesi
Veri güvenliği bir prosedürdür. Bir veri çerçevesi güvenlik politikası, bir kuruluşun veri kaynaklarını nasıl denetlediğini, veri kaynaklarını nasıl sağladığını ve veri çerçeveleri güvenlik temeli hakkında gelecekteki seçimlere nasıl karar verdiğini gösteren, her yönüyle karakterize edilmiş ve rapor edilmiş bir kural düzenlemesidir.
güvenlik prosedürleri, belirli bir görevin nasıl gerçekleştirileceğini kesin olarak kaydeder. Örneğin, bir politika, antivirüs programlamasının her gün yenilendiğini belirleyebilir ve strateji, bir dizi adımı tam olarak nasıl tamamlayacağını belirtebilir (Höne ve Eloff, 2002).
Veri güvenliği avantaj yönetimi, veri güvenliği düzenlemelerinin en yüksek değeri verdiğini ve veri güvenliği görevlerinin yeterliliğini ve uygulanabilirliğini artırırken işin gereksinimlerini karşıladığını garanti eder. Veri güvenliği avantajı yönetimi, üstlenici yöneticilere ve yönetim fakültesine veri güvenliği formlarının durumuna ve uygulanmasına karar verme ve olası sorunu tanıma izni verir (O'Brien ve Marakas, 2005).
İnternet sanal bir durumdur ve kuruluşun web ile arayüz oluşturmak için hangi araçlardan yararlandığı bir fark yaratmaz (Deruma, 2014). Veri güvenliği yönetim modelleri, idari yükümlülükler ve görevler, özel alanda ve genel toplum bölümünde yetkin yetenek ve kabiliyet ve ayrıca Avrupa iş koşullarında yetenekler ve beceriler hakkında farklı bakış açıları vardır. Güvenlik, bağımsız bir kavram olarak var olamaz, önceden tanımlanmış kriterlere bağlı olarak güvenlik yönetimi yazılım mühendisini sürekli olarak düzenleyen ve geliştiren ilgili prosedürlere göre koordine edilmelidir. Güvenlikle ilgili her şeyi kapsayan bir metodolojinin benimsenmesi, kuruluşlarda güçlü güvenliğe katkıda bulunan temel bir değişken olduğunu kanıtlamıştır.
Verilerle ilişkili ilerlemeden tehditleri ortadan kaldırmak için veri güvenliği gereklidir. Bağlı kuruluşlar, veri geliştirme koşullarını tespit ederek verilerini sağlamaya çalışır (Catteddu, 2010). Veri güvenliğinin belirgin görünümü, bilgisayar güvenliğiyle başlar. PC güvenliğine duyulan ihtiyaçtan anladığımız, Dünya Savaşı'nın ortasında ortaya çıkan tehlikelerden fiziksel bölgeleri, ekipmanı ve programlamayı, tehlikeden korunmak için bilgisayar uzmanının önemli olan yazışma kodunun kırılmasına yardımcı olmak için yaptığında ortaya çıkan ihtiyaçtır (Webb vd., 2014).
Bütünlük, verilerin tüm yaşam döngüsü boyunca tutarlılığını, kesinliğini ve güvenilirliğini sürdürmeyi içerir. Veriler aktarılırken değiştirilmemeli ve verilerin onaylanmamış kişiler tarafından değiştirilemeyeceğini garanti etmek için adımlar atılmalıdır (O'Brien ve Marakas, 2005). Bu önlemler kayıt yetkilerini içerir ve müşteri kontrol edilerek geçer. Uyarlama kontrolü, onaylanmış istemcilerin bir riske dönüşmesi nedeniyle hatalı değişiklikleri veya kasıtsız silme işlemlerini önlemek için kullanılabilir. Ayrıca, bir sunucu çökmesi gibi insan kaynaklı olmayan olaylar nedeniyle verilerde meydana gelebilecek herhangi bir ayarlamayı tanımlamak için birkaç yol ayarlanmalıdır. Birkaç veri, saygınlığın doğrulanması için sağlama toplamları, hatta kriptografik sağlama toplamları içerebilir. Etkilenen verileri doğru durumuna getirmek için takviye veya fazlalıklara erişilebilir olmalıdır (Whitman ve Mattord, 2011; Von Solms ve Van Niekerk, 2013).
Gizlilik, güvenlikle orantılıdır. Sınıflandırmayı garanti etmek için alınan önlemler, hassas verilerin yanlış kişilerin eline geçmesini engellemeyi amaçlarken, doğru kişilerin bilgilere gerçekten erişebilmesini sağlarken, atıfta bulunulan verileri görmek için onaylananlarla sınırlı olmalıdır. Düzenli olarak da verilerin, istenmeyen ellere düşmesi durumunda mümkün olması gereken toplam ve türden zararla sıralanması için gerekmektedir (Von Solms ve Van Niekerk, 2013).
Kullanılabilirlik en iyi şekilde, tüm ekipmanı kapsamlı bir şekilde sürdürmek, gerektiğinde ekipman onarımlarını derhal gerçekleştirmek ve yazılım çakışmaları içermeyen etkili bir çalışma çerçevesi koşulunu sürdürmekle garanti edilir. Tüm önemli çerçeve güncellemelerini güncel tutmak da aynı şekilde zorunludur (Von Solms ve Van Niekerk, 2013). Tatmin edici yazışma veri iletimi sağlamak ve darboğazlar olayını sürdürmek benzer şekilde zorunludur. Veri talihsizliğine veya kuruluşlardaki izinsiz girişlere karşı kalkanlar, felaket olayları ve yangın gibi uçuşan durumları içermelidir. Bu tür olaylardan veri talihsizliğini önlemek için, bir takviye kopyası topografik olarak bağlantısız bir alana, hatta aleve dayanıklı, su geçirmez bir kasaya bile konulabilir. Örneğin, güvenlik duvarları ve aracı sunucular gibi ek güvenlik donanımı veya programlaması, kesinti süreleri ve erişilemeyen veriler için hazırlık yapabilir; örneğin, fayda sağlamayan saldırıları ve sistem kesintilerini reddetme.
1.1 Bilgi Güvenliği Tarihi
Bilgisayar güvenliği gereksinimi ile bağlantılı veri güvenliğinin tarihi, yani fiziksel alanları, ekipmanları ve programlamayı tehlikelerden bağlama ihtiyacı, yazışma kodu kırma hesaplamalarına yardımcı olmak için oluşturulan ana merkezi sunucuların kullanıma sunulduğu İkinci Dünya Savaşı sırasında ortaya çıktı. Bu merkezi sunucuları sağlamak ve verilerinin doğruluğunu sürdürmek için çok sayıda güvenlik aşaması yürütülmüştür (O'Brien ve Marakas, 2005).
Örneğin hassas askeri alanlara erişim, güvenlik korumaları tarafından onaylı personelin kimlik tespiti, anahtarları ve yüz tanıma yöntemleriyle kontrol edilmiştir.
Uzun vadede ulusal güvenliği sürdürme ihtiyacının gelişmesi, akıllara durgunluk
veren ve daha yenilikçi bir şekilde geliştirilmiş PC güvenlik kalkanlarını harekete geçirmiştir (Freeman, 2007). Bu yılların ortasında, veri güvenliği, yaygın olarak fiziksel güvenlik ve basit arşiv düzenleme planları dışında yapılan doğrudan bir prosedürdü. Güvenlik için temel tehlikeler, fiziksel donanım hırsızlığı, çerçevelerin sonuçlarına karşı gizli çalışma ve hasardı.
Tablo 1.1 PC Güvenliğindeki Önemli belgeler (O'Brien ve Marakas, 2005)
Tarih Belgeler
1968 Maurice Wilkes, zaman paylaşımlı bilgisayar sistemindeki şifre güvenliğini tartıştı.
1973
Schell, Downey ve Popek, Güvenli Askeri Bilgisayar Sistemlerinin Tasarımına İlişkin ön Notlarda askeri sistemde ek güvenlik ihtiyacını incelediler.
1975 Federal Bilgi İşleme Standartları (FISP), Federal Kayıtta bulunan Dijital Şifreleme Standardını (DES) inceledi.
1978
Bisbey ve Hollingworth, mevcut sistem yazılımındaki güvenlik açığı tespit tekniklerini daha iyi anlamak için ARPA tarafından oluşturulan koruma analizi projesini tartışan "koruma analizi: Nihai Rapor" çalışmalarını yayınladılar.
1979
Morris ve Thompson "Password Security: A case History" isimli çalışmayı Communications of the Association of Computing Machinery (ACM)’de yayınladı. Makale, bir tasarımın geçmişini, uzaktan erişilen, zaman paylaşımlı bir sistemde bir parola güvenlik şemasını incelemektedir.
1979
Dennis Ritchie, güvenli kullanıcı kimlikleri ve güvenli grup kimlikleri ve sistemlerin doğasında var olan sorunları tartışan "on the security of UNIX"
and : Protection of Data File Contents," yazıyı yayınladılar.
1984
Grampp ve Morris " UNIX Operating System Security " raporunu yazdı. Bu raporda, yazarlar dört "bilgisayar güvenliğinin önemli yönlerini" inceledi.
Bunlar, tesislerin ve bilgisayar tesislerinin fiziksel kontrolü, güvenlik hedeflerine yönelik yönetim taahhüdü, çalışanların eğitimi ve güvenliği artırmayı amaçlayan idari prosedürleridir.
1984
Reed ve Weinberger, " File Security and UNIX System Crypt Command "’ı yayınladı. Önerileri şuydu: "Hiçbir teknik, telefon dinlemesine veya bilgisayardaki eşdeğerine karşı güvenli olamaz. Bu nedenle, sistem yöneticisine veya diğer ayrıcalıklara karşı hiçbir teknik güvence altına alınamaz … yerel kullanıcının şansı yoktur."
İlk zamanlarda bilgi güvenliği, temel güvenlik faktörleri olarak kabul edilen gizlilik, dürüstlük ve erişilebilirliği denemektedir. Güvenlik terimi "CIA Üçgeni" bu üç kelimeden alınmıştır. Unsurlar, gizlilik / kontrol, veri doğruluğu, geçerlilik, erişilebilirlik ve faydayı içerir. CIA Üçgeni, nihai amacı tehlikelere hazırlanmak için doğrulama ve kriptografi üzerine şiddetle kullanılır (de Leeuw ve Bergstra, 2007).
İşlemenin ilk uzun süreçlerinin ortasında, ordu tarafından kullanılan büyük PC, gelişmiş web'in öncüsü olan ARPANET'i şekillendirmek için özel telefon hatları aracılığıyla ilişkilendirilmiştir. Bu, sunucu çiftlikleri arasında basit veri senkronizasyonuna izin verirken, aynı şekilde sunucu çiftlikleri arasında güvenli olmayan odaklar sağlamıştır.
1.2 Bilgi Güvenliği Çeşitliği
Uygulama güvenliği, web ve taşınabilir uygulamalarda ve uygulama programlama arabirimlerindeki programlama güvenlik açıklarıdır. Bu güvenlik açıkları, istemcilerin doğrulanmasında veya onaylanmasında, kod ve kurulumların güvenilirliğinde, düzenlemelerde ve çerçeveler geliştirmede bulunabilir.
Uygulama güvenlik açıkları, kritik veri güvenliği ihlalleri için bölüm odakları oluşturabilir. Uygulama güvenliği, veri güvenliği için çok önemli bir sınır koruma parçasıdır.
Bulut güvenliği, bulut durumlarında güvenli uygulamalar oluşturmayı ve kolaylaştırmayı sağlar ve dışarıdan bulut uygulamalarını güvenle tüketmeye odaklanır. "Bulut", temelde uygulamanın karşılıklı bir durumda çalıştığını ifade eder. Kuruluşlar, paylaşılan koşullarda prosedürler arasında tatmin edici bir izolasyon olmasını sağlamalıdır.
Geçiş halindeki verileri ve verileri şifreleyen kriptografi, veri gizliliğini ve doğruluğunu garanti eder. Gelişmiş işaretler genellikle verilerin gerçekliğini onaylamak için kriptografide kullanılır. Kriptografi giderek kritik hale gelmektedir. İyi bir kriptografi kullanımı, gelişmiş şifreleme standardıdır.
Gelişmiş şifreleme standardı, gruplanmış hükümet verilerini korumak için kullanılan simetrik bir anahtar hesaplamasıdır.
Altyapı güvenliği, iç ve dış ağların, laboratuvarların, veri merkezlerinin, sunucuların, masaüstlerinin ve cep telefonlarının korunmasıyla ilgilenir.
Kaza yanıtı, olası kötü niyetli davranışları tarayan ve inceleyen bir işlevdir.
Bozulma beklentisiyle, BT personelinin riski kontrol altına almak ve çerçeveyi yeniden oluşturmak için bir kısım reaksiyon planına sahip olması gerekir. Bir düzenleme, kriminolojik soruşturma ve olası mahkemeye ilişkin kanıtları korumak için bir çerçeve oluşturmalıdır. Bu veriler, ilave kopmaların önlenmesine ve personelin saldırganı bulmasına yardımcı olabilir.
Güvenlik açığı, yönetimin zayıf odaklara yönelik bir durumu filtrelemeye giden yoldur. Yamalanmamış programlama ve tehlikeye bağlı olarak iyileştirme organize etme bunun bir örneğidir. Çeşitli çerçevelerde, kuruluşlar her zaman uygulamaları, müşterileri, vakıfları vb. içerir. Bu nedenle, atıkları ortadan kaldırmak için her zaman potansiyel güvenlik açıklarının çerçevesini incelemek çok önemlidir.
1.3 Başarılı Bir Kuruluş, Operasyonlarını Korumak İçin Aşağıdaki Çoklu Güvenlik Katmanlarına Sahip Olmalıdır:
Fiziksel güvenlik, fiziksel öğeleri ve alanları yetkisiz erişim ve kötü kullanımdan korumak içindir.
Personel güvenliği, derneğe erişim yetkisi olan bireyi ve operasyonlarını korumak içindir (O'Brien ve Marakas, 2005).
İşlem güvenliği, işlemlerin veya bir dizi uygulamanın ayrıntılarını korumak içindir.
iletişim güvenliği, iletişim altyapılarını, teknolojiyi ve içeriği korumak içindir.
Ağ güvenliği, ağ bileşenlerini, bağlantıları ve içerikleri korumak içindir.
Veri güvenliği, ister depolama, işleme veya iletimde olsun, veri varlıklarının CIA üçgenini korumak içindir.
Politika, eğitim, öğretim, farkındalık ve teknolojinin uygulanmasıyla elde edilir.
1.4 Hatif Libya Şirketi Ne Zaman Bilgi Güvenliği Yönetimine İhtiyaç Duyar?
Şirket, bağımsız çerçevelerin işletilmesi ve sürdürülmesi ve ulusal bir telefon ağı ve veri güvenliği yönetimi çerçevesinin geliştirilmesi amacıyla Libya Posta, İletişim ve Veri Teknolojisi Şirketi Yönetim Komitesi Sekreteri'nin (referans numarasını tutan) No. (4) 2008 kararıyla kurulmuştur. Ayrıca, şehirler içindeki transit bölücüler ve alt bölümler ile ara bağlantı araçlarının yerel çerçevelerini de içeren şirket, sağladığı çalışmalarla toplumun ekonomisinin inşasına katkıda bulunmayı ve toplumun değerlerini, ilkelerini ve ideallerini korumayı amaçlamaktadır. Ek olarak, en yeni hizmetlere ve teknolojilere bağlanmak için bir ortam oluşturmaktadır.
Şekil 1.2 Hatif Libya Şirketi web sayfası ( https://hlc.ly)
Uluslararası standartları karşılamak için performansını artırmaktadır. Dahası, rekabetçi bir vizyonla en iyi telekomünikasyon hizmetlerini sağlamak ve modern
çerçeveler sunmayı hedeflemektedir. Ayrıca Libya Telefon Şirketi, Dünya Optik Fiber Konseyi - Orta Doğu ve Kuzey Afrika üyesidir. Buna ek olarak, Hatif Libya Şirketi, uluslararası standartları karşılamak için iletişim kurmak ve performansı artırmak için bir ortam yaratmayı, rekabetçi bir vizyonla en iyi telekomünikasyon hizmetlerini sunmayı ve modern çerçevelerin tanıtımı üzerinde çalışmayı hedeflemektedir.
Sabit tel servisi.
Kablosuz telefon hizmeti.
Eklenen hizmetler (sabit hat özellikleri).
Ön Ödemeli Kartlar.
Kiralık Hat Hizmeti.
Diğer servisler.
Hatif Libya Şirketinin Hedefleri aşağıdaki gibidir:
Toplumun ihtiyaçlarını karşılayan yüksek kaliteli iletişim sağlamak.
Altyapıyı modernize edip ve teknik gelişime ayak uydurmak.
İyi bir güven oluşturmak ve müşterileri ile etkili ilişkiler kurmak.
Ustalık, liderlik ve bağlılık için beceri ve yetkinlikler kullanmak.
1.5 Bilgi Güvenliği Hizmet Yönetimi
Veri Güvenliği Yönetimi, bir kuruluşun verilerinin, bilgilerinin ve BT yönetimlerinin gizliliğini, doğruluğunu ve erişilebilirliğini garanti eder (Alexander vd., 2013).
Ayrıca, ITIL Güvenlik Yönetimi, BT Hizmet Sağlayıcısından daha kapsamlı bir
dereceye sahip olan güvenlik yönetimi ile başa çıkmak için yetkili bir yolun bir kısmını şekillendirir. Dahası, BGYS, şirketlerin hassas verileriyle ilgilenmek için bir strateji ve çerçeve düzenlemesidir. Ek olarak, BGYS'nin amacı şansı sınırlamak ve bir güvenlik ihlalinin etkisini etkili bir şekilde sınırlandıran usta ile iş tutarlılığını garanti etmektir (Alencar Rigon vd., 2014).
Şekil 1.3 BGYS Çerçevesi (Mirela ve Maria, 2008)
BGYS, bir ittifakın hassas verileriyle kasıtlı olarak ilgilenmeye yönelik bir yöntem ve çerçeve stratejisidir (Farn vd., 2004). Bir BGYS'nin amacı, bir güvenlik patlamasının etkisini etkin bir şekilde sınırlandıran usta tarafından güvenilirliği kontrol etmek ve iş gelişimini onaylamaktır. Veri Güvenliği Yönetimi çerçevesi, merkezi bir parçanın yalnızca BT kaynaklarını değil, bağlantıyı ve iş misyonlarını yerine getirme kapasitesini sağlayacağını öngörür (Hong vd., 2003).
1.5.2 Bilgi Güvenliği Yöneticisi
Bu kişi, CIA üçgeni özelliklerinin bir kuruluşun faydalarının, verilerinin, bilgilerinin ve BT yönetimlerinin erişilebilirliğini garanti etmekten sorumludur (Kui ve Xiuying, 2003). Veri Güvenliği Yöneticisi genel olarak, BT uzman organizasyonundan daha kapsamlı bir dereceye sahip olan ve tüm kuruluş için kağıt işleme, bina erişimi, telefon görüşmeleri vb işlerden sorumlu kişidir (Rothermel vd., 2004).
Adım 1 Adım 2 Adım 3 Adım 4 Adım 5 Adım 6
Giriş örnekleri
Tehditler, Etkiler,
Risk Yönetimi Stratejisi Ek Kontroller
Risk Değerlendirmesi Risk Yönetimi
Bilgi Güvenliği Tanımı
BGYS Kapsamının Tanımı
Kontrollerin Seçimi
Uygulanabilirlik Tehditleri
Beyanı
Çıktı örnekleri Politika dokümanı
BGYS'nin Kapsamı
Değerlendirilen Risklerin Listesi
Varlıklar için Tanımlanmış Zayıf Yönler
Kontrollerin ve Uygulamanın Gücü
Uygulanabilirlik Beyanı Dökümanları
Müşterilerin veri güvenliği çerçevesinin bir yöneticisi, iş fikri, bir Bulut Bilişim (BB) koşulu içindeki veri kontrolü düzeyi ve güvenlik tehlikeleri, istikrarlı ve kaliteli bir yönetim çerçevesi (KYS) ve bir veri güvenliği yönetim çerçevesi (BGYS) hakkında düşünmelidir. (Alexander vd., 2013; Arhnel Klyde, 2015). BGYS'nin bir BB çerçevesinde kullanılması, BB iyileştirmesine dahil edilen ilgili gelişmelerdeki düzenlemelerin ve karşılaşmaların çoğunu toplamalıdır (Alencar Rigon vd., 2014).
Bir Güvenlik Yönetim Çerçevesi (SMF) ve güvenlik tehlikeleri yönetimi için stratejiler, bir KK dahil olmak üzere BGYS'nin çoğunluğunu planlamak için temel gerekliliklerdir, bu da veri güvenliği denetçisinin yükümlülüğüdür (Alberts ve Dorofee, 2002). BGYS'nin bir BB alanında kullanımı, çoğunlukla, BB çerçevesinin modeline ve BB faydasının türüne bağlıdır (Abuhussein vd., 2012). En fazla BGYS belirleme sayısı, başarıya giden yol olan açık anahtar BB çerçevesine işaret eder.
1.5.3 Bilgi Güvenliği Politikası
Herhangi bir kuruluş, veri doğrulama yönetimi için bir stratejiye sahip olmalıdır (Höne ve Eloff, 2002). Bu, genellikle denetçi yetkilinin, zayıf veri güvencesi nedeniyle iş için ortaya çıkan tehlikeleri fark ettiklerini ve bunları yönetmek için uygun önlemleri alacaklarını ifade eden kısa ve keskin bir ifade olacaktır (Alexander vd., 2013). Doğru uzmana sahip olanlar ve işleyen bir yapıya sahip olanlar ile, tüm uygun toplantılarda bahsedildiği için, kuruluşun şansı büyük bir mesele olarak gördüğünü açıklığa kavuşturan eklemeler içermelidir. Genellikle BilGü politikası kuruluşların, kuruluş içinde uygun onay seviyelerini garanti altına almak için önemli olan alıştırmalara liderlik etmek için bir veri dokümantasyonu çalışma toplantısı çerçevelemesi içindir (Aurigemma ve Panko, 2012 ).
Güvenlik stratejileri, yararlı olduğu için tekniklerin hedeflerini belirleyen plan gereksinimleridir. Yönetim, organizasyonun belirli güvenlik açılarına sahip olmasından herkesin sorumlu olduğunu ifade edebilir (Barman, 2001). Kuruluş şimdilik çalışmaktadır, fakat organizasyonu veya kuruluşu saldırılardan korumaktadır. Bir ofisin bir standardı kullanması ve başka bir ofisin başka bir standardı kullanması durumunda, birlikte çalışabilirlik bir sorun olabilir. Çerçeveler, ilişkinin her güvenlik olayında karşılaştırmalı kontroller kullanmasını sağlar (Knapp
vd., 2009). Bu tutarlılık, şirketin veya kuruluşun şirkete dahil olmasını, müşterilerle işbirliği yapmasını ve yapı boyunca her şeyin harika olduğuna dair şüpheyi sürdürmesini daha az talep etmesine neden olur. Stratejilerin tanımı, veri varlıkları için güvenlik uygulamalarının sistematik hale getirilmesine yönelik önemli bir yürüyüştür. Veri güvenliği eylem planı, güvenlik yetkilileri, hat amirleri ve veri geliştirme kaynak uzmanları dahil olmak üzere bir organizasyondaki çeşitli kişilerin bağlılığından anlaşılır (Siponen vd., 2007).
1.5.4 ISO / IEC 27001: 2013 Nedir?
BGYS için Belirleyici Uluslararası Standardı (Driving International Standard), kuruluş ortamında BGYS'nin oluşturulması, gerçekleştirilmesi, gözetilmesi, gözlemlenmesi, denetlenmesi ve sürekli olarak iyileştirilmesi için ön koşulları belirtir (Sheikhpour ve Modiri, 2012). Bilgi güvenliği tehlikelerinin değerlendirilmesi ve tedavisini içerir (Freeman, 2007). ISO / IEC 27001: 2013, veri güvenliğinin yürürlüğe girmesine izin vermek için en iyi çerçevedir. BGYS'yi özel ayrıntılarla gösteren özel bir standart değildir. Tek başına veri inovasyonu etrafında odaklanmaz, bunun yerine organizasyondaki diğer kritik iş kaynakları, varlıklar ve prosedürler vardır.
Şekil 1.4 ISO/IEC 27001 Değerlendirmesi (Arhnel, 2015)
Tablo 1.2 ISO 27001:2005’deki Kontrol Alanları (Wawak, 2010)
Kontrol Alanı Kontroller ve Sınıflandırmalar Yazarlar ve Yılları
Güvenlik ve
Politika • Bilgi Güvenlik Politikası
(Wawak, 2010)
(Boehmer, 2008)
(Mataracioglu ve Ozkan, 2011)
(Sheikhpour ve Modiri, 2012)
(Logical, 2005)
(Höne ve Eloff, 2002) Veri
Güvenliğinin Organizasyonu
• Ulusal Organizasyon
• Dış Taraflar
(Veiga ve Eloff, 2007) (Merete Hagen vd., 2008)
(Fomin vd., 2008) (Julisch ve Hall, 2010) (Wawak, 2010)
Varlık Yönetimi
responsibility for assets
• information classification
• responsibility for assets
• information classification
• responsibility for assets
• information classification
• responsibility for assets
• information classification
• esponsibility for assets
• information classification
• esponsibility for assets
• information classification
• esponsibility for assets
• information classification
• esponsibility for assets
• information classification
• Varlıklar İçin Sorumluluklar
• Bilgi Sınıflandırması
(Ozkan ve Karabacak, 2010)
(Karabacak ve Sogukpinar, 2006) (Sheikhpour ve Modiri, 2012)
(Wawak, 2010)
İnsan Kaynakları
Güvenliği
• Fesih ve İstihdam Değişikliği
• İstihdamdan Önce
• İstihdam Sırasında
(Tsohou vd., 2010) (Raggad, 2010) (Clinch, 2009) (Wawak, 2010) (Glaser ve Pallas, 2007)
Fiziksel ve Çevresel Güvenlik
• Güvenli alanlar
• Ekipman güvenliği
(Fenz vd., 2007) (Broderick, 2006) (Wawak, 2010)
(Sheikhpour ve Modiri, 2012)
Tablo 1.2 Devamı
İletişim ve Operasyon Yönetimi
• Operasyonel Prosedürler Ve Sorumluluklar.
• İzleme ve Görselleştirme.
• Üçüncü Taraf Teslimat Yönetimini İşler.
• Çerçeve Planlama ve Kabul.
• Kötü Niyetli Ve Mobil Koda Karşı Koruma.
• Yedekleme Hizmetleri.
• Medyayı Kullanma.
• Veri Ve Dönüşüm.
• Dijital Ticaret Hizmetleri.
(Wawak, 2010)
(Veiga ve Eloff, 2007) (Sheikhpour ve Modiri, 2012)
(Layton, 2016) (Humphreys, 2006) (Alencar Rigon vd., 2014)
(Lai ve Chin, 2014)
Giriş kontrolu
• Mobil bilgi işlem ve uzaktan çalışma.
• Uygulama ve veri erişim kontrolü.
• İşletim Çerçevesi Erişim Kontrolü.
• Ağ Erişim Kontrolü.
• Son Kullanıcı Sorumlulukları.
• Son Kullanıcı Erişim Yönetimi.
• Erişim Kontrolü İçin İş Gereksinimleri.
(Wawak, 2010)
(Sheikhpour ve Modiri, 2012)
(Ristov ve Gusev, 2013)
(Jo vd., 2010) (Freeman, 2007)
(Abuhussein vd., 2012)
Veri Çerçeveleri
Toplama, Geliştirme Ve
Bakım
• Veri Güvenliği İçin Güvenlik Gereksinimleri
• Uygulamalarda Doğru İşlem
• Kriptografik Kontroller
• Çerçeve Dosyalarının Güvenliği
• Geliştirme Ve Destek Sürecinde Güvenlik
• Teknik Güvenlik Açığı Süreci
(Wawak, 2010)
(Sheikhpour ve Modiri, 2012)
Veri Güvenliği Olay Yönetimi
• Veri Güvenliği Olaylarının Ve İyileştirmelerinin Yönetimi.
• Veri Güvenliği Sürecini Ve Zayıflıklarını Raporlama.
(Wawak, 2010)
İş Sürekliliği Yönetimi
• İşletmenin Veri Güvenliği Yönleri.
• İş Sürekliliği Yönetiminin Veri Güvenliği Yönü.
(Wawak, 2010)
Uyum
İnformation Systems A İnformation Systems Audit Considerations Udit Considerations
• Veri Çerçeveleri Denetim Hususları.
• Yetkili Gereksinimlere Uygunluk.
• Güvenlik Politikaları Ve Standartlarına Uygunluk.
(Wawak, 2010) (Broderick, 2006)
ISO 27001:2005’deki kontrol alanları (Wawak, 2010)
ISO 27001 (2005)'deki BGYS, kalite yönetim çerçevesi, ekolojik yönetim çerçevesi ve prosedür yaklaşımı fikrine bağlı farklı çerçeveler ile bütünleşmesini güçlendirmeyi amaçlamaktadır (Wawak, 2010; Arhnel Klyde, 2015). Zamanla, bir şirket kaliteli bir yönetim çerçevesini etkin bir şekilde uyguladıysa, BGYS'yi gerçekleştirmek önemli ölçüde daha kolaydır. Temsilcilerin böyle bir çerçevede çalışma yetenekleri daha yüksektir. Ek olarak, yönetim yöntemleri iki çerçeve için temeldir. Bu çerçeveler arasındaki birincil bağlantı, PDCA döngüsünün kullanılmasıdır (Planla - Uygula - Kontrol Et - Önlem Al). BGYS, örneğin gözden geçirmeler, onarıcı ve önleyici faaliyetler gibi alternatif çerçevelerden ayırt edilemeyen cihazları kullanır ve yönetim denetimi, ancak bunları belirli veri çerçeveleri sistemleriyle tamamlar.
1.5.5 ISO / IEC 27001: 2005'in Faydası
Hassas verilerle ilgili verilerin güvenliğini korumanın yanı sıra güvenli veri alışverişini etkinleştirmek (Sheikhpour ve Modiri, 2012).
Riske maruz kalmayı yönetmek ve azaltmak. Bu nedenle olayların gerçekleşme şansı daha az olur ve aynı zamanda olaylara müdahale etmek için harcanan paranın yanı sıra zamanı en aza indirir (Willett ve Arnason, 2007).
Veri güvenliğiyle ilgili sorumlulukların yanı sıra görevleri de net bir şekilde tanımlamak için dahili organizasyonu güçlendirmek ve işin güvenlik yapısını iyileştirmek (Sheikhpour ve Modiri, 2012).
Güvenliği tamamlamak için gereken kaynakları ve ilgili verileri azaltmak (Tomhave, 2005).
Müşterilere ve paydaşlara, hassas bilgilerinin güvenliğinin yanı sıra riskleri nasıl yönettiği konusunda güven sağlamak.
Yasal yükümlülüklere uyumu kolaylaştırmak. Örneğin, gizlilik (Rowlingson ve Winsborrow, 2006).
Sonuç olarak kuruluşun daha fazla yatırımcı ve tüketiciyi çekmesine yardımcı olan bir rekabet avantajı elde etmek.
Hizmetlerinin ve ürünlerinin sunumunda tutarlılığı artırmak, böylece müşteri memnuniyetini ve kullanımda kalmayı artırmak.
1.6 Bilgi Güvenliği Yönetim Sisteminin Gerekliliği ve Faydaları
Bir BGYS, gelişmiş, kağıt tabanlı, lisanslı yenilik, kuruluş içi bilgiler, aygıtlardaki ve buluttaki veriler, basılı sürümler ve bireysel veriler dahil olmak üzere her tür veriyi güvence altına almaya yardımcı olur (Alencar Rigon vd., 2014).
Kuruluşunuzun siber saldırılara karşı direncini artırır.
Kuruluşunuzun verilerini güvende tutar ve hepsini tek bir yerde yönetmek için bir çerçeve oluşturur.
Tüm organizasyonunuzu teknoloji tabanlı tehlikelerden korur.
Sürekli gelişen tehlike tehdidini en aza indirir.
Maliyet israfını ortadan kaldırır.
CIA veri üçgenini korumak için bir dizi politika, prosedür, teknik ve fiziksel kontrol sağlar.
Çalışanların riskleri kolayca anlamasını ve güvenlik kontrollerini benimsemesini sağlar.
Şirkette afet riskini azaltır (Wawak, 2010).
1.7 Bilgi Güvenliğinin Önemi
CIA veri üçgeninin korunması ile birlikte farklı özellikler, örneğin özgünlük, sorumluluk, inkar etmeme ve sarsılmaz kalite de bu öneme dahil edilebilir (Alexander vd., 2013). Ne veri ne de doğrulama bir boşlukta çalışmaz. Her ikisinin de içinde çalıştıkları ortamı dikkate almaları ve bu durumun beraberinde getirdiği sorunları ele almaları gerekir. Herhangi bir veri güvencesi çerçevesinin iş dünyasında sağlam bir şekilde temellendirilmesi bu doğrultuda temeldir (Webb vd., 2014). Bu, veri güvencesinin yalnızca BT şefi veya güvenlik görevlisi için bir sorun olmadığı, ancak tüm kurum için bir sorun olduğu anlamına gelir. Kuruluşun sadece tek bir kısmına onay verme taahhüdü verildiğinde, kuruluştan geriye kalan her ne olursa olsun, bu konuda daha az sorun çıkaracaktır.
Herhangi bir organizasyondan, işinden, alanından veya başka bir faktörden tüm personel bireyleri veri güvencesi konusunda endişelenmelidir. Birliğin görevi ile devam ettirilen uygulanabilirliğin daha kapsamlı bir perspektifinden basitçe yakın bakış açısına sahip bir işaretçiden olabilir, ancak, her iki durumda da, hepsi dikkate alınmalı ve dahil edilmelidir. Onay, sadece bunu yapacak zaman ve nakit varsa dahil edilecek bir 'eklenti' olarak görülmemelidir. Gerçekten güçlü olması durumunda, her aşamada iş formlarıyla birleştirilmelidir. Birkaç bölgede teyit önlemlerinin dahil edilmesi düşünülebilirse de, sonunda, bunlar bir kural olarak, plan aşaması sürecinden önceki uygun zamanda dahil edilmelerine göre daha pahalıya mal olacak ve daha az geçerli olacaktır.
1.8 Bilgi Güvenliği Yönetimi Ve Risk
Bodin vd. (2008) tarafından belirtildiği gibi, risk değerlendirmesi, kârlı verileri, çerçeve açıklarını, akla gelebilecek tehlikeleri, bu tehlikelerin benzer etkilerini ve çerçeveye sunulan tehlikeleri ortadan kaldıran ve işleyen çerçeveyi kavramak için yapılır. Tehlike değerlendirmesi, tehlikeden kurtulma prosedürü olmadan sadece skolastik bir egzersiz olacaktır. Tehlike azaltma, tehlike değerlendirmesinde tanınan tehlikeleri organize etmek ve bir kuruluşun kısıtlı varlıklarının zorunlulukları altında en yüksek ihtiyaç şansını özel olarak azaltmak için adımlar atmanın anahtarıdır.
Yeterlilik değerlendirmesi, doğruluğu garanti altına almak için ilk iki prosedürü eleştirir (Anton ve Nedelcu, 2018). Aynı şekilde, bir kuruluşun durumu da statik değildir. Tehlike dokümantasyonlarında belirtildiği gibi tehlike moderasyon metodolojisini yeni veri güvenliğiyle yenilemek için tutarlı bir değerlendirme prosedürü olmalıdır (Catteddu, 2010).
Şekil 1.5 Risk Yönetimi Geliştirme
Tehlike sınırlaması, etkiyi veya beklenen tekrarlamayı azaltmak için kontrolleri gerçekleştirerek, tehlikeyi kabul edilebilir bir düzeye indirmeye çalışır (Levine, 2004). Örneğin, dış saldırganların bir şirketin özel sistemine erişimini daha zahmetli hale getirmek için güvenlik duvarları ve erişim kontrolleri sağlamlaştırılabilir.
Düzeltici kontroller, bir saldırının etkisini azaltır (Wang ve Hsu, 2010). Araştırmacı kontrolleri saldırıları bulur ve onarıcı kontrolleri tetikler. Tehlike inceleme süreci, idareye veri güvenliği ile ilgili talimatlı kararlar vermesi için ihtiyaç duyduğu verileri verir (Ogle, 2010).
Prosedür, mevcut güvenlik kontrollerini tanımlar, güvenlik açıklarını hesaplar ve tehditlerin her bir güvenlik açığı alanı üzerindeki etkisini değerlendirir (Shalan, 2010; Peltier, 2010). Risk analizi prosedürü, risklerin etkisi ile bunları yönetmeyi amaçlayan güvenlik çözümlerinin maliyeti arasında bir ekonomik denge kurmaya çalışır (Stoneburner vd., 2002). Uygun maliyetli koruyucu önlemlerin seçilmesinin temelinde, herhangi bir riski kontrol etmenin maliyetinin, riskle ilişkili maksimum kaybı aşmaması gerektiği varsayılır. Bununla birlikte, karşı önlemleri uygulama kararı, maliyetinin aksine sistemin veya verilerinin önemine bağlı olabilir (Blakley vd., 2001).
1.9 Araştırma Problemi
Elektronik ve internet gelişmelerinin, organizasyonların daha az talep kâr yönetimlere sahip olmalarına yardımcı olmak için zorunlu bir iş olduğunu düşündüğü günlük bir gerçekliği deneyimlediğimiz için, organizasyonların bu yenilik isyanını kucaklaması ve buna ilgi göstermesi gerekiyor. Daha önce de belirtildiği gibi, bu bir şirketin veya kuruluşun yaklaşımlarını ona yardımcı olmak için nihai amaç ile tamamlamaları gerektiği gerçeğinin ışığında, herhangi bir etkin birliğin güvenilir ve sadık son müşteri personeline sahip olması gerektiği burada belirtilmelidir. Herhangi bir yanlışlık yapmadan veri çerçevesini (ISM) etkili bir şekilde kontrol etmek gerekmektedir. Günün sonunda, kuruluşta ISM'nin karşılaştığı herhangi bir sorun, kesinlikle her türlü kayıpla birlikte olacaktır. Dahası, veri güvenliği yönetimi, aynı şekilde, çalışanın organizasyon verilerini ve bu konunun geniş bir alanda konuşulması gereken çerçevelerini hangi araçlarla yönetebileceğini gösteren zorunlu bir konudur.
1.10 Araştırma Hedefleri
Hatif Libya Şirketindeki son kullanıcıların bilgi güvenliği davranışlarını anlamak.
Hatif Libya Şirketinde son kullanıcıların bilginin korunmasındaki kendi rolleri ve bu rolü yerine getirebilmek için nasıl davranmaları gerektiği konusundaki farkındalık derecesini belirlemek.
Hatif Libya Şirketinde bilgi güvenliği (ISM) zafiyeti durumunda yararlanılabilecek kayıp boyutunu araştırmak.
Hatif Libya Şirketinde son kullanıcıların bilgi güvenliği politikaları ve kontrollerine uyumunu belirlemek.
Hatif Libya Şirketinde son kullanıcının neden olduğu her türlü sorunu çözme potansiyeline sahip bir yönetim yaklaşımı belirlemek.
Veri güvenliği yönetiminin avantaj ve dezavantajlarını gözlemlemek.
Bu çalışmanın amacı, çalışanların Hatif Libya Şirketi hizmetlerine yönelik performans ve becerilerini, Hatif Libya Şirketi hizmetlerine bakış açılarını ve karşılaştıkları engelleri incelemektir. Buna göre, mevcut araştırma motivasyonu, Hatif Libya Şirketi'ne odaklanarak, ISM'yi başarılı ve müreffeh bir şekilde sürdürmek ve bunun için temel hizmet ve performans ilişkilerinde bu son kullanıcılara odaklanmaktır. Bu çalışma aşağıdaki araştırma sorularını yanıtlamayı amaçlamaktadır:
Soru 1: Kuruluştaki bilgi güvenliğinin etkinliği konusunda son kullanıcılar ve bilgi güvenliği yöneticileri arasında ne ölçüde bir argüman var?
Bu sorunun altında toplanan diğer sorular aşağıdaki gibidir:
Bilgi güvenliği politikaları ve kontrollerinde son kullanıcılar ile bilgi güvenliği yöneticileri arasında istatistiksel olarak anlamlı bir fark var mı?
Bilgi güvenliği yönetimi becerisinde son kullanıcılar ve bilgi güvenliği yöneticileri arasında istatistiksel olarak anlamlı bir fark var mı?
Koruma becerilerinde son kullanıcılar ile bilgi güvenliği yöneticileri arasında istatistiksel olarak anlamlı bir fark var mı?
Müşteri memnuniyetinde son kullanıcılar ile bilgi güvenliği yöneticileri arasında istatistiksel olarak anlamlı bir fark var mı?
Bilgi güvenliği kaygıları hakkında bilgi sahibi olan son kullanıcılar ile bilgi güvenliği yöneticileri arasında istatistiksel olarak anlamlı bir fark var mı?
Desteklenebilirlik ve erişilebilirlik açısından son kullanıcılar ile bilgi güvenliği yöneticileri arasında istatistiksel olarak anlamlı bir fark var mı?
Son kullanıcılar ile bilgi güvenliği yöneticileri arasında risklerin ve dokümantasyonların farkında olma konusunda istatistiksel olarak anlamlı bir fark var mı?
1.11 Araştırma Hipotezi
Hipotez 1: (Şirketin performansı ve yeteneği) ve (Hatif Libya Şirketindeki bilgi güvenliği yöneticileri) düzeyinde önemli bir fark yoktur (0,05 ≥ α).
Bu hipoteze bağlı alt hipotezler aşağıdaki gibidir:
(Koruma ve güvenlik) ile (Hatif Libya Şirketindeki bilgi güvenliği yöneticileri) arasında önemli bir fark yoktur. (0,05 ≥ α)
(Çalışan memnuniyeti) ve (Hatif Libya Şirketindeki bilgi güvenliği yöneticileri) düzeyinde anlamlı bir fark yoktur. (0,05 ≥ α )
(Desteklenebilirlik) ve (Hatif Libya Şirketindeki Bilgi güvenliği yöneticileri) düzeyinde önemli bir fark yoktur. (0,05 ≥ α)
(Erişilebilirlik) ve (Hatif Libya Şirketindeki bilgi güvenliği yöneticileri) arasında önemli bir fark yoktur. (0,05 ≥ α)
Hatif Libya Şirketindeki (Riskler ve dokümantasyonlar (kredibilite) ve (Bilgi güvenliği yöneticileri) arasında düzeyinde önemli bir fark yoktur. (0,05 ≥ α)
1.12 Araştırma Araçları
Bu çalışma için veri toplamak amacıyla kullanılan araştırma aracı, araştırma sorularına göre şirket performansı ve yeteneği, koruma ve güvenlik, şirket ve çalışan memnuniyeti, desteklenebilirlik, bilgi sistemlerine, risklere ve belgelere erişim olmak üzere yedi araştırma kategorisine ayrılmış 42 sorudan oluşmaktadır. Şirketin performans ve yetenek soruları 7, 8, 9, 10, 11, 12, 13, 14, 15, 16 ve 17, ikinci araştırma sorusunu ve ikinci alt hipotezi; Koruma ve güvenlik soruları 16, 17, 18, 19, 20, 21 ve 22, üçüncü araştırma sorusunu ve üçüncü alt hipotezi cevaplamak için ilişkilendirildi. yanıtlamak için ilişkilendirilmiştir. Son olarak şirket ile çalışan memnuniyeti soruları 23, 24, 25, 26, 27 ve 28, dördüncü araştırma sorusu ve dördüncü alt hipotezi yanıtlamak için ilişkilendirildi.
Desteklenebilirlik soruları 29, 30 ve 31 olup, ilk araştırma sorusunu ve ilk alt hipotezi cevaplamak için ilişkilendirilmiştir. Bilgi sistemlerine erişim soruları 32, 33, 34, 35, 36, 37, 38 ve 39 olup, ilk araştırma sorusunu ve birinci alt hipotezi de cevaplamak için ilişkilendirilmiştir. Risk ve belgelere ilişkin üç soru, dördüncü araştırma sorusunu ve beşinci alt hipotezi de yanıtlamak için ilişkilendirilmiştir.
Ayrıca, ilk iki soru demografik sorulardı. Ayrıca 3, 4, 5 ve 6. sorular genel bilgilerdir. Anket sorularının yanıtları toplanacak ve aşağıda Tablo 1-3'te belirtilen araştırma sorularını yanıtlamak için kullanılacaktır.
Tablo 1.3 Soruların Yedi Kategorisi ve Gerekçesi
Sorular ve Gerekçeleri Kategoriler
7. Şirketin işlevlerini yerine getirirken ve hizmetlerini sunarken elektronik bilgi sistemlerini kullanımının kapsamı.
8. Şirketin bilgi sistemlerinin güvenliğini yönetmek için yetkin bir departmanın varlığı.
9. Şirkette faaliyet gösteren sistemlerle karşılaştırıldığında bilgi güvenliği yönetimi alanındaki eğitim düzeyi.
10. Şirketin genel giderleri ile karşılaştırıldığında yönetim prosedürleri ile bilgi ve işletim sistemlerinin korunması için harcamak üzere ayrılan yüzde.
11. Şirketin bileşenlerini korumak için güvenlik gereksinimleri, örneğin duvarlar - kapılar - kilitler - kartlar kullanımı.
12. Veri ileten veya sunucuları destekleyen güç ve iletişim kabloları Bilgi sistemleri kurcalanmaya veya tahribata karşı koruma.
13. Şirkette alternatif bir elektrik güç kaynağının varlığı.
14. Sürekliliği ve güvenliğini sağlamak için şirketin ekipmanını uygun şekilde muhafaza etme.
15. Şirketin bilgi sistemlerinde çalışan cihazlarda herhangi bir maddi veya manevi değişiklik yapmada ehliyetli olmayan herhangi bir çalışan.
Şirketin
performansı ve yeteneği
16. Şirketin bilgi sistemleri için girilen verileri doğrulayın.
17. Verileri ve bilgileri korumak için şifreleme mekanizmaları kullanın.
18. Yedekleme hizmetini sağlayın.
19. Şirket sisteminde kullanılan veri tabanları çoklu güvenlik seviyeleri sağlar.
20. Penetrasyon ve sızmayı izlemek için koruma programları kullanın.
21. Şirketin ihtiyaçlarına göre yeni sistem veya
modifikasyonların kabulü için kriterler ve standartlar vardır ve kabul edilmeden önce test edilir.
22. Bilgi güvenliği politikası ve yöntemi periyodik olarak gözden geçirilir ve geliştirilir.
Koruma ve güvenlik
Tablo 1.3 Devamı
23. Personel becerilerini geliştirmek ve güvenlik
gelişmelerindeki performans seviyesini yükseltmek için periyodik olarak bilgi sistemleri konusunda eğitmek.
24. Şirketin bilgi sistemleri üzerinde çalıştıkları çalışanlar, şirkette bilgi güvenliğinin yönetimine yönelik
sorumluluklarının ve görevlerinin bilincindedir.
25. Şirketin istihdam şartları, şirket ile ilgili hassas bilgilerin ifşa edilmemesi için bir sözleşme imzalamaktır.
26. Çalışanların, şirketin bilgi sistemlerinde görebilecekleri her türlü zayıflığı rapor etmeleri gerekmektedir.
27. Şirket içindeki kullanıcı faaliyetlerini ve bilgi güvenliği olaylarını takip etmek için düzenleyici bir kayıt bulunmaktadır.
28. Şirket içi bilgi güvenliği prosedür ve politikalarını ihlal eden çalışana cezai tedbir uygulanacaktır.
Şirket ve çalışan memnuniyeti
29. Şirket, bilgilerin ve işletim sistemlerinin güvenliğini yönetmek için yazılı politikalara ve prosedürlere sahiptir.
30. Şirket yönetiminden sorumlu bir kurum, şirket içindeki bilgi güvenliği politikalarını denetler.
31. Şirketin üst yönetimi, bilgi sistemlerinde herhangi bir değişikliğin riskten korunması için uygulanmasında önleyici tedbirlerin varlığı ile bilgi sistemleri güvenliği yönetimi politikasının öneminin tamamen farkındadır.
Desteklenebilirlik
32. Bilgi sistemlerine erişim yetkileri, ilgili çalışana verilen idari ve fonksiyonel pozisyona göre verilmektedir.
33. Birkaç çalışan tarafından kullanılan genel hesaplar ve yetkiler yoktur, her çalışanın kendine özel hesap erişilebilirliği vardır.
34. Kullanıcıların bilgi sistemlerine erişim yetkisi için şirketin sistem yöneticileri tarafından düzenli olarak gözden geçirmeler yapılmaktadır.
35. Kullanıcıların bilgi sistemlerine erişim yetkisi için şirketin sistem yöneticileri tarafından düzenli olarak incelemeler yapılmaktadır.
36. İnternete erişim, şirketin bilgi sistemleri aracılığıyla İnternet'i bazen engellemektedir.
37. Bilgi sistemleri için güçlü parolaların nasıl oluşturulacağına dair yönergeler vardır.
38. İşletilen şirket bilgi sistemlerinde, kullanıcının yetkilerinin belirli bir süre faaliyetsiz kaldıktan sonra kapatılması.
39. Performans kayıtları, bilgilerin güvenliği ve gizliliği nedeniyle kullanıcı faaliyetlerini ve bilgilerini depolamak için kullanılır.
Bilgi sistemlerine erişim
Tablo 1.3 Devamı
40. Çalışanın bilginin nasıl işlendiğini ve korunduğunu yenilemesine yardımcı olabilecek bilgilerin sınıflandırılması için bir dizin vardır.
41. Şirketteki bilgi sistemlerinin kesintiye uğramasına neden olan olaylar tespit edilip belgelenir ve bu olaylardan
kaynaklanan değerlendirme ve riskler, işin eski haline
getirilmesini sağlamak için acil durum planları oluşturmaktır.
42. Belirli bir zaman çerçevesine göre ve şirket ve
iştiraklerinde bilgi güvenliği yönetiminde herhangi bir aksaklık veya kesinti olması durumunda, işi normale döndürme planları bulunmaktadır.
Riskler ve belgeler
1.13 Tez Yapısı
Bu tez aşağıdaki gibi yapılandırılmış ve organize edilmiştir.
• Birinci Bölüm: - Bilgi güvenliği, bilgi güvenliği geçmişi, bilgi güvenliği türleri hakkında giriş, başarılı bir kuruluş işlemlerini korumak için aşağıdaki çoklu güvenlik katmanlarına sahip olmalıdır, Hatif Libya Şirketi neden bilgi güvenliği yönetimine ihtiyaç duyar ?, bilgi güvenliği hizmet yönetimi , bilgi güvenliği yöneticisi, ISO / IEC 27001: 2013 nedir, araştırma problemi beyanı, araştırma hedefleri başlıkları olacaktır.
• İkinci Bölüm: - Bilgi güvenliği hakkında bir literatür taraması sunacak, bilgi güvenliği ile ilgili temel kavramlar verilecek, ISO / IEC 17799: 2005 ve ISO / IEC 27001: 2005 hakkında bilgiler ve bunların nasıl kullanılacağı verilecektir, iyi bilinen bazı araçların analizleri, bunlar üzerinde karşılaştırmalı bir çalışma ve bilgi güvenliği aktarılacaktır.
• Üçüncü Bölüm: - bu tez bilgi güvenliği tarafından benimsenen yaklaşımı, risk yönetimi, politika yönetimi, izleme ve sorgulama ve bu prosedürlerin oluşturduğu bilgilerin raporlanması tartışmalarını ayrıntılı olarak açıklayacaktır. Kuruluşların bilgi güvenliğinin mevcut durumunu değerlendirmek için kullanılan çalışmada kullanılan bir araştırma çerçevesi ve metodoloji verilecektir.
• Dördüncü bölüm: - Sonuçlar ve bulgular yer alacaktır.
• Beşinci Bölüm: - Tartışma ve sonuçları, gelecekteki olası çalışma yönlerini, çalışma sınırlamalarını ve tavsiyeleri içerecektir.
2. LİTERATÜR TARAMASI
2.1 Giriş
Bu bölüm, bilgi güvenliği yönetiminin tanımını ve uygulamalarını, bilgi güvenliğinin temel kavramlarını, Libya'daki bilgi güvenliği yönetimine olan ihtiyacı, Libya'daki bilgi güvenliği yönetimi uygulamalarının mevcut başarısını ve bilgi güvenliği yönetiminin geleceğine dair Libya ve bilgi güvenliği yönetimi hizmetlerinin değerlendirilmesini sunmaktadır.
2.2 Bilgi Güvenliği Tanımı
Bresnahan vd., (2002) veri yeniliğinin iş ve toplum için temel olduğunu ilan etmiştir.
Veri güvenliği, bir kuruluştan her bireyin yükümlülüğüdür, ancak yöneticiler bunu temel bir iş olarak üstlenir. Veri güvenliği, üç özel ağ topluluğunu içerir, örneğin, bilgi güvenliği yöneticileri ve uzmanları, bilgi yenilik denetçileri ve uzmanları, teknik olmayan iş yöneticileri ve uzmanları. Bilgi güvenliği, veri güvenliği yönetimini, bilgisayar güvenliğini ve çerçeve güvenliğini bir araya getirir. Strateji, farkındalık, hazırlık, talimat ve yenilik, verilerin sigortalanması ve veri çerçevelerinin tehlikeden korunması için temel fikirlerdir (Whitman ve Mattord, 2011). Susanto12 vd. (2011), bir veri güvenliği çerçevesinin kuruluşlar ve devlet daireleri için temel bir teşvik olduğunu ve bu şekilde uygun şekilde güvence altına alınması gerektiğini belirtmiştir. Günümüzde çoğu veri, kısmen veri yeniliği (bilişim teknolojileri) kullanılarak yapılır, kaldırılır, taşınır veya hazırlanır. Veri güvenliği çerçevesinin arkasındaki motivasyon, çeşitli risk türlerine ilişkin verileri ve tüm saldırgan kaynaklarından korumaktır. Bu veriler kağıda basılabilir, PC çerçevelerinde saklanabilir veya müşterilerin beyinlerine bırakılabilir. Bilişim teknolojileri güvenliği, esas olarak verilerin elektronik olarak ve işlenmesiyle saklanmasını sağlar (Saint-Germain, 2005). Bir veri yapısı güvenlik politikası, bir firmanın veri kaynaklarını nasıl sağladığını ve veri güvenliği çerçevelerinin temeli hakkında gelecek seçimleri nasıl yaptığını gösteren, ince unsurların ve rapor edilen kuralların bir faydasıdır. Güvenlik prosedürleri raporu, belirli bir girişimin tam olarak nasıl gerçekleştirileceğine yardımcı olur (Höne ve Eloff, 2002).
