BİLGİ FARKINDALIĞI VE BİLGİ GÜVENLİĞİNİN KARŞILAŞTIRILMASI Merve Arıtürk Yazılım Mühendisliği Bölümü Bahçeşehir Üniversitesi, İSTANBUL

Transkript

1 BİLGİ FARKINDALIĞI VE BİLGİ GÜVENLİĞİNİN KARŞILAŞTIRILMASI Merve Arıtürk Yazılım Mühendisliği Bölümü Bahçeşehir Üniversitesi, İSTANBUL ÖZET Bu çalışmanın amacı, Türkiye'deki bireylerin etik internet kullanımı üzerindeki deneyimlerini araştırarak internet kullanımındaki bilgi farkındalığı seviyesi ile bilgi güvenliği seviyesinin analizinin yapılmasıdır. Torun'un 2007 yılında geliştirdiği "İnternet Etiği Tutum Ölçeği" ile Arıtürk'ün 2014 yılında geliştirdiği "Etik İnternet Kullanımı" anketi çalışmanın çıkış noktası olmuştur. Gökçe nin 2012 yılında uyguladığı Kelime Testi ile Bilgi Güvenliği Farkındalığı Ölçümü ise çalışmanın ilerlemesine yön vermiştir. İlgili ölçek ve anketten bilgi farkındalığı ve bilgi güvenliği soruları analiz edilmiş, "Bilgi Farkındalığı, Bilgi Güvenliği" anketi oluşturulmuştur. Araştırmanın örneklem evrenine sosyal medya üzerinden ve e-öğrenme sitesinden erişilmiştir. Araştırmaya toplamda 218 kişi katılmıştır. Uygulanan anketin sonuçları SPSS programı aracaılığıyla faktör analizine sokulmuş ve mevcut korelasyon değerlerinin ve bilginin anlamlı olup olmamasına bağlı olarak sorular seçilmiştir. Uygulanan anketin sonucunda, bilgi farkındalığının daha da yüksek bir seviyeye çekilmesi amacıyla eğitimler ve seminerler verilmesi uygun bulunmuştur. Anahtar Kelimeler: Bilgi Güvenliği, Bilgi Farkındalığı, Veri Madenciliği ABSTRACT The purpose of this study is analyzing information awareness and information security with investigating the experiences of people who live in Turkey. "The Scale of Ethical Internet" (Torun, 2007) and "The Survey of Ethical Internet Usage" (Arıtürk, 2014) have been the starting point of this research. The questions of the factors that are information awareness and information security are analyzed and the survey that is named as Information Awareness and Information Security is performed on the Internet. In this study, the universe of the sample was reached by the social media platforms an e- learning web site. Approximately 218 people are attended this survey. The results of the survey are examined by the SPSS program for the factor analysis. While maintaining this work, the questions which were on different surveys with the related to our work were analyzed. In accordance with the results of the research, some proposals have been made by analyzing the various results. The most important proposal is giving training courses and seminar which is about the information awareness and security. In addition to this study, it is suggestted that calculating ethical internet usage will be more significant on people who have a high level of information security. Keywords: Information Security, Information Awareness, Data Mining

2 1. GİRİŞ Teknolojinin gelişmesi ve teknolojiye erişilebilirliğin küçük yaşlara düşmesiyle bilgi, bilgi farkındalığı, bilgi güvenliği konularının önemi oldukça artmıştır. Bu nedenle, bilginin ne olduğunu, değerli olup olmadığını, nasıl saklanması gerektiğini bilmek daha önemli hale gelmiştir. İşte bu noktada bilginin ne olduğunu iyi bilmek gerekmektedir. Bilgi, veri üzerinde yapılan uygun bütün işlemlerin (mantığa dayanan dönüşüm, ilişkiler, formüller, varsayımlar, basitleştir-meler, v.s.) çıktısı, bilgi olarak ifade edilebilir. (Canberk, Sağıroğlu, 2006) Bir şeyin bir şey olarak kavranılması anlamına gelen bilgi, kavram olarak bir çeşitlilik göstermektedir. İlkçağ Grek felsefesinde, sanı, kanaat ya da inanç anlamına gelen doksadan farklı olarak, episteme doğru bilgi, bilimsel bilgi, ilk ilkelerden hareketle kanıtlanabilir olan zorunlu bilgi için kullanılan terimdir. (Diemer, 1999, ss ). Kuçuradi (1995, s. 97) ya göre bilgi teriminin hem bilme etkinliğini hem de bu etkinlik sonucu elde edilen çıktıyı tanımlamak için kullanıldığına işaret etmekte ve insanlara ait bir etkinlik olan bilginin iç içe geçmiş birçok etkinlikten (algılama, anlama, düşünme, muhakeme etme, yorumlama, açıklama, doğrulama, değerlendirme, vb. gibi) oluştuğunu vurgulamaktadır. İletişim ortamlarının yaygınlaşması ve kullanımının artması sonucunda elektronik ortamlarda bulunan bilgilerin her geçen gün katlanarak artmasından dolayı bilgi güvenliğinin sağlanması ihtiyacı kişisel veya kurumsal olarak en üst seviyelere çıkmıştır. Bunun önemli sebepleri iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve en önemlisi kişisel ve kurumsal kayıplarda meydana gelen artışlar olarak sıralanabilir. Bilgi güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgi-lerin bütünlüğü bozulmadan, izinsiz erişimlerden ko-runması için, güvenli bir bilgi işleme platformu oluş-turma çabalarının tümüdür. Bunun sağlanması için, uygun güvenlik politikasının belirlenmeli ve uygulanmalıdır. Tüm dünyada kabul edilen yaygın bir yaklaşımla bilgi güvenliğinin sağlanabilmesi için aşağıdaki şartların yerine getirilmesi gerekmektedir (İnternet: ISO). Önemli ve hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmesi önlenmelidir ve sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğu garanti altına alınmalıdır (Confidentiality - Gizlilik). Bilginin sahibi dışındaki kişilerce değiştirilmesinin ve silinmesinin önlenmesi gerekmektedir (Integrity Bütünlük). Bilgi veya bilgi sistemleri sürekli kullanıma hazır ve kesintisiz çalışır durumda olmalıdır (Availability Sürekli Kullanılabilirlik). Kullanıcı kimliğinin doğrulanması (Authentication) gerekmektedir. İş yaşamımızda kullanılan, iş gereği paylaşılan, çalışmalarla, türlü deneyimlerle elde edilen her bilgi değerlidir ve / veya özeldir. Günümüzde bilgisayar ortamlarında her türlü değerli bilgi tutulmaktadır. İnternet ve elektronik iletişim; banka, alışveriş, eğlence alanlarında yaygın olarak kullanılmaktadır. Öyle ki, artık bir ilkokul öğrencisi de bir emekli de İnternet kullanıcısı olmuştur (Mitnick, 2005).

3 2. LİTERATÜR Bilgi güvenliği ve bilgi farkındalığı konularında daha önce yapılan araştırmalar incelenmiş ve bu araştırmalara ait veriler Literatür başlığı altında kronolojik sıraya uygun olarak verilmiştir yılında yaygın olarak kullanılan ve 2006 yılının son aylarına damgasını vuran ve günümüzde hala popüler olan sazan avlama (phishing) saldırganlar tarafından kullanılan etkili bir saldırı yöntemidir. Geçmiş yıllarda bilgi sistemlerine en büyük zararları veren virüsler 2006 yılı itibariyle yerlerini casus programların sazan avlama yöntemiyle kullanıldığı saldırılara bırakmıştır. Dünyada olduğu gibi ülkemizde de sıkça karşılaşılan bu yöntemde genellikle bilgi güvenliği bilinci olmayan kullanıcılar kurban olarak seçilmekte ve internet bankacılığı odaklı soygunlar yapılmaktadır. Sazan avlama çalışma grubu (Anti-Phishing Working Group) tarafından Temmuz 2006 tarihinde yayınlanan aylık rapora göre 14,191 web sitesi üzerinde kimlik hırsızlığı, soygun ve diğer kötücül amaçlar için kullanılan 23,670 tekil sazan avlama vakası tespit edilmiştir (Dodge, 2007). Netcraft firması tarafından geliştirilen ve web tarayıcılarıyla bütünleşik olarak çalışan güvenlik yazılımı sayesinde sazan avlama saldırıları konusunda yapılan incelemelerde 2005 yılında olan saldırı sayısının 2006 yılı sonunda e çıktığı gözlemlenmiştir (İnternet: Netcraft). Dünyaca ünlü güvenlik firması tarafından verilen bu rakamlar tehlikenin hangi hızla ilerlediğinin gösterilmesi açısından önemlidir. Sazan avlama konusunda Messagelabs firması tarafından yapılan bir başka araştırmada Netcraft firmasının sonuçlarını desteklemektedir. Ocak 2006 tarihi itibariyle %10,6 olan sazan posta oranı Aralık 2006 sonu itibariyle %68,6 gibi yüksek bir rakama çıkmıştır. Bu artışın 2005 yılı genelinde %13,1 olduğu göz önüne alındığında 2006 yılındaki rakamın ne kadar büyük olduğu görülmektedir (İnternet: Message Labs). Gartner ve Deloitte gibi bağımsız araştırma kuruluşlarının raporları incelendiğinde kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıkları görülmektedir. Deloitte firmasının 30 ülkede 2006 yılında gerçekleştirdiği araştırmada kurumların %73 nün güvenlik yatırımı yaptığı, yatırım yapan firmaların bilgi işlem müdürlerinin %54 nün ise bu yatırımları yetersiz buldukları belirtilmiştir (Kudat, 2007). Türkiye de yapılan araştırmalarda ise 2005 yılı bilişim genel yatırımları 19 milyar dolar iken güvenlik yatırımları 30 milyon dolar, 2006 yılında bilişim yatırımları 23 milyar dolar iken güvenlik yatırımları 40 milyon dolara ulaşmakta ve 2007 yılında ise 47 milyon dolar olması beklenmektedir (Kudat, 2007). Ülkemizde sazan avlama ve benzeri saldırı teknikleriyle ilgili araştırmalar yapılmadığından, bu konuda istatistikler verilememiştir. Ancak bu tür araştırmaların bilgi güvenliğine önem veren gelişmiş ülkelerde yapıldığını (A.B.D. İngiltere, Avustralya, vb.) göz önüne alırsak ülkemizde durumun daha da kötü olduğu ortaya çıkacaktır. Buradan da anlaşılacağı gibi önümüzdeki yıllarda çok yüksek teknik bilgiler üzerine kurulu saldırılardan ziyade bilgi güvenliği bilincine haiz olmayan kişilerin kandırılması sonucunda ortaya çıkan güvenlik açıklarının saldırganlar tarafından ustaca kullanılacağı tahmin edilmektedir. (Vural, Sağıroğlu, 2008) CSI ve FBI kurumlarının 2008 yılında ortak yaptıkları bir çalışmanın sonuçlarına göre (Richardson, 2008: 2-4); ABD deki 522 kurumun (devlet veya özel sektör) %49 unda virüs, truva atı, solucan, vb zararlı kod saldırısı yaşanmış, %42 sinde dizüstü bilgisayar, cep bilgisayarı, vb mobil cihazlar çalınmış, %44 ünde şirket çalışanları İnternet ve diğer yetkilerini, erişimlerini suistimal etmiş ve bir yıl içerisinde bu 522 kurumun toplam maddi kaybı 156 Milyon ABD Doları olmuştur.

4 Dünya genelinde yapılan bir başka araştırma raporunda (Symantec, 2009: 5); 2008 yılı boyunca yeni tehditlerin yayılması ve amacına ulaşmasında Internet ortamı ve web sitelerinin yine ana kaynak olarak kullanıldığını özellikle vurgulanmıştır yılı boyunca Symantec firması tarafından saptanan tüm saldırıların neredeyse %90 ı, kullanıcıya ait kritik bilgilerin çalınması amacını taşımaktadır. Geçmişte herhangi bir saldırı yaşadıklarını ifade eden Türkiye deki kurumların %50 si, saldırının sistemin durmasına neden olduğunu belirtmiştir. Sistemi duran kurumların %50 inde ise 8 saati aşan bir kesinti yaşanmıştır. Herhangi bir saldırıya maruz kalan kurumların % 35 i, bu saldırının bilgi kaybına neden olduğunu belirtirken, %10 u ise sistemin yavaşladığını belirtmişlerdir yılında, Türkiye geneli güvenlik saldırıları, dünya bazında çok kaygı verici bir düzeyde olduğu bulgulanmaktadır. Örnek vermek gerekirse; 2008 yılında bir önceki yıla göre ülkemizdeki zararlı kod saldırıları 2 misline yakın artmış, dünyadaki tüm zararlı kod eylemlerinin %6 sını oluşturarak genel sıralamada 9. sıraya yükselmiştir. Çöp (İng. spam) e- posta eylemleri de Türkiye de bir önceki yıla göre 12 kat artarak dünya genelinde 3., Avrupa- Orta Doğu (EMEA) bölgesinde de 2. Sıraya yükselmiştir (Symantec, 2009a; 2009b) yılında virüs tipindeki zararlı kodların üretildiği ve yayılma kaynağı olarak çıktığı ülkeler arasında Türkiye, Avrupa-Orta Doğu bölgesi genelinde 2. sırada yer almaktadır (Symantec, 2009: 26). Gökçe(2010) nin yaptığı çalışmada bilgi güvenliği farkındalığını ölçmek amacıyla bir prototip geliştirilmiştir. Çalışmada, bir uluslararası madencilik şirketinde uygulanmış olan farkındalık eğitiminin etkilerini ölçümlemek için bir prototip geliştirilmiştir. Uygulanan farkındalık eğitimi altı ana odak noktasını hedef almıştır: Şirket (kurum) politikalarına bağlı kalmak Şifre gibi kişisel bilgileri korumak, başkalarıyla paylaşmamak E-posta ve interneti dikkatli kullanmak Mobil cihazları kullanırken güvenliğe dikkat etmek Virüsler, hırsızlık ve bilgi kaybı gibi olayları bildirmek Çalışmada neyin ölçüleceği sorusuna yanıt olarak üç seviye değerlendirme düşünülmüş. Ölçülecek üç seviye; bilgi (ne bildiğiniz), eğilim (ne düşündüğünüz) ve davranış (ne yaptığınız) olarak belirlenmiş. (Şekil 1) Şekil 1: Anket sorularının başlıkları

5 Gökçe(2010) çalışmasında bir kurumun kendi bilgi sistemlerinin güvenliğini sağlamak için teknik önlemler almasının yanında insan faktörünü gözardı etmeden kurum içi farkındalığı arttırması, alınan teknik önlemlerin de etkisini arttıracaktır. Bunun için uygulanan eğitim programlarının sonuçlarının araştırılması ve etkilerinin analiz edilmesi için bir ölçümleme mekanizmasına ihtiyaç kaçınılmazdır. Gökçe(2012), Kelime Testi ile Bilgi Güvenliği Farkındalığı Ölçümü ile kelime testinin, bilgi güvenliği eğitimi için odaklanılması gereken hedeflerin tespiti için çok önemliolduğunu vurgulamıştır. 3. YÖNTEM Anket, Bahçeşehir Üniversitesi nde güz döneminde programlama dersi alan mühendislik fakültesi öğrencilerine uygulanmıştır. Uygulanan anket, SPSS programı ile faktör analizine sokulmuş ve sonuçlar yorumlanmıştır. Ankette Gökçe(2010) nin de uygulaığı gibi 3 çeşit soru tipi bireylere sorularak sonuçları incelenmiştir. Öncelikle ankete katılanların bilgisini ölçmek amaçlı 6 adet kavram sorusu sorulmuştur. Kavram soruları bilgi güvenliği ve bilgi farkındalığı konularındaki bazı kavramların doğru bilinip bilinmediğini ölçmek amacıyla sorulmuştur. Aynı zamanda yaşanabilecek birkaç güvenlik olayına karşı bireylerin davranışları da ölçülmüştür. Son olarak bilgi güvenliği ve farkındalığı hakkında anket soruları da sorulmuştur. Anket soruları Tablo1 te gösterilmiştir. Tablo 1: Uygulanan anketin soruları SORU TİPLERİ BİLGİ SINAMA SORULARI DAVRANIŞ SORULARI EĞİLİM SORULARI SORULAR Oltalama (phishing) nedir? Bildiğiniz gibi verilerin başka ortamda kopyalarını bulundurma işlemine YEDEKLEME denir. Ayrıca yedekleme, bilgi kaybını azaltmak için önlem almaktır. Verilerin sağlıklı bir şekilde yedeklenmesi için aşağıdakilerden hangisi önemli değildir? Aşağıdakilerden hangisi veri kaybının olası nedenlerinden değildir? Aşağıdakilerden hangisi tehlikeli yazılımlara örnek değildir? Spam nedir? Aşağıdaki programlar içinde en güvenli olan hangisidir? Bankadan gönderilmiş bir e-posta mesajında sizden bir bağlantıyı (link) tıklayarak kişisel bilgilerinizi güncellemeniz istendiğinde ne yaparsınız? İnternet ortamında kullandığım şifreleri hatırlamak için kullandığım teknik: Güvenlik olay bildirimini kime yaparsınız? İnternette kullandığım hesapların şifresini belirli aralıklarla değiştiririm. İnternette kullandığım hesapların parolaların oldukça zor olmasına dikkat ederim. Elektronik cihazlarıma(bilgisayar, akıllı telefon, tablet vs.) birinin saldırdığını çok rahat anlayabilirim.

6 Elektronik cihazlarıma(bilgisayar, akıllı telefon, tablet vs.) yapılabilecek saldırılara nasıl önlem alacağıma dair bilgi birikimine sahibim. Şifresiz kablosuz ağlara(wi-fi) bağlanırım. Elektronik cihazlarımda(bilgisayar, akıllı telefon, tablet vs.) sürekli kullanmış olduğun hesaplardan çıkış yapmam. İnternet üzerinden kurduğum bağlantıların güvenli olup olmadığını anlarım. İnternet üzerinden kredi/banka kartı bilgilerimi paylaşırım. İnternet sitelerinde "Kazandınız, Tebrikler" yazan yerlere tıklayıp şansımı denerim. Ekran koruyucusu her çalıştığında tekrar şifre girmek çok sıkıcı. Kendimi bilgi farkındalığı yüksek biri olarak değerlendiriyorum. Kendimi bilgi güvenliği yüksek biri olarak değerlendiriyorum. Bilgi sınama sorularına verilen cevaplarla her kullanıcı için puan hesaplanmıştır. Aynı puanlama davranış soruları için de gerçekleştirilmiştir. Karşılaşılan durumlarda gerçekleştirilen her doğru aksiyon için bireylere puan verilmiştir. Bu puanlar anket soruları içerisinde yer alan Kendimi bilgi farkındalığı/bilgi güvenliği yüksek biri olarak değerlendiriyorum. sonuçlarıyla incelenip analiz edilmiştir. 4. BULGULAR Ankete 218 kişi katılmıştır. Katılanların %33 ü (72 kişi) kadın, %67 si (146 kişi) erkektir. Ortalama yaş aralığının 20,596 olarak hesaplandığı ankete katılanların %97 sini (212 kişi) üniversitede okuyan öğrenciler oluşturmaktadır. Ankete katılanların büyük çoğunluğu (%34 ü) günde 3 4 saat arası internet kullanırken %27 si günde yalnızca 1 2 saat internet kullandığını ifade etmiştir. Günde 5 saatten fazla kullanan kişi oranı ise ankete katılanların %22 sini kapsamaktadır. Bireylerin internet kullanım sürelerinin incelenmesi ile interneti hangi sebeplerle kullandıkları da sorgulanmıştır. Bu kapsamda Tablo 2 deki sonuçlara ulaşılmıştır. Tablo 2: İnternet Kullanım Amaçları

7 Ankete katılanların ebeveyn eğitim durumları incelendiğinde, Tablo 3 deki sonuçlar elde edilmiştir. Tablo 3: Ebeveyn eğitim durumu ANNE EĞİTİM DURUMU BABA EĞİTİM DURUMU Anket sorularına verilen cevaplar sayısallaştırılmıştırılarak faktör analizine sokulmuştur. SPSS programı aracılığıyla yapılan faktör analizi ile birlikte uygulanan KMO ve Barlett s Testi sonucu Tablo 4 te gösterilmiştir. Tablo 4: KMO ve Barlett s Testi Sonuçları Kaiser-Meyer-Olkin Measure of Sampling Adequacy.,687 Bartlett's Test of Sphericity Approx. Chi-Square 268,692 df 15 Sig.,000 KMO değerinin 0.6 dan yüksek olması Barlett Testi nin anlamlı ve verilerin faktör analizine uygun olduğunu göstermektedir. Faktör analiziyle elimine edilen anket sorular güvenilirlik analizine sokulmuş ve Tablo 5 teki sonuç elde edilmiştir. Tablo 5: Güvenilirlik Analizi Sonuçları Cronbach's Alpha Cronbach's Alpha Based on Standardized Items N of Items,695,682 6 Yapılan faktör analizi ve güvenilirlik testi sonrasında her soru tipini ifade eden sayısal bir değer belirlemek üzere yöntem geliştirilmiştir. Bilgi soruları ile her bireyin ne kadar bilgi sahibi olduğu ölçülmüş ve bütün soruları doğru cevap veren bireyin maksimum 6 puan alması planlanmıştır. Benzer durum davranış soruları için de yapılmış ve sorularda sorulan olaylara uygun doğru davranışlar bireye puan kazandırmıştır. Davranış bölümünden de maksimum 3 puan alınabilmektedir. Eğilim sorularının da ortalaması alınarak her katılımcı için 3 farklı puan hesaplanmıştır. Hesaplanan puanların toplamı ile her katılımcının anket puanı oluşturulmuş ve puanlar yorumlanmıştır. Puanları yorumlarken Tablo 6 daki yöntem izlenmiştir.

8 Tablo 6: Toplam Puan Aralıklarına Uygun Durum Oluşturma Toplam Puan Durum Yorum Bilgi Farkındalığı ve Bilgi Güvenliği tutumu düşük Bilgi Fakındalığı ve Bilgi Güvenliği tutumundan sadece biri yüksek Hem bilgi farkındalığı hem de bilgi güvenliği yüksek Tablo 6 da uygulanan yöntemle elde edilen sonuçlara göre durumu 0 olan 4 kişi, durumu 1 olan 191 kişi ve durumu 2 olan 23 kişi tespit edilmiş. 5. SONUÇ VE ÖNERİLER Ankete katılan bireylerin bu araştırma ile geliştirilmiş olan bilgi güvenliği ve bilgi farkındalığı durumu değerlendirildiğinde ankete katılanların %2 sini kavramlara karşı tutumunun düşük olduğu, %88 inin bu iki kavramdan yalnızca birinin yüksek olduğunu ve %10 nun ise kavramlara karşı olan tutumlarının yüksek olduğu tespit edilmiştir. Katılarınları cinsiyetlerine ile bilgi farkındalığı/bilgi güvenliği durumuna göre incelersek, kadınların %7 sinin hem bilgi güvenliğinin hem de bilgi farkındalığının yüksek olduğunu ve %93 ünün de bilgi güvenliği ve bilgi farkındalığı tutumundan sadece birinin yüksek olduğu tespit edilmiştir. Ankete kadın erkeklerin %3 ünün bilgi güvenliği ve farkındalığı tutumunun düşük, %12 inin her iki kavram için bilgisinin yüksek ve % 85 inin de iki kavramdan sadece birinin tutumunun yüksek olduğu hesaplanmıştır. Yapılan anketle ve geliştirilen yöntemle ankete katılan kadınlarda düşük tutuma sahip olan birisine rastlanmadığı görülmüştür. Buradan yola çıkarak kadınların erkeklere göre bu konuda biraz daha yüksek tutumda olduğu söylenebilir. Ankette sorulan bilgi sorularının hepsine doğru cevap veren kişi sayısı 9 olarak tespit edilmiş ve bu kişilerden %89 unun hem bilgi farkındalığı hem de bilgi güvenliği tutumunun yüksek olduğu farkedilmiştir. Aynı kişilerin eğilim sorularına vermiş oldukları cevaplar ve cevapların ortalamaları göz önünde bulundurulduğunda hepsinin yüksek farkındalığa sahip oldukları tespit edilmiştir. Aynı zamanda bu kişilerin %55 inin internet ortamında karşılaşılabilecek sorunlara/tehditlere olan davranışların doğru olduğu görülmüştür. Katılımcıların %50 si bilgi sorularının büyük çoğunluğuna doğru cevap vermiştir. Bu kişilerin %7 si ise karşılaşılabilecek tehditlere doğru davranışla karşılık verebilmekteyken %12 sinin de yanlış davranışla karşılık verdikleri tespit edilmiştir.. Bilgi güvenliği uygulamalarının kurumlardaki tepe yöneticilerden başlayıp daha alttaki kademelere yaygınlaştırılarak kurum genelinde benimsetilmesi çok büyük önem taşımaktadır. Bilgi güvenliğinin sadece teknoloji veya bilgisayar güvenliği olmadığı gerçeğinin anlaşılması da büyük önem taşımaktadır. Bilgi güvenliği bir maliyet veya ek bir yük olarak görülmemeli, kurumun ticari stratejileri ve iş geliştirme vizyonu kadar önemli ve belirleyici bir yerde konumlanmalı, bir kurum kültürü haline getirilmelidir (ITGI Inst., 2007; Tipton ve Krause, 2007). ilgili her türlü ağ, iletişim, bilgisayar, elektronik kayıt, arşiv, yedek ve ayrıca yazılı belgeler, yazıcı, faks, vb. araçların kullanımında olabildiğince en güncel kimlik doğrulama ve yetkilendirme teknolojileri tercih edilmelidir. Buna ek olarak, belli noktalarda, cihazlara

9 kaydedilen ve/veya ağlar üzerinden iletilen veriler için şifreleme teknolojileri de mutlaka kullanılmalıdır. Kurumlar kendi içlerinde belli birimleri ve bu konuda yetkin personelini görevlendirip belli zamanlarda iç güvenlik denetimleri yaptırmalı ve bunun yanı sıra yılda en az iki kez de kurum dışı güvenlik danışmanlık firmalarından dış denetim hizmeti almalıdır. Kurum geneli uygulanacak her çeşit projede, ister bilgi teknolojileri ile ilgili olsun, ister örgütsel yapılanma veya iş süreçlerinin değişimi ile ilgili olsun, bilgi güvenliği projelerin en başından itibaren sürece katılmalıdır ve projenin her aşamasında güvenlikle ilgili kısımlar da irdelenmelidir. Toplum genelinde bilgi güvenliği farkındalık eğitimleri, bilinçlendirme çalışmaları ve eğitsel projeler yapılarak, personelin bilgi güvenliği konularında mutlak surette aydınlatılması gereklidir. Sadece şirketlerde değil, devlet kurumlarında, okullarda ve tüm ülke genelinde eğitim, bilinçlendirme ve farkındalık artışı sağlanmalıdır. Bu konuda, devlete olduğu kadar özel sektöre, basın yayın organlarına, üniversite ve ortaöğretim kurumlarına büyük iş ve sorumluluk düşmektedir. Bu çalışmaya ek olarak, bilgi güvenliği yüksek olan kişilerin etik internet kullanımının incelenmesinin çalışmaya başka bir boyut katacağı düşünülmektedir. 6. KAYNAKLAR Buckland, M. (1991a). Information and information systems. New York: Praeger. Canberk, G., Sağıroğlu, Ş. (2006). Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik Dergisi Diemer, A. (1999). Bilgi Kuramı, Günümüzde Felsefe Disiplinleri. (D. Özlem Derleyen/Çev.). İstanbul: İnkilap Kitabevi. Dodge, C. R., Carver, C., Ferguson, J. A., (2007). Phishing for user security awareness Computers & Security, 26(1): 73. Eminağaoğlu, M., Gökşen, Y. (2009) Bilgi Güvenliği Nedir, Ne Değildir, Türkiye de Bilgi Güvenliği Sorunları ve Çözüm Önerileri.(1-15) Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi Gökçe, A. G. (2010). Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (1). Tübitak, BİLGEM ITGI Inst. (2007). Cobit 4.1; Framework, Control Objectives, Management Guidelines and Maturity Models. USA: ITGI Publishing. İnternet: ISO, [Son erişim tarihi: ] İnternet: Netcraft Phishing By The Numbers: 609,000 Blocked Sites in ked_sites_in_2006.html [Son erişim tarihi: ].

10 İnternet: Message Labs 2006: The Year Spam Raised Its Game and Threats Got Personal 70_43/http%3B/ CT01/publishedcontent/publish/about_us_dotcom_en / newsevents/press_releases/da_ html [Son erişim tarihi: ] Kuçuradi, İ. (1995). Knowledge and its object. The concept of knowledge: The Ankara Seminar içinde (97-102). Ed. İ. Kuçuradi ve R.S. Cohen. Dordrecht: Kluwer. Kudat, B., (2007) Kötü adamların hızına yetişen daha güvenli, BThaber, 604:15. Mitnick K. D. (2005). Aldatma Sanatı. ODTÜ Geliştirme Vakfı Yayıncılık, 1. Basım. Richardson R. (2008) CSI/FBI Computer Crime & Security Survey. CSI. Symantec. (2009). Global Internet Security Threat Report 2008, vol.xiv. Symantec Corporation. Symantec. (2009). EMEA Internet Security Threat Report 2008, vol.xiv. Symantec Corporation. Vural, Y., Sağıroğlu, Ş. (2008). Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi