Fatih Emiral. Deloitte



Benzer belgeler
ICS TÜRK STANDARDI TS EN OHSAS 18001/Mart 2001

ETK LKELER BANKACILIK ETK LKELER

BYS. T.C. Ulatırma Bakanlıı Biliim Belge Yönetim Sistemi Çözümü

INTOSAI KAMU KES M Ç KONTROL STANDARTLARI REHBER. Özet Çeviri Baran Özeren Sayı tay Uzman Denetiçisi

Amaç ve Kapsam. Yetki ve Sorumluluk

AB Uyum Sürecinde Türkiye nin Rekabet Gücü lerleme Raporu Üzerine Tespitler

KURUMSAL T BAR YÖNET M PROF. DR. HALUK GÜRGEN

SOSYAL DYALOG HAYATINDA STRES. hayatında stres ile ilgili Çerçeve anlaması

E-Beyanname* *connectedthinking

BRSA BRDGESTONE SABANCI LASTK SANAY VE TCARET A. BLGLENDRME POLTKASI

II. Ara tırmanın Amacı III. Ara tırmanın Önemi

Yazılım Takımlarında Baarı

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

AMER KA B RLE K DEVLETLER SAYI TAYI

BURSA DA GÖREV YAPAN MÜZK ÖRETMENLERNN ULUDA ÜNVERSTES ETM FAKÜLTES GÜZEL SANATLAR ETM BÖLÜMÜ MÜZK ETM ANABLM DALI LE LETM VE ETKLEM

MUSK MUALLM MEKTEBNDEN GÜNÜMÜZE MÜZK ÖRETMEN YETTRME PROGRAMLARINDAK YAYLI ÇALGI ÖRETMNE LKN SINAMA-ÖLÇME-DEERLENDRME DURUMLARININ NCELENMES

EL PARMAKLARINA DEERLER VEREREK KOLAY YOLDAN ÇARPMA ÖRETM YÖNTEMYLE ZHN ENGELL ÖRENCLERE ÇARPIM TABLOSU ÖRETM UYGULAMASI

Yazılım Süreç yiletirmede Baarı Faktörleri

tarafından hazırlanan bu iyeri yönetmelii tüm irket çalıanları için geçerlidir.

BLG SSTEMLERNN GÜVENLNE LKN OECD REHBER LKELER- GÜVENLK KÜLTÜRÜNE DORU

GÜNCEL GELMELER IIINDA LKÖRETM: MATEMATK-FEN-TEKNOLOJ-YÖNETM

DSK nın Ortaya Çıkışı ve Gelişimi

2005 yılı sonu itibarı ile 76,760 adet geçerli alan adı bulunmaktadır. Alt alan adı uzantılarına göre sayısal bilgi aaıda yer almaktadır.

Bu proje Avrupa Birliği ve Türkiye Cumhuriyeti tarafından finanse edilmektedir. ÇALIŞMA HAYATINDA SOSYAL DİYALOĞUN GELİŞTİRİLMESİ PROJESİ

Vakko Tekstil ve Hazır Giyim Sanayi letmeleri A Tarihi tibarıyla Sona Eren Hesap Dönemine likin Yönetim Kurulu Yıllık Faaliyet Raporu

LKÖRETM KNC KADEME (2005) TÜRKÇE DERS ÖRETM PROGRAMINDA GENEL AMAÇLAR - HEDEF/KAZANIMLAR

Bu model ile çalımayı öngören kuruluların (servis ve içerik salayıcılar),.nic.tr sistemi ile uyumlu, XML tabanlı yazılım gelitirmeleri gerekmektedir.

MÜZK ETM YÖNETM ve DEERLENDRME LKLER *

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ELEKTRK MÜHENDSLER ODASI MESLEK Ç SÜREKL ETM MERKEZ YÖNETMEL

BREYSEL ÇALGI ETM I (KEMAN) DERS HEDEFLERNN GERÇEKLEME DÜZEYLERNN BELRLENMES * (A..B.Ü ÖRNE)

03. En Muhtemel Sayı (EMS) Yöntemi (5 li EMS) EMS Yönteminde Dilüsyon Kavramı

2. Bölgesel Kalkınma ve Yönetiim Sempozyumu Ekim 2007, zmir

stanbul Depreme Nasıl Hazırlanıyor?

ÜNVERSTELERN GÖREVLER

Koullar Bu kursun baarı ile tamamlanaması için gerekenler: Eitim Yaı Düzeyi (RAL) en az 13 CCNA 2 nin baarıyla tamamlanması

MATEMATK ÖRETMNDE BULMACA ETKNLNN ÖRENC BAARISINA ETKS

BELEDYELERDE NORM KADRO ÇALIMASI ESASLARI

Kazandran Uygulamalar

OTSTK ÇOCUKLARIN ALELERNE YÖNELK GRUP REHBERL NN ANNE BABALARIN DEPRESYON VE BENLK SAYGISINA ETKS

Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 kullanıcıya bağlı.

TÜRKYE SERMAYE PYASASI ARACI KURULULARI BRL SCL TUTMA ESASLARI

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

KOÇ ÜNVERSTES SOSYAL BLMLER (KÜSB) KULÜBÜ TÜZÜÜ

YENİLİKLER VE TEKNOLOJİK GELİŞMELER IŞIĞINDA BAĞIMSIZ DENETİMİ YENİDEN DÜŞÜNMEK. Hasan GÜL Denetim Standartları Dairesi Başkanı

2. Bölgesel Kalkınma ve Yönetiim Sempozyumu Ekim 2007, zmir

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

ERP MPLEMENTASYONU PROJELERNDE DENETM SÜRECNN ÖNEM ve KARILAILAN RSKLER. Uur Kaan DNÇSOY

Bilgi Güvenliği Farkındalık Eğitimi

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

KURUMSAL YÖNETM LKELERNE UYUM RAPORU 1. Kurumsal Yönetim lkelerine Uyum Beyanı Brisa Bridgestone Sabancı Lastik Sanayi ve Ticaret A..

TS EN ISO EŞLEŞTİRME LİSTESİ

Çada nternet Yönetimi

Venatron Enterprise Security Services W: P: M:

DELTA MENKUL DEERLER A..

Proje Döngüsünde Bilgi ve. Turkey - EuropeAid/126747/D/SV/TR_ Alina Maric, Hifab 1

ÜNVERSTE ÖRENCLERNN ÇEVRE DUYARLILIKLARININ NCELENMES

OTSTK ÇOCUKLARDA TEACCH PROGRAMININ GELMSEL DÜZEYE ETKS: OLGU SUNUMU

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

ODÜ Sosyal Bilimler Enstitüsü Sosyal Bilimler Aratırmaları Dergisi Issn: Cilt: 1 Sayı: 2 Aralık 2010

Bir Suistimalcinin Profili

TÜLN OTBÇER. Seminer Raporu Olarak Hazırlanmıtır.

SRKÜLER NO: POZ / 62 ST, SSK EK GENELGES(16/347) YAYIMLANDI

İÇ KONTROL EYLEM PLANI KAPSAMINDA PERSONEL DAİRESİ BAŞKANLIĞI TARAFINDAN YAPILACAK EYLEMLER. Eylemler Birim Tamamlanma Tarihi

BDB Enformatik Servisleri Mayıs 2006

Metropol Bölge ve Yönetiim

ÖN BİLGİLENDİRME PROJE YÖNETİM MANTIĞI TEHLİKE ARAŞTIRMA VE PLANLAMA BALIK KILÇIĞI YÖNTEMİ VE UYGLAMA ÖRNEĞİ PARETO YÖNTEMİ VE UYGLAMA ÖRNEĞİ

1. Bütün Organizasyonlar için Risk De erlendirme ablonu Bütün Organizasyonlar için Yangın Riski De erlendirme ablonu...

Sosyo-Ekonomik Gelimilik Aratırması

ÖRETMEN ADAYLARININ ALGILADIKLARI LETM BECERS DÜZEYLERNN NCELENMES

PIZZA DONALDO TÜRKYE. Mevcut Durum

Kurumsal Risk Yönetimi

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

T.C. TRAKYA ÜNVERSTES FEN BLMLER ENSTTÜSÜ

Esrar kullanımı dengeleniyor, gençler arasında gördüü rabetin azaldıına dair belirtiler var

HAKKARİ DEFTERDARLIĞI İÇ KONTROL EYLEM PLANI 1- KONTROL ORTAMI

FRANSA DA OKULA GTME

YAZILIM KALİTE STANDARTLARI

KMYA ÖRETMEN ADAYLARININ NTERNET KAYNAKLARINI KULLANIMLA LGL TUTUMLARI VE KARILATIKLARI ZORLUKLAR

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

stanbul, 11 Ekim /1021

T.C. ÇORLU KAYMAKAMLIĞI İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ

PORTER MODEL: ULUSLARARASI REKABET ÖZLEM ÖZ ODTÜ LETME BÖLÜMÜ

Eitim Notu. Konu : SÜREÇLERLE YÖNETM

WEB SERVS TABANLI GELTRLEN MOBL UYGULAMALAR: ODTÜ MOBL ÖRENC LER BLG SSTEM (MOBS)

CARL GLICKMAN IN GELMSEL DENETM MODEL. Abdurrahman LAN * ÖZET

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI

OTSTK BR OLGUNUN DUYGULARI ANLAMA VE FADE ETME BECERSNN KAZANDIRILMASINA YÖNELK DÜZENLENEN KISA SÜREL BR E TM PROGRAMININ NCELENMES

Femsoft, kolay kullanımı ve genileyebilen esnek yapısı ile ilerinizi çok kolaylatıracak!

Çok Katmanlı WEB Tabanlı Uygulamalarda Yetkilendirme Problemi

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Transkript:

Bilgi güvenlii bilincinin genele yayılması Fatih Emiral Deloitte nsan faktörü bilgi güvenlii programlarındaki en zayıf halka olarak nitelendirilmektedir. Kullanıcılar kasıtlı veya kasıtsız olarak, bilgi aı ve kurumları tehditlere açık halde bırakmaktadır. Güvenlik programları çounlukla insan faktörü yerine, teknik kontrollere odaklanma eilimindedir. nsana balı güvenlik riski hiçbir zaman tamamen yok edilemese de iyi planlanmı bir kullanıcı bilinçlendirme çalıması, riskin kabul edilebilir bir seviyeye indirilmesine yardımcı olacaktır. Kullanıcıların bilgiyi ve bilgi kaynaklarını koruma konusunda üzerlerine düen sorumlulukları anlaması kritik öneme sahiptir. Burada bilgi güvenlii bilincinin önemi ve bir bilgi güvenlii programının temel hedeflerini nasıl destekledii anlatılmaktadır. Bunun yanı sıra etkili bir bilinçlendirme stratejisinin nasıl uygulanabilecei konusunda öneriler sunulmaktadır. Uygulamalarda karılaılmı engel ve zorluklar da aaıda belirtilmektedir. Bilgi güvenlii bilinçlendirme çalımasının hedefleri Bilinçlendirme programının temel hedefi, kullanıcıları kurumsal bilgi ve bilgi kaynaklarının gizlilik, bütünlük ve devamlılıı konusundaki görev ve sorumlulukları konusunda eitmektir. Bilgi güvenlii sadece Bilgi Teknolojileri güvenlik ekibinin deil, tüm personelin sorumluluudur. Kullanıcılar sadece bilginin korunması konusunda nasıl katkı salayabileceklerini deil, aynı zamanda bilginin neden korunması gerektiini de örenmelidir. Kullanıcılar ya eitimsizlikten ya da güvenlik hakkındaki bilinç eksikliinden, genellikle güvenlik zincirinin en zayıf halkası olarak deerlendirilmektedir. Çalıanlar, hatalı davranılarının kurum bilgi güvenlii üzerinde yaratabilecei etkiyi anlamalıdır. Kullanıcı bilinçlendirme çalımaları, güvenlik ihlallerinin maliyetini azaltmaya ve kontrollerin kurumun tüm bilgi kaynakları üzerinde dengeli uygulanmasına yardımcı olacaktır. Güvenlik bilinçlendirme çalımaları genellikle iki farklı, ancak ilikili parçaya ayrılır; bilinçlendirme ve eitim. Bilinçlendirmenin amacı, güvenlik ve güvenlik kontrollerinin önemi hakkında kollektif bir bilinç oluturulmasıdır. Bilinçlendirme mesajları basit ve açık olmalı, sunumu hedef kitlesinin kolayca anlayabilecei bir formatta yapılmalıdır. Eitimin amacı ise kullanıcı anlayıının derinletirilmesidir. Eitim yöntemleri, sınıf dersleri, bire bir eitim veya eitim paketleri olabilir. Baarıya ulama konusunda karılaılabilecek engeller Ne yazık ki, baarılı bir bilinçlendirme çalıması uygulanması zor ve baarılması imkansız görev olarak görülebilir. En iyi planlanmı programlar dahi birtakım engeller ile karılaabilir. Bu nedenle bir program uygulamadan önce, karılaılabilecek engellerin anlaılması faydalı olacaktır. Eski köye yeni adet Pek çok organizasyonda güvenlik fonksiyonalite ihtiyacının gölgesinde kalmakta ve uygulanmasında geç kalınmaktadır. Güvenlik uygulamaları baından itibaren uygulanmadıından, kullanıcılar kötü alıkanlıklar edinmek için aylar, hatta yıllara sahiptir. Bu durum bilgi güvenlii bilinçlendirme programının uygulanmasını iki kat zorlatırır. Çünkü sadece kullanıcıları eitmek deil, aynı zamanda eski alıkanlıklarından kurtarmak gerekmektedir. Bunun yanında kullanıcılar da bilinçlendirme programını kabul etmek için fazladan sorun yaar. Kullanıcılara göre kurum, güvenlik önlemleri olmaksızın gayet iyi çalımıtır. Yeni güvenlik önlemleri hayatı zorlatırıcı gereksiz deiiklikler olarak görülür. Güvenlik, bilgi teknolojilerinin problemi, benim deil

Çou kullanıcı, bilgi güvenliinin Bilgi Teknolojileri Güvenlik Bölümü'nün sorumluluu olduu, kendilerini ilgilendirmedii fikrine sahiptir. Rollerini ilerinin gerektirdii minimum uyumu göstermekle sınırlı görüp, kuruma faydalı olabilecekleri büyük resimdeki yerlerini göz ardı etme eilimindedirler. Politika ve prosedürlere uyum iyi bir balangıç olmakla birlikte, daha yapılacak çok fazla i vardır. Kullanıcıların Bilgi Teknolojileri Bölümü'nün bu ii tek baına yapamayacaını anlaması gerekir. Yeni teknoloji Yeni teknolojinin kuruma katılması, genellikle kullanıcı davranılarının deimesi veya yeni bir bakı açısına sahip olmasını gerektirir. Bu bir sorun tekil etmemektedir, ancak, teknoloji bazen bilinçlendirme programından hızlı veya baımsız olarak ilerlemektedir. Çou zaman bilinçlendirme ekibi sürecin dıında veya eitim gereksinimleri konusunda zamanında bilgilendirilmemi olmaktadır. Bu nedenle bilinçlendirme programı, bölümler arası iletiim, acil durum ve kriz iletiimi konuları üzerinde durmalıdır. Tek ölçü farklı beden Bazı bilinçlendirme programları hedef kitlesini doru sınıflandıramamakta ve hedef kitleye uygun mesajları iletememektedirler. Bu hatalı strateji, iletilen mesajların kulak ardı edilmesine neden olmaktadır. Kullanıcılar gündelik hayatlarında etraflarından yüzlerce mesaj almaktadır. Kullanıcıların sınıflandırılması ve sadece ihtiyaç duydukları mesajları almaları son derece önemlidir. Her bedene tek ölçü stratejisi, programı uygulayanlar açısından kolay olabilir, ancak etkili olmayacaktır. Aırı bilgi Bir dier hata da fazla eitimdir. nsanlar herhangi bir kaynaktan gelebilecek bilgiye karı bir eik deerine sahiptirler. Bir kii sürekli olarak mesaj verilmeye zorlanırsa, bir süre sonra eik deeri aılacak ve ilgisi kaybolacaktır. Doru sınıflandırma yapılsa bile, fazla bilgi fazla bilgidir. Bilinçlendirme programı bir akamda bitirilmek zorunda deildir. Hedef kitleden gelen tepkiler dinlenmeli ve denge kurulmalıdır. Organizasyon bozukluu Pek çok bilinçlendirme çalıması, tutarlı ve düzenli bir strateji ile mesajlarını hedef kitlesine ulatıramamaktadır. Tutarlı ve düzenli bir çerçeve olmadan kullanıcıların programı benimsemesi ve hatta ne amaçla yapıldıını algılaması bile zorlaacaktır. letiimde tutarlılık ve düzenin salanması programa kiilik kazandıracaktır. Takip etmeme Bilinçlendirme programlarının bir balangıç heyecanı ile balatılması, ancak çok az baarı salaması olaandır. Pek çok program düzenli ve periyodik olarak gerçekleen bir iletiim çemberini kuramamaktadır. Kullanıcılar ile düzenli iletiimin sürdürülmesi, anahtar mesajları hatırlamaları açısından önemlidir. Bunun yanında pek çok program hedef kitlesinin düüncelerini örenmeyi ihmal eder. Hedef kitlenin dinlenilmesi ve programın onların ihtiyaçlarına uygun biçimde düzenlenmesi çok önemlidir. Yönetim desteinin bulunmaması Yönetim destei, bilgi güvenlii kullanıcı bilinçlendirme programının olmazsa olmaz unsurudur. Güvenlik mesajlarının etkili olabilmeleri için en yukarıdan desteklenmeleri gereklidir. Pek çok yönetici bu tür çalımalar konusunda desteini dile getirse de, destein gerçeklemesi söylemek kadar kolay olmamaktadır. Bu durum yöneticilerin kendi i ve sorumluluklarının bulunmasından kaynaklanmaktadır. Yönetimin temel hedefi i hedeflerine ulamak olup, güvenliin önemine ne kadar inansalar da zaman ayırmaları güç olmaktadır. Kaynak eksiklii Bu durum genellikle yönetim desteinin eksikliinden kaynaklanmaktadır. Yönetim destei olmaksızın gerekli kaynaı ayırmak çou zaman imkansızdır, kaynak eksiklii de böyle bir durumda nasıl bir sonuç elde edilebilir ise ona ulamaya mahkumdur. "Neden" sorusunun yanıtlanmaması

Pek çok bilinçlendirme programı kullanıcıları bilgi güvenliinin neden önemli olduu konusunda eitmeyi baaramamaktadır. Bu programlar dier tüm konuları kapsamakta, ancak kullanıcı motivasyonunu artıracak en önemli konuyu atlamaktadır. Bazı davranıların neden güvenlii zayıflattıını anlayan kullanıcılar, bilgi güvenliine sahip çıkıp, davranılarını deitireceklerdir. Örnein, daha sıkı kurallara sahip bir ifre politikasını kullanıcılara iletirseniz, onlar bu politikayı bir yük olarak göreceklerdir. Dier taraftan kullanıcılara ifrelerin nasıl kırıldıını ve kötü niyetli kullanılabildiini, bu durumun potansiyel sonuçlarını anlatırsanız, kullanıcılar politikaya sahip çıkarak, yeni politikayı uygulamaya gönüllü olacaklardır. Sosyal mühendislik Sosyal mühendislik bilinçlendirme programının uygulanmasını etkilemez, ancak baarısını etkileyebilir. Bu konuya önem verilmesi, güçlendirmeye çalıtıımız insan faktörünü hedef alması açısından önemlidir. Sosyal mühendislik, insan doasında var olan bakalarına güvenme ve yardım etme eiliminin baka ekilde elde edilmesi zor olan eylerin ele geçirilmesi amacı ile kullanılmasıdır. nsanlar bakalarının maksatlı olarak kendilerini tuzaa düürmeyecekleri veya kullanmayacaklarını düünme eiliminde olsalar da bu yöntem en sık kullanılan saldırı yöntemlerindendir. Bu yöntem öyle kolay ve hızlıdır ki, saldırganlar sık sık bu yönteme bavururlar. Öyle ya, bir saldırgan yardım masasından arıyormu gibi davranarak kolayca ifrenizi almak varken, neden saatlerce ifrenizi kırmaya çalısın. En yaygın sosyal mühendislik yöntemleri; baka birisiymi gibi davranma, kompliman, aciliyet ve otorizasyon alınmı duygusu yaratmadır. Bu nedenlerle kullanıcıların sosyal mühendislie karı korunmasını hedefleyen bir eitim stratejisi izlenmelidir. Etkili bir bilgi güvenlii bilinçlendirme programının gelitirilmesi Etkili bir bilgi güvenlii bilinçlendirme programının gelitirilebilmesi için aaıdaki adımlar izlenebilir: Bilgi güvenlii politikasının gelitirilmesi Güçlü ve anlamlı bir bilgi güvenlii politikası, her baarılı bilinçlendirme çalımasının temelini oluturur. Bilinçlendirme çalımasına balamadan önce, tüm üst seviye hedeflerin ve güvenlik programının gereklerinin dokümante edilmi olması kritik önem taımaktadır. Politika açık ve kısa ifadeler ile yazılmı olmalı ve kurumun bilgi güvenlii konusundaki önceliklerini yansıtmalıdır. Politika ortaya konduktan sonra, kullanıcılar politikanın varlık ve içeriinden haberdar olmalıdır. Kullanıcılar aynı zamanda politikaya uymamanın douracaı sonuçlar hakkında da bilgi sahibi olmalıdır. Mevcut eitim ihtiyaçlarının belirlenmesi Baarılı bir bilinçlendirme programının gelitirilmesindeki ikinci adım, kurum personelinin mevcut eitim ihtiyaçlarının belirlenmesidir. Bu adım genellikle göz ardı edilmekte veya geçitirilmektedir. Pek çok durumda programlar kullanıcı ihtiyaçlarının dinlenmesi yerine, varsayımlara dayanılarak gelitirilmektedir. Kullanıcıların güvenlik konusundaki mevcut bilgi düzeyinin ölçülmesine zaman ayrılması eitim ihtiyaç ve önceliklerinin doru tespitine yardımcı olacaktır. Aaıdaki maddeler bu adımda ortaya çıkarılabilecek konuları içermektedir: Kullanıcıların örenme stil ve tercihleri Özel ilgi veya endie alanları Bilinçlendirme programına karı duyulan direnç ya da sempati Daha önceki baarılı veya baarısız eitim giriimleri Daha önceden mevcut bulunan eitim kaynak ve materyalleri Programın baarısı için destek alınabilecek kii veya grupların tespiti Ön aratırmanın yapılması ile mevcut kaynakları en iyi biçimde kullanıp, baarı ansını yükselten bir bilinçlendirme programı tasarlanması mümkün olabilir. Aaıda mevcut eitim ihtiyaçlarının tespitinde kullanılabilecek bazı yöntemler bulunmaktadır: Farklı kıdem, unvan ve i tanımlarına sahip kullanıcılar ile görüme Genel kullanıcılara temel güvenlik bilgileri hakkında anket veya kısa soru listesi gönderme

Kurumda son zamanlarda karılaılmı güvenlik problemlerinin tespiti (örnein geçen yıl çalınan diz üstü bilgisayarların sayısı) Sistem, uygulama ve bilgi aı denetimlerinin gerçekletirilmesi Farklı birimlerle yüz yüze toplantılar gerçekletirilmesi Bina ve kullanım alanlarının ziyaret edilmesi ve mevcut fiziksel güvenlik seviyesinin gözlenmesi. Kilitlenmemi ofis odaları, dolaplar ve güvenlii bulunmayan kiisel bilgisayar ve bilgilerin izlenmesi. Üst yönetimin desteinin salanması Güvenlik ihtiyacının tespitinden sonraki aama, üst yönetimin ve kurum içinde otorite sahibi pozisyonlardaki kiilerin desteini almaktır. Ne yazık ki, bir bilinçlendirme programı ihtiyacının kabul ettirilmesi zor bir itir. Bilgi güvenlii bilinci sadece i hedeflerine ulamada karılaılan bir engel olarak görülmez, aynı zamanda bilgi güvenliinin göz ardı edilen bir parçası olarak kalır. Güvenlik bilinci genellikle firewall ve anti-virüs araçlarının uygulanmasının arkasında bir öneme sahip olarak kalır. Üst yönetimin desteinin salanmasında iki temel hedef akılda tutulmalıdır. Birinci hedef kaynak teminidir. Bu tür bir programı uygulamak, bazı kaynakların bu i için kullanılmasını gerektirecektir. Kurumun büyüklüüne göre gerekli bütçe salanmalıdır. kinci, ancak daha az öneme sahip olmayan hedef güvenlik hamilerinin kurum içinde olumasını salamaktır. Sadece maddi kaynak yaratan deil, aynı zamanda davranıları ile dier kiilerin de bilinçlendirme programına deer vermeleri ve programa katılmalarını salayan kiilerin bulunması, baarı için çok önemlidir. Yöneticileri eitimin önemini ortaya koyup desteklerse, çalıanlar eitime katılma ve yarar salama konusunda daha istekli olur. Üst yönetimin desteinin salanması için yönetimin bilinçlendirme çalımasının kurumsal bilgi ve bilgi kaynaklarının korunmasındaki hayati rolünü anlamasına yardımcı olunması gerekmektedir. Ancak bu aamaya gelindiinde kurumun güvenlik ihtiyaç analizi yapılmı olacaından, endüstri istatistik ve örnekleri ile de desteklenen materyaller gerekli destein salanmasında yardımcı olacaktır. Hedef kitlelerin belirlenmesi Bir sonraki önemli adım hedef kitlelerin belirlenmesidir. Herkes ilerini yapabilmek için aynı derece veya tipte güvenlik bilincine ihtiyaç duymaz. Kullanıcı grupları arasında gerekli ayrımı yapan ve her gruba sadece ilgili bilgiyi sunan bir bilinçlendirme programı, en iyi sonucu elde edecektir. Günümüzde her birimiz bilgi bombardımanına tutulmaktayız. letmek istediiniz mesajların kulak ardı edilmesini istemiyorsanız, sadece gerekli bilgiyi gerekli kitleye iletmelisiniz. Tek bir programın herkes için uygun olacaı düüncesi, programın ie yaramamasına neden olabilir. Hedef kitleler çeitli biçimlerde ayrıtırılabilir. En çok kullanılan bazı yöntemler aaıdaki gibidir: Bilinç seviyesi Teknik bilgi seviyesi Unvan/Yetki seviyesi fonksiyonu Kullanılan teknoloji, sistem ya da uygulama Kurum için istenen sonucu ürettii sürece, hangi kriterlerin kullanıldıı önemli deildir. Büyük kurumlarda yukarıda sayılan yöntemler kombinasyon halinde 4 ana kategoriyi belirlemek için kullanılabilir. Bu kategoriler gerekiyorsa daha alt gruplara bölünebilir. 4 ana kategori aaıda belirtildii gibidir: Üst Yönetim - Kurumun stratejik hedeflerini belirleyen en üst seviyedeki yönetim kademeleri Yönetim - Orta seviye ve lider görevi taıyan yöneticiler

Teknik Kullanıcılar - Sistemler üzerinde sıra dıı eriim haklarına ve bilgiye sahip personel. Bu kullanıcılar sistem ve kullanıcı yönetimi, donanım bakımı, uygulama gelitirme ve uyarlaması ve teknik destek hizmetlerini yerine getirmektedir. Son Kullanıcılar - Kurumun bilgi kaynaklarını kullanmaya yetkili tüm kullanıcılar. Bu grup dier üç grupta bulunan kullanıcıları kapsamaktadır. Kilit mesajların belirlenmesi Her gruba özgü kilit mesajları oluturmadan önce tek bir çekirdek ifade veya misyon ifadesi belirlenmelidir. Bu çekirdek ifade bilgi güvenlii politikası içinde belirtilmi olabilir, ancak bu aamada da düünülmelidir. Dier tüm kilit mesajlar bu ifadeyi desteklemeli ve iaret etmelidir. Böyle bir ifadeye örnek olarak: Bilgi güvenlii bilinçlendirme programının misyonu kurumun bilgi ve bilgi kaynaklarının gizlilik, bütünlük ve devamlılıının korunmasıdır. Bir sonraki adım her grup için üst seviye, kilit mesajların oluturulmasıdır. Bunun yapılabilmesi için, kurumun bilgi güvenlii politikasındaki ifadeler hedef kitlelere göre sınıflandırılmalıdır. Bu mesajlar sadece program misyonunu desteklememeli, aynı zamanda daha detaylı mesajlar için zemin oluturmalıdır. Aaıdakiler hedef kitlelere göre belirlenmi üst seviye kilit mesaj örnekleridir: Üst yönetim Güvenlik süreçlerinde üst yönetim gözetim ve rehberliini sala Güvenlik yatırımlarının i öncelikleri ile uyumunu sala Kurum ve birimlere özgü güvenlik politika ve standartlarına uyumu temin et Yönetim Güvenlik politika ve standartlarını anlama ve uyuma yönelik süreç ve önlemleri gelitir Mevcut ve yeni gelecek i süreçlerindeki potansiyel güvenlik risklerini belirle ve önlem al Teknik kullanıcı Yönetimin belirledii politika, standart ve prosedürleri uygula Son kullanıcılar için gerekli prosedür ve teknik önlemleri uygulayarak güvenlik politika ve standartlarına uyumu sala Son kullanıcı Kurumun bilgi ve bilgi kaynaklarının gizlilik, bütünlük ve devamlılıını koru Kurumun bilgi güvenlii politika ve standartlarında belirtilen son kullanıcı sorumluluklarına uy Her hedef kitle için üst seviye mesajlar belirlendiinde detay mesajlar ve eitim ihtiyaçları belirlenebilir. Bunu yapabilmek için güvenlik programının yapı taları ve son zamanlarda gerçekleen güvenlik ihlalleri gözden geçirilebilir. Gözden geçirilebilecek bazı yapı taları aaıdaki gibidir: Güvenlik politika, standart ve prosedürleri lgili kanuni düzenlemeler Son olaylar (yetkisiz eriim, virüs bulaması gibi) Sistem, uygulama ve bilgi aı denetim sonuçları Eitim talepleri Yeni teknolojinin kullanılmaya balanması Birinci adımda tespit edilen bulgular (Mevcut Eitim htiyaçlarının Belirlenmesi) Ele alınabilecek bazı özel güvenlik konuları aaıdaki gibi olabilir: ifreler

Fiziksel güvenlik - kurum içi ve dıında Sosyal mühendislik Virüsler e-posta ve nternet kullanımı Onaylanmamı yazılım ve donanım kullanımı Eriim kontrolü (en az yetki, rollerin ayırımı ve yedekleme ilkeleri) süreklilii ve felaket kurtarma Bu adım periyodik olarak uygulanmalı, ancak ilk olarak bilinçlendirme programının temelini oluturacak biçimde gerçekletirilmelidir. Yukarıdaki maddeler her zaman yeni ihtiyaçların ortaya çıkıp çıkmadıının belirlenebilmesi için deerlendirilmelidir. Güvenlik programları yeni koullara uyum salayabilecek esneklikte olmalı, gerektiinde içerik ve mesajların öncelikleri yenilenmelidir. Hedef kitleye uygun ve anlaılabilir nitelikte mesajlar üretilmelidir. Gerçek hayat örneklerinin çalımaya katılması programa olan ilgiyi artıracaktır. Mevcut iletiim araçlarının belirlenmesi Bilinçlendirme programındaki bir sonraki adım mevcut iletiim araçlarının belirlenmesidir. Her kurum kendine özgü iletiim olanaklarına sahiptir. Bu kaynakların tespiti yapılmalı, kaynakların kullanımına yönelik prosedürler anlaılmalıdır. Örnein bazı kurumlar kurum genelinde yapılacak yayınlar için üst yönetim onayını art komaktadır. Bazı yaygın iletiim araçları aaıdaki gibidir: Herkese gönderilen e-posta Özel kiilere gönderilen e-posta Herkese gönderilen sesli posta irket genelgesi Bölüm genelgesi Intranet Yazılı yayın - posterler, dönemsel irket yayını, broürler Yüz yüze - toplantılar, sunumlar, eitim ve güvenlik seminerleri Kütüphane - videolar, kitaplar ve etkileimli sunumlar Hatırlatıcı malzemeler - sisteme giri mesajı, pazarlama araçları (kalem, silgi, mouse pad, anahtarlık, not kaıtları, vb.) letiim aracının seçiminde farklı kitlelerin farklı biçimlerde örenmeye açık oldukları düünülmelidir. letiimin etkili olması için birden fazla kanal kullanılabilir. Uygulama için strateji gelitir Baarılı bir bilinçlendirme çalımasının uygulanabilmesi için gerekli son adım, mesajların tutarlı ve etkili iletimi için bir çerçeve gelitirilmesidir. Bu çerçeve gelitirilmeden iletilen mesajlar kullanıcılar tarafından düzensiz ve gelii güzel bir çalımanın eseri olarak algılanacaktır. Uygun stratejinin gelitirilebilmesi için, hedef kitleler, kilit mesajlar ve iletiim imkanları göz önüne alınmalı, programın tekrarlanabilir bir süreç haline getirilmesi salanmalıdır. Bu adımın bir parçası olarak, açık bir pazarlama stratejisi belirlenmelidir. Pazarlama araçları unları içerebilir: Logo, slogan, ofis araçları. Bilinçlendirme stratejisi Bilinçlendirmenin amacı temel olarak kullanıcıların bilgi ve bilgi kaynaklarının korunma ihtiyacını anlamasıdır. Aaıdakiler, bilinçlendirme stratejisinin parçası olarak tekrarlanabilir taktiklerdir: e alım sırasında yapılacak bilgilendirme Aylık irket bülteni irket yemek ve eitimleri

Yıllık güvenlik seminerleri Bilgi güvenlii konusundaki baarılar için tevik ödülleri Oyunlar, yap-bozlar ve yarımalar Eitim stratejisi Eitim ve öretimin amacı, kullanıcıların bilgi güvenlii, bilgi ve anlayı seviyelerinin artırılmasıdır. Aaıdakiler, eitim ve öretim stratejisinin parçası olarak tekrarlanabilir taktiklerdir: Temel son kullanıcı eitimi Teknik eitim Gelimi bilgi güvenlii eitimi - Bu eitim bilgi güvenlii uzmanları ve denetçileri içindir Dönemsel eitim paketi - Bu araç her dönem özel bir bilgi güvenlii konusuna odaklanmalıdır. Bu eitimler bilinçlendirme paketinden daha derin bilgi vermeyi hedeflemelidir. Ölçebilme kabiliyeti Ölçüm bilinçlendirme programının son adımıdır. Programın ilk uygulamasında belli bir kullanıcı bilinç seviye taban deerinin oluturulması önemlidir. Çünkü bu seviyede ileride meydana gelebilecek gelime veya gerilemeler ölçülebilir. Mevcut durum deerlendirmeleri yeni bir program ve strateji uygulanmadan önce de yapılmalıdır. Eitim ve bilinç seviyesinin ölçümü kolay olmadıından, yaratıcı olunmasını gerektirir. Somut bazı ölçütlere ulaılabilir, ancak çounlukla kalitatif ölçütlere dayanılması gerekmektedir. Sonuç Bilgi güvenliinin önemi gün geçtikçe artmakta ve bilgi güvenlii daha karmaık bir hal almaktadır. Yeni açık ve virüsler her gün ortaya çıkmaktadır. Teknoloji seviyesi ve saldırılardaki artılarla, kullanıcıların bilinç ve eitim seviyelerindeki yetersizlik açıa çıkmaktadır. Pek çok kullanıcı bilgi ve bilgi kaynaklarının korunmasının önemi konusunda ya çok az anlayıa sahiptirler ya da hiç bir anlayıa sahip deildirler. Kurumlar açısından, uygulanacak bir bilgi güvenlii bilinçlendirme çalımasının önemini anlamaları ve eitim eksikliinin giderilmesi kritik öneme sahiptir. yi tasarlanmı ve yürütülmü bir bilinçlendirme çalıması, güvenlik zincirinin en kırılgan halkasının güçlendirilmesinde büyük etki yaratacaktır. MAYIS 2004, ACTIVELINE

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim