A prototype for assessment of information security awareness and implementation level

Abstract

Information is one of the most valuable assets for any organization and it should always be appropriately protected. Information security is the protection of information against threats to ensure the business continuity. Relying only on the technology is not sufficient and the human factor is the weakest cycle which needs to be strengthened for effective and sustainable information security management. Information security is not only related with technology but it is rather harmonization of people processes and technology. Organizations have the tendency to take action after security incident occurs instead of proactively. There is lack of awareness concerning the information security concepts and its necessity. Awareness and understanding at management level is utmost important to establish and maintain security culture in the organization. Organizations should be aware of information security aspects, understand their own security requirements and implement countermeasures accordingly. There are good practices and internationally accepted security standards such as ISO/IEC 27001 and ISO/IEC 27002 that can be taken as reference point and guidance. Organizations should establish and implement, sustain and improve information security management taking into account the proven good practices tailored for their own requirements. In this thesis it has been aimed; i. To provide a prototype model and tool for self assessment of information security awareness and implementation level of organizations, ii. To provide a tool to utilize as reference point for organization in building own security requirements and objectives as well as monitoring own overall progress, iii. To facilitate a self explanatory web-based tool addressing wide range of users without the need for prior training or in-depth technical knowledge on information security based on ISO/IEC 27001 and ISO/IEC 27002 international security standards and covering essential and common practice security topics, iv. To provide comparable values with other organizations who have similar information security requirements, v. To prepare tool in Turkish for contributing to improvement of information security awareness and implementation among organizations. The model is designed in eight sections for assessment of; IS Corporate Approach, Information Assets Security, Human Resources Security, Physical and Environmental Security, Communications and Information Systems Operations, Information Systems Access Control, Development and Maintenance Management, IS Incident Management and Business Continuity, IS Compliance and Monitoring Management. The tool is implemented in line with the designed model and tested by experts having solid professional background on information security as well as selective users in Turkey from various sectors such as finance, public authorities, consulting companies and education. The feedback and results verified that the objectives of the thesis are achieved and the tool can serve to improve information security awareness and implementation level of the target users with its web based, self explanatory and user friendly tool environment

Bir organizasyon için bilgi en kıymetli varlıklarından biridir ve uygun şekilde korunmalıdır. Bilgi güvenliği, iş sürekliliğinin sağlanabilmesi için bilginin tehditlere karşı korunmasıdır. Bu amaçla, yalnız teknolojiye güvenmek yeterli değildir çünkü insan faktörü bilgi güvenliğindeki en zayıf halkadır. Bilgi güvenliği yönetiminin verimli olması ve sürekliliğinin sağlanması için insan faktörünün bilinçlendirilmesi önemlidir. Bilgi güvenliği yalnız teknolojiyle ilintili olmayıp, insan, süreç ve teknolojinin birlikte entegre ve uyumu ile gerçekleştirilebilir. Organizasyonlar genelde öncesinden önlem almak yerine, bilgi güvenliği olayı baş gösterdiğinde harekete geçme eğilimindedirler. Bilgi güvenliği hususları ve gerekliliğinde farkındalığın arttırılmasına ihtiyaç vardır. Özellikle, yönetim seviyesindeki kişilerin farkındalık ve anlayışı, kurum bilgi güvenliği kültürü oluşturulması açısından önemlidir. Organizasyonlar bilgi güvenliği hususlarında bilinçlenmeli, kendi güvenlik ihtiyaçlarını belirlemeli ve buna göre gerekli önlemlerini almalıdırlar. Bu amaçla geliştirilmiş ve uluşlararası kabul görmüş ISO/IEC 27001 ve ISO/IEC 27002 gibi standartlar mevcuttur. Organizasyonlar bu standartları referans noktası ve rehber olarak alabilir ve kendi ihtiyaçlarına uygun olarak, bilgi güvenliği yönetimi sistematiği oluşturarak, sürdürebilir ve gerekli iyileştirmeleri yapabilirler. Bu tez çalışmasında amaçlanan; i. Organizasyonların bilgi güvenliği farkındalık ve uygulama seviyelerine yönelik kendi öz değerlendirilmelerini yapabilmeleri için prototip bir model ve araç sağlamak, ii. Organizasyonların kendi bilgi güvenliği gereksinim ve amaçlarını belirlerken ve gelişmelerini izlerken referans noktası olarak kullanabilecekleri bir araç sağlamak, iii. Öncesinde eğitim veya detay teknik bilgi gerektirmeden geniş bir kullanıcı kesimine hitap edebilmek, ISO/IEC 27001 and ISO/IEC 27002 bilgi güvenliği standartlarını temel alan, temel bilgi güvenliği hususlarını kapsayan, kolay kullanımlı web tabanlı bir araç sağlamak, iv. Benzeri bilgi güvenliği ihtiyaçları olan diğer kurumlar ile karşılaştırma yapabilecek şekilde değerler sunmak, v. Bilgi güvenliği farkındalık ve uygulamaların iyileştirilmesine katkı sağlayabilmek için Türkçe bir araç hazırlamak. Model sekiz bölümde değerlendirme yapılabilecek şekilde tasarlanmış olup bölümler şunlardır; Bilgi Güvenliği Kurumsal Yaklaşım, Bilgi Kaynakları Güvenliği, İnsan Kaynakları Güvenliği, Fiziksel ve Çevresel Güvenlik, İletişim ve Bilgi Sistemleri İşletimi, Bilgi Sistemleri Erişim Kontrolü, Geliştirme ve Bakım Yönetimi, Bilgi Güvenliği Olay Yönetimi ve İş Sürekliliği, Bilgi Güvenliği Uyumluluk ve İzleme Yönetimi. Bu modele uygun şekilde geliştirilmiş olan araç, bilgi güvenliği konularında kayda değer ve sektörel tecrübeleri olan uzmanlar ve finans, kamu, danışmanlık ve eğitim sektörlerinden seçkin kullanıcılar tarafından test edilmiştir. Geri bildirim ve sonuçlar göstermektedir ki; tezin amaçlarına ulaşılmış ve bu araç, hedef kullanıcı kitlesinin farkındalık ve uygulama seviyesine katkıda bulunabilecek ve ihtiyaç olunan; web tabanlı, açık ve anlaşılır, kolay kullanımlı bir ortam sunmaktadır