Importance of information security awareness

Abstract

Günümüz dünyasında, bilgi güvenliği hayatın her adımında ve her ülkesinde en önemli konudur. Organizasyonlar ve ülkeler, bilgiyi saklayabilmek için birçok kaynak, güç ve para harcamaktadırlar. Bu yüzden, bilgi güvenliğini nasıl korumamız gerektiğini bilmek için, bilginin ne olduğunu ve sistemlerimize nasıl uygulayacağımızı bilmemiz gerekmektedir. Standartları kullanarak ve iyi bir güvenlik altyapısıyla, her şirket, organizasyon ve hatta sıradan insanlar bile bilgilerini güvende tutabileceklerdir. Ancak, sadece güvenlik programları ve standartlar koruma için yeterli değildir. Aynı zamanda farkındalık eğitimleri ve uygulamaları da çok önemlidir. Çünkü eğer sistemde bir güvenlik programı olsa bile, kullanıcı programı yararlı bir şekilde kullanmayı bilmediği takdirde, tam bir performans elde edilemez. Bundan dolayı, kuruluşlar belirli aralıklarla farkındalık seminerleri düzenlemelidirler.Bu noktada, Bilgi Güvenliği Farkındalık Programları devreye girmektedir. Bir şirket güvenlik programlarını uyguladığında ve standartları kullandığında, her kişi için bilgi farkındalığı programı hazırlamalıdır. Bu metot ile herkes verileri nasıl koruması gerektiğini öğrenecektir. Uzun süreli farkındalık programlarında, insanlar programı ayrıntılı bir şekilde uygulamayı öğrenirler ve veri korumasında devamlılık sağlanmış olur. Bu tezde, ilk olarak, bilgi güvenliğinin ne demek olduğu ve hangi standartların kullanılması gerektiği açıklanmıştır. Daha sonra, bilgileri tehlikelerden korumak için kişilerin farkındalıkları, farklı türlerde bilgi güvenliği farkındalığı programı basamakları ve bu metotları nasıl uygulanacağından bahsedilmiştir. Farkındalık metotları için, bazı şirket ve organizasyonların kullandığı yöntemler örnek olarak verilmiştir. Bu tezde, bazı sektörlerdeki şirketlerin farkındalık programlarını kullanma yüzdeleri bulunmaktadır. Bu bilgi sayesinde, hangi şirket ya da organizasyonların gerçekten verilerini tehlikelerden koruduklarını görebilmekteyiz. Bu sonuç ile kaç şirketin bilgi güvenliği farkındalık programlarını kullandığını görebilmekteyiz. Bilgi güvenliği programlarıyla ilgili kaç şirketin gerçekten bilgi sahibi olduğunu ve eğer bu programları kullanıyorlarsa hangi metotlardan yararlandıklarını görebiliriz. Bu sonuçlara göre, ülkemiz hakkında da fikir sahibi olabilmekteyiz. Gerçekten tehlikenin farkında mıyız ya da metotları kullanıp bilgiyi koruyabiliyor muyuz?Bununla beraber, eğer şirketler ya da sıradan kullanıcılar veri koruma hakkında bir şey bilmiyorlarsa bile, bu onların bilgi korumayı öğrenemeyecekleri anlamına gelmez. Geçmişten günümüze, herkes bilgi güvenliği konusunda ilerleme göstermiştir. Her yıl, düzenlenen seminerlerde, birçok şirket, kuruluş ve insan bilgiyi koruma konusunda daha çok şey öğrenmektedirler. Hazırlanacak daha çok bilgi güvenliği farkındalık programı ile daha çok kişi bu konuda birçok şey öğrenecektir. Bundan birkaç yıl sonra, bilgi güvenliği alanındaki büyük boşluk kaybolacaktır.Öte yandan, tezde, bilgi güvenliğinin neden şirketler için bu kadar önemli olduğu vurgulanmıştır. Bilgi kaybı yüzünden büyük paralarını kaybeden 5 şirketin örnekleri verilmektedir. Bu tezde, bilgi güvenliği hakkında bazı soruların cevapları verilmiştir. Ve ileriki periyotlarda bilgiyi korumak için neler yapılması gerektiği konusunda bazı fikirler ve bilgi güvenliği farkındalığının neden herkes için önemli olduğu anlatılmaktadır. Son olarak, Türkiye'de farklı öğrenim durumları ve yerlerindeki insanlar ile `Bilgi Güvenliği Farkındalığı Anketi` uygulanmıştır. Bu uygulama ile kişilerin bilgi düzeyleri ölçülmüştür. Kişiler anket esnasında yeni bilgiler öğrenmişlerdir. Bu anket sayesinde farklı gruplardaki kişilerin bilgi seviyeleri karşılaştırılmıştır.

Far today's Word, information security is one the most important topic for every steps in life and every country. To keep the information organizations and countries spend many resources, forces and moneys. Based on this, to know much more about how to keep the information safety we must know what security is and how we can apply this in our systems. By using the standards and the good security structure, every company and organization, even regular persons can keep their information in safe. But only security programs and standards are not enough to protect. At the same time awareness education and training are really important. Because if there is a security in the system, but user cannot know about how to use it usefully, we cannot get full performance. For this reason, every certain period's organizations should prepare seminars to aware them. At this point, Information Security Awareness Programs involve the situations. When a company apply the security program and use the standards then it must prepare security awareness program for every person. With this method everyone learns how to protect the data. With long period awareness programs, people are used to apply the program details and provide continuity to protect the data.In the thesis, first of all, information security and which standards can be used in information security systems are explained. Then, to aware the people for protecting the data from dangerous, different types of information security awareness steps and applying awareness methods to people are explained. For the awareness methods, there are some examples that companies and other organizations are used in.In the thesis, we give some examples of companies and awareness programs usage percentages. Using this information we can see that, which companies or organizations can really protect their data from dangerous. By using this result, we can see that, how many companies can use the information awareness programs. How many of them really know about any information about awareness programs and if they can use these programs, what kind of awareness methods they can use. Having this results, we get some idea for our country. Are we really aware of dangerous, or do we really use the methods and protect the information. Besides, if the companies or regular persons don't know anything about protecting data, it doesn't mean that they cannot learn anything. From the past to today, everyone has progress for information security. Every year, through the seminars, many companies, organizations and people learn more about protecting information. Preparing more information security awareness programs, many people learn more about security too. And after several years, there are no such big hole in the information security area. On the other hand, in the thesis it is emphasized that why information security is so important for companies. There are five examples for companies which are lose big moneys because of losing information.In this thesis, some questions related to information security are answered and got some ideas about what can be done for the future period to protect the information and to understand how the information security awareness is so important to use for everyone. Finally, `Information Security Awareness Survey` was applied with different group of people with different learning levels and places. We measured knowledge levels with this survey. People have learned new information during the survey. Through this survey, the level of knowledge of people in different groups were compared.