Bilgi Güvenliği

Günümüzde, birçok kuruluş Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak ve bu yönetim sistemini TS ISO/IEC 27001 sertifikası ile belgelendirmek istemektedir. BGYS’nin hedeflediği kapsam tüm kurum ve iş süreçleri olsa da bu isteklerin genellikle kurumların bilgi işlem birim temsilcilerinden veya bilgi işlem biriminin bağlı olduğu üst yöneticilerinden geldiği görülmektedir. TS ISO/IEC 27001 standardı, belirli bir kapsam dâhilinde iş süreçlerini dikkate alan bir risk analizinin gerçekleştirilmesini zorunlu kılmaktadır. İstekler bilgi işlem birimlerinden geldiği için birçok BGYS kurulum çalışmasında kapsam bilgi işlem süreçleri olarak belirlenmektedir. Diğer taraftan bilgi işlem kapsamında gerçekleştirilmesi planlanan risk analizi sürecinde genellikle sadece donanımlara ve yazılımlara odaklanılmaktadır. Bu durumda ise, yönetimsel birçok risk göz ardı edilebilmektedir. Bu çalışmada, bir BGYS kurulum çalışmasında süreçlerin, süreçte yer alan varlıkların, varlıklardaki açıklık ve tehditlerin nasıl ifade edilebileceğine yer verilmiş ve süreç modeli kullanılarak nasıl risk analizi yapılabileceği konusunda bir öneri getirilmiştir. Önerilen metodun, özellikle bilgi işlem süreçlerinin kapsam dâhilinde olduğu Bilgi Güvenliği Yönetim Sistemi kurulumu çalışmalarında etkin bir şekilde kullanılabileceği değerlendirilmektedir.

Bilgi güvenliğine ilişkin olarak ABD hükümeti tarafından idame edilen Ulusal Zafiyet Veritabanına (NVD) kaynak oluşturan ve açık kaynak olarak ulaşılabilen zafiyet veritabanları ve listeleri bulunmaktadır. Savunma Sanayii Müsteşarlığı tarafından başlatılan Bütünleşik Siber Güvenlik Sistemi (BSGS) fizibilite çalışması kapsamında, STM A.Ş. ve ANEL ARGE tarafından prototip bir ürün geliştirilmektedir. Prototip ürün ile bu veritabanlarından çekilen bilgiler işlenerek bilgi güvenliği ve zafiyet ontolojisine uygun olarak güvenlik uzmanlarına sağlanacak arayüzler vasıtası ile bilgi güvenliği zafiyetlerinin önsel koşullarının ve olası sonuçlarının analizi için bir ortam sağlanacaktır. Bu bildiri ile BSGS fizibilite çalışması ve ara çıktılarından da yararlanılarak; bilgi güvenliği ve siber savunma konularında simülasyon ve modellemenin önemi ve kullanım alanları ele alınmıştır. Siber uzayın simüle edilmesi için tehditlerin ve varlıkların gerçekçi olarak modellenmesi, siber ataklara karşı geliştirilecek savunma tekniklerinin deneneceği sınama ortamlarının oluşturulması, muhtemel siber saldırı durumları ve önleyici kurumsal uygulamalar, kritik altyapıların ve SCADA sistemlerinin güvenliği konularında incelemeler ve değerlendirmeler yapılmıştır.

Günümüzde birçok gelişmiş ülke sanal ortamdan gelebilecek saldırılardan en az zararla çıkmak amacıyla hükümetler seviyesinde politika dokümanları oluşturmakta ve bu politika dokümanlarının onaylanmasına müteakip gerekli teknik ve idari çalışmaları başlatmaktadır. Ülkemizin resmiyet kazanmış bir ulusal sanal ortam güvenlik politikasına ihtiyacı bulunmaktadır. Bu makalede, gelişmiş ülkelerin yaptıkları çalışmaları özetlenmiş ve ülkemizde sanal ortam güvenlik politikası hazırlanması konusunda yapılmış çalışmalar aktarılmıştır.

Bilgi teknolojilerinin son yıllarda çok büyük gelişim ve değişim kaydetmesi ile birlikte geçmiş yıllarda kullanılan bir çok risk analizi aracı tutarlı sonuçlar vermeyen, uzun süre alan ve maliyetli araçlar durumuna gelmişlerdir. Bu durum, kurumları bilgi güvenliği ihtiyaçlarını karşılayacak bir risk analizi aracının da, günümüzün gelişen ve değişen teknolojisine uyum sağlamasını gerektirmiştir.
Risk analizi araçları için varolan bu ihtiyaç göz önüne alınarak, bu çalışmada günümüzün teknolojisi ile uyumlu ve kurumların ihtiyaçlarını karşılayacak bir bilgi güvenliği risk analizi yöntemi önerilmiştir.
BiGRA (Bilgi Güvenliği Risk Analizi) olarak isimlendirilen bu yeni risk analizi yöntemi öncelikle teorik olarak anlatılmıştır. Teorinin sunulmasının ardından yöntem, örnek bir bilgi güvenliği sorunu üzerinde uygulanmış ve günümüzün değişen ihtiyaçlarını nasıl karşıladığı ortaya konulmuştur.
Çalışmanın son kısmında, BiGRA yöntemi, standartlarda belirlenmiş olan kriterler göre çalışma kapsamında tanıtılmış olan diğer yöntemlerle karşılaştırılmış ve BiGRA’nın üstün ve eksik olan özellikleri ortaya konmuştur.

ISO/IEC 27019 elektrik enerjisi, elektrik, gaz, yağ ve ısı üretimini, iletimini, depolanmasını ve dağıtımını kontrol etmek ve izlemek amaçlarıyla ve ilgili destek süreçlerinin kontrolü için, enerji tedarik kuruluşlarında kullanılan proses kontrol sistemlerinin (EKS-Endüstriyel Kontrol Sistemi), ISO/IEC 27002: 2013 kontrollerine dayalı rehberlik sağlar.
ISO/IEC 27019’un amacı, ISO/IEC 27000 standartlarını EKS ve otomasyon teknolojisi alanlarına genişleterek, enerji tedarik endüstrisinin kurumsal yönetişimden proses kontrol seviyesine kadarki süreçlerinde ISO/IEC 27001 gereklerine uygun BGYS (ISMS) uygulamaktır.
Ayrıca ISO/IEC 27019, “NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security” ve “IEC/TS 62443-1-1 Industrial communication networks — Network and system security — Part 1-1:
Terminology, concepts and models” standartlarında ele alınan EKS ‘lerde Risk Yönetim Çerçevesi ve Bakış açısı baz alınarak hazırlanmıştır. Sonuç olarak EKS / SCADA bulunan sistemlerimizde yapacağımız Risk Analizi ve kontrol önlemlerinin kararlaştırılacağı Risk İşleme süreçlerimizde NIST 800 serisi standartları ve IEC/TS 62443 serisi standartlardan faydalanmak çalışmalarımızın etkinliğini ve verimliliğini artıracaktır.

Giriş Devletlerin ulusal güvenliklerini sağlaması açısından temel bir faaliyet olan istihbarat üretimi, sadece iç güvenlikte değil, uluslararası ilişkilerde de barış ve savaş dönemlerinde vazgeçilmez bir faaliyet olmuştur. Uluslararası alanda, barış dönemlerinde her türden veriler toplama, savaş dönemlerinde ise önceden elde edilmiş verileri kullanma ve mevcut olan geleneksel ya da modern imkânlarla yeni veriler elde etme amaçlı çalışmalar tarih boyunca yürütülmüştür. Barış dönemlerinde istihbari bilgilerin, savaş dönemlerine nazaran daha kolay ve basit yöntemlerle edinilebildiğini ve iyi ilişkilerin hakim olduğu zamanlarda var olan güven ortamının istihbarat faaliyetleri için daha verimli olduğunu söylemek mümkündür. Söz konusu bu çalışmalar da ilgili dönemin şartlarına uygun olarak farklı araçlarla yürütülmektedir. Eski çağlardan bu yana en temel istihbarat faaliyeti olan insan istihbaratı (HUMINT) önemini korumaya devam etse de teknolojik (OSINT, COMINT, IMINT, SIGINT, CYBINT gibi) imkânlar zaman geçtikçe daha yaygın kullanılmaktadır. 1 Bu tür modern faaliyetlere ek olarak, ilk kez Prof. Dr. Sherman Kent tarafından kavramsallaştırılan stratejik istihbarat faaliyeti ile de, ulusal güvenliğe yönelik mevcut/muhtemel dış tehditlere karşı uzun vadeli ve kapsamlı politikalar üretilmektedir. Soğuk Savaş döneminden bu yana çoğunlukla dış istihbarat üretimi olarak kullanılan bu yöntem, Kent'in de dahil olduğu bir birim olarak ABD'nin merkezi istihbarat teşkilatı (CIA) içerisinde kurulmuş ve ileri düzey istihbarat çalışmalarında kullanılmıştır. Küresel istihbarat teşkilatlarında halen önemli bir yer tutan stratejik istihbarat üretimi, Kent'e göre ülkelerin dış politikaları ile de ilişkilidir ve dolayısıyla vazgeçilmezdir. "Stratejik İstihbarat" adlı kitabında; "Eğer dış politika Cumhuriyet'in bir kalkanı ise stratejik istihbarat da bu kalkanı tam zamanında ve yerinde kullanan bir araçtır." şeklindeki ifadesi, bu önemi göstermektedir. 2

ÖZET
Bu çalışmada, veri, bilgi ve öz bilgi kavramları açıklanmış, bilişim teknolojilerinin bilgi üzerindeki etkileri ve boyutları ortaya konulmuş, elde edilmesi zor olan bilginin korunması ihtiyacından doğan bilgi güvenliği incelenmiş, bilgi güvenliğini oluşturan ana unsurlar üzerinde durulmuş ve bilgi güvenliğine yönelik saldırıların, zaman içinde hem sayı hem de çeşitlilik açısından arttığı bir ortamda etkin bir bilgi güvenliği oluşturabilmek için gerekli olan, güvenlik süreçleri ayrıca bilgi güvenliğinde kullanılan standartlar üzerinde durularak bir bilgi yönetim sisteminin nasıl kurulduğu, hangi aşamalardan geçtiği ile ilgili bilgiler bu çalışma da Özetlenmiştir.
Anahtar Kelimeler: Bilgi, Özbilgi, Bilgi Güvenliği, BGYS, Veri, Güvenlik Süreçleri
ABSTRACT
This study presents a general overview of information security and its core concepts. By technological developments, attacks to the information security become more serious and dangerous… To prevent all those attacks several management systems to prevent system security have been discussed in here. In cryptography, a public key infrastructure (PKI) is an arrangement that binds public keys with respective user
identities by means of a certificate authority (CA). The user identity must be unique for each CA. The binding is established through the registration and issuance process, which, depending on the level of assurance the binding has, may be carried out by software at a CA, or under human supervision. The PKI role that assures this binding is called the Registration Authority (RA) . For each user, the user identity, the public key, their binding, validity conditions and other attributes are made unforgeable in public key certificates issued by the CA. Internet is not only a way of communication but also it is an unsafe place to share information .Due to that ıts been recognized that a communication is started to be seen as to be a secret agent of the enemies.

Günümüz dünyasının en önemli kavramı bilgidir. Bilgi, sahip olduğu kişi, kurum veya ülkeye güç sağlar, önündeki karmaşık süreci anlamasını, analiz edebilmesini, güçlü ve zayıf yönlerini ortaya koyabilmesini ve rakiplerinin durumlarını bilmesi ile mücadeleyi kazanmak için avantaj sağlar.

Savaş Sanatları konusunda uzman olan ve Savaş Sanatı adında çok değerli bir eser yazan Sun Tzu’da bilginin önemine vurgu yapar. Sun Tzu der ki: “Kendini ve düşmanını tanıyan her zaman kazanır. Kendini bilip düşmanını bilmeyen, bir kazanır, bir kaybeder. Kendini bilmeyen ise tehlikededir.”

Bilgiye verilen önem başka birçok şey gibi savaşlara dayanır. Günümüzde kullandığımız internet gibi bilgiye erişebildiğimiz veya başka maksatlarla kullanılan birçok teknoloji de yine Askeri ihtiyaçlar doğrultusunda geliştirilmiştir. İstihbarat kurumları bu sebeple tüm sistem içerisinde en ayrıcalıklı konum olmuş ve bilgiyi elde etmenin yollarının geliştirilmesi ile birlikte bilgiyi korumanın da önemi üzerinde dikkatle durulmuştur.

Günümüz dijital dünyasında ise iletişim protokollerinin açık olması, TCP katmanı gibi aşılması kolay katmanlardan bilgilerimizin kaçırılması ile birlikte bilgi güvenliğinin sağlanabilmesi önemli bir konu haline gelmiştir. Bunun için de ISO 27001 standardı geliştirilmiştir.

ISO 27001, kurumlara genel anlamda bilgi güvenliğinin nasıl sağlanacağı konusunda yardımcı olmaktadır. Kurumların, bilgi sistemleri süreçlerini inceleyerek tehditleri ve riskleri belirlemesi ve bu riskleri kabul edilebilir bir seviyeye indirebilmesi için alınacak önlemleri tespit etmesi gerekmektedir. Bu bildiride, bu önlemlerin ISO/IEC 27001 Kurumsal Bilgi Güvenliği Standardı çerçevesinde bir kuruma uygulanabilmesi için yapılması gereken aşamalar verilmeye çalışılmıştır (Şen ve Yerlikaya, 2013).

Information security has become more important in health care institutions in recent years. Especially, if necessary  precautions are not taken in line with the development of technology, it is expected that information leaks would increase. In the study in which in-depth interviews with qualitative research directives are used in order to  determine the opinions, suggestions and evaluations of employees about hospital information security, 12 hospital  employees working in different units are reached. The data obtained from the interviews are analysed and  interpreted in ATLAS.ti qualitative data program. In this respect, the problems that arise in practice and the  solution proposal are established in line with these opinions. As a result of the research, it is determined that  participants emphasize the importance of information security widely and that information security is perceived  together as "patient privacy". In turn, is it also seen that physical infrastructure is necessary for information security  in terms of privacy, integrity and accessibility. It is one of the proposals of the research that managers and  employees should cooperate for an effective information security management system.

Geçmişten günümüze bilgi sürekli bir gelişim ve değişim içinde olmuş, içinde bulunduğu
toplumlarında bu gelişim ve değişimden etkilenerek şekillenmesine yardımcı olmuştur.
Günümüzde hem kamu kurumları hem de özel sektördeki kurumlar sahip oldukları bilgileri
kullanarak ve bu bilgileri doğru yöneterek kalkınmaya ve rakiplerine karşı rekabet üstünlüğü
kurmaya çalışmaktadırlar. Ancak burada en önemli noktalardan birisi de bu kurumların sahip
oldukları bilgileri koruyabilmeleridir. Dijital ortamlarda, yazılı materyallerde veya çalışanların beyinlerinde tutulan ve kurumlar için değerli olan bilgi aynı zamanda bulunduğu kurum için bir güç ve ekonomik değer ifade etmektedir. Bu bilginin güvenliğinin sağlanması içinde her
türlü tedbirin yine kurumlar tarafından alınması gerekmektedir. Kurumsal bilgi güvenliğinin
sağlanmasına yönelik kurumların hem teknolojik alt yapılarını güçlendirmeleri hem de
çalışanlarına yönelik bilgi güvenliği farkındalıklarını oluşturacak ve bu farkındalıklarını
artıracak eğitimlerin verilmesi gerekmektedir. Teknolojinin de hızlı gelişmesiyle beraber bilgi
güvenliğine yönelik saldırılar artarak devam etmekte ve çeşitlenmektedir. Dünyanın birçok
yerinde kurumlar çeşitli siber güvenlik ataklarına maruz kalmakta veya bu tehditlerle karşı
karşıya kalmaktadırlar. Bilgi güvenliğine yönelik yaşanan çoğu siber güvenlik olayına
bakıldığında: Kurum içi kritik verilere erişme, kurum çalışanlarına veya müşterilerine ait
kişisel verileri ele geçirme veya çeşitli fidye yazılımları kullanılarak kurumsal bilgi
güvenliğine yönelik ihlal olaylarının yaşandığı görülmektedir. Bu ve benzeri tehditlere karşı
kurumların en başta gerekli yasal sorumluluklarını yerine getirerek önlem almaya çalışmaları,
bilgi güvenliği yönetim sistemleriyle ilgili çalışma yapmaları ve siber güvenlik testlerini
yaparak herhangi bir saldırı veya bilgi güvenliği ihlali öncesi kendi açıklarını tespit ederek
gerekli önlemleri almaları gerekmektedir. Bu çalışmada, kurumsal bilgi güvenliğinin ne olduğu
ve öneminin açıklanması, bilgi güvenliğiyle ilgili tehditlerden bahsedilerek alınması gereken
bazı önlemlerle ilgili bilgilendirme yapılması amaçlanmıştır. Bu amaçla, konuyla ilgili
araştırmalar yapılmış ve alanyazın incelenmiştir. Çalışmanın, bilgi güvenliğine yönelik
farkındalığı artıracağı ve bu konuda alınması gereken önlemlerle ilgi bireylere ve kurumlara
katkı sunacağı ayrıca bilgi güvenliğiyle ilgili ileride yapılacak bilimsel çalışmalara ışık
tutacağı düşünülmektedir.

Günümüzde verimliliğin artırılması, is akıslarının hızlandırılması, çalısanlar ve diğer kurumlarla daha hızlı iletisim kurulabilmesi, günlük yasantımızı kolaylastırması gibi birçok sebepten dolayı bilisim sistemleri hızla yaygınlasmaktadır. Bilisim teknolojilerindeki gelismeler sonucunda, merkezi yapılar yerlerini, dağıtık mimarilere, internet ve ağlar üzerinden erisilebilen elektronik uygulamalara bırakmıstır. Web uygulamaları, uzaktan erisimler, çevrimiçi sistemler, bilgisayar ağları, internet gibi elektronik bilgi altyapılarının kullanımının artması sonucunda ekavramlar (e-ticaret, e-öğrenme, e-rezervasyon, e-sınav, e-okul, e-banka, e-devlet vb.) günlük yasantımızın bir parçası haline gelmistir. Bilisim ortamlarının kullanımının artması ve yaygınlasmasına paralel olarak güvenlik tehditleri ve riskleri aynı oranda artmıstır. Teknik güvenlik önlemlerinin gelismesine rağmen bilisim sistemlerine karsı yapılan saldırıların sayısının artması ve bilgi sistemleri üzerinde yüksek derecede etki yapan hasarlar olusturması, teknik yöntemlerin bilgi güvenliğinin sağlanmasında yetersiz olduğunu göstermektedir. Bilgi güvenliğinin sağlanabilmesi için teknik önlemlerin yanında, idari önlemler (kurallar, cezalar, yaptırımlar vb), standartlar (ISO 27001,Ortak Kriterler vb) ve insan faktörü göz önüne alındığında bilgi güvenliği karmasık çözümler içeren ve yönetilmesi zorunlu hale gelen bir süreç halini almıstır. Bu çalısmada bilgi güvenliği yasayan bir süreç olarak ele alınmıs ve yönetilebilirlik gerekliliği ortaya konarak, bir bilgi güvenliği yönetim modeli gelistirilmistir.

ÖZET Bu çalışmada, veri, bilgi ve öz bilgi kavramları açıklanmış, bilişim teknolojilerinin bilgi üzerindeki etkileri ve boyutları ortaya konulmuş, elde edilmesi zor olan bilginin korunması ihtiyacından doğan bilgi güvenliği incelenmiş, bilgi güvenliğini oluşturan ana unsurlar üzerinde durulmuş ve bilgi güvenliğine yönelik saldırıların, zaman içinde hem sayı hem de çeşitlilik açısından arttığı bir ortamda etkin bir bilgi güvenliği oluşturabilmek için gerekli olan, güvenlik süreçleri ayrıca bilgi güvenliğinde kullanılan standartlar üzerinde durularak bir bilgi yönetim sisteminin nasıl kurulduğu, hangi aşamalardan geçtiği ile ilgili bilgiler bu çalışma da Özetlenmiştir. ABSTRACT This study presents a general overview of information security and its core concepts. By technological developments, attacks to the information security become more serious and dangerous… To prevent all those attacks several management systems to prevent system security have been discussed in here. In cryptography, a public key infrastructure (PKI) is an arrangement that binds public keys with respective user identities by means of a certificate authority (CA). The user identity must be unique for each CA. The binding is established through the registration and issuance process, which, depending on the level of assurance the binding has, may be carried out by software at a CA, or under human supervision. The PKI role that assures this binding is called the Registration Authority (RA). For each user, the user identity, the public key, their binding, validity conditions and other attributes are made unforgeable in public key certificates issued by the CA. Internet is not only a way of communication but also it is an unsafe place to share information .Due to that ıts been recognized that e communication is started to be seen as to be a secret agent of the enemies.

Günümüz bilgi toplumlarında bilişim teknolojileri sürekli gelişmekte ve değişmektedir. Bu gelişime paralel bir şekilde bu teknolojilerin kullanıcı sayısı da gün geçtikçe artmaktadır. Öte yandan bilişim teknolojilerinin kullanımı birçok kişi, kurum ve kuruluş için olmazsa olmaz türden bir durum haline gelmiş durumdadır. Bilişim teknolojilerinin söz konusu yaşamsal ve yoğun kullanımının büyük yararları bulunmaktadır. Ancak bu kullanımlar bazı olumsuz durumlara da yol açabilmektedir. Bu olumsuz durumlardan birisi de bilgi güvenliğine yönelik risk faktörlerinin ve bu tehdidin genişlemesidir. Teknolojinin bilinçsiz ve problemli kullanımı, bilgi güvenliği tehditlerinin çeşitlenmesi gibi nedenler bilgi güvenliğini sağlamanın zorlaşmasına yol açmaktadır. Bu nedenle ulusal ve uluslararası düzeyde olmak üzere kişisel ve kurumsal bilgi güvenliğinin sağlanması ve bilgi güvenliğiyle ilgili farkındalığın artırılması giderek daha önemli hale gelmektedir. Bu gerekçeler doğrultusunda bu çalışmada bilgi güvenliği kavramıyla ilgili tanımlamaların, bilgi güvenliğinin kapsamının ve bilgi güvenliğiyle ilgili farkındalık durumunun incelenmesi, ayrıca ulusal ve uluslararası düzeyde bilgi güvenliği politikaları üzerine bir değerlendirme yapılması amaçlanmaktadır. Bu amaç doğrultusunda konuyla ilgili alanyazın incelenmiş, ulusal ve uluslararası politika belgeleri gözden geçirilmiştir.

Öz Küreselleşme süreciyle birlikte teknoloji, hayatımızın her alanına girmiştir. İçinde bulunduğumuz süreçte yaşanan gelişmeler, klasik yönetim anlayışının ötesine geçerek bilgi ve hizmetlerin kullanıcıya (vatandaş-müşteri) daha hızlı daha kolay ulaşması yönünde talepler doğurmuştur. Bilgi ve hizmete erişebilirlik, bilgi toplumunun en önemli güç kaynaklarından biridir. Çalışma, ulusal bilgi güvenliği sisteminin temel mevzuatını oluşturan strateji belgeleri ve eylem planlarından yola çıkarak kamu kurumlarının bilgi güvenliği kültürüne yaklaşımını uygulamaya koyduğu politikalar çerçevesinde ortaya koymayı amaçlamaktadır. Güvenlik kültürü; yöneticilerin, çalışanların, hizmetten faydalananların ve tüm kamu üyelerinin karşı karşıya kalabilecekleri sorunların en aza indirilmesi ya da ortadan kaldırılmasına yönelik uygulamaları içermektedir. Günümüz bilgi toplumlarında bilgi güvenliği konusu, güvenlik kültürünün/güvenlik yaklaşımının önemli bir boyutudur. Gelişen teknolojiyle birlikte internet ortamında bireysel veya kamusal düzeyde çeşitli güvenlik riskleri ortaya çıkmakta, buna bağlı olarak kamu kurumları çeşitli önlemler almaya yönelmektedir. Kamu kurumlarında güvenlik kültürünün oluşturulabilmesi için bilgi güvenliği ve siber güvenlikle ilgili düzenlemeleri öngören mevzuat bilgi sistemi, çalışmanın ele aldığı kurumsal dokümanların kaynağını oluşturmaktadır. Bu kapsamda çalışma, 2015-2018 arası dönemi içeren Bilgi Toplumu Stratejisi ve Eylem Planının ele aldığı ulusal bilgi güvenliği politikalarını; bu politikaların kamu kurumları için belirlediği hedefleri ve uygulama önerilerini, nitel araştırmalarda kullanılan veri toplama araçlarından biri olan doküman incelemesi yöntemiyle Kayseri Barosu özelinde analiz etmeye çalışmaktadır. Analiz sonucunda bilgi güvenliği ve güvenlik kültürü yaklaşımları çerçevesinde Kayseri Barosu'nun başlangıç düzeyinde birtakım faaliyetler yürüttüğü, çevrim içi ortamda kullanıcılarla bu bilgileri paylaştığı ancak bu girişimlerin henüz yetersiz olduğu sonucuna varılmaktadır. Eylem Planı'nda sorumlu kuruluş olarak belirtilen Adalet Bakanlığı'nın bu konularda tüm barolara daha fazla katkı sağlaması önerilmektedir. Abstract Technology has entered every aspect of our lives with the globalization process. The developments in the current period led to the need for information and services to reach the user (citizen-customer) faster and more easily beyond the classical approach of management Accessibility to information and service is one of the most important sources of power in the information society. The study aims to reveal approach of the public institutions about information security culture within the framework of the policies implemented by the strategy documents and action plans that constitute the basic legislation of the national information security system. Safety culture includes practices aimed at minimizing or eliminating the problems that managers, employees, service beneficiaries and all public members may face. In order to establish a security culture in public

Çalışmanın birinci bölümünde, kavramsal ve kuramsal olarak bilgi ve bilgi güvenliğinden bahsedilecektir. Bu kapsamda, bilgi güvenliğinin temel düzeyde ne anlama geldiği, bilginin güvenliğinin konusu, amacı, kapsamı, unsurları ve temel ilkeleri ele alınarak tarihsel süreçte nasıl bir gelişime konu olduğu anlatılacaktır. İkinci bölümde uluslararası ve ulusal düzeyde bilgi güvenliğine ile ilgili hukuki ve uygulamaya yönelik çalışmalara göz atılacaktır. Son olarak ise bilgi güvenliğine ve bilginin korunmasına ilişkin olarak ortaya çıkan risk ve tehditler ortaya konularak bunların giderilmesi amacına binaen bir takım çözüm önerileri geliştirilecektir.

Bu çalışmada, İnternet üzerinden güvenli haberleşme için Rijndael (AES) Blok Şifreleme Algoritması’nı  kullanan güvenli bir sohbet programı “Secure CHAT 1.0” geliştirilmiştir. Bu programın daha önce geliştirilen güvenlik uygulamalarından en önemli farkı kurulumunun ve kullanımının son derece kolay olmasıdır. Programın bu sürümünde, istemci sunucu
ayrımı olmamakla birlikte iki taraf ortak bir 128 ikililik anahtar üzerinde anlaştıktan sonra, bilgiler iki taraf arasında şifrelenerek iletilmektedir ve yine aynı anahtar kullanılarak çözülmektedir. Ayrıca, programdaki veritabanına daha önceden irtibat kurulan kişilerin bilgileri ve şifreleme anahtarları saklanabilmektedir. Windows sürümleri üzerinde çalışan Secure-CHAT Programının İngilizce ve Türkçe sürümleri de bulunmaktadır.

İnternet teknolojileri, gerek iş ve devlet idaresi alanında ki kullanımları açısından, gerekse de bireysel kullanım açısından, son otuz yılda inanılmaz bir hızda, hem niteliksel hem de niceliksel anlamda gelişmiştir. Artık, hemen hemen tüm işlerimizde ve işlemlerimizde interneti kullandığımız bir gerçektir. İnternet ile hayatımıza giren en büyük yenilik ise bilginin hızlı ve sınırsız dolaşımı olmuştur. İnternet öncesine baktığımızda, eski zamanlardan bu yana, bilgi her zaman sınırlı bir şekilde yayılmış, hele ki klasik çağlarda, bilginin yayılımı ve dolaştırılması insan hızı ve gücü ile sınırlı olmuştur. Fakat internet ile yaşadığımız bu değişim sonrasında, gerek bilimsel kaynakların, gerekse de iş ve benzeri evrakların hızlı ve sınırsız dolaşımı başlamıştır. Bu dolaşım ise devleti ve idaresini her anlamda değiştirmektedir. Bilginin bu dolaşımı neticesinde bir yandan bürokrasi şekil değiştirirken diğer taraftan ideolojiler kabuk değiştirmektedir. Sonuç olarak, bir tıkla bürokratik işlemlerin yapılabildiği ve bir tıkla dünyanın öbür ucu ile bilgi paylaşabildiğimiz bu dünyada eşyanın tabiatı gereği eski kalıplar yıkılmaktadır. Weber’in gayet güzel tanımladığı geleneksel otorite ve bürokrasi değişmekte ve yerini, bilgiyi çıkarları ölçüsünde yayan ve / veya saklayan değil, sınırsız dolaşan ve asimetrik gezen bilgiyi, doğru anlayıp yorumlayan ve hatta sezen bir bürokrasiye ve otoriteye bırakmak zorunda kalmaktadır. Zira bilginin sınırsız yayılımı birçok sorunu beraberinde getirmektedir. Bunlardan en öncelikli olanı ise devletin güvenliği meselesidir. Kamuoyunda ki tartışmalardan da takip edebildiğimiz belge sızdırmaları hadiseleri buna sadece küçük bir örnektir. Siyasilere yapılan kaset komploları ve dahası da listeye eklendiğinde, şantaj – sabotaj ve benzeri zararlar, devletin bilgi tabanlı güvenliğini tehdit eden düzeylere ulaşmıştır. Tüm bunlara, açık kaynak istihbaratın artan bilgi gücünü de eklediğimizde, yeni tabloyla baş edebilecek yegâne güç, sezgisel – proaktif özellikler gösterecek yeni tür bir bürokrattır.

Bu çalışma, özel öğretim kurumlarında, örgütsel bilgi paylaşımının, bilgi güvenliği sürecine etkisini incelemek amacıyla gerçekleştirilmiştir. Tanımlayıcı nitelikte, nicel araştırma modeli kullanılan araştırmada, üç bölümden (Kişisel Bilgi Formu, Bilgi Paylaşım Ölçeği, Bilgi Güvenliği Ölçeği) oluşan veri toplama formu kullanılmıştır. Özel öğretim kurs merkezlerinde ve özel okullarda görevli araştırmaya katılmayı kabul eden katılımcıların doldurduğu 374 adet anket değerlendirmeye esas alınmıştır. Verilerin analizinde, SPSS 16.00 kullanılmıştır. Çalışmada, Kruskal Wallis, Mann-Whitney U testi ve Spearman Korelasyon analizi ile doğrusal regresyon analizi kullanılmıştır. Çalışmada örgütsel bilgi paylaşım düzeyi ile bilgi güvenliği değişkeni arasında pozitif yönde orta düzeyde anlamlı (r= 0,406, p<0,01) bir ilişki olduğu tespit edilmiştir. Ayrıca örgütsel bilgi paylaşımı düzeyi ile bilgi güvenliği düzeyinin alt boyutları incelendiğinde, bütün boyutlarda anlamlı ilişki olduğu tespit edilmiştir. Örgütsel bilgi paylaşımının, bilgi güvenliği üzerinde düşük düzeyde anlamlı bir etkisi olduğu belirlenmiştir. Araştırma sonucunda, bilgi güvenliği ve bilgi paylaşımı ile ilgili gelecekte yapılacak araştırmalara yönelik çeşitli öneriler sunulmuştur.

Abstract

This study was conducted to examine the effect of organizational knowledge sharing on knowledge security process in private education institutions. The data collection form consisting of three parts (Personal Information Form, Knowledge Sharing Scale, Knowledge Security Scale) was used in the descriptive study. 374 questionnaires filled in by the participants who agreed to participate in the research in private education course centers and private schools were taken as basis for the evaluation. SPSS 16.00 was used for data analysis. Kruskal Wallis, Mann-Whitney U test and Spearman Correlation analysis and linear regression analysis were used in the study. In the study, it was found that there was a moderate positive correlation (r = 0,406, p <0,01) between organizational knowledge sharing level and knowledge security variable. In addition, when the sub-dimensions of organizational knowledge sharing level and knowledge security level were examined, a significant relationship was found in all dimensions. It was determined that organizational knowledge sharing had a low significant effect on knowledge security. As a result of the research, various recommendations were made for future researches on knowledge security and knowledge sharing.

Endüstri 4.0 son zamanların en popüler konularından biri olmayı sürdürmektedir. Bünyesinde, zeki fabrika sistemleri, kendi aralarında otomatik iletişim kurarak süreci yönetebilen makineler ve ortaya çıkan zeki ürünler bulundurduğu için ilgi alanında kalmaya devam edecektir. Ancak, Endüstri 4.0 gelişmelerinin önem verilmesi gereken adımlarından biri de siber güvenliktir. Çünkü, sistem içerisinde bulunan tüm parçalar internet alt yapısı ile iletişim kurmakta ve siber saldırılara karşı açık hale gelmektedir. Güvenli bir endüstri 4.0 yapısı için gerekli siber güvenlik önlemlerinin alınması şarttır. Bu çalışmada endüstri 4.0 kavramlarından olan makineler arası iletişim (M2M) sistemleri için hibrit güvenlik şeması önerilmiş ve test edilmiştir. Yapılan testler sonucunda, geliştirilen şema ile cihazlar arasında yapılan veri alışverişinin gizliliği, bütünlüğü ve güvenliğinin sağlandığı tespit edilmiştir.

Bu çalışma, özel öğretim kurumlarında, örgütsel bilgi paylaşımının, bilgi güvenliği sürecine etkisini incelemek amacıyla gerçekleştirilmiştir. Tanımlayıcı nitelikte, nicel araştırma modeli kullanılan araştırmada, üç bölümden (Kişisel Bilgi Formu, Bilgi Paylaşım Ölçeği, Bilgi Güvenliği Ölçeği) oluşan veri toplama formu kullanılmıştır. Özel öğretim kurs merkezlerinde ve özel okullarda görevli araştırmaya katılmayı kabul eden katılımcıların doldurduğu 374 adet anket değerlendirmeye esas alınmıştır. Verilerin analizinde, SPSS 16.00 kullanılmıştır. Çalışmada, Kruskal Wallis, Mann-Whitney U testi ve Spearman Korelasyon analizi ile doğrusal regresyon analizi kullanılmıştır. Çalışmada örgütsel bilgi paylaşım düzeyi ile bilgi güvenliği değişkeni arasında pozitif yönde orta düzeyde anlamlı (r= 0,406, p&lt;0,01) bir ilişki olduğu tespit edilmiştir. Ayrıca örgütsel bilgi paylaşımı düzeyi ile bilgi güvenliği düzeyinin alt boyutları incelendiğinde, bütün boyutlarda anlamlı ilişki olduğu tespit ed...

Geçmişten günümüze bilgi sürekli bir gelişim ve değişim içinde olmuş, içinde bulunduğu toplumlarında bu gelişim ve değişimden etkilenerek şekillenmesine yardımcı olmuştur. Günümüzde hem kamu kurumları hem de özel sektördeki kurumlar sahip oldukları bilgileri kullanarak ve bu bilgileri doğru yöneterek kalkınmaya ve rakiplerine karşı rekabet üstünlüğü kurmaya çalışmaktadırlar. Ancak burada en önemli noktalardan birisi de bu kurumların sahip oldukları bilgileri koruyabilmeleridir. Dijital ortamlarda, yazılı materyallerde veya çalışanların beyinlerinde tutulan ve kurumlar için değerli olan bilgi aynı zamanda bulunduğu kurum için bir güç ve ekonomik değer ifade etmektedir. Bu bilginin güvenliğinin sağlanması içinde her
türlü tedbirin yine kurumlar tarafından alınması gerekmektedir. Kurumsal bilgi güvenliğinin sağlanmasına yönelik kurumların hem teknolojik alt yapılarını güçlendirmeleri hem de çalışanlarına yönelik bilgi güvenliği farkındalıklarını oluşturacak ve bu farkındalıklarını artıracak eğitimlerin verilmesi gerekmektedir. Teknolojinin de hızlı gelişmesiyle beraber bilgi güvenliğine yönelik saldırılar artarak devam etmekte ve çeşitlenmektedir. Dünyanın birçok yerinde kurumlar çeşitli siber güvenlik ataklarına maruz kalmakta veya bu tehditlerle karşı karşıya kalmaktadırlar. Bilgi güvenliğine yönelik yaşanan çoğu siber güvenlik olayına bakıldığında: Kurum içi kritik verilere erişme, kurum çalışanlarına veya müşterilerine ait kişisel verileri ele geçirme veya çeşitli fidye yazılımları kullanılarak kurumsal bilgi güvenliğine yönelik ihlal olaylarının yaşandığı görülmektedir. Bu ve benzeri tehditlere karşı kurumların en başta gerekli yasal sorumluluklarını yerine getirerek önlem almaya çalışmaları,
bilgi güvenliği yönetim sistemleriyle ilgili çalışma yapmaları ve siber güvenlik testlerini yaparak herhangi bir saldırı veya bilgi güvenliği ihlali öncesi kendi açıklarını tespit ederek gerekli önlemleri almaları gerekmektedir. Bu çalışmada, kurumsal bilgi güvenliğinin ne olduğu
ve öneminin açıklanması, bilgi güvenliğiyle ilgili tehditlerden bahsedilerek alınması gereken bazı önlemlerle ilgili bilgilendirme yapılması amaçlanmıştır. Bu amaçla, konuyla ilgili araştırmalar yapılmış ve alanyazın incelenmiştir. Çalışmanın, bilgi güvenliğine yönelik farkındalığı artıracağı ve bu konuda alınması gereken önlemlerle ilgi bireylere ve kurumlara katkı sunacağı ayrıca bilgi güvenliğiyle ilgili ileride yapılacak bilimsel çalışmalara ışık tutacağı düşünülmektedir.

Öz: Bu çalışmanın amacı bilgi güvenliği farkındalığının, kişisel bilgisayar, akıllı telefon sahipliği, bilişim teknolojileri (BT) dersi alma ve faydalanma durumu bağlamında incelenmesidir. Tarama modelinin kullanıldığı çalışmada 9-12. sınıf Anadolu ve Meslek lisesi öğrencileri (n=359) yer almıştır. Çalışma grubunun Bilgi Güvenliği Farkındalığı (BGF) ölçümleri ve alt faktör ölçümlerine göre kendi içinde kararlı alt bölümlere ayrılma durumu CHAID analizi ile tespit edilmiştir. Bilgi güvenliği farkındalığı açısından kişisel bilgisayar sahipliği, BT dersinden alınan fayda ve akıllı telefon sahipliği değişkenleri anlamlı etkiye sahiptir. Bilgi güvenliği farkındalığı BT dersi özelinde ve diğer değişkenler bağlamında tartışılmıştır. Anahtar kelimeler: Bilgi güvenliği farkındalığı, teknoloji sahipliği, BT dersi Examining the information security awareness of secondary school students

Abstract: The aim of this study is to examine the awareness of information security in the context of gender, grade, personal computer, smartphone ownership, taking and benefiting from information technologies (ICT) courses. Study using the survey model 9-12. class, Anatolian and Vocational High School students (n = 359) were included. According to the Information Security Awareness (ISA) measurements and sub-factor measurements of the study group, the stable subdivision status within itself was determined by CHAID analysis. Although awareness of information security increases according to the class level, respectively, personal computer ownership, benefits from the ICT course and smartphone ownership are among the effective variables. Information security awareness has been discussed specifically for the ICT course and in the context of other variables.

Siber güvenlik, bilgi kaynaklarının korunmasını ve kişinin kendisi de dahil olmak üzere
diğer varlıkların korunmasını kapsamaktadır. Bu çalışmada, bilişim teknolojileri ile ilgili bir
bölümde öğrenim gören üniversite öğrencilerinin siber güvenlik davranışları farklı değişkenler
açısından incelenmiştir. Çalışma gurubunu bir devlet, bir vakıf üniversitesinin Bilgisayar
Mühendisliği ile Bilgisayar ve Öğretim Teknolojileri Öğretmenliği (BÖTE) bölümlerinde
öğrenim gören toplam 170 öğrenci oluşturmaktadır. Verilerin toplanmasında Siber Güvenlik
Ölçeği (SGÖ) kullanılmıştır. Çalışmanın sonuçlarına göre öğrencilerin siber güvenliğe yönelik
davranışlarının siber güvenliği sağlayacak düzeyde olduğu görülmektedir. Faktörlere göre daha
ayrıntılı bir inceleme yapıldığında, öğrenciler kişisel gizliliklerini koruyabilmektedirler. Ayrıca
güvenilmeyen uygulamalardan kaçınmakta ve güvenlik için önlem alabilmektedirler. Bunun
yanı sıra kredi kartı veya banka kartı gibi ödeme bilgilerini koruyabilmekte ve İnternet üzerinde
gezinirken arkalarında iz bırakmamaktadırlar. Erkek ve kızların siber güvenlik davranışları
arasında anlamlı bir farklılık yoktur. Kişisel güvenliği koruma faktörü açısından BÖTE
bölümünde kızlar, Bilgisayar Mühendisliği bölümünde ise erkekler daha olumlu siber güvenlik
davranışına sahiptirler. İnternet-bilgisayar güvenlik eğitimi alan veya bu konuda iş deneyimi
olan öğrencilerin siber güvenlik davranışları daha olumludur. Farklı sınıflarda öğrenim gören
öğrencilerin siber güvenlik davranışları arasında anlamlı bir farklılık bulunmamaktadır.
Meslek lisesinden mezun olan öğrencilerin iz bırakmama faktörü açısından genel/düz liseden
mezun olan öğrencilere göre daha dikkatli oldukları görülmektedir.

Information and Communication Technologies (ICT) have been rapidly prevailed among the children and youths. Personal technologies facilitating the students to gain some learning experiences both in and out of the schools also include many threats. It is important for students to have high awareness of safe internet and computer use to overcome with these threats. In this research, it was aimed to reveal internet security and computer usage awareness profiles of students studying in the secondary school. The data were collected from 2029 students studying in the secondary schools in Bartin Province in Turkey by using a questionnaire developed by the researchers. The data obtained from the questionnaire were analyzed based on the pre-determined themes and the students' information security and computer usage awareness profiles were revealed. The findings indicate that the majority of the students are insufficient regarding information security and computer usage awareness and they could be under risk in online settings towards the threats. In the discussion section, some measures for the parents, schools and policy makers were mentioned to increase students' information security and computer usage awareness. Bilgi ve iletişim teknolojilerinin (BİT) kullanımı çocuk ve gençler arasında hızla yaygınlaşmaktadır. Öğrencilere okul içinde ve dışında öğrenme deneyimleri ve fırsatları sunan kişisel teknolojiler aynı zamanda da birçok tehlikeyi bünyesinde barındırmaktadır. Bu tehlikelerle mücadelede ise kullanıcıların güvenli bilgisayar ve internet kullanım farkındalıklarının yüksek olması önemlidir. Bu araştırmada, lise öğrencilerinin güvenli bilgisayar ve internet kullanım farkındalık profillerinin ortaya konulması amaçlanmıştır. Araştırmanın verileri, Bartın il merkezindeki liselerde öğrenim gören 2029 öğrenciden, araştırmacılar tarafından geliştirilen bir anket aracılığıyla elde edilmiştir. Anketten elde edilen verilere göre öğrencilerin güvenli bilgisayar ve internet kullanım farkındalık profilleri daha önceden belirlenen temalar temel alınarak analiz edilmiştir. Araştırma sonuçları, öğrencilerin büyük bölümünün güvenli bilgisayar ve internet kullanım farkındalıklarının yeterli olmadığını ve birçok çevrimiçi risklere maruz kalabileceklerini göstermektedir. Araştırmanın tartışma bölümünde, öğrencilerin güvenli bilgisayar ve internet kullanım farkındalıklarını artırmak amacıyla aile, okul ve politika geliştiricilerinin alabileceği önlemlere yer verilmiştir.

Information security failures are the prominent obstacles for being information society. In order to overcome these obstacles nationwide programs for increasing security awareness and security knowledge are needed. Also, proactive security controls for public services have to be established and a road map has to be formed for other services. Turkish Information Society strategy which is prepared by State Planning Organization of Turkish Prime Ministry has an action item called “National Information Security Program“. This action item addresses several  tasks for providing information security of public services and increasing nationwide information security awareness. The responsible organization of this item is National Research Institute of Electronics and Cryptology. This paper presents the studies done in this program.