Bu makale ile öncelikle geçmiş yıllarda yaşanan siber saldırılar ışığında siber güvenlik kavramının önemine kısaca değinilmiş, bilgisayar ve internet kullanıcı sayılarındaki artış ile birlikte saldırganların hedeflerindeki değişimler ve sistematik yaklaşımları hakkında bilgi verilmeye çalışılmıştır.
Siber saldırılarda insan faktörünün öneminin giderek artması, farkındalığın bilgi güvenliğinin sağlanmasında etkin bir unsur olarak kullanılabilmesi için öncelikle kavramsal çerçeve ve bileşenlerin birbiri ile olan ilişkileri hakkında bilgi verilmeye çalışılmıştır.
Günümüzde e-devlet uygulamalarının da kullanıma sunulması ile resmi işlemlerden yasal işlemlere, eğlenceden eğitime kadar birçok alanda bilgi teknolojileri gündelik hayat içerisinde kendisine yer edinmiştir. Özellikle sistemlerin birbirine bağımlılığının artmasıyla iş dünyası ve kamu hayatı hızla artan sayılarda ve çok çeşitli saldırılara maruz kalmaktadır.
Bilginin basılı, elektronik ortamda, tabelalarda, konuşmalarda vb. birçok şekilde bulunması, bilgi paylaşımlarının yaygınlaşması ve farklı birçok yöntem ile gerçekleştirilmesi saldırıların yöntem ve çeşitliliğinin artmasına da imkân sağlamaktadır. Verinin paylaşımı ve sürekli erişime açık olması nedeniyle bilginin gönderen kaynaktan alıcıya kadar gizlilik içerisinde, bozulmadan, yok edilmeden, değiştirilmeden, başkaları tarafından ele geçirilmeden ve bütünlüğü sağlanmış bir şekilde iletilmesi bilgi güvenliğinin sağlanması için temel kriterlerdir.
Günümüzde kişisel kayıplardan, uluslararası anlaşmazlıklara kadar çok geniş bir etki alanı bulunan bilgi güvenliği kavramı endişelerin yanı sıra ilgiyi de bu alana çekmiştir. Ancak bilgi güvenliğine yönelik endüstriyel çalışmaların uygulama ve teknolojik çözümlere yoğunlaştığı görülmektedir. Bilgi güvenliğin aslında başlangıç noktası olan ve son yıllarda saldırganların teknolojik önlemleri aşmak için emek ve zaman harcamak yerine daha maliyetsiz olan insan üzerinden kapıları açma eğiliminin artması ve daha yüksek başarım elde etmeleri farkındalık kavramının önemini bir kez daha ortaya koymuştur. Bu bağlamda kişisel ya da kurumsal olarak bilgi güvenliğinden bahsedebilmek için ilk şart kullanıcıların farkındalık sahibi olmasıdır ve insan günümüzün en büyük hedefi haline dönüşmüştür.
2015 yılında IBM tarafından sunulan bir raporda veri sızıntılarının %95’inin insan hataları sonucunda gerçekleştiği ortaya konulmuştur. Bu denli yüksek oranda bilgi sızıntılarına kaynak teşkil eden insan faktörü gelişen teknoloji ve maliyetlerdeki düşüşle beraber her geçen gün daha etkin bir şekilde bilişim dünyası içerisinde rol almaktadır.
Ülkemizde işletmelerin neredeyse tamamının işlemlerini ve faaliyetlerini bilgisayarlar vasıtasıyla dijital ortamda gerçekleştirdiğini, birçoğunun kullanıcılara yönelik web sayfası da işlettiğini, kişisel kullanıcılarının %70’şinin bir oranda internet erişimine sahip olduğunu ve %96,8’inde cep telefonu ya da akıllı telefon bulunduğu bilinmektedir. Bu veriler ışığında kişisel ve kurumsal bilgi varlıklarının eskiye oranla çok daha fazla dijital ortamda işlem gördüğünü, internet ortamına açık olduğunu ve siber saldırganların erişim alanına girmesi nedeniyle tehdit altında olduğu ve bu sistem ve varlıklara erişimi bulunan insan faktörüne karşı tehdidin her geçen gün daha da arttığı açıkça görülmektedir.
Symantec firması tarafından hazırlanan İnternet Güvenlik Tehdit Raporunda, kullanıcıların ve işletmelerin genel olarak maruz kaldığı tehditler;
- Kullanıcılara karşı her gün 1 milyondan fazla web saldırısı,
- Kurum çalışanlarını hedef alan hedefli sazan avlama saldırılar,
- Fidye yazılımların ve çok çeşitli türevleri ile yapılan saldırılar,
- Ortalama 1/220 epostanın zararlı yazılım içerdiği,
raporlanmıştır.
Gartner Inc. tarafından yapılan bir çalışmada ise, veri sızıntısı durumunda oluşan zararın koruyucu önlemlere yapılan harcamalara göre 15 kat daha fazla olduğu ortaya konulmuştur. Günümüzde sayısal ortama geçen kurum ve kuruluşların sayısı ve sahip olunan bilgi varlıklarının boyutları düşünüldüğünde bu değerin çok daha artacağı açıktır. Bu bağlamda, siber güvenlik farkındalığının son kullanıcı, kurum çalışanı, statü, yaş gibi etmenleri gözetmeksizin çok önemli bir hale geldiğini söyleyebiliriz.
Teknolojik önlemlerin günümüzde bilgi güvenliğinin sağlanması için tek başına yeterli olması imkânsız hale gelmiş olduğunu rahatlıkla söyleyebiliriz.
Kullanıcılara yönelik farkındalık eğitimleri ise etkili, ancak günümüzde siber saldırıların iki eğitim arasında geçen süreden çok daha kısa sürelerde gelişmesi, değişmesi ve farklılaşması sebebiyle yetersiz kaldığı görülmektedir. İşletmelerin bu hızlı değişime ayak uydurabilmek için siber güvenlik farkındalığının etkin yönetiminin sağlanması gerektiği görülmektedir.
Etkin bir siber güvenlik farkındalığı için;
- farkındalık seviyesinin doğru yöntem ve uygulamalarla ölçülmesi,
- dinamik bir süreç içerisinde modellenerek insanlar tarafından davranışa dönüştürülmesine dayanmalıdır.
Bu nedenle bilgi güvenliğinden bahsedebilmek için farkındalık kavramının öncelikli olarak gündeme alınması zorunluluk haline gelmiştir. Bu denli büyük hareket alanı olan siber saldırılar ve yarattığı etkiler; kişisel, kurumsal ve ulusal anlamda yapılan güvenlik yatırımları, ihtiyaçların giderilmesinde yönetim desteğinin arttırılmasına ortam sağlamaktadır. Ancak içerisinde farkındalık konusunda planlama yapılmayan güvenlik yatırımlarının yeterli olmayacağı da açıkça görülmektedir.
Bilgi güvenliğinin insan, teknoloji ve organizasyondan oluşan temelde üç sacayağı olduğu söylenir.
Bilgi güvenliği mekanizmalarını ise dört ana başlıkta toplayabiliriz. Bunlar;
- organizasyonel (politika, denetim, strateji vb.),
- teknolojik (biyometri, güvenlik duvarı, dijital imza vb.),
- insan merkezli (eğitim, kültür, farkındalık vb.)
- yasal (mevzuat, servis seviyesi anlaşmalar vb.) mekanizmalardan oluşmaktadır.
Gerek bileşenler gerekse bu bileşenlere yönelik alınabilecek tedbirler üzerine yapılan sınıflandırmalarda insanın en önemli bileşen olduğu görülmektedir. Günümüzde teknolojik, yasal ve organizasyon el alanlara yönelik birçok çalışma yapılırken insan üzerine çalışmalar ikinci planda tutulmaktadır. Ancak bu katmanlı yapının bilgi güvenliğine yönelik bilgi birikimi ve farkındalıkta yaşanan gelişimle beraber farklılaştığını söyleyebiliriz.
İnsan bilgi güvenliğinin bir katmanı ya da bileşeni olmaktan çıkarak bilgi güvenliğinin sağlanması için organizasyonun oluşturulması, yasal düzenlemelerin yapılması ve teknolojinin yönetilmesinde son derece etkin bir konuma gelmiş ve özetle diğer tüm katmanlara platform sağlar hale gelmiştir. Dolayısıyla insan katmanında oluşacak herhangi bir eksikliğin diğer tüm katmanları da etkisiz hale getireceğini rahatlıkla söyleyebiliriz.
Siber saldırılara yönelik bilgi ve farkındalık eksikliği olması durumunda insanın bulunduğu konum ve etki alanı doğrultusunda bilgi güvenliği zafiyetleri doğuracağı açıkça görülmektedir. Tüm teknoloji, altyapı, politik/standart/kanun ve denetim alanlarının başarısı insana bağlı olduğunu söyleyebiliriz. Dolayısıyla günümüzde insan bilgi güvenliğinin bir bileşeni olmaktan çıkmış güvenliğin ana unsuru ve tüm bileşenlerini etkiler hale gelmiştir. Saldırganların günümüzde teknolojik önlemleri aşmaya çalışmak yerine daha kolay ve maliyetsiz olduğu değerlendirilen sosyal mühendislik yöntemlerini sıklıkla kullanır hale gelmesi ve en önemli etken olan insan bileşenini zafiyete uğratması da bu tezi doğrulamaktadır.
Günümüzde bilgi güvenliğinin teknolojik bir çözümden ziyade teknolojik bir problem olduğuna yönelik paradigma değişimi, farkındalık kavramının öneminin daha da attırmaktadır. Özellikle kurumsal anlamda teknik alanlardan ziyade yönetimsel alanlara yoğunlaşması ve çalışanların farkındalık seviyesinin arttırılması kurumsal güvenlik anlamında daha iyi sonuçlar vermektedir. Bu nedenle bilgi güvenliği problemine yönelik davranışsal düşüncelere yönelik katkıların en az teknolojik çözümlere yapılan katkılar kadar önemli olduğunu söyleyebiliriz.
Sosyal mühendislik kavramının zararlı yazılımlarla bütünleşik saldırılara ortam hazırlamasıyla beraber insan faktörü yönetilmesi gereken en önemli bileşen haline dönüşmüştür
Siber Güvenlik farkındalık bir eğitim değildir ve farkındalık sunumlarının amacı dikkatin güvenlik üzerine yoğunlaştırılmasıdır. Farkındalık sunumları kişilerin BT güvenlik tehditlerinin tanıması ve uygun şekilde davranmasını hedefler. Özetle kişilerin sadece tehditlerin farkında olmasını değil uygun davranışları sergilemesi gerektiğini belirtmektedir. Kişinin tehditler doğrultusunda uygun davranışları seçmesi ise bilgi güvenliği algısı ile mümkün olmaktadır. Bu tanımlamalar doğrultusunda tehdit, algı, farkındalık ve davranış olarak 4 ana unsur bilgi güvenliği farkındalığının temel bileşenleri olup bu bileşenler aşağıda kısaca tanıtılmıştır.
Tehdit: Bilgi güvenliğinden bahsedebilmek için ilk olarak tehdidi kavramsal olarak açıklamak gerekir. Bu bağlamda tehdidi varlıklardaki açıklıkları kullanarak zarar verme potansiyeli, bir sistem ya da öznenin maruz kaldığı gizli tehlike ya da dış kaynaklı risk faktörleri, bir açıklığa karşı bir tehdit kaynağının başarılı işlem gerçekleştirme potansiyeli gibi farklı tanımlamalar ile açıklayabiliriz.
Ortak noktalar değerlendirilerek bir tanımlama yapmak gerekirse; bir sistemdeki açıklıkların kullanılarak bilgi varlıklarının bir kısmının sızdırılması ya da zarara uğratılması potansiyeli/ihtimali tehdit olarak tanımlanmaktadır. Tehdit kaynakları ise deprem, sel, toprak kayması gibi tehditleri içeren “doğal”, uzun süreli elektrik kesintileri, yıldırım gibi tehditleri içeren “çevresel” ve yanlış veri girişi, zararlı yazılımların yüklenmesi gibi “insan kaynaklı” tehditler olarak 3 ana başlıkta toplanmaktadır.
Kişisel, kurumsal ve ulusal bilgi güvenliği açısından değerlendirildiğinde saldırganlar ve kötü niyetli kullanıcılar dışında bilinçsiz ve dikkatsiz çalışanlar ya da kullanıcılar farkında olmadan birer tehdit kaynağı haline dönüşebilmektedir. Tehdidin tanınması farkındalığa temel teşkil etmektedir. Siber güvenlik tehditleri farklı kaynaklara sahip olsa da çok büyük bir bölümünü siber saldırılar oluşturmaktadır.
Siber Saldırı Yaşam Döngüsü : Günümüzde siber saldırılar sistemlerin sahip olduğu bilgi varlıklarının öneminin ve miktarının artmasıyla kabuk değiştirmiştir. Yabancı devletler, terörist gruplar, endüstriyel siber casuslar ve organize siber suçlular, siber eylemciler (hacktivist), bilgisayar korsanları (hackers) saldırılara kaynak teşkil etmektedir.
Saldırı ve tehditlerin artması ve çeşitlenmesine paralel olarak güvenlik önlemleri de artmakta, sistemlere erişim eskiye nazaran takım çalışması ve karmaşık bilgilerin çözülmesine yönelik işlemlerle gerçekleştirilmektedir. Sisteme erişimin zorlaşması saldırganların sistematik bir yöntem izlemesini de gerektirmektedir. Tehditleri anlamak ancak siber saldırılar gerçekleştirilirken kullanılan metotların ve adımların anlaşılması ile mümkün olabilir. Bu kapsamda 6 adımlı siber saldırı yaşam süreci ortaya konulmuştur. Siber saldırı yaşam sürecinin ilk iki adımını, çoğu zaman iç içe geçen bilgi toplama ve keşif oluşturmaktadır. Saldırganlar, sistemlere sızabilmek için sunucu tarama ve port tarama yöntemlerini kullanırlar. TCP Echo, UDP Echo, ICMP tarama ile bir ağda bulunan sunucuları belirlenirken; port tarama atakları ise, açık portların belirlenerek servisler üzerinden saldırı yapılmasına imkân tanır.
Açık kaynak kodlu araçlarla kolaylıkla port taraması yapılabilmektedir. NMAP birçok farklı port tarama tekniğini tek komutla yapmaya imkân tanımaktadır. Port tarama dışında sosyal mühendislik, whois sorguları, pasif saldırılar (ağa yerleşerek trafiğin izlenmesi, ağ topolojisinin çıkarılması vb.), ping okuma, google hacking, Shodan gibi arama motorları bilgi toplama ve keşif için etkin olarak kullanılmaktadır.
Zafiyetlerin taranması adımında ise sistemin açıklıklarının bulunmasına yönelik uygulamalar yapılmaktadır. Açıklık; istemeden/kazayla başlatılabilen ya da bilerek suistimal edilebilen zaaflar ya da “bir varlığı tehditlere karşı korumasız hale getiren her türlü unsur (sistem bileşenlerinden, güvenlik politika ve prosedürlerinin yokluğundan, yetersizliğinden veya uygulanmayışından, eksik veya hatalı sistem tasarım ve uygulamalarından, organizasyon yapısı, yönetici ve çalışanların bilgi birikimi ve tutumundan kaynaklı nedenler)” olarak tanımlanmaktadır. Açıklıkların tespitinden sonra saldırgan hedefin durumuna göre uygun stratejiyi belirler ve bu strateji doğrultusunda kullanacağı araçlara ve yöntemlere karar verir. Daha önceden tespit ettiği açıklıkları uygun araç ve yöntemlerle kullanarak sistemi ele geçirir ve istismar ederek istediği verileri elde eder. Bazen sistemin devre dışı bırakılması da istismarın bir çeşidi olabilmektedir. Burada önemli olan saldırganın elde etmek istediği kazanç/faydadır. Bir saldırının son adımı ise, sistemde yer alan saldırıya ilişkin izlerinin silinmesidir. Bir ağa ya da hedefe sızmayı başaran saldırgan, elde ettiği bilgiler ya da sisteme verdiği zararlar anlaşıldığında kendisine ulaşılmasını engellemek için sisteme bıraktığı izleri silmek isteyecektir.
Genel olarak bir saldırının yaşam döngüsünün anlaşılmasının tehdidin tanınması açısından önemli olduğu değerlendirilmektedir. Tehdidin tanınması kişilerin bir saldırı gerçekleşirken tespit edebilmesi ve farkındalığa ilişkin eylemlerinde daha bilinçli bir tutum sergilemesini sağlayacaktır.
Algı : Bilgi güvenliği kavramının içselleştirilerek davranışa dönüştürülmesinde bir diğer önemli bileşen algıdır. İnsan beyni, algıladığı ölçüde düşünür, düşündüğü ölçüde uygular. Algı, insan beyninin ana bölümlerinden biri ve insan davranışlarını anlamak için anahtar bileşen olarak değerlendirilmektedir. Bilgi güvenliği algısı ise kişinin bilgi güvenliğine yönelik tehditleri değerlendirerek davranışlarına karar vermesi olarak tanımlanmaktadır. Kişilerin bilgi güvenliği algısını modelleyebilmek için; bilgi, etki, şiddet, kontrol edilebilirlik, farkındalık ve mümkün lük olarak 6 faktörlü bir yapı önerilmiştir. Dolayısı ile algı ve farkındalık kavramları arasında sıkı bir ilişki bulunmaktadır. Algı yönetiminin çok daha fazla içeriğin daha fazla fayda ve daha az belirsizlik ile dış dünyadan edinilmesi ve kontrolünün geliştirilmesini işaret eden durumlar için uygun bir konsept olduğu belirtilmiştir. Bilgi güvenliğine ilişkin ortaya çıkan tehditlerin çeşitliliği, bilgi varlıklarının büyüklüğü gibi hususlar göz önüne alındığında algı yönetiminin bu alanda büyük katkı sağlayacağı görülmektedir. Etkin bir bilgi güvenliği farkındalık sürecinden bahsedebilmek için tehditlere uygun davranışların tespit edilebilmesi çok önemlidir. Bu da ancak bilgi güvenliği algısı ile gerçekleştirilebilmektedir.
Farkındalık : Bilgi güvenliği farkındalığı, bilgi güvenliğini riske atan faktörler ve söz konusu faktörlere karşı ne tür önlemler alınabileceğini kapsayan güvenlik politikalarından haberdar olunması şeklinde tanımlanmıştır. Bir başka deyişle kişisel, kurumsal ya da ulusal bilgi güvenliğinin sağlanabilmesi için bilgi güvenliğine yönelik tehditlerin ve sonucunda oluşabilecek durumların kavranmasıdır. Farkındalık özetle, kişinin tespit ettiği tehdit ve belirlediği karşı davranışların bileşkesi olarak tanımlanabilir. Kişi eğer kurumsal bir görevde ise tespit edilen tehdit kurum varlıkları ve yönetilen sistemleri, kişisel seviyede ise kişisel bilgi varlıklarının ve kullandığı cihazların maruz kalabileceği saldırıları kapsamaktadır. Bilgi güvenliği farkındalığı tehditlerinin algılanmasını takiben uygulanabilecek davranışların ve bu davranışların doğurabileceği sonuçların bir başka deyişle risklerin değerlendirilmesini kapsar. Bu değerlendirmeler, bilgi ya da deneyimlerle elde edilmiş birikimler doğrultusunda gerçekleştirilmektedir. Kişinin farkındalığı ne kadar yüksek ise karşılaştığı tehditlere ilişkin vereceği kararlar sonucun da kişisel, kurumsal ya da ulusal seviyede karşılaşılabilecek bilgi kayıpları azalacaktır.
Davranış : Bilgi güvenliği farkındalığının temel amacı, kullanıcıların bilgi teknolojilerinin kullanımı ile ilgili risklerin farkında olması ve bu riskleri gidermek için gerekli politika ve prosedürleri bilerek uygulamasıdır. Bu farkındalık sayesinde kullanıcılar karşısına çıkan kötücül uygulamalara, bağlantılara ve yazılımlara karşı davranışlarında bilinçli bir tutum sergileyerek saldırganların bilgi sızıntısı yapmasına ya da kullanıcının kendini zorda bırakabileceği, veri, itibar kaybedebileceği durumlara karşı kendini koruyabilir. Bir başka deyişle bireylerin bilgi güvenliğinin ne olduğunu ve neden önemli olduğunu bilmeleri teknolojik tüm önlemlere rağmen insanın bilgi güvenliğinin en uç noktasında bulunduğunun kavranması açısından önemlidir. Bilgi güvenliği politika ve prosedürlerinin uygulanması ise ancak kullanıcıların bu konuda göstereceği istek ile mümkün olmaktadır.
Farkındalık ve Davranış İlişkisi : Günümüzde kişisel, kurumsal ve ulusal olarak maddi, manevi kayıplara sebep olan bilgi güvenliği sızıntılarına çok büyük oranda farkındalık eksikliğinin sebep olduğu insan hataları temel teşkil etmektedir. Bu hataları;
- ihmal,
- yetki (işlemleri uygulamada gerçekleştirilen hatalar),
- sıralama
- zamanlama hataları olarak 4 gruba ayırabiliriz.
Bu hatalara ilişkin genel gözlem ise insanların sıklıkla davranışsal amaçlarına uygun olarak hareket etmedikleridir. Emniyet kemeri takma, sağlıklı beslenme gibi korumacı davranışlar söz konusu olduğunda insanlar güvenli olanı uygulamaya eğilimlidir, ancak sadece bazıları bu şekilde davranır. Bu da kullanıcı eğilimleri ile davranışları arasında bağlantının düşük olduğunu ortaya koymaktadır. Kişisel, kurumsal ve ulusal düzeyde siber saldırılara karşı sistemin en zayıf halkası olan insanın eğitilerek ve yetenekleri geliştirilerek hata payının en aza indirgenmesi için bazı tedbirler alınabilir. Bu tedbirlerin alınmasında amaç insan unsurunun;
- Bilgisini (insanlar ne biliyor),
- Tavırlarını (insanlar ne düşünüyor),
- Davranışlarını (insanlar ne yapıyor) değiştirebilmek ve geliştirebilmek olmalıdır.
Bilgi güvenliğinde davranışsal sonuçlara ulaşılabilmesi için ise basamaklı bir yapının kişilerin zihninde oluşturulması gerekmektedir. Söz konusu basamaklı yapıda siber ortamda yer alan tehditler t ile sembolize edilmiş olup her geçen gün farklılaşan ve sayı olarak artan siber saldırıları kapsadığından sonsuz sayıda bulunmaktadır. Tehditlere karşı üretilecek davranışlar ise d ile sembolize edilmiş olup bir tehdide karşı uygulanabilecek davranışlar içinde bulunulan durum, algı ve farkındalık gibi parametrelere göre değişkenlik göstereceğinden sonsuz sayıdadır. Öncelikle kişinin korumakla sorumlu olduğu bilgi varlıkları ve sistemleri belirleyerek maruz kalabileceği değerlendirilen tehdit kaynaklarınca oluşturulabilecek tehditlerin belirlenmesi gerekmektedir. Tehdidin algılanması ise ikinci adımı oluşturmaktadır. Bilgi varlıklarına yönelik saldırı evreninde yer alan tehditlerden kendi varlıklarına yönelik olanları seçebilmesi gerekmektedir. Bu şekilde tehdidin algılanması sonrasında kişi sahip olduğu farkındalık derecesine göre tehdidin ortaya çıkarabileceği riskleri ve sonuçlarını ve bu riskin giderilmesine yönelik gerçekleştirmesi gereken davranışa karar verir. Son olarak bu davranışın gerçekleştirilmesi ile süreç tamamlanır. Kişisel, kurumsal ve ulusal düzeyde bilgi güvenliğinden bahsedebilmek için tüm bireylerin algıladığı tehditlere uygun davranışlarla cevap vermesi gerekmektedir. Uygun davranış gerçekleştirilmediği takdirde kişinin tehditleri tespit etmesi, riskleri ve bu riskleri gidermek için yapması gerekenleri bilmesinin hiçbir anlamı olmayacak, saldırı gerçekleşecektir.
Trafikteki tehditleri düşündüğümüzde diğer araçlar, hava durumu, yabani hayvanlar, aracımızda meydana gelebilecek arızalar gibi birçok tehdit belirleyebiliriz. Aracın kullanıldığı gün havanın yağışlı olması, öndeki araç ile olan takip mesafesinin olması gerekenden kısa olduğunun algılanması sonrasında kişi farkındalık sahibi ise algıladığı tehditlere yönelik yapması gerekenlere karar verebilir. Örnek olarak yağışlı havanın takip mesafesinde meydana getireceği değişimlerin farkında olan bir kullanıcı takip mesafesini arttırma, sürati azaltma, şerit değiştirme gibi aynı tehdidi ortadan kaldırabilecek birçok farklı davranıştan birini seçerek uyguladığı takdirde oluşabilecek kazaların önüne geçecektir. Burada kişinin bilgisi, algısı ve farkındalığı ne kadar yüksek olursa olsun davranışa çevirmediği takdirde sonuç olumsuz olacaktır.
Benzer şekilde bilgisayarına virüs bulaşması durumunda veri kaybı yaşayabileceğini, virüslerden nasıl korunabileceğini bilen bir kişi gerekli önlemleri uygulamadığı takdirde veri kaybını yaşayacaktır. Dolayısıyla etkin bir bilgi güvenliğinden bahsedebilmek için Şekil deki adımlarda olduğu gibi sürecin davranış ile son bulması gerekmektedir.
Genel kabul olarak benzer tehditler için benzer davranışlar sergilenmesi gerekirken her bir tehdit için kişinin çalışma ortamı, kurumun öncelikleri, hedef sistemin değeri gibi durumlar göz önüne alındığında tamamen farklı davranışların da çıktı olması mümkündür. Trafikte araç takip mesafesini düşündüğümüzde aracın özellikleri, hava durumu gibi koşullar doğrultusunda takip mesafesinin arttırılması gerektiği durumlar ortaya çıkabilir. Bunun yanı sıra kişisel tecrübe, bilgi seviyesi ve diğer birçok faktör tehditlerin algılanmasında farklılıklar yaratabilecektir. Çoğu zaman bir siber saldırının birçok farklı önleme yöntemi bulunmaktadır. Bu nedenle kişiler farklı tehditler için kendi farkındalık ve algı seviyelerine göre farklı davranışlar geliştirmelidir. Bunun için de tehdidi doğru algılamak, farkında olmak en önemli noktadır. Farkındalığın sadece bir seviyede ve şekilde olmayacağı açıktır.
Farkındalık Ölçüm Yöntem ve Modelleri : Önceki başlıklarda farkındalığın önemi, bileşenleri ve davranış ile olan ilişkisi ortaya konulmuştur. Farkındalığının siber güvenliğin etkin bir unsuru olarak davranışa dönüşebilmesi için farkındalığın yönetilmesi gerekmektedir. Etkin bir farkındalık yönetiminden bahsedebilmek ancak, farkındalık seviyesinin periyodik ölçümlerle tespit edilmesi, elde edilen sonuçların analiz edilerek tespit edilen eksikliklerin giderilmesine yönelik farklı yöntemlerden faydalanılarak doğrultusunda gelişim sağlanması ile mümkündür.
Farkındalığın ölçülmesi ve kavramsal olarak modellenmesi ile bilgi güvenliği farkındalık seviyesinin dolayısıyla da güvenlik seviyesinin etkin bir şekilde arttırılabileceği değerlendirilmektedir.
Farkındalık çok farklı bilgi birikimi, yetenek, bakış açısı ve yüksek bilinç sahibi olmayı, sahip olunan bilgi varlıklarının değerini bilmeyi, değeri ölçüsünde ise korumayı gerektirmektedir.
Farkındalığı yüksek olan bir kişinin bunu davranışa dönüştürmediği takdirde alınan tüm teknolojik tedbirlere rağmen bilgi güvenliği ihlallerinin gerçekleştiği görülmektedir. Farkındalığın farkında olmak, yapılanları veya yapılması gerekenlerin davranışa dönüştürülmesi ve kurallaştırılması ile sağlanabilmektedir.
Bunun sağlanabilmesi için ise bir konuyu bilmek yetmemektedir. Bilineni kurallaştırmak ve o kuralları da uygulamak gerekmektedir. Farkındalığın etkin bir şekilde davranışa dönüştürülmesi, farkındalık seviyesinin doğru bir şekilde ölçülmesi, kavramsal bir model doğrultusunda dinamik olarak farkındalık seviyesinin arttırılması ve bilgi işlenen tüm alanlarda uygulanması ile mümkün olabilecektir.
Günümüzde ağırlıklı olarak teknolojik önlemlere yönelik çalışmalar yapıldığı, farkındalığa yönelik akademik çalışmaların ise son derece kısıtlı olduğu görülmektedir. Bu alanda yeni çalışmaların yapılması, farklı seviyelerde modellerin geliştirilmesi ve bu modellerin uygulanması ve iyileştirilmesi gerektiği görülmüştür. Yüksek seviyede bir siber güvenliğin veya korumanın sağlanması açısından bu çalışmalar son derece faydalı olacaktır. Ayrıca, kavramsal olgunluğun oluşması ve sonrasında ortaya konulan modellerin, kullanıcının günlük yaşantısında kullandığı akıllı sistemlerle entegre edilmesine yönelik çalışmalar yapılmalıdır.
Farkındalık yöntemleri ve modelleri genel olarak değerlendirildiğinde;
- Başarılı bir farkındalık modelinin ancak tüm seviyelerde (kişisel, kurumsal ve ulusal) uygulanabilecek bir model olması,
- Bilgi güvenliğinin doğası gereği dinamik (döngü) bir model olması gerektiği,
- Model adımlarının içeriklerinin net bir şekilde ortaya konulması,
- Bilgi varlıkları ile doğru orantılı bir farkındalık seviyesine ulaşmayı amaçlaması gibi unsurları içerisinde barındırması gerektiği değerlendirilmektedir.
- Ülkemizdeki genel durum değerlendirildiğinde;
- Siber güvenlik farkındalığımızın düşük olduğu,
- Farklı seviyelerde güvenlik farkındalığı gibi bir konunun farkında olunmadığı,
- Farkındalık modellerinin bilinmediği, anket haricinde bir modelin kullanılmadığı veya uygulanmadığı
- Farkındalığın henüz davranışa dönüştürülemediği ve dönüştürmek içinde çok çaba harcanılmadığı,
- Akademik olarak konunun kapsamlı olarak araştırılmadığı, bu konuda yeteri kadar akademik çalışmanın bulunmadığı,
- Yapılan araştırmalarda ise konunun önemi ve kapsamı dikkate alındığında gereken önemin verilmediği
değerlendirilmektedir.