DEVELOPMENT OF INFORMATION SECURITY AWARENESS SCALE
Year 2015,
Volume: 23 Issue: 3, 1167 - 1184, 15.09.2015
Hafize Keser
Can Güldüren
Abstract
The purpose of the this study is to develop an “information security awareness scale” for faculty members to determine the level of information securty awareness. The study was con-ducted with 363 faculty members working in various higher education institutions in Turkey. As a result of exploratory factor analysis, it was determined that the scale consists of 34 items and 2 subscales (‘attacks and threats’ and ‘the protection of personal data’). Confirmatory factor analysis was conducted with randomly selected group of 200 academicians among participants. Two-factor structure was confirmed. Cronbach’s alpha reliability coefficient is .97 forthe entire scale; .94, .97, respectively, for each subscale. Consequently in this study, a valid and reliable instrument that can be used to determine the level of information security awareness of faculty members has been developed.
References
- Acılar, A. (2009). İşletmelerde Bilgi Güvenliği ve Örgüt Kültürü. Organizasyon ve Yönetim Bilimleri Dergisi, I(1), 25-33.
- Brown, T. A. (2006). Confirmatory factor analysis for applied research. New York: Guilford.
- Byrne, B. M. (1994). Structural equation modeling with EQS and EQS/Windows: Basic con- cepts, applications, and programming. Thousand Oaks, CA: Sage.
- Büyüköztürk, Ş. (2002). Faktör Analizi: Temel Kavramlar ve Ölçek Geliştirmede Kullanımı. Kuram ve Uygulamada Eğitim Yönetimi. Cilt 32, 470-483.
- Büyüköztürk, Ş. (2011). Sosyal bilimler için veri analizi el kitabı. Ankara: Pegem Akademi Yayıncılık.
- Caruso, J. B. (2003). Information Technology Security: Governance, Strategy, and Practice in Higher Education. Wisconsin, Madison: EDUCAUSE Center For Applied Research ECAR. Retrieved from http://net.educause.edu/ir/library/pdf/EKF/ekf0305.pdf
- Chen, C. C., Shaw, R., and Yang, S. C. (2006). Mitigating Information Security Risks By Inc- reasing User Security Awareness: A Case Study Of An Information Security Awareness System. Information Technology, Learning and Performance Journal, 24(1), 1-14.
- Çakmak, E.Kılıç, Çebi, A. ve Kan, A. (2014). E-öğrenme Ortamlarına Yönelik”Sosyal Bulunuşluk Ölçeği” Geliştirme Çalışması. Kuram ve Uygulamada Eğitim Bilimleri, 14(2), 755-768.
- Çokluk, Ö., Şekercioğlu, G. ve Büyüköztürk, Ş. (2010). Sosyal bilimler için çok değişkenli istatistik SPSS ve LISREL uygulamaları. Ankara: Pegem Akademi.
- Cox, A., Connolly, S., and Currall, J. (2001). Raising Information Security Awareness In The Academic Setting, VINE, Vol.31 Iss:2, pp.11-16, Glasgow, United Kingdom. doi: 10.1108/03055720010803961
- Foster, A. L. (2004). Insecure and Unaware. Chronicle of Higher Education, 50(35), 33-35.
- Gülmüş, M. (2010). Kurumsal bilgi güvenliği yönetim sistemleri ve güvenliği. (Yüksek Li- sans Tezi, Yıldız Teknik Üniversitesi, Elektrik Mühendisliği Anabilim Dalı, İstanbul). http://tez2.yok.gov.tr/ adresinden edinilmiştir.
- Jöreskog, K. G., and Sörbom, D. (1993). LISREL 8: Structural equation modeling with the SIMPLIS command language. Chicago: SSI Scientific Software International Inc.
- Kass, R. A., and Tinsley, H. E. A. (1979). Factor analysis. Journal of Leisure Research, 11, 120-138.
- Keser, H. ve Kavuk, M. (2015). Okulda siber zorbalık farkındalık anketinin geliştirilmesi. Kastamonu Eğitim Dergisi, 23(1), 17-30.
- Kjorvik, H. (2010). Implementing and improving awareness in information security. (Master’s thesis, University of Agder, Faculty of Engineering and Science, Grimstad). Retrieved from http://brage.bibsys.no/
- Kline, P. (1994). An easy guide to factor analysis. New York: Routledge.
- Kline, P. (2000). The Handbook of Psychological Testing (2nd Edition). London and New- york: Routledge.
- Kritzinger, E., and Smith, E. (2008). Information security management:An information se- curity retrieval and awareness model for industry. Computer and Security, 27, 224-231.
- Kruger, H., and Kearney, W. D. (2006). A prototype for assessing information security aware- ness. Computer and Security, 25, 289-296.
- Lawshe, C. H. (1975). Aquantitative approach to content validity. Personnel Psychology, 28, 563–575.
- Mahabi, V. (2010). Information security awareness: System administrators and end-user pers- pectives at Florida State University.(Doctoral dissertation, The Florida State University, College of Communication and Information, Florida). Retrieved from http://diginole.lib. fsu.edu/etd/2798/
- Mathisen, J. (2004). Measuring information security awareness - A survey showing the Nor- wegian way to do it.( Master’s thesis, Gjovik University, College Institutionen for Data- och Systemvetenskap, Hogskolen). Retrieved from http://brage.bibsys.no/
- Nunnally, J. C. (1978). Psychometric testing. New York: McGraw-Hill.
- Nunnally, J. C., and Bernstein, I. (1994). Psychometric theory. New York: McGraw-Hill.
- Özcan, B. (2009). Kurumsal bilgi güvenliği ve COBIT. (Yüksek lisans tezi, Haliç Üniversitesi, Yönetim Bilişim Sistemleri Anabilim Dalı, İstanbul). http://tez2.yok.gov.tr/ adresinden edinilmiştir.
- Penmetsa, M. K. (2010). A methodology for measuring information security maturity in Nor- wegian and Indian MSME’s with special focus on people factor. (Master’s thesis, Gjovik University, College Department of Computer Science and Media Technology, Hogsko- len). Retrieved from http://brage.bibsys.no/
- Puhakainen, P. (2006). A Design theory for information security awareness. (Master’s thesis, Acta University of Oulu, Faculty of Science Department of Information Processing Sci- ence, Oulu). Retrieved from http://herkules.oulu.fi
- Rezgui, Y., and Marks, A. (2008). Information security awareness in higher education: An exploratory study. Computer and Security, 27, 241-253.
- Siponen, M. T. (2001, June). Five Dimensions Of Information Security Awareness. Computer and Society, s. 24-29.
- Sümer, N. (2000). Yapısal eşitlik modelleri: Temel kavramlar ve örnek uygulamalar. Türk Psikoloji Yazıları, 3(6), 49-74.
- Şahinaslan, E., Kandemir, R. ve Şahinaslan, Ö. (2009). Bilgi Güvenliği Farkındalık Eğitimi Örneği. Akademik Bilişim İ09 - XI.Akademik Bilişim Konferansı Bildirileri, (s. 189- 194). Urfa.
- Şahinaslan, E., Kantürk, A., Şahinaslan, Ö. ve Borandağ, E. (2009). Kurumlarda Bilgi Güvenliği Farkındalığı, Önemi ve Oluşturma Yöntemleri. Akademik Bilişim İ09 - XI.Akademik Bilişim Konferansı Bildirileri, (s. 597-602). Şanlıurfa.
- Şimşek, Ö. F. (2007). Yapısal Eşitlik Modellemesine GirişTemel İlkeler ve LISREL Uygulamaları. Ankara: Ekinox.
- Tabachnick, B.G. and Fidel, L.S. (2001). Using multivariate statistics. MA: Allyn and Bacon, Inc.
- Tavşancıl, E. (2005). Tutumların ölçülmesi ve SPSS ile veri analizi. Ankara: Nobel.
- Thompson, B. (2004). Exploratory and confirmatory factor analysis: Understanding con- cepts and applications. Washington, DC: American Psychological Association.
- Tsohou, A., Kokolakis, S., Karyda, M., and Kiountouzis, E. (2008). Investigating Information Security Awareness: Research and Practice Gaps. Information Security Journal: A Global Perspective, 207-227.
- Vardal, N. (2009). Yükseköğretimde bilgi güvenliği: Bilgi güvenlik yönetim sistemi için bir model önerisi ve uygulaması. (Doktora Tezi, Gazi Üniversitesi, Eğitim Bilimleri Ana Bi- lim Dalı, Ankara). http://tez2.yok.gov.tr/ adresinden edinilmiştir.
- Veiga, A. d. (2008). Cultivating and assessing information security culture. (Doctoral dis- sertation, University of Pretoria, Faculty of Engineering, Built Environment and Infor- mation Technology, Pretoria). Retrieved from http://upetd.up.ac.za/thesis/available/etd- 04242009-165716/
- Veneziano L. ve Hooper J. (1997). Amethod for quantifying content validity of health-related questionnaires. American Journal of Health Behavior, 21(1):67-70.
- Vural, Y. (2007). Kurumsal bilgi güvenliği ve sızma (penetrasyon) testleri. (Yüksek lisans tezi, Gazi Üniversitesi, Bilgisayar Mühendisliği Anabilim Dalı, Ankara). http://tez2.yok. gov.tr/ adresinden edinilmiştir.
- Vural, Y. ve Sağıroğlu, Ş. (2011). Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler. Mühendislik Mimarlık Fakültesi Dergisi, 26(1), 89-103.
- Zwick, W. R., & Velicer, W. F. (1986). Comprasion of five rules for determining the number ofcomponents to retain. Psychological Bulletin, 99(3),432-442.
BİLGİ GÜVENLİĞİ FARKINDALIK ÖLÇEĞİ (BGFÖ) GELİŞTİRME
Year 2015,
Volume: 23 Issue: 3, 1167 - 1184, 15.09.2015
Hafize Keser
Can Güldüren
Abstract
Bu çalışmanın amacı, yükseköğretim kurumlarında çalışan öğretim elamanlarının bilgi güvenliği farkındalık düzeylerini belirlemeye yönelik bir ölçek geliştirmektir. Araştırma, Türkiye’de çeşitli yükseköğretim kurumlarında görev yapan 363 öğretim elemanıyla gerçekleş- tirilmiştir. Açımlayıcı faktör analizi sonucunda, ölçeğin 34 madde ve 2 alt boyuttan (“saldırı ve tehditler” ile “kişisel verilerin korunması” ) oluştuğu belirlenmiştir. Katılımcılar arasından rastgele seçilen 200 kişilik grup üzerinde yapılan doğrulayıcı faktör analizi sonucunda 2 faktörlü yapı doğrulanmıştır. Ölçeğin tamamı için Cronbach alfa güvenirlik katsayısı .97; her alt boyut için sırasıyla.97 ile .94’tür. Bu çalışma sonucunda yükseköğretim kurumlarındaki öğretim elemanlarının bilgi güvenliği farkındalık düzeylerini belirlemek için kullanılabilecek geçerli ve güvenilir bir ölçek geliştirilmiştir
References
- Acılar, A. (2009). İşletmelerde Bilgi Güvenliği ve Örgüt Kültürü. Organizasyon ve Yönetim Bilimleri Dergisi, I(1), 25-33.
- Brown, T. A. (2006). Confirmatory factor analysis for applied research. New York: Guilford.
- Byrne, B. M. (1994). Structural equation modeling with EQS and EQS/Windows: Basic con- cepts, applications, and programming. Thousand Oaks, CA: Sage.
- Büyüköztürk, Ş. (2002). Faktör Analizi: Temel Kavramlar ve Ölçek Geliştirmede Kullanımı. Kuram ve Uygulamada Eğitim Yönetimi. Cilt 32, 470-483.
- Büyüköztürk, Ş. (2011). Sosyal bilimler için veri analizi el kitabı. Ankara: Pegem Akademi Yayıncılık.
- Caruso, J. B. (2003). Information Technology Security: Governance, Strategy, and Practice in Higher Education. Wisconsin, Madison: EDUCAUSE Center For Applied Research ECAR. Retrieved from http://net.educause.edu/ir/library/pdf/EKF/ekf0305.pdf
- Chen, C. C., Shaw, R., and Yang, S. C. (2006). Mitigating Information Security Risks By Inc- reasing User Security Awareness: A Case Study Of An Information Security Awareness System. Information Technology, Learning and Performance Journal, 24(1), 1-14.
- Çakmak, E.Kılıç, Çebi, A. ve Kan, A. (2014). E-öğrenme Ortamlarına Yönelik”Sosyal Bulunuşluk Ölçeği” Geliştirme Çalışması. Kuram ve Uygulamada Eğitim Bilimleri, 14(2), 755-768.
- Çokluk, Ö., Şekercioğlu, G. ve Büyüköztürk, Ş. (2010). Sosyal bilimler için çok değişkenli istatistik SPSS ve LISREL uygulamaları. Ankara: Pegem Akademi.
- Cox, A., Connolly, S., and Currall, J. (2001). Raising Information Security Awareness In The Academic Setting, VINE, Vol.31 Iss:2, pp.11-16, Glasgow, United Kingdom. doi: 10.1108/03055720010803961
- Foster, A. L. (2004). Insecure and Unaware. Chronicle of Higher Education, 50(35), 33-35.
- Gülmüş, M. (2010). Kurumsal bilgi güvenliği yönetim sistemleri ve güvenliği. (Yüksek Li- sans Tezi, Yıldız Teknik Üniversitesi, Elektrik Mühendisliği Anabilim Dalı, İstanbul). http://tez2.yok.gov.tr/ adresinden edinilmiştir.
- Jöreskog, K. G., and Sörbom, D. (1993). LISREL 8: Structural equation modeling with the SIMPLIS command language. Chicago: SSI Scientific Software International Inc.
- Kass, R. A., and Tinsley, H. E. A. (1979). Factor analysis. Journal of Leisure Research, 11, 120-138.
- Keser, H. ve Kavuk, M. (2015). Okulda siber zorbalık farkındalık anketinin geliştirilmesi. Kastamonu Eğitim Dergisi, 23(1), 17-30.
- Kjorvik, H. (2010). Implementing and improving awareness in information security. (Master’s thesis, University of Agder, Faculty of Engineering and Science, Grimstad). Retrieved from http://brage.bibsys.no/
- Kline, P. (1994). An easy guide to factor analysis. New York: Routledge.
- Kline, P. (2000). The Handbook of Psychological Testing (2nd Edition). London and New- york: Routledge.
- Kritzinger, E., and Smith, E. (2008). Information security management:An information se- curity retrieval and awareness model for industry. Computer and Security, 27, 224-231.
- Kruger, H., and Kearney, W. D. (2006). A prototype for assessing information security aware- ness. Computer and Security, 25, 289-296.
- Lawshe, C. H. (1975). Aquantitative approach to content validity. Personnel Psychology, 28, 563–575.
- Mahabi, V. (2010). Information security awareness: System administrators and end-user pers- pectives at Florida State University.(Doctoral dissertation, The Florida State University, College of Communication and Information, Florida). Retrieved from http://diginole.lib. fsu.edu/etd/2798/
- Mathisen, J. (2004). Measuring information security awareness - A survey showing the Nor- wegian way to do it.( Master’s thesis, Gjovik University, College Institutionen for Data- och Systemvetenskap, Hogskolen). Retrieved from http://brage.bibsys.no/
- Nunnally, J. C. (1978). Psychometric testing. New York: McGraw-Hill.
- Nunnally, J. C., and Bernstein, I. (1994). Psychometric theory. New York: McGraw-Hill.
- Özcan, B. (2009). Kurumsal bilgi güvenliği ve COBIT. (Yüksek lisans tezi, Haliç Üniversitesi, Yönetim Bilişim Sistemleri Anabilim Dalı, İstanbul). http://tez2.yok.gov.tr/ adresinden edinilmiştir.
- Penmetsa, M. K. (2010). A methodology for measuring information security maturity in Nor- wegian and Indian MSME’s with special focus on people factor. (Master’s thesis, Gjovik University, College Department of Computer Science and Media Technology, Hogsko- len). Retrieved from http://brage.bibsys.no/
- Puhakainen, P. (2006). A Design theory for information security awareness. (Master’s thesis, Acta University of Oulu, Faculty of Science Department of Information Processing Sci- ence, Oulu). Retrieved from http://herkules.oulu.fi
- Rezgui, Y., and Marks, A. (2008). Information security awareness in higher education: An exploratory study. Computer and Security, 27, 241-253.
- Siponen, M. T. (2001, June). Five Dimensions Of Information Security Awareness. Computer and Society, s. 24-29.
- Sümer, N. (2000). Yapısal eşitlik modelleri: Temel kavramlar ve örnek uygulamalar. Türk Psikoloji Yazıları, 3(6), 49-74.
- Şahinaslan, E., Kandemir, R. ve Şahinaslan, Ö. (2009). Bilgi Güvenliği Farkındalık Eğitimi Örneği. Akademik Bilişim İ09 - XI.Akademik Bilişim Konferansı Bildirileri, (s. 189- 194). Urfa.
- Şahinaslan, E., Kantürk, A., Şahinaslan, Ö. ve Borandağ, E. (2009). Kurumlarda Bilgi Güvenliği Farkındalığı, Önemi ve Oluşturma Yöntemleri. Akademik Bilişim İ09 - XI.Akademik Bilişim Konferansı Bildirileri, (s. 597-602). Şanlıurfa.
- Şimşek, Ö. F. (2007). Yapısal Eşitlik Modellemesine GirişTemel İlkeler ve LISREL Uygulamaları. Ankara: Ekinox.
- Tabachnick, B.G. and Fidel, L.S. (2001). Using multivariate statistics. MA: Allyn and Bacon, Inc.
- Tavşancıl, E. (2005). Tutumların ölçülmesi ve SPSS ile veri analizi. Ankara: Nobel.
- Thompson, B. (2004). Exploratory and confirmatory factor analysis: Understanding con- cepts and applications. Washington, DC: American Psychological Association.
- Tsohou, A., Kokolakis, S., Karyda, M., and Kiountouzis, E. (2008). Investigating Information Security Awareness: Research and Practice Gaps. Information Security Journal: A Global Perspective, 207-227.
- Vardal, N. (2009). Yükseköğretimde bilgi güvenliği: Bilgi güvenlik yönetim sistemi için bir model önerisi ve uygulaması. (Doktora Tezi, Gazi Üniversitesi, Eğitim Bilimleri Ana Bi- lim Dalı, Ankara). http://tez2.yok.gov.tr/ adresinden edinilmiştir.
- Veiga, A. d. (2008). Cultivating and assessing information security culture. (Doctoral dis- sertation, University of Pretoria, Faculty of Engineering, Built Environment and Infor- mation Technology, Pretoria). Retrieved from http://upetd.up.ac.za/thesis/available/etd- 04242009-165716/
- Veneziano L. ve Hooper J. (1997). Amethod for quantifying content validity of health-related questionnaires. American Journal of Health Behavior, 21(1):67-70.
- Vural, Y. (2007). Kurumsal bilgi güvenliği ve sızma (penetrasyon) testleri. (Yüksek lisans tezi, Gazi Üniversitesi, Bilgisayar Mühendisliği Anabilim Dalı, Ankara). http://tez2.yok. gov.tr/ adresinden edinilmiştir.
- Vural, Y. ve Sağıroğlu, Ş. (2011). Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler. Mühendislik Mimarlık Fakültesi Dergisi, 26(1), 89-103.
- Zwick, W. R., & Velicer, W. F. (1986). Comprasion of five rules for determining the number ofcomponents to retain. Psychological Bulletin, 99(3),432-442.