İŞLETMELERDE BİR BİLGİ GÜVENLİĞİ TEHDİDİ OLARAK SOSYAL MÜHENDİSLİK

Abstract

Günümüzde bilgi ve iletişim teknolojileri işletmelerin iş süreçlerinde çok önemli bir hale gelmiştir. Fakat, özellikle internetin kullanımının yaygınlaşmaya başlamasıyla müşteri bilgilerinin ve işletme sırlarının başkaları tarafından ele geçirilmesi, sayısal verilerin değiştirilmesi, veri hırsızlığı, bilgisayar virüsleri ve korsanlar gibi güvenlik tehditleri de artmıştır. Ayrıca, birçok sektörde bu teknolojilerin çeşitli nedenlerle belli bir süre çalışmaması işletmeler için büyük zararlara sebebiyet verebilmektedir. Günümüz bilgi ve iletişim teknolojileri ve sistemleri birçok güvenlik tehdidi ile karşı karşıyadır. Bu tehditlerden bazısı yazılım ve donanım gibi teknik unsurları içerirken, bilgi güvenliğinde en önemli tehdit unsurlarından birisi olarak insan faktörü kabul edilmektedir. İşletme içinde çalışan insanlar birçok açıdan bilgi güvenliğini tehdit edebilmektedir. Bunlardan birisi de sosyal mühendisliktir. Bu çalışmada işletmelerde bir bilgi güvenliği tehdidi olarak sosyal mühendislik ele alınmaktadır. İşletmelerin sosyal mühendislik tehdidi ile karşılaşabileceği durumlar ve bunlara karşı uygulanabilecek önlemler ele alınmaktadır

Keywords

• Sosyal mühendislik, bilgi güvenliği, insan faktörü

SOCIAL ENGINEERING: AN INFORMATION SECURITY THREAT IN ENTERPRISES

Abstract

Today, information and communication technologies (ICTs) have become very important tools in business processes. However, especially with the widespread use of the Internet, security threats have also increased, such as customer information and business secrets fraud, changing the digital data easily, data theft, viruses and hackers etc. Furthermore, in many sectors if ICTs do not work a certain amount of time for various reasons, this failure can lead to large losses for the companies. ICTs and information systems in today are faced with many security threats. Whereas some of these security threats are related to technical issues such as software and hardware, human factor is considered as one of the most important security threats. Business employees are accepted as a source of many information security threats. One of these threats is social engineering. This study discusses social engineering as an information security threat in enterprises. Social engineering situations faced by enterprises and measures taken against them are discussed

Keywords

• Social engineering, information security, human factor

References

1. Acılar, A. (2009, a). İşletmelerde Bilgi Güvenliği ve Örgüt Kültürü, Organizasyon ve Yönetim Bilimleri Dergisi, 1(1), 25-33.
2. Acılar, A. (2009, b). KOBİ’lerde Bilişim Teknolojileri Güvenliği Sorunu: Tehditler ve Önlemler, Afyon Kocatepe Üniversitesi, İ.İ.B.F. Dergisi, (1), 1-16.
3. Conteh, N. Y. & Schmick, P. J. (2016). Cybersecurity: risks, vulnerabilities and countermeasures to prevent social engineering attacks,
4. International Journal of Advanced Computer Research, 6(23), 31-38. Eminağaoğlu, M. & Gökşen, Y. (2009). Bilgi Güvenliği Nedir, Ne Değildir, Türkiye'de Bilgi Güvenliği Sorunları ve Çözüm Önerileri, Dokuz Eylül
5. Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 11(4), 01-15. Ferreira, A. & Lenzini, G. (2015). An Analysis of Social Engineering Principles in Effective Phishing, 2015 Workshop on Socio-Technical
6. Aspects in Security and Trust, 9-16, 13 July 2015, Verona, Italy.
7. Internet World Stats, Internet in Europe Stats, http://www.internetworldstats.com/stats4.htm Erişim Tarihi: 21.03.2016.
8. Johnson, M. E. & Goetz, E. (2007). Embedding Information Security into the Organization, IEEE Security & Privacy, May/June 2007, 16–24.

9. Krombholz K., Hobel H., Huber M. & Weippl E. (2014). Advanced social engineering attacks, SBA Research, Favoritenstraße 16, AT-1040 Vienna, Austria.
10. Laudon, K. C. & Laudon, J. P. (2011). Yönetim Bilişim Sistemleri Dijital İşletmeyi Yönetme. U. Yozgat (Çev). 12. Basım. Nobel Yayınları, Ankara.
11. Long, J. (2008). No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Syngress.
12. Luo, X., Brody, R., Seazzu, A. & Burd, S. (2011). Social Engineering: The Neglected Human Factor for Information Security Management,
13. Information Resources Management Journal, 24(3), 1-8. Mellado, D., Fernández-Medina, E. & Piattini, M. (2007). A common criteria based security requirements engineering process for the development of secure information systems, Computer Standards & Interfaces, 29, 244-253. Milli http://ayrancicpl.meb.k12.tr/meb_iys_dosyalar/70/02/320095/dosyalar/2014_10/07110159_agvenlii.pdf Erişim Tarihi: 15.04.2016. Bakanlığı Bilişim Teknolojileri- Ağ Güvenliği (2013).
14. Mitnick, K. (2009). Aldatma Sanatı, (çeviren: N. E. Tezcan) ODTÜ Geliştirme Vakfı Yayıncılık ve İletişim A.Ş., Ankara.
15. Parsons, K., McCormac, A., Butavicius, M. & Ferguson, L. (2010). Human Factors and Information Security: Individual, Culture and Security
16. Environment, Report published by Defence Science and Technology Organisation, DSTO-TR-2484, Edinburgh South Australia, 5111,
17. Australia. http://dspace.dsto.defence.gov.au/dspace/bitstream/1947/10094/1/DSTO-TR-2484%20PR.pdf Erişim Tarihi: 22.08.2015
18. Rao, U. H. & Nayak, U. (2014). The InfoSec Handbook An Introduction to Information Security, Apress Open.
19. Schneier, B. (2000). Secrets and Lies: Digital Security in a Networked World, Indianapolis, IN: Wiley Publishing, Inc.
20. Spinapolice M. (2011). Mitigating the Risk of Social Engineering Attacks By Matthew Spinapolice, Thesis submitted in partial fulfillment of the requirements for the degree of Master of Science in Master of Science in Networking and System Administration Rochester Institute of
21. Technology B. Thomas Golisano College of Computing and Information Sciences 11/1, Advisor JOHNSON Daryl, http://scholarworks.rit.edu/theses/394/ Erişim Tarihi: 26.04.2016
22. Thomson, K. L., Solms, R. & Louw, L. (2006). Cultivating an organizational information security culture, Computer Fraud & Security, 10, 7-11.
23. TÜBİTAK BİLGEM (2008), Sosyal Mühendislik Saldırıları, http://www.bilgiguvenligi.gov.tr/sosyal-muhendislik/sosyal-muhendislik-saldirilari- html Erişim Tarihi: 10.04.2016.
24. TÜBİTAK BİLGEM, Bilgi Güvenliği Ne Demektir? http://www.bilgimikoruyorum.org.tr/?b121_bilgi-guvenligi-ne-demektir Erişim Tarihi: 05.2016.
25. TÜİK (2015). Hanehalkı Bilişim Teknolojileri Kullanım Araştırması, http://www.tuik.gov.tr/PreTablo.do?alt_id=1028 Erişim Tarihi: 02.2016. Türkiye http://www.tbd.org.tr/userfiles/4/zeynep/egitim_bgys_sunum.pdf Erişim Tarihi: 05.04.2016. Ankara Şubesi Eğitim Etkinliği (2009). Bilgi güvenliği ve yönetimi,