Analysis of the Effectiveness of Information Security Policies of Public Institutions in terms of Ensuring Institutional Information Security

Abstract

With this study, it is aimed to determine the current situation of the studies carried out by the institutions to ensure information security and the information security policies they have prepared in this direction in terms of ensuring corporate information security. By determining the variables of the criticality level of the data owned by the institutions and the intensity of using information systems in business processes, it has been focused on whether the effectiveness of the information security policies of the institutions will show a statistically significant difference according to these variables. In order to analyze the information security policies of public institutions, a survey was conducted with the participation of 121 employees from different branches in the field of information technologies / security in public institutions selected by sampling method according to their criticality. A 55-question questionnaire was prepared by the researcher as a data collection tool. The prepared questionnaire consists of three parts. In the first part of the questionnaire, there are questions to understand the demographic information of the participants, in the second part there are questions to understand the institutional structure of the institution where the participants work, and in the last part, there are 5-point Likert type questions consisting of 48 questions prepared to measure the effectiveness of information security policies. The obtained data were analyzed using the SPSS 28.0 statistical package program in the computer environment and comparisons were made. As a result of the validity and reliability analysis, the Cronbach Alpha (α) reliability coefficient was calculated as .96 for the entire questionnaire. As a result of the Kolmogorov-Smirnov and Shapiro-Wilk normality tests applied to the data, since the p significance value was above the 0.05 significance value, the hypothesis that the data were normally distributed was accepted and parametric tests applied for the normally distributed data were preferred. Descriptive statistical analyzes were used for data analysis and one-way analysis of variance technique was used for comparison of three or more groups. As a result of the research, when all the questions in the questionnaire were evaluated, it was seen that the information security policies of the institutions were effective at the rate of 77.80% and there was a statistically significant difference between the effectiveness of the information security policies of the institutions according to the criticality levels of the data owned by the institutions and the intensity of the use of information systems in business processes. In addition, it has been concluded that the effectiveness of information security policies increases as the criticality levels of the data owned by the institutions increase.

Keywords

• Information security
• corporate information security
• information security policies
• information security management system

Kamu Kurumlarının Bilgi Güvenliği Politikalarının Kurumsal Bilgi Güvenliğinin Sağlanması Açısından Etkinliğinin Analiz Edilmesi

Öz

Bu çalışma ile kurumların bilgi güvenliğini sağlamaya yönelik yapmış olduğu çalışmaların ve bu doğrultuda hazırlamış oldukları bilgi güvenliği politikalarının kurumsal bilgi güvenliğinin sağlanması açısından mevcut durumunun tespit edilmesi amaçlanmıştır. Kurumların sahip olduğu verilerin kritiklik düzeyleri ve iş süreçlerinde bilgi sistemleri kullanılma yoğunluğu değişkenleri belirlenerek, bu değişkenlere göre kurumların sahip olduğu bilgi güvenliği politikalarının etkinliğinin istatistiksel açıdan anlamlı düzeyde bir farklılık gösterip göstermeyeceği konusu üzerine odaklanılmıştır. Kamu kurumlarının bilgi güvenliği politikalarının analiz edilmesi amacıyla kritiklik durumlarına göre örneklem yöntemiyle seçilen kamu kurumlarında bilgi teknolojileri/güvenliği alanında farklı branşlarda 121 çalışanın katılımıyla anket çalışması gerçekleştirilmiştir. Veri toplama aracı olarak araştırmacı tarafından 55 soruluk bir anket hazırlanmıştır. Hazırlanan anket üç bölümden oluşmaktadır. Anketin birinci bölümünde katılımcıların demografik bilgilerini anlamaya yönelik sorular, ikinci bölümünde katılımcıların görev aldığı kurumun kurumsal yapısını anlamaya yönelik sorular ve son bölümünde ise bilgi güvenliği politikalarının etkinliğini ölçmeye yönelik hazırlanan 48 sorudan oluşan 5’li likert tipi sorular yer almaktadır. Elde edilen veriler bilgisayar ortamında SPSS 28.0 istatistik paket programı aracılığıyla çözümlenerek karşılaştırmalar yapılmıştır. Geçerlik güvenirlik analizi sonucu Cronbach Alpha (α) güvenirlik katsayısı anketin tümü için ,96 olarak hesaplanmıştır. Verilere uygulanan Kolmogorov-Smirnov ve Shapiro-Wilk normallik testleri sonucunda p anlamlılık değeri 0,05 anlamlılık değerinin üzerinde olduğu için verilerin normal dağıldığı hipotezi kabul edilerek normal dağılan veriler için uygulanan parametrik testler tercih edilmiştir. Verilerin analizi için tanımlayıcı istatistiksel analizler ve üç ya da daha fazla grup karşılaştırması için tek yönlü varyans analizi tekniği kullanılmıştır. Araştırma sonucunda, anketteki tüm sorular değerlendirildiğinde kurumların bilgi güvenliği politikalarının %77,80 oranında etkin olduğu ve kurumların sahip olduğu verilerin kritiklik düzeyleri ve iş süreçlerinde bilgi sistemleri kullanılma yoğunluğuna göre kurumların bilgi güvenliği politikalarının etkinliği arasında istatistiksel açıdan anlamlı düzeyde farklılık olduğu görülmüştür. Ayrıca kurumların sahip olduğu verilerin kritiklik düzeyleri arttıkça bilgi güvenliği politikalarının etkinliğinin arttığı sonucuna varılmıştır.

Anahtar Kelimeler

• Bilgi güvenliği
• kurumsal bilgi güvenliği
• bilgi güvenliği politikaları
• bilgi güvenliği yönetim sistemi

Kaynakça

1. Unescap. (2008). Information Security for Economic and Social Development.
2. Kalman, S. (2003). Web Security Field Guide. Cisco Press, 36-37.
3. Bhaharin, S. H., Mokhtar, U. A., Sulaiman, R., & Yusof, M. M. (2019). Issues and Trends in Information Security Policy Compliance. 2019 6th International Conference on Research and Innovation in Information Systems (ICRIIS).
4. TSE. (2013). TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı. Ankara: Türk Standardları Enstitüsü.
5. T.C. Resmi Gazete. (2016, Aralık 3). Kamu Kurum ve Kuruluşlarının KamuNet’e Dahil Edilmesi ile İlgili 10016/28 Sayılı Başbakanlık Genelgesi. (29907).
6. UDHB. (2013). 2013-2014 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı. Ankara: T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı.
7. TÜBİTAK BİLGEM SGE. (2013). Kamu Kurumlarının Uyması Gereken Asgari Bilgi Güvenliği Kriterleri. Ankara: UDHB.
8. Özbilen, T., & Çağlar, A. (2020). Türk Kamu Sektöründe Bilgi ve Bilişim Güvenliği. Kamu Yönetimi ve Teknoloji Dergisi(1), 72-93.

9. T.C. Resmi Gazete. (2019, Temmuz 6). Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi. (30823).
10. Dijital Dönüşüm Ofisi. (2020, Temmuz). Bilgi ve İletişim Güvenliği Rehberi. Ankara, Türkiye: T.C. Cumhurbaşkanlığı.
11. Thakur, K., Ali, M., Gai, K., & Qiu, M. (2016). Information Security Policy for E-Commerce in Saudi Arabia. 2016 IEEE 2nd International Conference on Big Data Security on Cloud (BigDataSecurity), IEEE International Conference on High Performance and Smart Computing (HPSC), and IEEE International Conference on Intelligent Data and Security (IDS).
12. Özdemir, A. (2019, Aralık). Kamu Kurum ve Kuruluşlarında Bilgi Güvenliği Farkındalığı. Yüksek Lisans Tezi. Gazi Üniversitesi Bilişim Enstitüsü.
13. Tvrdikova, M. (2008). Information System Integrated Security. 2008 7th Computer Information Systems and Industrial Management Applications.
14. Kapanoğlu, G. (2016, Eylül). Öğretmenlerin Bilgi Güvenliği Farkındalığının İncelenmesi. Yüksek Lisans Tezi . Ankara: Gazi Üniversitesi Eğitim Bilimleri Enstitüsü.
15. Solmaz, M. (2020, Nisan). Öğretmen Adaylarının Siber Bilgi Güvenliği Farkındalıklarının Ve Dijital Vatandaşlık Düzeylerinin Farklı Değişkenler Açısından İncelenmesi. Mersin: Mersin Üniversitesi Eğitim Bilimleri Enstitüsü Bilgisayar Ve Öğretim Teknolojileri Eğitimi Anabilim Dalı.
16. Tuygun, M. (2019, Haziran). Iso27001 Bilgi Güvenliği Yönetim Sistemi Standardının Kamu Kurumlarına Uygulanabilirliğinin Araştırılması: Ankara İli Örneği. Yüksek Lisans Tezi. Ankara, Türkiye: Gazi Üniversitesi Bilişim Enstitüsü.
17. Henkoğlu, T. (2015). Hassas Bilgi Varlıklarının ve Kişisel Verilerin Hukuksal Düzenlemeler ile Korunması ve Bu Kapsamda Üniversiteler İçin Bilgi Güvenliği Politikasının Geliştirilmesi. Ankara: T.C. Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü Bilgi ve Belge Yönetimi Anabilim Dalı.
18. Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi ve Bilgi Güvenliği için İnsan Faktörünün Önemi. İstanbul Bilgi Üniversitesi Sosyal Bilimler Enstitüsü Bilişim ve Teknoloji Hukuku Yüksek Lisans Programı.
19. Şişkin, D. Ş. (2020). Üniversite Kütüphanelerinde Bilgi Güvenliği ve Kişisel Verilerin Korunması: Ankara'daki Üniversite Kütüphanelerinin Değerlendirilmesi. Ankara: Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü Bilgi ve Belge Yönetimi Anabilim Dalı.
20. Vural, Y. (2007, Mayıs). Kurumsal Bilgi Güvenliği Ve Sızma (Penetrasyon) Testleri. Ankara: Gazi Üniversitesi Fen Bilimleri Enstitüsü.
21. Özcan, B. (2009). Kurumsal Bilgi Güvenliği ve Cobit. T.C. Haliç Üniversitesi Fen Bilimleri Enstitüsü Yönetim Bilişim Sistemleri AnaBilim Dalı.
22. Çetinkaya, M. (2008, Eylül). Bilgi Güvenliği Yönetim Sistemi Alt Yapısının Değerlendirilmesi İçin Bir Test Aracı Geliştirilmesi. T.C. İstanbul Kültür Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Ana Bilim Dalı.
23. Gurbetoğlu, A. (2018). Bilimsel Araştırma Yöntemleri. İstanbul: İstanbul Sabahattin Zaim Üniversitesi Eğitim Fakültesi.
24. Karasar, N. (1999). Bilimsel Araştırma Yöntemi. Ankara: Nobel Yayın Dağıtım.
25. İftar, G. K. (1999). Bilim ve Araştırma. K. Özdamar, Y. Odabaşı, Y. Hoşcan, A. A. Bir, G. Kırcaali İftar, A. Özmen, & Y. Uzuner içinde, Sosyal Bilimlerde Araştırma Yöntemleri. Eskişehir: T.C. Anadolu Üniversitesi Açıköğretim Fakültesi.
26. T.C. Ankara Üniversitesi. (2012, Şubat 26). Evren, Örneklem, Örnekleme Türleri. Ağustos 30, 2021 tarihinde Ankara Üniversitesi Açık Ders Malzemeleri: https://acikders.ankara.edu.tr adresinden alındı
27. Earl, J. (2004). Controlling protest: New directions for research on the social control of protest. Research in Social Movements, Conflicts and Change, 55-83.
28. UDHB Haberleşme Genel Müdürlüğü. (2014, Kasım). Sektörel SOME Kurulum ve Yönetim Rehberi. Ankara: UDHB.
29. Metin, M. (2014). Kuramdan Uygulamaya Eğitimde Bilimsel Araştırma Yöntemleri. Ankara: Pegem Akademi.
30. TÜBİTAK BİLGEM YTE. (2021, Ocak). Bilgi Güvenliği ve Yönetimi Rehberi İşletim ve Bakım. Dijital Kabiliyet Rehberleri. Ankara.
31. İslamoğlu, A., & Alnıaçık, Ü. (2016). Sosyal Bilimlerde Araştırma Yöntemleri. İstanbul: Beta Yayınları.
32. Kılıç, B. (2019, Aralık). ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Açısından Türkiye’de Hukuk Bürolarında Bilgi Güvenliği Yönetimi. Gazi Üniversitesi Bilişim Enstitüsü Adli Bilişim Ana Bilim Dalı.
33. Mallery, P., & George, D. (2010). 2010 SPSS for Windows Step by Step: A Simple Guide and Reference 17.0 update. Boston : Allyn & Bacon, c2010.