KURUMSAL BİLGİ KAYNAKLARINA ERİŞİMDE GÜVENLİK: HEKİMLERİN ŞİFRE YÖNETİMİNE YÖNELİK BİR ARAŞTIRMA

Yıl 2018, Cilt: 4 Sayı: 1, 15 - 25, 26.04.2018

Yusuf Yalçın İleri

Öz

Kurumlarda bilgi güvenliği politikalarının
oluşturulması ve uygulanmasından yöneticiler sorumlu olmak birlikte,
çalışanların üzerine de önemli görevler düşmektedir. Araştırmalar, kurumlarda
bilgi güvenliği tehditlerinin büyük bölümünün çalışanlardan kaynaklandığını
ortaya koymaktadır. Bu çalışmanın amacı, bilgi
güvenliğinin ve bilgi güvenliğini sağlamada insan faktörünün çok önem kazandığı
sağlık kurumlarında, Hastane Bilgi Yönetim Sistemlerini (HBYS) kullanan
hekimlerin kurumsal bilgi kaynaklarına erişimde şifre yönetimi alışkanlıklarını
incelemektir. Araştırmanın örneklemini kamuya ait veya özel hastanelerde
çalışmakta olan ve HBYS’ni aktif kullanan ancak kurumlarında zorunlu şifre
yönetim politikası olmayan hekimler oluşturmaktadır. Basit tesadüfi yöntemle
seçilen 420 hekime anket formu e-posta yoluyla gönderilmiş, sonuçlar geri dönen
203 (%49) anket formu üzerinden değerlendirilmiştir. Hekimlerin HBYS parola
güvenlik seviyelerini ölçmek için TÜBİTAK BİLGEM tarafından geliştirilen parola
ölçer yazılımı kullanılmıştır. Parola güvenlik seviyesi toplamda 14 aşamada
incelenerek 100 tam puan üzerinden değerlendirilmiş ve “çok zayıf”-“çok güçlü”
arasında beş gruptan birisine dahil edilmiştir. Araştırma sonuçlara göre;
hekimlerin %35‘inin kullandıkları HBYS parolaları “çok zayıf” güvenlik
kategorisinde iken %56’sının kullandıkları parolalar “zayıf” güvenlik
kategorisinde, sadece %9’unun kullandıkları parolalar “iyi/orta” güvenlik
kategorisindedir. Bulgulara göre; çalışmaya katılan hiçbir hekim “güçlü” veya
“çok güçlü” seviyesinde parola kullanmamaktadır. HBYS parola güvenlik
seviyeleri “iyi/orta” kategorisinde olan ve parolaları diğerlerine göre
nispeten daha güçlü olan hekimlerin tamamının 35 yaş üstünde olması dikkat
çekmektedir.

Anahtar Kelimeler

Bilgi Güvenliği, Şifre Güvenliği, Sağlık Yönetimi, Yönetim Bilişim Sistemleri

SECURITY IN ACCESSING ENTERPRISE INFORMATION RESOURCES: A RESEARCH ON PASSWORD MANAGEMENT OF PHYSICIANS

Öz

In
the instutitions, managers are in charge of the creation and implementation of
information security policies but employees have also important
responsibilities. Studies reveal that most of the information security threats
in organizations come from employees. The purpose of this study is to examine
the password management habits of physicians using Hospital Information Systems
(HIMS) in accessing institutional information resources in healthcare
institutions where information security and human factor are of great
importance in ensuring information security. The sample of the research is
composed of physicians who are working in public or private hospitals and who
actively use HIMS but do not have mandatory password management policy in their
institutions. The questionnaire forms were sent via e-mail to 420 randomly
selected physicians and analysis were implemented over 203 (%49) returned
questionnaire forms. Password meter software developed by TÜBİTAK BİLGEM was
used to measure the HIMS password security levels of physicians. Password
security levels were evaluated totally in 14 steps and over 100 full points and
included in one of five groups between "very weak" - "very
strong". According to the results of the research; 35% of the physicians’
HIMS passwords are in the "very weak" security category, while 56% of
the passwords are in the "weak" security category and only 9% of the
passwords are in the "good / medium" security category. According to
the results; none of the physicians participating in the study use a password
at the "strong" or "very strong" level. It is noteworthy
that all of the physicians whose password security levels are in the "good
/ medium" category and whose passwords are relatively stronger than others
are over 35 years of age.

Anahtar Kelimeler

Information Security, Password Security, Health Management, Management Information Systems

Kaynakça

• Anderson, C. (2005). Creating Conscientious Cybercitizen: An Examination of Home Computer User Attitudes and Intentions Towards Security, presented at Conference on Information Systems Technology (CIST)/INFORMS, San Francisco, California.
• Boss, S. R., Kirsch, L. J. (2007). “The Last Line of Defense: Motivating Employees to Follow Corporate Security Guideliness,” in Proceedings of the 28th International Conference on Information Systems, Montreal, December 9-12.
• Canbek, G., Sağıroğlu, Ş. (2006). “Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme”, Politeknik Dergisi, 9(3), 165-174.
• Cavusoglu, H., Cavusoglu, H., Raghunathan, S. (2004). “Economics of IT Security Management: Four Improvements to Current Security Practices”, Communications of the Association for Information Systems (14), 65-75.
• CERTC (2004), E-Crime Watch Survey Summary of Findings, Computer Emergency Response Team Coordination Center (CERT/CC).
• Chan, M., Woon, I., Kankanhalli, A. (2005). “Perceptions of Information Security at the Workplace: Linking Information Security Climate to Compliant Behavior”, Journal of Information Privacy and Security, 1-3.
• Cole, E. (2017). Defending Against the Wrong Enemy: 2017 SANS Insider Threat Survey, SANS Enstitüsü.
• Dhillon, G.,Torkzadeh, G. (2006). “Value-focused assessment of information system security in organizations”, Information Systems Journal, 16(3), 1-8.
• Durgin, M. (2007). “Understanding the Importance of and Implementing Internal Security Measures,” SANS Institute Reading Room. 22.01.2018 tarihinde https://www2.sans.org adresinden alınmıştır.
• Eminağaoğlu, M., Gökşen, Y., (2009). “Bilgi Güvenliği Nedir, Ne Değildir, Türkiye’ de Bilgi Güvenliği Sorunları ve Çözüm Önerileri”, Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 11 (4), 1-15.
• Ernst, Young. (2008). “Moving Beyond Compliance: Ernst & Young’s 2008 Global Information Security Survey”. 22.01.2018 tarihinde http://www.ey.com/Publication adresinden alınmıştır.
• Fernandez, E.M., Trujillo, J., Villarroel, R., Piattini, M. (2006). “Access control and audit model for the multidimensional modeling of data warehouses”, Decision Support Systems, 42.
• Furnell, S. M., Gennatou, M., Dowland, P. S. (2002). “A Prototype Tool for Information Security Awareness and Training”, Logistics Information Management, 15(5), 352-357.
• Garoupa, N. (2000). “Corporate Criminal Law and Organization Incentives: A Managerial Perspective”, Managerial and Decision Economics, 21. Hamill, J.T.R., Deckro, F. (2005). “Evaluating information assurance strategies”, Decision Support Systems, 39.
• Hentea, M. (2005). “A Perspective on Achieving Information Security Awareness,” in The Information Universe: Issues in Informing Science and Information, E. Cohen (ed.), Santa Rosa, CA: Informing Science Institute, 2,169-178.
• Herath, T., Rao, H.G. (2009). “Protection Motivation and Deterrence: A Framework for Security Policy Compliance in Organisations”, European Journal of Information Systems,18(2),106-125.
• İleri, Y.Y. (2017). “Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama”, Anadolu Üniversitesi Sosyal Bilimler Dergisi, 17(4), 55-72.
• Ma, Q., Pearson, J.M. (2005). “ISO 17799:Best Practices In Information Security Management? “, Communications of the Association for Information Systems, 15.
• Mishra, S., Dhillon, G. (2006). “Information Systems Security Governance Research: A Behavioral Perspective”, in Proceedings of the 1st Annual Symposium on Information Assurance, Academic track of 9th Annual NYS Cyber Security Conference, New York, USA.
• Pahnila, S., Siponen, M., Mahmood, A. (2007). “Employees’ Behavior towards IS Security Policy Compliance,” in Proceedings of the 40th Hawaii International Conference on System Sciences, Los Alamitos, CA: IEEE Computer Society Press,156-166.
• Pahnila, S., Siponen,M., Mahmood, A. (2007). “Employees' Behavior Towards IS Security Policy Compliance”, in Proceedings of the 40th Hawaii International Conference on System Sciences (HICSS 07). Hawaii, USA. Peace, A. G., Galletta, D., Thong, J. (2003). “Software Piracy in the Workplace: A Model and Empirical Test”, Journal of Management Information Systems, 20, 1.
• Post, G.V., Kagan, A. (2007). “Evaluating Information Security Tradeoffs: Restricting Access Can Interfere With User Tasks”, Computers & Security, 26, 229-237.
• Puhakainen, P. (2006). “A Design Theory for Information Security Awareness,” working paper, Faculty of Science, University of Oulu, Finland.
• Ransbotham, S., Mitra, S. (2009). “Choice and Chance: A Conceptual Model of Paths to Information Security Compromise,” Information Systems Research, 20(1), 121-139.
• Solms, R.V., Solms, B.V. (2004). “From Policies to Culture”, Computers & Security, 23.
• Stanton, J. M., Stam, K. R., Mastrangelo, P., Jolton, J. (2005). “Analysis of End User Security Behaviors”, Computers and Security, 24(2),124-133.
• Tekerek, M. (2008). “Bilgi Güvenliği Yönetimi”, KSÜ Fen ve Mühendislik Dergisi, 11(1), 132-137. TUBİTAK, BİLGEM, www.bilgimikoruyorum.org, Erişim: 05.01.2018.
• Tyler, T.R., Blader, S.L. (2005). “Can Businesses Effectively Regulate Employee Conduct? The Antecedents of Rule Following in Work Settings”, Academy of Management Journal, 48(6), 1143-1158.
• Vroblefski, M., Chen, A., Shao, B., Swinarski, M. (2007). “Managing user relationships in hierarchies for information system security”, Decision Support Systems, 4.
• Vural, Y., Sağıroğlu, Ş. (2007). “Kurumsal Bilgi Güvenliği: Güncel Gelişmeler”, ISO Turkey, Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, 13-14 Aralık, Ankara, Türkiye.