Tez No	İndirme	Tez Künye	Durumu
507785		İnsan faktörünü içeren bilgi güvenliği çerçevesi için kavramsal bir model oluşturmak / Establishing a conceptual model for information security framework including human factor Yazar:OLDOUZ Danışman: PROF. DR. SEVİNÇ GÜLSEÇEN Yer Bilgisi: İSTANBUL ÜNİVERSİTESİ / FEN BİLİMLERİ ENSTİTÜSÜ / ENFORMATİK ANABİLİM DALI / Enformatik Bilim Dalı Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control Anahtar Kelime:	Onaylandı Doktora Türkçe 2018 271 s.
Günümüzde çalışanların bilgi varlıklarını korumak için uygulanan kontrollerin hayat geçirilmesi ve bunlar etkileşim kurma biçimi, bu tür varlıklar için ana tehditlerden birirdir. Bilgi güvenliği denetimlerinin ve insan rolünün etkin kullanımı için bu tehditlere karşı korunmalıyız. Etkileşim, bilgi varlıklarının korunması için elverişli olmazsa, bir kuruluşun kârı üzerinde derin bir etkisi olabilir, saatlerce çalışmalar etkisiz olabilir,gizli bilgiler yetkisiz kişilerin eline geçebilir ve yeterli teknik ve prosedürel kontrollerin mevcut olmasına rağmen, yasal ve düzenleyici düzenlemeler bunların hepsini etkileyebilir. Mevcut araştırmalar, çalışanların davranışlarının bilgilerin korunması için oluşturduğu tehdide yönelik güçlü bir bilgi güvenliği bilincinin, kültürünün, politikasının ve yönetiminin önemini vurgulamaktadır. Çeşitli araştırma perspektifleri, kabul edilebilir bir düzeyde bilgi güvenliği bilinci, politikası, yönetimi ve kültürü nasıl düzenleneceğini ve bu insanın kabul edilebilir düzeyde olup olmadığını belirlemek için nasıl değerlendirileceğini önermektedir. Ancak, bu yaklaşımlar, bilgi güvenliği bilincini, bilgi güvenliği politikasını, bilgi güvenliği yönetimini ve bilgi güvenliği kültürünü teşvik etmek için yeterli değildir. Zira tüm ilgili bilgi güvenlik bileşenleri ve bilgi güvenliği çerçevesindeki etkiler göz önüne alınmalıdır. Bu tezin ana katkısı, bilgi güvenliği bilinci, kültür, politika ve yönetiminin değerlendirilmesi için bir değerlendirme aracından oluşan bir bilgi güvenliği çerçevesinin ve sürecinin geliştirilmesi ile ilgilidir. İnsan rolüne dayalı bilgi güvenliği çerçevesini geliştirmek içinaraştırmacı, Kavramsal Bilgi Güvenliği Çerçevesi (KBGÇ) geliştirdi. Bu çerçeve, Kurumların bilgi güvenliği uygulamalarına bütünsel bir yaklaşım getirir.Çerçeve, bilgi güvenliği ve insan yönetimi için tek bir referans noktası sağlar. Bilgi Güvenliği Farkındalık Çerçevesi (BGFÇ), Bilgi Güvenliği Kültürü Çerçevesi (BGKÇ), Bilgi Güvenliği Politikası Çerçevesi (BGPÇ) ve Bilgi Güvenliği Yönetim Çerçevesi (BGYÇ), KBGÇ'yi esas alarak geliştirilmiştir. Bilgi güvenliği, örgüt kültürü ve insan, davranış, kültür, politika, güven, farkındalık, yönetim, ticaret ve mahremiyet gibi bilgi güvenliği için gereken tüm bileşenleri göz önüne alır. Sözü geçen kavramları bütünleştirir ve bileşenler arasındaki etkiyi gösterir. BGFÇ, BGKÇ, BGPÇ, BGYÇ ayrıca bir bilgi güvenliği bilinci, kültür, politika ve yönetim değerlendirme aracı tasarlamak için bir temel oluşturmaktadır. Bu araç, araştırmacı tarafından tanımlanan bir Bilgi Güvenliği Değerlendirmesi sürecinin (İFDBGÇ) bir parçası olarak dahil edilmiştir. İFDBGÇ, yönetimin bir insan davranış değerlendirmesi yapmak için gereken adımları yanı sıra değerlendirme aracını doğrulama adımlarını da sağlar. İFDBGÇ uygulaması bir organizasyon, grup ve bireysel çevrede yapılan ampirik bir çalışmada test edilmiştir. Bir bilgi güvenliği farkındalık, kültür, politika ve yönetim değerlendirme aracının, KBGÇ temel alınarak tasarlandığından ve geçerli ve güvenilir biristatistiksel değerlendirme enstrümanının gerekliliklerini karşılayıp karşılamadığını gösterir. BGFÇ, BGKÇ, BGPÇ, BGYÇ ve İFDBGÇ süreci, çalışanların davranışlarının bilgi varlıklarının korunması için oluşturduğu tehdidi en aza indirgemek için kurumlar tarafından dağıtılır. Anahtar kelimeler: Bilgi Güvenliği, Politika, Farkındalık, Yönetim, Kültür
The manner in which employees perceive and interact (behave) with controls implemented to protect information assets is one of the main threats to the protection of such assets and the effective use of information security controls and human role. Should the interaction not be conductive to the protection of the information assets, it can have a profound impact on the profit of an organisation, productive working hours could be lost, confidential information might be disclosed to unauthorised people and compliance with legal and regulatory regulations could be affected – all this, despite the fact that adequate technical and procedural controls might be in place. Current research highlights the importance of a strong information security awareness, culture, policy and management to address the threat that employee behaviour poses to the protection of information. Various research perspectives propose how an acceptable level of information security awareness, policy, management and culture should be promoted, and how to assess this human to determine whether it is on an acceptable level. These approaches are however not adequate to promote information security awareness, information security policy, information security management, information security culture, as all the relevant information security components and the influences on the information security framework have to be considered. This leads to the question as to whether the instruments proposed to assess the information security framework are indeed adequate and valid. The main contribution of this research relates to the development of an information security framework and process consisting of an instrument to assess information security awareness, culture, policy and management. In order to develop the information security framework based on human role, the researcher developed a Conceptual Information Security Framework (CISF) that equips organisations with a holistic approach to the implementation of information security. The framework provides a single point of reference for the governance of information security and human. The Information Security awareness Framework (ISAF), Information Security Culture Framework (ISCF), Information Security Policy Framework (ISPF) and Information Security Management Framework (ISMF) is developed using the CISF as foundation. It considers all the components required for information security namely information security, organisational culture and human, behaviour, culture, policy, trust, awareness, management, busines and privacy. It integrates the aforementioned concepts and illustrates the influence between the components. The ISAF, ISCF, ISPF, ISMF further serves as a basis for designing an information security awareness, culture, policy and management assessment instrument. This instrument is incorporated as part of an Information Security Assessment process (ISFHF) defined by the researcher. ISFHF provides management with the steps to conduct an human behaviour assessment, as well as the steps to validate the assessment instrument. The application of ISFHF is tested in an empirical study conducted in an organisation, group and individual environment. It illustrates how to validate an information security awarenees, culture, policy and management assessment instrument by ensuring that it is designed based on the CISF and meets the statistical requirements for a valid and reliable assessment instrument. Both the ISAF, ISCF, ISPF, ISMF and the ISFHF process can ultimately be deployed by organisations to minimise the threat that employee behaviour poses to the protection of information assets. Keywords:Information Security, Policy, Awareness, Management, Culture