Maintaining cybersecurity awareness in large-scale organizations: A pilot study in a public institution

Abstract

Teknolojinin yaygınlaşmasına paralel olarak iş yerlerinin sakladığı ve işlediği bilgi miktarı da artmaktadır. Bu bilgilerin işlendiği ve saklandığı bilgi altyapılarının güvenliğinin sağlanmasına ve kişisel verilerin korunmasına ihtiyaç vardır. Çalışan kaynaklı güvenlik açıklarından oluşan bilgi kayıpları, telafisi mümkün olmayan zararlara neden olabilir. Tezimizde, çalışanların siber güvenlik konusunda farkındalıklarının artırılmasına yönelik bir araştırma yapılmıştır. Literatür taramasında, kurumlarda uygulanan önlemlerin ne kadar etkili olduğuna dair az sayıda çalışmanın olduğu ve çok az güvenlik ihlali rapor edildiği gözlemlenmiştir. Araştırmamız, bir kamu kurumunun, personeline uyguladığı oltalama tatbikatlarının sonuçlarına, personelin farkındalık eğitimlerine katılım düzeylerine ve düzenli olarak yayımlanan bilgi güvenliği bültenlerinin okunma istatistiklerine ilişkin verileri içermektedir. Bu çalışmanın faydası, 1000 ve üzeri personeli olan kurumlarda, personelin siber güvenlik farkındalığını artırmak için kullanılabilecek yöntemlerin belirlenmesi yönündedir. Çalışmamızda, kullanıcılar bir bütün olarak ele alınmış ve bireysel değerlendirmeye tabi tutulmamıştır. Bulgulara göre, kurumlar, sistematik olarak oltalama tatbikatları yaparak, farkındalık eğitimleri vererek ve düzenli olarak bilgi güvenliği bültenleri yayımlayarak kullanıcıların siber güvenlik farkındalığını artırabilir. Buna ek olarak, bülten okuma farkındalığı, oltalama tatbikatları ve eğitimler sonrasında hızlı bir şekilde artıp, ilerleyen aylarda azalsa da bir yılın sonunda bülten okuma farkındalığında da kalıcı bir artış gözlenmiştir.

Parallel to the spread of technology, the amount of information stored and processed by workplaces is also increasing. There is a need to ensure the security of the information infrastructures in which this information is processed and stored in addition to the need to protect personal data. The loss of information caused by employee-related security vulnerabilities may cause irreparable damage. In our thesis, research was conducted to increase the awareness of employees with regard to cyber security.In the literature review, it was observed that there were few studies on how effective the measures implemented in organizations were reported. Our research includes data on the results of the phishing drills that a public institution applied to its personnel, the level of participation of said personnel in awareness training, and the reading statistics of regularly published information security bulletins. Our work has been beneficial in determining the methods that can be used to increase the cyber security awareness of personnel in organizations with 1,000 or more personnel. In our study, users were considered as a whole, and not individually evaluated. According to the findings, organizations can increase users' cybersecurity awareness by systematically conducting phishing exercises, providing awareness training, and regularly publishing information security bulletins. The awareness of reading bulletins rapidly increased after phishing exercises and training and decreased in the following months, an increase was observed in the awareness of reading the bulletin in the long term.