KURUMSAL BİLGİ KAYNAKLARINA ERİŞİMDE GÜVENLİK: HEKİMLERİN ŞİFRE YÖNETİMİNE YÖNELİK BİR ARAŞTIRMA

Kurumlarda bilgi güvenliği politikalarının oluşturulması ve uygulanmasından yöneticiler sorumlu olmak birlikte, çalışanların üzerine de önemli görevler düşmektedir. Araştırmalar, kurumlarda bilgi güvenliği tehditlerinin büyük bölümünün çalışanlardan kaynaklandığını ortaya koymaktadır. Bu çalışmanın amacı, bilgi güvenliğinin ve bilgi güvenliğini sağlamada insan faktörünün çok önem kazandığı sağlık kurumlarında, Hastane Bilgi Yönetim Sistemlerini (HBYS) kullanan hekimlerin kurumsal bilgi kaynaklarına erişimde şifre yönetimi alışkanlıklarını incelemektir. Araştırmanın örneklemini kamuya ait veya özel hastanelerde çalışmakta olan ve HBYS’ni aktif kullanan ancak kurumlarında zorunlu şifre yönetim politikası olmayan hekimler oluşturmaktadır. Basit tesadüfi yöntemle seçilen 420 hekime anket formu e-posta yoluyla gönderilmiş, sonuçlar geri dönen 203 (%49) anket formu üzerinden değerlendirilmiştir. Hekimlerin HBYS parola güvenlik seviyelerini ölçmek için TÜBİTAK BİLGEM tarafından geliştirilen parola ölçer yazılımı kullanılmıştır. Parola güvenlik seviyesi toplamda 14 aşamada incelenerek 100 tam puan üzerinden değerlendirilmiş ve “çok zayıf”-“çok güçlü” arasında beş gruptan birisine dahil edilmiştir. Araştırma sonuçlara göre; hekimlerin %35‘inin kullandıkları HBYS parolaları “çok zayıf” güvenlik kategorisinde iken %56’sının kullandıkları parolalar “zayıf” güvenlik kategorisinde, sadece %9’unun kullandıkları parolalar “iyi/orta” güvenlik kategorisindedir. Bulgulara göre; çalışmaya katılan hiçbir hekim “güçlü” veya “çok güçlü” seviyesinde parola kullanmamaktadır. HBYS parola güvenlik seviyeleri “iyi/orta” kategorisinde olan ve parolaları diğerlerine göre nispeten daha güçlü olan hekimlerin tamamının 35 yaş üstünde olması dikkat çekmektedir.

Anahtar Kelimeler:

Bilgi Güvenliği, Şifre Güvenliği, Sağlık Yönetimi, Yönetim Bilişim Sistemleri

SECURITY IN ACCESSING ENTERPRISE INFORMATION RESOURCES: A RESEARCH ON PASSWORD MANAGEMENT OF PHYSICIANS

In the instutitions, managers are in charge of the creation and implementation of information security policies but employees have also important responsibilities. Studies reveal that most of the information security threats in organizations come from employees. The purpose of this study is to examine the password management habits of physicians using Hospital Information Systems (HIMS) in accessing institutional information resources in healthcare institutions where information security and human factor are of great importance in ensuring information security. The sample of the research is composed of physicians who are working in public or private hospitals and who actively use HIMS but do not have mandatory password management policy in their institutions. The questionnaire forms were sent via e-mail to 420 randomly selected physicians and analysis were implemented over 203 (%49) returned questionnaire forms. Password meter software developed by TÜBİTAK BİLGEM was used to measure the HIMS password security levels of physicians. Password security levels were evaluated totally in 14 steps and over 100 full points and included in one of five groups between "very weak" - "very strong". According to the results of the research; 35% of the physicians’ HIMS passwords are in the "very weak" security category, while 56% of the passwords are in the "weak" security category and only 9% of the passwords are in the "good / medium" security category. According to the results; none of the physicians participating in the study use a password at the "strong" or "very strong" level. It is noteworthy that all of the physicians whose password security levels are in the "good / medium" category and whose passwords are relatively stronger than others are over 35 years of age.

Keywords:

Information Security, Password Security, Health Management, Management Information Systems,

PDF

___

Anderson, C. (2005). Creating Conscientious Cybercitizen: An Examination of Home Computer User Attitudes and Intentions Towards Security, presented at Conference on Information Systems Technology (CIST)/INFORMS, San Francisco, California.
Boss, S. R., Kirsch, L. J. (2007). “The Last Line of Defense: Motivating Employees to Follow Corporate Security Guideliness,” in Proceedings of the 28th International Conference on Information Systems, Montreal, December 9-12.
Canbek, G., Sağıroğlu, Ş. (2006). “Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme”, Politeknik Dergisi, 9(3), 165-174.
Cavusoglu, H., Cavusoglu, H., Raghunathan, S. (2004). “Economics of IT Security Management: Four Improvements to Current Security Practices”, Communications of the Association for Information Systems (14), 65-75.
CERTC (2004), E-Crime Watch Survey Summary of Findings, Computer Emergency Response Team Coordination Center (CERT/CC).
Chan, M., Woon, I., Kankanhalli, A. (2005). “Perceptions of Information Security at the Workplace: Linking Information Security Climate to Compliant Behavior”, Journal of Information Privacy and Security, 1-3.
Cole, E. (2017). Defending Against the Wrong Enemy: 2017 SANS Insider Threat Survey, SANS Enstitüsü.
Dhillon, G.,Torkzadeh, G. (2006). “Value-focused assessment of information system security in organizations”, Information Systems Journal, 16(3), 1-8.
Durgin, M. (2007). “Understanding the Importance of and Implementing Internal Security Measures,” SANS Institute Reading Room. 22.01.2018 tarihinde https://www2.sans.org adresinden alınmıştır.
Eminağaoğlu, M., Gökşen, Y., (2009). “Bilgi Güvenliği Nedir, Ne Değildir, Türkiye’ de Bilgi Güvenliği Sorunları ve Çözüm Önerileri”, Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 11 (4), 1-15.
Ernst, Young. (2008). “Moving Beyond Compliance: Ernst & Young’s 2008 Global Information Security Survey”. 22.01.2018 tarihinde http://www.ey.com/Publication adresinden alınmıştır.
Fernandez, E.M., Trujillo, J., Villarroel, R., Piattini, M. (2006). “Access control and audit model for the multidimensional modeling of data warehouses”, Decision Support Systems, 42.
Furnell, S. M., Gennatou, M., Dowland, P. S. (2002). “A Prototype Tool for Information Security Awareness and Training”, Logistics Information Management, 15(5), 352-357.
Garoupa, N. (2000). “Corporate Criminal Law and Organization Incentives: A Managerial Perspective”, Managerial and Decision Economics, 21. Hamill, J.T.R., Deckro, F. (2005). “Evaluating information assurance strategies”, Decision Support Systems, 39.
Hentea, M. (2005). “A Perspective on Achieving Information Security Awareness,” in The Information Universe: Issues in Informing Science and Information, E. Cohen (ed.), Santa Rosa, CA: Informing Science Institute, 2,169-178.
Herath, T., Rao, H.G. (2009). “Protection Motivation and Deterrence: A Framework for Security Policy Compliance in Organisations”, European Journal of Information Systems,18(2),106-125.
İleri, Y.Y. (2017). “Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama”, Anadolu Üniversitesi Sosyal Bilimler Dergisi, 17(4), 55-72.
Ma, Q., Pearson, J.M. (2005). “ISO 17799:Best Practices In Information Security Management? “, Communications of the Association for Information Systems, 15.
Mishra, S., Dhillon, G. (2006). “Information Systems Security Governance Research: A Behavioral Perspective”, in Proceedings of the 1st Annual Symposium on Information Assurance, Academic track of 9th Annual NYS Cyber Security Conference, New York, USA.
Pahnila, S., Siponen, M., Mahmood, A. (2007). “Employees’ Behavior towards IS Security Policy Compliance,” in Proceedings of the 40th Hawaii International Conference on System Sciences, Los Alamitos, CA: IEEE Computer Society Press,156-166.
Pahnila, S., Siponen,M., Mahmood, A. (2007). “Employees' Behavior Towards IS Security Policy Compliance”, in Proceedings of the 40th Hawaii International Conference on System Sciences (HICSS 07). Hawaii, USA. Peace, A. G., Galletta, D., Thong, J. (2003). “Software Piracy in the Workplace: A Model and Empirical Test”, Journal of Management Information Systems, 20, 1.
Post, G.V., Kagan, A. (2007). “Evaluating Information Security Tradeoffs: Restricting Access Can Interfere With User Tasks”, Computers & Security, 26, 229-237.
Puhakainen, P. (2006). “A Design Theory for Information Security Awareness,” working paper, Faculty of Science, University of Oulu, Finland.
Ransbotham, S., Mitra, S. (2009). “Choice and Chance: A Conceptual Model of Paths to Information Security Compromise,” Information Systems Research, 20(1), 121-139.
Solms, R.V., Solms, B.V. (2004). “From Policies to Culture”, Computers & Security, 23.
Stanton, J. M., Stam, K. R., Mastrangelo, P., Jolton, J. (2005). “Analysis of End User Security Behaviors”, Computers and Security, 24(2),124-133.
Tekerek, M. (2008). “Bilgi Güvenliği Yönetimi”, KSÜ Fen ve Mühendislik Dergisi, 11(1), 132-137. TUBİTAK, BİLGEM, www.bilgimikoruyorum.org, Erişim: 05.01.2018.
Tyler, T.R., Blader, S.L. (2005). “Can Businesses Effectively Regulate Employee Conduct? The Antecedents of Rule Following in Work Settings”, Academy of Management Journal, 48(6), 1143-1158.
Vroblefski, M., Chen, A., Shao, B., Swinarski, M. (2007). “Managing user relationships in hierarchies for information system security”, Decision Support Systems, 4.
Vural, Y., Sağıroğlu, Ş. (2007). “Kurumsal Bilgi Güvenliği: Güncel Gelişmeler”, ISO Turkey, Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, 13-14 Aralık, Ankara, Türkiye.