https://www.fatihyildirim.tr                
  Siber Güvenlik Farkındalığı      
  Siber Güvenlik Farkındalığı Nedir?
Protecting your Enterprise from Phishing Attacks | Seqrite
  Neden Önemlidir?
  Temel Konu Başlıkları
  Kurumlar için Farkındalık Programı Nasıl Oluşturulur ?
  Günlük Hayatta Uygulanabilecek Basit İpuçları
  Yararlı Kaynaklar
  NIS2 (Ağ ve Bilgi Sistemleri Güvenliği Direktifi
  ISO/IEC 27001
          Cyber Security Awareness
  Son Güncelleme: 03.05.2026   r.02.02
 
Siber Güvenlik Farkındalığı Nedir?
  Bireylerin ve çalışanların, siber tehditleri tanıma, bu tehditlere karşı önlem alma ve olası bir saldırı durumunda doğru tepkiyi verme bilgi ve alışkanlığına sahip olmasıdır. Sadece teknolojik çözümler değil, insan faktörünün de güvenlik zincirinin en güçlü halkası olmasını hedefler.
  Siber güvenlik farkındalığı, çalışanların tehditleri tanımalarını, verileri korumalarını ve ISO 27001 ve NIS2 gibi önemli çerçeveleri destekleyen güvenli uygulamaları hayata geçirmelerini sağlar .
  NIS Directive 2 | ENISA
 
    ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ » Atacert
 
         
                   
                   
                   
                   
 
  ISO 27001 ve NIS2 standartlarının her ikisi de farkındalığı temel bir gereklilik haline getiriyor; bu da etkili bir programı güvenlik duruşunuzun kritik bir parçası yapıyor.
  Eğitim ve farkındalık değerlendirmeleri yoluyla denetim hazırlığınızı kanıtlayabilir, riski azaltabilir ve önce güvenlik odaklı bir zihniyet geliştirebilirsiniz.
 
Neden Önemlidir?
  - Saldırıların büyük kısmı (%85'e varan oranlarda) insan hatasından kaynaklanır.
  - Güçlü parolalar, iki faktörlü kimlik doğrulama gibi temel önlemler bile birçok riski engeller.
  - Farkındalık, maddi ve itibar kaybını önlemede maliyet etkin bir yöntemdir.
 
Temel Konu Başlıkları
 
  1. Kimlik Avı (Phishing) ve Sosyal Mühendislik
     - Sahte e-postalar, SMS'ler (smishing) veya aramalar (vishing) ile kullanıcıyı kandırıp şifre veya kredi kartı bilgisi almaya çalışır.
     - Önlem: Gönderen adresini kontrol et, aciliyet vaat eden mesajlara şüpheyle yaklaş, linke tıklamadan önce üzerine gelerek URL'yi incele.
 
  2. Güçlü Parola Yönetimi ve Çok Faktörlü Kimlik Doğrulama (MFA)
     - Kolay tahmin edilen şifreler (123456, şifre, doğum tarihi) risklidir.
     - Öneri: Uzun (12+ karakter), rastgele ve her hesap için farklı parolalar. Parola yöneticisi kullan. MFA’yı (SMS kodu, authenticator uygulaması) her platformda aktif et.
 
  3. Güncellemeler ve Yama Yönetimi
     - Güncellenmeyen yazılımlar, saldırganların bildiği güvenlik açıkları içerir.
     - Önlem: İşletim sistemi, tarayıcı, antivirüs ve uygulamaların otomatik güncellemelerini aç.
  Uygulama Güncellemesi Otomatik Olarak Nasıl Yapılır? | mobiluygulama.com
 
 
 
 
  4. Güvenli İnternet ve E-posta Kullanımı
     - Bilinmeyen bağlantılara tıklama, bilinmeyen ekleri açma.
     - HTTPS’li siteleri tercih et, açık Wi-Fi’lerde özel bilgi gönderme veya VPN kullan.
 
  5. Veri Yedekleme
     - Fidye yazılımlarına (ransomware) karşı en etkin yöntem düzenli ve test edilmiş yedeklerdir. 3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 farklı lokasyon.
  Fidye yazılımı nedir? | Fidye yazılımlarından korunma | Kaspersky
 
 
 
 
  6. Fiziksel Güvenlik
     - Ekran kilidi, masaüstünde gizli bilgi bırakmama, misafirlerin güvenlik alanlarına girişini kontrol etme.
 
  7. Mobil Cihaz Güvenliği
     - Bilinmeyen kaynaklardan uygulama yükleme, Bluetooth’u açık bırakma, kayıp/çalınma durumunda uzaktan silme özelliğini aktif et.
 
Kurumlar İçin Farkındalık Programı Nasıl Oluşturulur?
  - Düzenli eğitimler (yılda en az 2 kez) ve simüle edilmiş phishing testleri.
  - Basit, uygulanabilir politika ve prosedürler (örneğin: şifre sıfırlama süreci).
  - Olay bildirim kanalları (kime, nasıl rapor edileceği).
  - Yönetimin desteği ve örnek davranış sergilemesi.
 
Günlük Hayatta Uygulanabilecek Basit İpuçları
  - Bir e-posta “acil şifre sıfırla” diyorsa, linke tıklamadan doğrudan servis sağlayıcını ara.
  - USB belleğini yalnızca güvendiğin kaynaklardan tak.
  - Banka işlemlerinde SMS onayı yeterli değil; bankanın kendi uygulamasındaki onay mekanizmasını kullan.
  - Çocuklara internette kişisel bilgi paylaşmamayı öğret.
 
  Örnek Senaryo:
  Bir çalışan, “Şirket yöneticinizden” gelmiş gibi görünen bir e-posta alır: “Acil ödeme yapılacak, tıklayarak onayla.” Farkındalığı yüksek çalışan, e-postadaki domaini kontrol eder (ornek@sirket.com yerine ornek@sirket-hizmet.com olabilir), yöneticisini arayarak teyit eder ve BT güvenliğine bildirir.
 
Yararlı Kaynaklar
  - BTK Siber Farkındalık Platformu (Türkiye)
  - Siberay (Türk Telekom’un ücretsiz eğitim portalı)
  - CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) – ücretsiz kılavuzlar.
  - Have I Been Pwned – e-posta adresinizin veri ihlallerinde görünüp görünmediğini kontrol edin.
 
  Unutmayın: Siber güvenlik yalnızca BT departmanının sorumluluğu değildir; her bireyin dikkatli davranışları, bir kurumun veya kişisel verilerinizin güvenliğinde en büyük farkı yaratır.
 
  Ekim: Siber Güvenlik Farkındalık Ayı
 
NIS2 (Ağ ve Bilgi Sistemleri Güvenliği Direktifi)
NIS Directive 2 | ENISA
 
Avrupa Birliği tarafından hazırlanmış bir siber güvenlik yönergesidir. Resmi adıyla (EU) 2022/2555 sayılı Direktif, daha önce yürürlükte olan NIS Direktifi’nin (NIS1) yerini almıştır. Üye ülkelerin bu direktifi kendi ulusal yasalarına aktarması için son tarih 17 Ekim 2024’tür.
 
NIS2’nin temel amaçları:
  - AB genelinde yüksek ve ortak Bir Siber Güvenlik seviyesi sağlamak.
  - Kritik altyapılar ile temel hizmet sağlayıcılarını Siber saldırılara karşı daha dirençli hale getirmek.
  - Olay bildirimlerini ve işbirliğini zorunlu kılarak koordinasyonu artırmak.
 
Kimleri kapsar?
  NIS2, kapsamı NIS1’e göre önemli ölçüde genişletmiştir. İki ana kategori altında sektörleri kapsar:
 
  1. Çok Kritik Sektörler (Ek I):
  - Enerji (elektrik, petrol, doğalgaz, hidrojen)
  - Ulaştırma (hava, demiryolu, deniz, kara)
  - Bankacılık ve finansal piyasa altyapıları
  - Sağlık (hastaneler, ilaç, tıbbi cihazlar)
  - İçme suyu ve atık su
  - Dijital altyapı (DNS hizmetleri, TLD kayıtları, bulut bilişim, veri merkezleri, içerik dağıtım ağları)
  - Kamu yönetimi (merkezi ve bölgesel düzeyde)
  - Uzay
 
  2. Diğer Kritik Sektörler (Ek II);
  - posta ve kurye hizmetleri
  - atık yönetimi
  - Kimya, gıda (üretim ve dağıtım)
  - İmalat (tıbbi cihazlar, bilgisayarlar, elektronik, makine, motorlu araçlar)
  - Dijital sağlayıcılar (çevrimiçi pazar yerleri, arama motorları, sosyal medya platformları)
  - Araştırma ve geliştirme
 
  Ayrıca, büyüklük kriteri de getirilmiştir:
  - Büyük işletmeler (250+ çalışan ve 50M€+ bilanço)
  - Orta ölçekli işletmeler (50-249 çalışan veya 10-50M€ bilanço) – mikro ve küçük işletmeler bazı istisnalar dışında kapsam dışı olabilir, ancak yine de risk değerlendirmesine tabi tutulur.
 
Temel yükümlülükler:
  - Risk yönetimi önlemleri: Olay yönetimi, iş sürekliliği, tedarik zinciri güvenliği, kriptografi, erişim kontrolü, çok faktörlü kimlik doğrulama vb.
  - Olay bildirimi: Ciddi siber olayların 24 saat içinde erken uyarı ve 72 saat içinde detaylı bildirim yapılması.
  - Yönetim sorumluluğu: Üst yönetim (C-level) doğrudan sorumlu tutulur; uyumsuzluk halinde kişisel olarak cezai veya idari yaptırımla karşılaşabilirler. Ayrıca yönetim kurulunun siber güvenlik eğitimi alması zorunludur.
  - tedarik zinciri Güvenliği: Tedarikçiler ve hizmet sağlayıcılarla ilgili riskler değerlendirilmeli.
 
Yaptırımlar:
  - İdari para cezaları: Küresel yıllık cironun en az %2’sine kadar (bir önceki yıla göre) veya sabit tutarlar (en az 10 milyon €).
  - Kişisel sorumluluk: Yönetim organı üyelerine geçici veya kalıcı olarak yöneticilik yasağı getirilebilir.
 
Türkiye için etkisi ?
  Türkiye AB üyesi olmadığından NIS2 doğrudan bağlayıcı değildir. Ancak:
  - AB’de faaliyet gösteren Türk şirketleri (özellikle bulut, yazılım, üretim, lojistik, sağlık) NIS2’ye uymak zorundadır.
  - AB’deki müşterilerine hizmet veren Türk firmaları (tedarik zinciri nedeniyle) sözleşmeler gereği uyum sağlamak durumunda kalabilir.
  - Türkiye’nin uyum çalışmaları (ör. KVKK, BTK, Dijital Mecralar Komisyonu) zamanla benzer düzenlemeleri getirebilir.
 
  NIS1’den farkları (kısaca):
  Özellik  NIS1  NIS2
  Kapsam 7 sektör 18+ sektör
  Büyüklük şartı  Yok (her ölçek)  Orta ve büyük işletmeler
  Yönetim sorumluluğu  Dolaylı  Doğrudan ve kişisel
  Cezalar  Üye ülkeye göre değişir  Asgari ortak seviye
  Tedarik zinciri  Belirsiz  Açıkça zorunlu
 
  Özetle: NIS2, AB’nin siber güvenlik alanında “oyun kurallarını” sertleştiren, kapsamı ve yaptırımları artıran bir direktiftir. Şirketler için sadece bir uyumluluk değil, aynı zamanda yönetişim ve risk kültürü dönüşümü gerektirir.
 
                     
 
ISO/IEC 27001
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ » Atacert
 
ISO/IEC 27001, bilgi güvenliği yönetim sistemi (BGYS - ISMS) konusunda uluslararası geçerliliğe sahip en önemli standarttır. Resmi adıyla "ISO/IEC 27001:2022 Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruma - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler".
 
Temel amacı:
  Kuruluşların "bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini" sistematik olarak yönetmesini, riskleri kontrol altına almasını ve sürekli iyileştirmesini sağlamak.
 
Kapsam ve yapı:
  - Ek B (Annex A) kontrol listesi: 2022 güncellemesiyle birlikte 93 kontrol maddesi (eski versiyonda 114'tü). Bu kontroller 4 ana başlık altında toplanmıştır:
  - Organizasyonel kontroller (37 madde) – Politikalar, roller, yetkilendirme, bulut, tedarik zinciri, uzaktan çalışma vb.
  - İnsan kaynakları kontrolleri (8 madde) – İşe alım, görev değişikliği, işten ayrılma, farkındalık eğitimi, disiplin süreci.
  - Fiziksel kontroller (14 madde) – Güvenli bölgeler, giriş kontrolü, ofis güvenliği, ekipman koruması.
  - Teknolojik kontroller (34 madde) – Ağ güvenliği, erişim kontrolü, şifreleme, yedekleme, kötü amaçlı yazılımdan korunma, loglama, sızma testi.
 
Yönetim sistemi gereksinimleri
   (Madde 4-10 – ISO’nun yüksek seviyeli yapısı olan HLS ile uyumlu):
    1. Bağlam iç/dış konular, ilgili taraflar
    2. Liderlik üst yönetim taahhüdü, politika, roller
    3. Planlama risk değerlendirmesi, risk tedavisi, hedefler
    4. Destek kaynaklar, yetkinlik, farkındalık, dokümantasyon
    5. Operasyon risklerin yönetilmesi, süreçler
    6. Performans değerlendirme izleme, ölçme, iç tetkik, yönetimin gözden geçirmesi
    7. İyileştirme uygunsuzluk, düzeltici faaliyetler, sürekli iyileştirme
 
Kimler için uygundur?
  - Her büyüklükteki ve sektördeki kuruluş (kamu, özel, kar amacı gütmeyen)
  - Özellikle BT, finans, sağlık, telekom, enerji, üretim, bulut hizmet sağlayıcıları, startup'lar (veri işleyenler)
  - Tedarik zincirinde güvenilirlik göstermek isteyen firmalar
 
Sertifikasyon süreci (isteğe bağlı, ancak yaygın):
  1. Gap analizi mevcut durum - standart arası fark
  2. Risk değerlendirmesi ve tedavi planı
  3. Dokümantasyon politikalar, prosedürler, kayıtlar
  4. İç tetkik ve yönetim gözden geçirmesi
  5. Akredite bir sertifikasyon kuruluşu tarafından denetim:
     - Aşama 1: Dokümantasyon ve hazırlık kontrolü
     - Aşama 2: Uygulama ve etkinlik denetimi
  6. Sertifika  3 yıl geçerli, her yıl gözetim denetimi
 
ISO 27001 ile NIS2 arasındaki ilişki:
  Boyut  ISO 27001  NIS2
  Yapı    Gönüllü uluslararası standart Zorunlu AB direktifi (hukuki yaptırım)  
  Kapsam   Her kuruluş AB’de kritik/önemli sektörler  
  Uyum aracı ISO 27001 sertifikası, NIS2’nin teknik/organizasyonel şartlarını büyük ölçüde karşılar (özellikle Ek A kontrolleri)  NIS2 daha geniş raporlama, yönetim sorumluluğu, tedarik zinciri ve ceza maddeleri içerir |
  Öneri   NIS2’ye tabi firmalar için ISO 27001 sertifikasyonu güçlü bir temel sağlar – ancak tek başına yeterli değildir;  NIS2’nin özel yükümlülükleri (24 saat olay bildirimi, yönetim kurulu eğitimi, kişisel cezai sorumluluk vb.) ayrıca ele alınmalıdır.
 
Güncel sürüm (2022) ile önceki sürüm (2013) arasındaki farklar:
  - Kontrol sayısı: 114 → 93 (bazıları birleştirilmiş, bazıları yeni)
  - Yeni kontroller: Bulut bilişim, siber tehdit istihbaratı, fiziksel güvenlik izleme, veri sızdırma önleme, web filtreleme, uygulama güvenliği, uzaktan çalışma, tedarik zinciri (NIS2 ile uyumlu hale gelmiş)
  - Anlatım dili: Daha sade, eski “şart” ve “doküman” vurgusu azaltılmış, süreç yaklaşımı güçlendirilmiş.
  - Ek A’nın yapısı: 14 başlık → 4 ana başlık (yukarıdaki gibi)
 
Sağladığı faydalar:
  - Rekabet avantajı: Müşteriler, iş ortakları ve düzenleyiciler nezdinde güven.
  - Risk azaltma: Veri ihlali, fidye yazılımı, kesinti vb. olayların olasılığı ve etkisi düşer.
  - Yasal uyumluluk: KVKK, GDPR, NIS2, BTK düzenlemeleri gibi birçok mevzuatla örtüşür.
  - Operasyonel verimlilik: Süreçlerin netleşmesi ve düzenli denetim.
  - Sigorta primlerinde avantaj: Siber sigorta şirketleri ISO 27001 belgesine indirim uygulayabilir.
 
Yaygın yanlış anlaşılmalar:
  - ❌ “Sadece BT departmanı için” → Hayır, tüm organizasyonu kapsar (İK, fiziksel güvenlik, yönetim, satın alma).
  - ❌ “Bir kere sertifika alınır, biter” → Hayır, sürekli iyileştirme ve yıllık denetimlerle canlı tutulmalıdır.
  - ❌ “Tüm kontrolleri birebir uygulamalıyım” → Hayır, sadece risk değerlendirmesi sonucu uygun bulunan kontrolleri uygularsınız (Uygunluk Beyanı – Statement of Applicability).
 
ISO 27001 sertifikası maliyeti (yaklaşık - 2025 tahmini):
  - Mikro işletme (10-20 çalışan): 5.000 – 10.000 € (danışmanlık + denetim)
  - KOBİ (50-200 çalışan): 15.000 – 35.000 €
  - Kurumsal (500+ çalışan): 50.000 – 150.000 €+
  (Fiyatlar ülkeye, danışmana, kapsama ve mevcut olgunluğa göre değişir)
 
  Sonuç: ISO 27001, bilgi güvenliğini **yönetim sistemi yaklaşımıyla** ele alan, esnek ve küresel kabul görmüş bir standarttır. NIS2 gibi mevzuatların teknik ve organizasyonel şartlarını karşılamak için mükemmel bir temel oluşturur, ancak her bir düzenlemenin kendine özgü idari, hukuki ve raporlama gereksinimleri ayrıca değerlendirilmelidir.
 
 
  # Siber Güvenlik Farkındalığı, # NIS2, # ISO 27001, # Phishing,