Bilgi Güvenliği Eğitimi
Kurum bünyesinde gerçekleştirilen Bilgi Güvenliği Eğitimi ile; bilgi varlıklarının izinsiz kullanımı, yetkisiz erişim, veri sızıntısı ve operasyonel kesinti risklerine karşı çalışan farkındalığının artırılması hedeflenmiştir. Eğitimde, bilgi güvenliğinin temelini oluşturan Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability) prensipleri (CIA) çerçevesinde örnek senaryolar ve uygulama pratikleri ele alınmıştır.
Oturum kapsamında; erişim yönetimi, parola disiplinleri, kimlik doğrulama yöntemleri, e-posta ve uç nokta güvenliği, sosyal mühendislik saldırıları, güvenli uzaktan çalışma kuralları ve olay bildirimi gibi konular, kurumun iş süreçleri ile ilişkilendirilerek değerlendirilmiştir. Böylece, bilginin yalnızca teknik ekiplerin değil, tüm çalışanların ortak sorumluluğu olduğu yaklaşımı pekiştirilmiştir.
Odak: Bilgi varlıklarının izinsiz kullanımına karşı kurumsal farkındalık.
Konu Başlıkları: CIA, erişim yönetimi, parola/MFA, e-posta güvenliği, sosyal mühendislik, olay bildirimi.
Kazanımlar: Risk azaltımı, davranış standardizasyonu, denetim uyumu ve sürdürülebilir güvenlik kültürü.
Yaklaşım: Politika + süreç + kullanıcı davranışı + teknik kontroller.
1. Eğitimin Kapsamı ve Hedefi
Eğitim; kurumun bilgi varlıklarını korumaya yönelik temel farkındalığı güçlendirmek, çalışanların günlük iş akışlarında karşılaşabileceği güvenlik risklerini tanımasını sağlamak ve politika/prosedürlere uyumu artırmak amacıyla yapılandırılmıştır.
| Kapsam Başlığı | İçerik Özeti |
|---|---|
| Bilgi varlığı yaklaşımı | Bilginin sınıflandırılması, sahiplik, kritik varlıklar ve iş sürekliliği etkileri |
| Erişim ve kimlik yönetimi | Yetkilendirme, en az ayrıcalık, MFA, paylaşılan hesap riskleri |
| Parola disiplini | Güçlü parola/şifreleme alışkanlıkları, parola tekrarının riskleri, parola yöneticisi yaklaşımı |
| E-posta ve sosyal mühendislik | Phishing, sahte bağlantı/ek, kimlik avı senaryoları ve doğrulama adımları |
| Olay yönetimi ve bildirim | Şüpheli durumların raporlanması, ilk müdahale prensipleri, kayıt altına alma |
Bu çerçevede, bilgi güvenliğinin kurumsal olgunluğa dönüşebilmesi için “tek seferlik eğitim” yerine, düzenli ölçümleme ve hatırlatma mekanizmalarıyla desteklenmesi gerektiği vurgulanmıştır.
2. CIA Prensipleri: Gizlilik · Bütünlük · Erişilebilirlik
Bilgi güvenliği; üç temel ilkenin dengeli biçimde korunmasıyla sağlanır: Gizlilik, Bütünlük ve Erişilebilirlik. Eğitimde bu üçlü yapı; kurumsal örnekler ve risk senaryolarıyla somutlaştırılmıştır.
2.1. Gizlilik (Confidentiality)
Yetkisiz kişilerin bilgiye erişmesini engellemeye odaklanır. Erişim yetkileri, rol bazlı kısıtlar, ekran kilidi, veri maskeleme ve güvenli paylaşım yöntemleri bu başlığın temel kontrol alanlarıdır.
2.2. Bütünlük (Integrity)
Bilginin doğruluğunun ve değiştirilmemiş olmasının korunmasını hedefler. Yetkisiz değişiklikler, hatalı kayıtlar, versiyon karmaşası ve yanlış raporlama riskleri; iş kararlarını doğrudan etkileyen kritik unsurlardır.
2.3. Erişilebilirlik (Availability)
Bilginin ihtiyaç duyulduğu anda erişilebilir olmasını ifade eder. Yedekleme stratejileri, felaket kurtarma, kapasite planlama ve hizmet sürekliliği bu kapsamda değerlendirilir.
3. Uygulama Başlıkları ve Kritik Davranışlar
Eğitimde; günlük iş akışlarında en sık karşılaşılan risk alanları için pratik ve uygulanabilir davranış setleri paylaşılmıştır. Hedef; çalışanların “ne yapmaması gerektiğini” değil, “ne yapması gerektiğini” netleştirmektir.
3.1. Kritik Davranış Seti
- Şüpheli e-posta: Link/ek açmadan önce doğrulama, alan adı kontrolü, ikinci kanal teyidi
- Parola güvenliği: Parola tekrarından kaçınma, MFA kullanımı, parola paylaşmama
- Ekran ve masa disiplini: Ekran kilidi, çıktıların kilitli dolapta saklanması, temiz masa yaklaşımı
- Dosya paylaşımı: Kurum onaylı kanallar, erişim kısıtı, süreli link ve yetki kontrolü
- Olay bildirimi: Şüpheli erişim/cihaz kaybı/veri sızıntısı şüphesinde hızlı bildirim ve kayıt