İçeriğe geç
KOBİ’ler İçin Şifre Politikası Nasıl Yazılır — 2025 Trendleri ve En İyi Pratikler

KOBİ’ler İçin Şifre Politikası Nasıl Yazılır — 2025 Trendleri ve En İyi Pratikler

5 dk
#policy#şifre#güvenlik#kobi

KOBİ’ler için etkili bir şifre politikası yazmak sadece teknik bir gereklilik değil; işletmenin itibarını, müşteri verilerini ve operasyonel sürekliliğini koruyan temel bir güvenlik adımıdır. 2025 trendleri ve en iyi pratikler ışığında hazırlanan bu rehber, minimum uzunluktan ihlal denetimlerine, parola yöneticisi kullanımından IoT güvenliğine kadar uygulamaya dönük adımlar içerir. Hem yöneticiler hem de BT sorumluları için uygulanabilir, ölçülebilir ve maliyet-etkin öneriler sunar.

Neden KOBİ’ler için şifre politikası şart?

  • KOBİ’ler genellikle hedef saldırganlar için zayıf halka olarak görülür: kaynak sınırlamaları ve eksik politika çoğu güvenlik açığını büyütür.
  • Bir çalınan hesap, müşteri verisi, finansal kayıp ve itibar zararına yol açabilir; küçük bir yatırım (ör. parola yöneticisi) bu maliyetleri büyük oranda azaltır.
  • Yasal uyumluluk ve veri koruma gereksinimleri (KVKK benzeri düzenlemeler) organizasyonel politika gerektirir.

Şifre Politikası Yazarken Temel Maddeler

Aşağıda KOBİ’ler için uygulanabilir ve açık biçimde yazılabilecek politika maddeleri vardır. Her maddeye örnek sözleşme/ifade de eklenmiştir.

1. Minimum uzunluk ve karmaşıklık

  • Öneri: En az 12 karakter; kritik hesaplar için 16+ karakter.
  • Örnek madde: "Tüm hesap parolaları en az 12 karakter uzunluğunda olmalıdır. Kritik sistemler için parola minimum uzunluğu 16'dır."
  • Neden: Uzun parolalar kaba kuvvet saldırılarına karşı daha dayanıklıdır. Karmaşıklık kuralları (büyük/küçük harf, rakam, sembol) yerine uzunluk ve passphrase teşvik edin.

2. Yasaklı desenler ve parola geçmişi

  • Yasaklılar: "Password123", tckn, şirket adı, ardışık sayılar veya kolay kırılabilir regex desenleri.
  • Örnek madde: "Kullanıcı parolaları, şirket adı, kullanıcı adı veya ardışık/tekrar eden desenler içermemelidir. Önceki 10 parola tekrar kullanılamaz."
  • Teknik ipucu: Komut dosyasıyla veya IAM politikalarıyla regex kontrolleri uygulayın; süreksiz güvenlik önlemleri kullanıcıyı zora sokarsa pasphrase yaklaşımı daha iyidir.

3. Parola cümlesi (passphrase) tercihleri

  • Neden: İnsan tarafından hatırlanabilir, uzun ve güvenli alternatiftir.
  • Örnek: "Parola olarak 4+ kelimelik, kişisel olmayan ve anlamlı olmayan cümleler tercih edilmelidir (ör. 'kedi-masa-çay-2025!')."
  • Uygulama: Parola yöneticisi ile oluşturulan passphrase’leri destekleyin.

4. İhlal denetimleri ve sızıntı taraması

  • İlgili madde: "Tüm kullanıcı parolaları düzenli olarak 'Have I Been Pwned' benzeri ihlal API'leri ile taranacak; sızma tespitinde parola zorunlu olarak değiştirilecektir."
  • Uygulama: Otomatik API entegrasyonu sayesinde çalınmış parolalar hızlıca tespit edilir.

5. İki faktörlü kimlik doğrulama (2FA) zorunluluğu

  • Örnek madde: "Tüm çalışan hesaplarında iki faktörlü kimlik doğrulama (2FA) etkinleştirilecektir. Kritik erişimler için donanım anahtarları (FIDO2/U2F) kullanımı teşvik edilecektir."
  • Not: 2FA hem SMS hem OTP uygulaması hem de tercihen donanım anahtarları ile desteklenmelidir. Donanımsal anahtarlar phishing’e karşı en sağlam çözümdür.

6. Parola paylaşımı ve yönetimi

  • Politikaya dahil edin: "Parolalar kişisel olarak saklanmalı, paylaşım gerektiğinde parola yöneticisi içindeki güvenli paylaşım özelliği kullanılmalıdır."
  • Neden: E-posta veya paylaşılan doküman kullanımından kaynaklanan sızıntıları önler.

Teknik Kontroller ve Entegrasyonlar

Have I Been Pwned ve benzeri ihlal API’leri

  • Otomasyon: Yeni parola oluşturulurken veya periyodik taramada API’ye sorgu atın.
  • Örnek uygulama: Kullanıcı parola belirlerken anında kontrol; eğer parola geçmişte sızmışsa zorunlu değişiklik.

Parola yöneticisi kullanımı ve denetimleri

  • Neden: Parola yöneticileri zayıf/tekrarlı parolaları tespit eder, güçlü rastgele parolalar oluşturur ve güvenli paylaşım sunar.
  • İş akışı: Kurumsal parola yöneticisi (business plan) satın alın, zorunlu iki faktörlü erişim ayarlayın, yönetici denetimleri (audit logs) etkinleştirin.
  • Denetim: Düzenli raporlarla zayıf veya tekrar eden parolaları tespit edip zorunlu güncelleme talep edin.

SSO ve donanım anahtarları entegrasyonu

  • SSO avantajı: Merkezi kimlik yönetimi, oturum kontrolü, uygulama bazlı erişim yönetimi.
  • Donanım anahtarı: Kritik sistemlere erişimde donanım anahtarları (FIDO2) kullanmak phishing ve credential theft riskini büyük ölçüde azaltır.

IoT güvenliği

  • KOBİ ortamında IoT cihazları (kamera, sensör, akıllı kilitler) sıkça göz ardı edilir.
  • Politikada yer verilecek maddeler:
    • Fabrika ayarları parolaları derhal değiştirilecek.
    • Ağ segmentasyonu ile IoT cihazları ayrı bir VLAN’a alınacak.
    • Cihazlar için güncelleme ve zafiyet taramaları düzenli yapılacak.
  • Neden: IoT cihazları genellikle zayıf parolara sahiptir ve lateral hareket vektörü oluşturur.

Bulut Depolama ve Paylaşılan Erişim Riskleri

  • Paylaşılan klasör izinleri yanlış yapılandırıldığında veri sızıntısı başlıca nedenlerden biridir.
  • Politikada:
    • Paylaşım süreleri varsayılan olarak sınırlı (ör. 7 gün) olmalı.
    • Erişim "gerektiği kadar" prensibi ile minimal izin verilmeli.
    • Dosya paylaşımlarında parola koruması ve izleme etkinleştirilmeli.
  • Teknik uygulama: Otomatik link-expiry, erişim loglaması, DLP çözümleriyle hassas veri tespiti.

Risk-Maliyet Dengesi: Neden Küçük Yatırımlar Büyük Tasarruf Sağlar?

  • Kısa örnek hesaplama: Bir çalınan müşteri hesabı nedeniyle yaşanacak itibar ve operasyon kaybı + veri ihlali cezaları, bir yıllık parola yöneticisi ve 2FA ekipman maliyetinin çok üzerindedir.
  • Parola yöneticisine yapılacak küçük yatırımın faydaları:
    • Zayıf/tekrarlı parolaların ortadan kalkması.
    • Güvenli paylaşım ve merkezi kontrol.
    • Denetim raporları ve uyumluluk takibi.

Uygulama, Eğitim ve Simülasyonlar

  • Eğitim: Tüm çalışanlara düzenli şifre güvenliği ve 2FA eğitimleri verin. E-posta phishing simülasyonları ile farkındalık artırın.
  • Simülasyon: Haftalık/aylık oltalama testleri ile eğitim etkinliğini ölçün; sonuçlara göre eğitim içeriğini güncelleyin.
  • KPI önerileri: Zayıf parola oranı, 2FA etkinleştirme oranı, oltalama testi tıklama oranı.

Sık Yapılan Hatalar

  • Çok karmaşık kurallar koyup kullanıcıların parola cümlesi yerine kısa, tekrar parolalar kullanmasına izin vermek.
  • Parola politikalarını yazıp uygulamayı denetlememek.
  • Parolaları e-posta/Excel’de paylaşmak veya düz metin saklamak.
  • IoT cihazlarını ağda izole etmemek ve fabrika parolalarını değiştirmemek.
  • 2FA’yı isteğe bağlı bırakmak; kritik hesaplarda zorunlu kılmak gerekir.

Bugün Başlamak İçin 5 Adım (Kısa Checklist)

    1. Mevcut şifre politikasını gözden geçir ve minimum 12 karakter/öncelikli passphrase yönergesini ekle.
    1. Kurumsal parola yöneticisi için teklif al ve pilot kullanıcı grubu oluştur.
    1. Tüm kritik hesaplara iki faktörlü kimlik doğrulamayı (2FA) zorunlu kıl.
    1. 'Have I Been Pwned' benzeri bir ihlal API entegrasyonunu planla ve devreye al.
    1. Bulut paylaşımlarını denetle: default link süreleri ayarla, gereksiz izinleri kaldır.

Örnek Şifre Politikası Kısa Taslağı (Hızlı Uygulama)

  • Tüm çalışan parolaları en az 12 karakter olmalı; kritik hesaplar 16+.
  • Parola cümlesi (passphrase) tercih edilecek; kişisel bilgiler kullanılmayacak.
  • Parolalar yılda en az bir kez ve ihlal tespitinde derhal değiştirilecek.
  • 2FA tüm kullanıcılar için zorunlu; kritik hesaplarda donanım anahtarı kullanılacak.
  • Parolalar parola yöneticisinde saklanacak; paylaşımlar parola yöneticisi üzerinden yapılacak.
  • IoT cihazlarının varsayılan parolaları değiştirilecek ve ayrı VLAN’da tutulacak.
  • Bulut paylaşımlarının tüm linkleri süreli olacak ve düzenli olarak gözden geçirilecek.

Sonuç ve Çağrı

KOBİ’ler için sade, uygulanabilir ve teknolojik olarak desteklenmiş bir şifre politikası hem maliyetleri düşürür hem de güvenlik seviyesini yükseltir. Bugün atacağınız küçük adımlar — parola yöneticisi, 2FA zorunluluğu, ihlal taraması ve eğitim — gelecekteki büyük kayıpları önler. Hemen şimdi ilk adımı atın: parola politikanızı gözden geçirin, parola yöneticisi için pilot bir ekip belirleyin ve 2FA zorunluluğunu devreye alın. Daha fazla destek isterseniz, ihtiyacınıza uygun politika şablonları ve uygulama planları hazırlayabilirim.

Seyahatte Wi‑Fi Güvenliği ve Parolalar — Uzman İpuçları ve Kontrol Listesi
Sonraki yazı yok

İlgili Yazılar

Seyahatte Wi‑Fi Güvenliği ve Parolalar — Uzman İpuçları ve Kontrol Listesi

Seyahatte Wi‑Fi Güvenliği ve Parolalar — Uzman İpuçları ve Kontrol Listesi

26 Şubat 2026

Sağlıkta Veri Koruma ve Parolalar — Gerçek Vaka İncelemesi

Sağlıkta Veri Koruma ve Parolalar — Gerçek Vaka İncelemesi

22 Şubat 2026

Kaçınılması Gereken 10 Parola Hatası — Kurumsal Ortamlarda Uçtan Uca Güvence

Kaçınılması Gereken 10 Parola Hatası — Kurumsal Ortamlarda Uçtan Uca Güvence

19 Şubat 2026

← Tüm Yazılar