KOBİ’ler İçin Şifre Politikası Nasıl Yazılır — Adım Adım Uygulama Rehberi

Küçük ve orta ölçekli işletmeler (KOBİ) için siber güvenlik artık lüks değil, zorunluluk. Şifreler hâlâ birçok veri ihlalinin başlangıç noktasıdır; bu nedenle iyi tasarlanmış bir şifre politikası, hem insan hatasını azaltır hem de operasyonel güvenliği artırır. Bu rehber, pratik adımlar, örnek politika maddeleri, teknik önlemler ve sık yapılan hatalarla KOBİ’lerin uygulanabilir bir şifre politikası yazmasına yardımcı olacaktır.

Şifre politikası bileşenleri — Hangi kurallar olmalı?

Temel gereksinimler ve parola uzunluğu

• Minimum uzunluk: en az 12 karakter, yönetici hesapları için 16+ önerilir.
• Karmaşıklık: harf (büyük/küçük), rakam ve özel karakter karışımı teşvik edilir; ancak kullanıcı deneyimini bozmayacak dengede tutulmalı.
• Parola tekrar yasağı: son X parolanın (ör. 10) yeniden kullanımını engelleyin.
• Siyah liste: yaygın, kolay tahmin edilebilen parolalar ve daha önce sızmış parolalar engellenmeli (örn. “123456”, “password”).

Örnek madde:

• “Tüm kullanıcı parolaları en az 12 karakter olmalı, daha güçlü erişim seviyeleri için en az 16 karakter gereklidir. Şirket tarafından tanımlanan kara listedeki parolalar kabul edilmeyecektir.”

Parola değişim politikası

• Zorunlu periyodik sıfırlama pek çok modern tavsiyeye göre gereksizdir; yalnızca ihlal şüphesi veya tespit edilen risk durumlarında zorunlu kılınmalıdır.
• Şüpheli etkinlik veya ihlal durumunda bildirim sonrası 24 saat içinde parola değişimi istenebilir.

Tekrar kullanım ve paylaşım yasakları

• Kişisel ve kurumsal hesaplarda aynı parolanın kullanımı yasaklanmalı.
• Parolaların e‑posta, sohbet veya not paylaşım kanalları ile paylaşılması kesinlikle yasaktır.

Yetki ve ayrıcalık yönetimi

• En az imtiyaz ilkesi: kullanıcılar yalnızca işlerini yapabilmek için gerekli erişime sahip olmalı.
• Yönetici hesapları için ekstra katmanlar (fiziksel token, YubiKey gibi donanım anahtarları) zorunlu olmalıdır.

İki faktörlü kimlik doğrulama (2FA/MFA)

• Kritik uygulamalar (e‑posta, finans, yönetim panelleri, SSO) için 2FA zorunlu kılınmalı.
• Tercih edilen yöntemler: uygulama tabanlı TOTP (Authenticator), FIDO2 / donanım anahtarları. SMS sadece geçici veya son çare olarak kullanılmalı.

IoT güvenliği için özel maddeler

• Fabrika ayarları/parolalar: tüm IoT cihazlarının ilk kurulumda varsayılan parolaları değiştirilmeli.
• Cihaz kimlik doğrulaması ve ağ segmentasyonu: IoT cihazları izole ağlarda, ayrı VLAN’larda çalıştırılmalı.
• Güncelleme politikası: cihaz yazılımları ve firmware düzenli olarak kontrol edilip güncellenmeli.

Parola yöneticisi — KOBİ’lerde dağıtım ve en iyi uygulamalar

Neden parola yöneticisi kullanmalısınız?

Parola yöneticileri (ör. Bitwarden, 1Password, KeePass gibi) güçlü, benzersiz parolalar üretir, saklar ve otomatik doldurma ile insan hatasını azaltır. Ekip kullanımında paylaşımlı kasalar ve güvenli notlar sayesinde operasyonel süreklilik sağlanır.

Dağıtım adımları

1. Uygun çözümü seçin (açık kaynak ve self‑host seçeneği varsa tercih edilebilir).
2. İş politikalarına uygun şifreleme ve erişim kontrollerini yapılandırın.
3. Tüm çalışanlara temel eğitim verin: şifre oluşturma, güvenli not, paylaşım yöntemleri.
4. Yönetici hesapları için MFA ve donanım anahtarı entegrasyonunu zorunlu kılın.
5. Zayıf ve tekrar eden parolaların otomatik taramasını etkinleştirin.

Parola yöneticisi için güvenlik kontrol listesi

• Ana parola/anahtarın güçlü olması; mümkünse donanım tabanlı MFA ile korunması.
• Cihaz düzeyinde şifreleme ve güvenli senkronizasyon.
• Ekip paylaşım politikalarının loglanması ve erişim denetimi.
• “Emergency access” ve offboarding süreçleri tanımlanmalı.

Teknik denetimler ve otomasyon — Have I Been Pwned ve diğer araçlar

Sızıntı taraması ve otomasyon

• “Have I Been Pwned” benzeri API’ler ile şirket e‑posta alanlarına ait sızıntı kontrolü düzenli otomasyonla yapılmalı.
• Parola yöneticisinde zayıf/tekrarlı parolaları tespit eden taramalar periyodik olarak çalıştırılmalı.
• Güvenlik bilgi ve olay yönetimi (SIEM) veya basit log analizleri ile oturum günlükleri ve başarısız giriş denemeleri izlenmeli.

SSO ve donanım anahtarları

• Tek Oturum Açma (SSO) çözümleri merkezi politika uygulama, MFA entegrasyonu ve kullanıcı yönetimi kolaylığı sağlar.
• Kritik uygulamalarda FIDO2/ WebAuthn ile donanım anahtarı (YubiKey, Titan Key, vb.) kullanımı, kimlik avı temelli saldırılara karşı en sağlam savunmalardan biridir.

Kullanıcı eğitimi ve süreçler — İnsan faktörünü güçlendirmek

Eğitim konuları

• Güçlü parola oluşturma ve parola yöneticisi kullanımı.
• 2FA nedir, neden önemlidir, nasıl kurulur ve yedeklenir.
• Sosyal mühendislik ve oltalama (phishing) örnekleri ve tanıma yöntemleri.
• Şüpheli e‑posta, bağlantı veya oturum bildirimleri nasıl raporlanır.

Onboarding ve offboarding

• Yeni çalışanlara parola politikası ve parola yöneticisi kurulumu ilk iş olarak verilmeli.
• İşten ayrılmalarda erişimler hemen iptal edilmeli; paylaşılan kasalarda anahtar yeniden düzenlenmeli.

Uygulama örnekleri — Politika maddesi örnekleri

• “Tüm çalışanlar kurumsal parola yöneticisini kullanmak zorundadır. Şirket tarafından onaylanmayan parola saklama yöntemleri (e‑posta, metin mesajı, kişisel not uygulamaları) yasaktır.”
• “Yönetici ve finans hesapları için donanım tabanlı MFA (FIDO2) zorunludur. Alternatif olarak uygulama tabanlı 2FA kullanılabilir; SMS yalnızca geçici durumlarda kabul edilir.”
• “IoT cihazları ilk kurulumda varsayılan parolalar değiştirilmiş ve cihazlar ayrı bir VLAN’a yerleştirilmiş olmalıdır.”

Sık yapılan hatalar — Kısa liste

• Parolaları e‑posta veya sohbet uygulamalarıyla paylaşmak.
• Aynı şifreyi farklı hesaplarda kullanmak.
• 2FA kodlarını yedeklemeden cihaz değiştirmek (yedeksiz OTP cihazı kaybı).
• SMS tabanlı 2FA’yı tek güvenlik katmanı olarak kullanmak.
• IoT cihazlarında varsayılan parolaları bırakmak ve cihazları güncellememek.

Bugün başlamak için 5 adım (mini-checklist)

• Parola politikası taslağını oluşturun: minimum uzunluk, siyah liste, tekrar yasağı ve 2FA zorunluluğu.
• Parola yöneticisi seçin ve yönetici hesapları için kurulum yapın.
• Kritik hesaplarda (e‑posta, finans, SSO) 2FA ve ideal olarak donanım anahtarı etkinleştirin.
• Have I Been Pwned gibi sızıntı kontrol araçlarını devreye alın ve otomatik raporlama kurun.
• Tüm personele kısa bir eğitim verin ve parola paylaşımına dair kuralları netleştirin.

İleri seviye önlemler — Ölçeklendirince neler eklenmeli?

• Oturum yönetimi: aktif oturum listeleri, anormal coğrafi giriş tespitleri ve oturum zaman aşımı kuralları.
• MFA için adaptif kimlik doğrulama: risk puanına göre ek doğrulama adımları ekleyen sistemler.
• Düzenli pentest ve masaüstü/CI/CD pipeline güvenlik taramaları.
• Cihaz bazlı güvenlik: MDM/EMM çözümleri ile kurumsal cihaz kontrolleri ve şifreli depolama zorunluluğu.

Pitfall’lar ve çözümleri — Gerçek dünya örnekleri

• Problem: Personel yöneticinin e‑posta adresi sızdı, tüm servislerde aynı şifre kullanılıyordu → Çözüm: SSO + zorunlu parola yöneticisi + parola tekrar yasağı.
• Problem: Satın alınan IoT kameralar fabrikadan gelen şifrelerle üretime bağlandı → Çözüm: Kurulum sürecine “varsayılan parolanın değiştirilmesi” zorunlu adımı ekleyin ve cihazları izole edin.

Sonuç — Neden şimdi başlamak gerekiyor?

KOBİ’ler için etkili bir şifre politikası hem maliyeti düşürür hem de marka itibarını korur. Parola yöneticileri, iki faktörlü kimlik doğrulama (2FA), donanım anahtarları ve düzenli teknik taramalar birleştiğinde insan hatası kaynaklı riskler büyük ölçüde azalır. IoT cihazları ve SSO entegrasyonları da göz ardı edilmemelidir.

Eylem çağrısı: Bugün 30 dakikanızı ayırın, mevcut hesaplarınızı ve IoT cihazlarınızı gözden geçirip yukarıdaki “Bugün başlamak için 5 adım” listesini uygulayın. Gereksinim duyarsanız KOBİ’nize özel şifre politikası taslağı hazırlamak için profesyonel destek almayı düşünün.