KOBİ’ler İçin Şifre Politikası Nasıl Yazılır — Ev Kullanıcıları İçin Pratik Çözümler

Küçük ve orta ölçekli işletmeler (KOBİ) ile ev kullanıcılarının dijital varlıkları artarken, basit parola hataları bile ciddi güvenlik açıklarına dönüşebilir. Doğru yazılmış bir şifre politikası yalnızca teknik bir belge değildir; insan davranışını yönlendiren, uygulanabilir ve ölçülebilir kurallar bütünü olmalıdır. Bu rehberde KOBİ’ler ve ev kullanıcıları için pratik çözümler, örnek politika maddeleri, eğitim önerileri ve uygulanabilir yol haritası bulacaksınız.

Şifre politikası hangi maddeleri içermeli? (Örnek ve açıklama)

Kurumsal ortamlarda politika açık, kısa ve uygulanabilir olmalıdır. Aşağıdaki maddeler temel oluşturur:

Temel politika maddeleri (örnek)

• Minimum uzunluk: en az 12 karakter; parola cümlesi (passphrase) tercih edilir.
• Yasaklı desenler: şirket adı, kullanıcı adı, doğum tarihi, “12345”, “qwerty” gibi yaygın desenler yasaktır.
• Parola geçmişi ve tekrar kullanımı: son 10 parola yeniden kullanılamaz.
• İhlal denetimleri: parolalar veri sızıntısı listelerine karşı düzenli kontrol edilir.
• Zorunlu iki faktörlü kimlik doğrulama (2FA): kritik hesaplarda 2FA zorunludur.
• Parola son kullanma: yalnızca şüphe veya ihlal durumunda zorunlu değişiklik; rastgele periyodik zorlama yerine risk temelli yaklaşım.
• Parola yöneticisi kullanım tavsiyesi: kurum tarafından onaylı parola yöneticisi zorunlu veya kuvvetle önerilir.
• Hesap kilitleme ve uyarılar: 5 başarısız deneme sonrası otomatik kilitleme ve yöneticilere bildirim.

Neden parola cümlesi (passphrase)?

• Harf, rakam ve sembol kombinasyonu yerine anlamlı uzun bir cümle (ör. “SabahKahvesiMavi2026!”) hem hatırlanması kolay hem de kırılması daha zordur.
• 12+ karakter ve boşluk içeren cümleler brute-force saldırılarına karşı daha dayanıklıdır.

Teknik uygulama ve denetim yöntemleri

Bir politika yazmak yeterli değildir; teknik olarak da desteklenmelidir.

Teknik kontroller

• Parola gücü değerlendirmesi: parola oluşturulurken kullanıcıya gerçek zamanlı geri bildirim.
• Parola siyah listesi: bilinen sızıntı parolaları engellenmeli.
• Merkezi kimlik yönetimi (SSO) kullanımı: bulut servis erişimlerinin merkezi kontrolü.
• Çok faktörlü kimlik doğrulama (MFA / 2FA): tercihen uygulama tabanlı (TOTP) veya donanım güvenlik anahtarı (FIDO2). SMS 2FA yalnızca acil durum olarak düşünülmeli.
• Oturum yönetimi ve otomatik çıkış süreleri: kritik uygulamalarda kısa süreli oturumlar.

Denetim ve metrikler

• % kaç hesabın 2FA etkin olduğu
• Zorunlu parola yöneticisi kullanım oranı
• Phishing simülasyonlarında tıklama oranı
• Hesap kilitleme/ihlal sayısı ve müdahale süresi Bu metrikler, üçüncü veya dördüncü hafta yapılacak iyileştirmeler için temel sağlar.

Eğitim, farkındalık ve insan faktörü

İnsan faktörü güvenliğin kilididir. Kısa, uygulamalı eğitimler davranışı kalıcı hale getirir.

Etkili eğitim önerileri

• 15–30 dakikalık modüller: “Neden” ve “Nasıl” birlikte anlatılmalı (ör. “Neden parola cümlesi? Nasıl oluşturulur?”).
• Uygulamalı atölyeler: parola yöneticisi kurulumu ve kullanımı, 2FA etkinleştirme.
• Simülasyonlar: düzenli phishing tatbikatları ve sonuç geri bildirimi.
• Rol bazlı eğitim: IT, finans ve yönetim gibi yüksek riskli gruplara özel içerik.
• Ödüllendirme: phishing testi geçen ekipler/kişiler için küçük ödüller.

Phishing (oltalama) farkındalığı

• Sahte e-postalar ve sahte giriş sayfaları, en dikkatli kullanıcıları bile tuzağa düşürebilir.
• Ortak uyarı işaretleri: alan adı benzerlikleri (micr0soft.com), acele ettiren söylemler, olağandışı istekler (hesap bilgisi talebi, para transferi).
• Pratik: bağlantı üzerine gelindiğinde görünen URL’yi kontrol et, e-posta gönderenin mail başlığını doğrula, şüpheli ise IT’ye yönlendir.

Ev kullanıcıları için pratik çözümler (KOBİ çalışanlarının evde uygulayacağı adımlar)

Evden çalışan KOBİ personeli, şirket verilerinin ilk savunma hattıdır. Basit ama etkili uygulamalar:

• Evdeki Wi-Fi: güçlü bir yönetici parolası ve WPA3 (mümkünse) veya en az WPA2 kullanın. Router firmware güncellemelerini düzenli yapın.
• IoT güvenliği: akıllı cihazlar için default parolaları değiştirin, cihazları ayrı bir ağda (misafir ağı) tutun.
• Parola yöneticisi: Ev kullanıcıları için popüler ve güvenli bir parola yöneticisi (kurumun tavsiye ettiği) kullanılmalı; paylaşılan kurumsal hesabı parola yöneticisi üzerinden paylaşın.
• 2FA kullanımını genişletin: kişisel e-posta, banka ve iş hesaplarında 2FA etkinleştirin.
• Cihaz güncellemeleri: OS ve uygulama güncellemelerini otomatik veya düzenli aralıklarla yapın.

IoT güvenliği — KOBİ’lerde ve evde dikkat edilmesi gerekenler

IoT cihazları genellikle ihmal edilen zayıf noktalardır. Yapılması gerekenler:

• Fabrika parolalarını değiştirin.
• Salt yetkili cihaz listesi oluşturun; gereksiz cihazları ağdan kaldırın.
• Network segmentasyonu: IoT cihazlarını şirket içi ağdan ayırarak hassas verilere erişimi kısıtlayın.
• Otomatik güncellemeler ve düzenli firmware kontrolü.
• Bulut tabanlı kameralar ve sensörler için güçlü, benzersiz parolalar ve 2FA.

Yol haritası: 4 haftalık uygulanabilir plan (örnek)

• 1. Hafta — Kritik hesaplar
  • Yönetici ve finans hesaplarına 2FA zorunluluğu getir.
  • Kritik hesaplarda parola gücünü zorunlu kıl ve parola yöneticisi kurulumunu başlat.
• 2. Hafta — Tüm servisler
  • Tüm çalışanların parola cümlesi oluşturması ve parola yöneticisi kullanımı.
  • Parola siyah listesi ve veri sızıntısı kontrollerini etkinleştir.
• 3. Hafta — Ekip eğitimleri ve simülasyon
  • Kısa eğitim modülleri, parola yöneticisi atölyeleri, ilk phishing simülasyonu.
• 4. Hafta — Metrik toplama ve iyileştirme
  • 2FA etkinlik oranı, simülasyon sonuçları, ihlal testleri; elde edilen veriler ışığında politika revizesi.

Örnek kısa şifre politikası metni (kopyala-yapıştır için)

• Tüm kullanıcı hesapları için minimum 12 karakter ve parola cümlesi tercih edilir.
• Parolalar şirket adı, kullanıcı adı veya doğum tarihi içeremez.
• Kritik erişimler için iki faktörlü kimlik doğrulama (2FA) zorunludur.
• Parola yöneticisi şirket tarafından belirlenen çözümle kullanılacaktır.
• Parola ihlali tespit edildiğinde kullanıcı derhal parola değiştirir; IT ekibi olayı inceler.

Sık Yapılan Hatalar

• Karmaşıklığı aşırı zorlamak: çok sık değişen ve karmaşık kurallar kullanıcıları parolaları yazmaya/tekrarlamaya iter.
• SMS tabanlı 2FA’yı tek güvence olarak kullanmak: SIM swap saldırılarına açıktır.
• Parola paylaşımı: şifrelerin e-posta veya chat ile paylaşılması.
• IoT cihazlarını göz ardı etmek: fabrika şifreleri ve güncelsizlik ciddi risk yaratır.
• Yalnızca periyodik parola değişikliğine güvenmek: güncel saldırı teknikleri ve veri sızıntıları dikkate alınmalı.

Bugün Başlamak İçin 5 Adım (Hızlı checklist)

• 1. Tüm yöneticiler ve finans hesaplarınıza hemen 2FA etkinleştirin.
• 2. Parola yöneticisi kurun ve en az 3 kritik hesabı parola yöneticisine taşıyın.
• 3. Router ve IoT cihazlarının fabrika parolalarını değiştirin.
• 4. Çalışanlara 15 dakikalık “parola cümlesi ve 2FA” eğitim linki gönderin.
• 5. İlk phishing simülasyonunu planlayın (1–2 hafta içinde).

Sonuç — Uygulanabilirlik ve sürekli iyileştirme

KOBİ’ler için bir şifre politikası yazmak, kağıt üzerinde kurallar üretmekten öte, insan davranışını yönlendiren, teknik kontrollerle desteklenen ve ölçülebilir hedefler koyan bir süreçtir. Ev kullanıcıları için ise temel ilkeler: güçlü parolalar, parola yöneticisi kullanımı, 2FA etkinleştirme ve IoT cihazlarına dikkat. Başlangıçta küçük, uygulanabilir adımlar atın; simülasyonlar ve metriklerle ilerlemeyi takip edin. Güvenlik bir hedef değil, sürekli bir yolculuktur.

İleri adım: Hemen bugünkü 5 adımı uygulayın ve 4 haftalık yol haritasını kurumunuza uyarlayarak ilk phishing simülasyonunu planlayın. Daha fazla yardım isterseniz, kurumunuzun büyüklüğüne uygun örnek politika şablonları ve eğitim modülleri hazırlayabilirim.