KOBİ’ler İçin Şifre Politikası Nasıl Yazılır — Gerçek Vaka İncelemesi

KOBİ’ler için şifre politikası nasıl yazılır — gerçek vaka incelemesi başlığı altında, kurumunuzun en zayıf halkası olan insan faktörünü ve teknik eksikleri beraber ele alan bir rehber sunuyorum. Bu makalede; kurumsal şifre (password) policy oluşturmanın temel maddeleri, parola yöneticisi ve iki faktörlü kimlik doğrulama (2FA) uygulamaları, IoT güvenliği için özel kurallar, sık yapılan hatalar ve bugünden başlayabileceğiniz 5 adımlık kısa bir kontrol listesi yer alıyor.

Amacımız: Kağıt üzerindeki politikayı operasyonel hâle getirmek — yani çalışanların "neden" ve "nasıl"ı anlayacağı, uygulanabilir ve denetlenebilir bir şifre politikası oluşturmak.

Neden bir şifre politikası şart? (KOBİ güvenlik öncelikleri)

• Tek bir hesap ihlali tüm sistemlere yayılabilir: Aynı şifre farklı serviste kullanıldığında zincirleme etki olur.
• Phishing saldırıları ve sahte giriş sayfaları, özellikle KOBİ çalışanlarını hedefler; alan adı benzerlikleri ve acele ettiren dil yaygındır.
• IoT cihazları (kamera, sensör, yazıcı vb.) genellikle fabrika ayarı parolalarla gelir ve ağ içi yayılmanın başlangıç noktası olabilir.
• Regülasyonlar ve müşteri güveni: Müşteri verilerini korumayan KOBİ’ler itibar ve ticari kayıp riskiyle karşılaşır.

Bu nedenlerle politika; minimum uzunluk, yasaklı desenler, parola cümlesi (passphrase) tercihleri, ihlal denetimleri ve eğitim adımlarını netleştirmelidir.

KOBİ’ler için şifre politikası nasıl yazılır: temel maddeler

Aşağıdaki maddeler bir şifre politikası oluştururken mutlaka yer almalıdır. Her maddeye mümkünse uygulanabilir ölçümler (metrikler) ekleyin.

• Minimum uzunluk ve yapı
  • Örnek: Tüm kullanıcı parolaları en az 12 karakter olmalıdır. Kritik hesaplar için en az 16 karakter veya passphrase önerilir.
• Yasaklı desenler ve kara liste
  • Şirket adı, marka, kullanıcı adı, ardışık sayılar (1234), yaygın kelimeler yasaktır.
• Parola cümlesi (passphrase) tercihleri
  • Kullanıcılara kelime kombinasyonu önerin: üç anlamsal olarak ilgisiz kelime + sembol (ör. "gökkuşağı!masa7çay").
• Benzersizlik ve tekrar kullanma yasağı
  • Aynı parolanın kurumsal hesaplarda tekrar kullanımı yasak. Parola geçmişi en az son 10 parola ile karşılaştırılmalı.
• Parola yöneticisi zorunluluğu
  • Kurumsal parola yöneticisi (password manager) kurulmalı; paylaşılan hesaplar için erişim kontrolü ve denetim günlükleri tutulmalı.
• İki faktörlü kimlik doğrulama (2FA)
  • Kritik sistemlerde (e‑posta, finans, VPN, yönetici panelleri) zorunlu. Tercih: U2F/hardware token > TOTP uygulamaları > SMS (en son tercih).
• Hesap kilitleme ve brute-force önlemleri
  • 5 başarısız girişten sonra geçici kilitleme. Olağan dışı coğrafi veya IP girişlerinde ek doğrulama.
• Şifre yönetimi süreçleri (reset, recovery)
  • Parola sıfırlama süreçleri çok adımlı olmalı; kimlik doğrulama kanalları ve kayıtlı iletişim bilgilerinin korunması şart.
• Denetim ve ihlal bildirimi
  • Her şüpheli giriş denetim günlüklerine kaydedilmeli; şüpheli olay 24 saat içinde güvenlik sorumlusu/IT’ye bildirilmelidir.
• IoT ve cihaz güvenliği
  • IoT cihaz envanteri, varsayılan parolaların değişimi, ağ segmentasyonu ve düzenli firmware güncellemesi.
• Eğitim ve simülasyon
  • Yıllık zorunlu eğitim, çeyreklik kısa simülasyonlar (phishing testleri), ve kayıtlı atölye çalışmaları.

Şablon cümleleri: Politikanıza ekleyebileceğiniz örnek maddeler

• “Tüm kullanıcı hesapları için asgari parola uzunluğu 12 karakterdir; yönetici hesapları için 16 karakter tavsiye edilir.”
• “Parolalar, kullanıcı adı, şirket adı ve ardışık sayılar içermemelidir. Yaygın kullanılan parola listeleri (top 10.000) yasaktır.”
• “Kurum içi parola yöneticisi kullanımı zorunludur; ortak hesap erişimleri parola yöneticisi aracılığıyla sağlanmalıdır.”
• “İki faktörlü kimlik doğrulama (2FA) kritik hizmetlerde zorunludur. Donanım tokeni (U2F) kullanılmadığı durumda TOTP uygulamaları tercih edilir.”
• “Her kullanıcı üç ayda bir güvenlik farkındalık eğitimine katılmakla yükümlüdür; phishing testlerinin sonuçları eğitim planına entegre edilir.”

Bu cümleleri olduğu gibi ya da kurumunuza uygun hale getirerek politika dokümanına ekleyin.

Gerçek vaka incelemesi: bir KOBİ örneği ve dersler

Durum: 50 çalışanlı bir üretim şirketinde, muhasebe yöneticisinin kişisel e‑postasından şirket e‑postasına aynı şifre kullanılmıştı. Bir phishing e‑postasıyla şifre ele geçirildi ve tedarikçi ödemelerinde sahte değişiklikler yapıldı. Zamanında fark edilse de 30.000 TL tutarında sahte ödeme gerçekleşti.

Neler yapıldı?

• Hızlı müdahale: Şifre sıfırlama, 2FA zorunluluğu getirme, finans hesaplarında blokasyon.
• Parola yöneticisi dağıtımı ve zorunlu kullanıma geçiş.
• Tüm çalışanlara simüle phishing testi uygulandı; yüksek riske sahip kullanıcılar yeniden eğitildi.
• IoT ve ofis ağında segmentasyon yapıldı; kritik sunucular ayrı VLAN’a alındı.
• Olay sonrası politika güncellendi: parola tekrar yasağı, zorunlu 2FA ve aylık denetim raporları.

Öğrenilenler:

• Tek bir zayıf uygulama (şifre reuse) yüksek maliyete yol açıyor.
• Phishing simülasyonları ile kullanıcı davranışı ölçülebilir ve hedefe yönelik eğitim verilebilir.
• Parola yöneticisi ve 2FA birlikte uygulandığında riskler dramatik şekilde düşer.

Eğitim ve insan faktörü: 'Neden' ve 'Nasıl' birlikte anlatılmalı

• Kısa ve pratik eğitimler: 20‑30 dakikalık interaktif modüller, örnek vakalar, canlı simülasyon sonuçları.
• Uygulamalı atölyeler: Parola yöneticisi kurulumu ve 2FA kaydı pratiği.
• Sürekli hatırlatmalar: Güvenlik ipuçları haftalık e‑posta veya dahili Slack kanalı.
• Ödüller ve motivasyon: Phishing testlerinde başarılı ekipleri ödüllendirmek davranış değişimini hızlandırır.

Eğitimlerin amacı davranış değişimi yaratmaktır; sadece politika dağıtmak yetmez.

Parola yöneticisi ve iki faktörlü kimlik doğrulama (2FA) uygulama rehberi

Parola yöneticisi seçimi:

• Kurumsal yönetim özellikleri: merkezi kullanıcı yönetimi, erişim denetimleri, paylaşılan kasa (shared vault).
• Uçtan uca şifreleme ve yerel şifreleme anahtar yönetimi.
• Denetim günlükleri (audit logs) ve entegrasyon (SSO, LDAP).
• Örnekler: Bitwarden (self‑host seçeneği), 1Password Business, LastPass Enterprise.

Uygulama adımları:

1. Bir pilot grup belirleyin (IT, finans, yönetim).
2. Kurumsal parola yöneticisini kurun ve SSO ile entegre edin.
3. Eğitim + dağıtım: herkesin parola yöneticisini kurmasını sağlayın.
4. Paylaşılan hesapları parola yöneticisi vault’u üzerinden yönetin.

2FA uygulaması:

• Tercih sıralaması: U2F/hardware key (YubiKey) > TOTP uygulamaları (Authenticator) > SMS (güvenlik zafiyeti nedeniyle son tercih).
• Yedek kod politikası: Kullanıcılar 2FA yedek kodlarını güvenli bir yerde saklamalı; cihaz değişiminde prosedür açık olmalı.
• Otomatizasyon: Kritik erişimler için 2FA zorunlu kılınmalı ve bunu zorlayan IAM kuralları konmalı.

Sık yapılan hata (ve çözümü): "2FA kodlarını yedeklemeden cihaz değiştirmek" — çözüm: yöneticiler için yedek token veya kurtarma süreci, herkes için parola yöneticisinde güvenli notlarda yedek kod depolanması.

IoT güvenliği: KOBİ’lerde göz ardı edilen riskler

IoT cihazları kolay hedef olur. Politikanızda şu maddeleri ekleyin:

• Envanter: Tüm IoT cihazları kayıt altına alınmalı.
• Varsayılan parolaların zorunlu değişimi: Kurulumda cihaz admin parola değişikliği mecburi.
• Ağ segmentasyonu: IoT cihazları üretim/guest VLAN'ında tutulmalı, kurumsal sunuculara doğrudan erişimi engellenmeli.
• Firmware ve güncelleme politikası: Düzenli firmware kontrol ve otomatik güncelleme planı.
• Erişim kontrolü: Yönetici hesapları sınırlı, sadece yetkili personel erişimi olmalı.

Örnek: Güvenli olmayan bir kamera parolası bir saldırgan için ofis ağına pivot noktası olabilir. Segmentasyon bunu engeller.

Sık Yapılan Hatalar

• Parolaları e‑posta veya sohbet uygulamalarıyla paylaşmak.
• Aynı şifreyi farklı servislerde kullanmak (parola reuse).
• 2FA kodlarını yedeklemeden cihaz değiştirmek.
• Parola komplikasyonu üzerine yoğunlaşıp uzunluğu ve passphrase kullanımını ihmal etmek.
• IoT cihazlarını envantere almamak veya varsayılan parolaları değiştirmemek.
• Parola yöneticisi veya 2FA uygulamasını sadece isteğe bağlı bırakmak (zorunlu yapılmaması).

Bugün Başlamak İçin 5 Adım (Mini-checklist)

1. Hesap Envanteri Oluşturun
   • Tüm kullanıcı ve hizmet hesaplarını listeleyin; kritik hesapları işaretleyin.
2. Parola Politikası Metnini Yayınlayın
   • Minimum 12 karakter, parola blacklist, parola yöneticisi ve 2FA gerekliliğini içeren kısa politika yayınlayın.
3. Parola Yöneticisi Pilotu Başlatın
   • 10–20 kişilik pilot ile parola yöneticisini kurun ve geri bildirim alın.
4. 2FA’yı Zorunlu Hale Getirin
   • E‑posta, ödeme ve yönetici panelleri için 2FA uygulayın; SMS dışı yöntemleri tercih edin.
5. İlk Phishing Simülasyonu ve Eğitim
   • Çeyreklik phishing testi yapın ve başarısız olanlara hedefli eğitim verin.

Her adım için uygulama sorumlusu atayın ve 30/60/90 günlük hedefler belirleyin.

Sonuç ve Harekete Geçirme Çağrısı

KOBİ’ler için şifre politikası nasıl yazılır sorusunun cevabı teknik kuralların ötesinde: uygulanabilir, denetlenebilir ve insan davranışını değiştirecek bir yaklaşımdır. Parola yöneticisi ve iki faktörlü kimlik doğrulama (2FA) birlikte uygulanınca riskler hızla azalır; IoT güvenliği ve düzenli eğitim ise kalıcı koruma sağlar.

Başlamak için bugün en az bir adım atın: hesap envanterinizi çıkarın veya parola politikanızın bir maddesini hemen uygulamaya koyun. Hazır bir politika şablonu veya uygulama rehberi isterseniz belirtin—size KOBİ seviyesinde uygulanabilir bir şablon hazırlayayım.