Siber Güvenlik Davranış Programı

Cyber Mind
Güvenlik Kültürü
Dönüşümü

Acme Şirketler Grubu için tasarlanan kapsamlı siber güvenlik farkındalık ve davranış değişikliği programı

Karanlık temalı siber güvenlik konseptli soyut görsel

Yönetici Özeti

Kapsamlı Koruma

Phishing, parola güvenliği, sosyal mühendislik ve veri sızıntısına karşı tam kapsamlı eğitim

Tüm Çalışanlar

Üst yönetimden saha personeline kadar tüm çalışanları kapsayan program

Ölçülebilir Sonuçlar

Simülasyonlar, anketler ve davranışsal gözlemlerle başarı ölçümü

Cyber Mind Güvenlik Davranışı ve Kültür Programı, Acme Şirketler Grubu'nda siber güvenlik bilincini ve farkındalığını artırmak üzere tasarlanmış kapsamlı bir girişimdir. Program, NIST SP 800-50r1 gibi uluslararası standartlardan yola çıkarak, 12 aylık karma bir öğrenme modeli ile uygulanacaktır.

"Güvenlik bilincini yalnızca bir zorunluluk olmaktan çıkarıp, şirket kültürünün ayrılmaz bir parçası haline getirmek"

Programın temel hedefi, çalışanların siber tehditleri tanıma, doğru tepki verme ve güvenli dijital alışkanlıklar edinme konularında yetkinliklerini geliştirmektir. Phishing simülasyonları, eğitim tamamlama oranları ve olay raporlama metrikleriyle ölçülebilir sonuçlar elde edilmesi planlanmaktadır.

1. Programın Amacı ve Kapsamı

1.1. Genel Hedef

Acme Şirketler Grubu için tasarlanan Cyber Mind Güvenlik Davranışı ve Kültür Programı'nın temel amacı, tüm çalışanlarda siber güvenlik bilincini ve farkındalığını sistematik ve sürdürülebilir bir şekilde yükseltmektir.

Bu program, çalışanların siber tehditleri tanıma, doğru tepki verme ve güvenli dijital alışkanlıklar edinme konularında yetkinliklerini geliştirmeyi hedeflemektedir. Program, NIST SP 800-50r1 gibi uluslararası kabul görmüş standartlardan yola çıkarak, planlama, geliştirme, uygulama, değerlendirme ve iyileştirme aşamalarını içeren döngüsel bir yaklaşım benimsemektedir.

Siber güvenlik eğitimi alan iş ekibi
360°
Kapsamlı Koruma

1.2. Hedef Kitle: Tüm Çalışanlar

Cyber Mind programı, Acme Şirketler Grubu'ndaki tüm çalışanları kapsayacak şekilde tasarlanmıştır. Bu, üst yönetimden başlayarak orta kademe yöneticilere, ofis çalışanlarına, sahada çalışan personele, IT departmanı çalışanlarına ve hatta geçici işçi veya stajyerlere kadar herkesi içine alan bir yaklaşımı ifade eder.

Üst Yönetim
Yöneticiler
Ofis Çalışanları
Saha Personeli

2. Temel Eğitim Odak Alanları

2.1. Phishing ve E-posta Güvenliği

Phishing, günümüzde en yaygın ve etkili siber saldırı yöntemlerinden biridir ve çalışanların bu konuda bilinçlendirilmesi büyük önem taşır. Cyber Mind programında, phishing saldırılarının ne olduğu, nasıl tespit edilebileceği ve karşılaşıldığında nasıl hareket edilmesi gerektiği detaylı bir şekilde anlatılmalıdır.

Eğitim İçeriği

  • Çeşitli phishing e-posta örnekleri
  • Şüpheli e-postaların raporlanması
  • Güvenli gönderen tanımlama
  • E-posta ek ve bağlantı riskleri

Simülasyon Yaklaşımı

Stanford Üniversitesi'nin Phishing Farkındalık Programı model alınarak:

  • • Periyodik simülasyon e-postaları
  • • Gerçekçi senaryo tabanlı eğitim
  • • Aciliyet, merak, korku taktikleri

2.2. Parola Güvenliği ve Kimlik Doğrulama

Parola güvenliği, bireysel ve kurumsal hesapların korunmasında en temel unsurlardan biridir. Cyber Mind programı, çalışanlara güçlü parola oluşturma tekniklerini öğretmelidir.

Proofpoint Parola Koruma Serisi Modeli

Parola Ötesi
Passphrase'ler ve güçlü PIN'ler
Çok Faktörlü Kimlik Doğrulama
MFA'nın değeri ve kullanımı
Parola Yönetimi
Güvenli ve etkili yönetim teknikleri
Parola Politikası
Şirket politikalarına uygun parolalar

2.3. Sosyal Mühendislik Saldırıları ve Önlemleri

Sosyal mühendislik, insan psikolojisini kullanarak hedefleri manipüle etmeye ve güvenlik önlemlerini aşmaya dayalı bir saldırı türüdür.

Psikolojik Tetikleyiciler

Aciliyet
Memnun etme arzusu
Açgözlülük
Merak
Rehavet
Korku

2.4. Veri Sızıntısı Önleme ve Veri Güvenliği

Veri sızıntısı, kurumlar için hem maddi hem de itibar kaybına yol açan ciddi bir tehdittir. Cyber Mind programı, çalışanlara şirket verilerinin ne kadar değerli olduğunu ve nasıl korunması gerektiğini öğretmelidir.

Veri Sınıflandırması

  • • Hassas veriler
  • • Gizli veriler
  • • Genel veriler

Güvenli İşleme

  • • Şifreleme
  • • USB güvenliği
  • • Bulut depolama kuralları

İmha Prosedürleri

  • • Fiziksel belgeler
  • • Dijital veriler
  • • İhlal raporlama

3. Program Süresi ve Eğitim Formatı

3.1. Program Süresi: 12 Aylık Kapsamlı Yaklaşım

Cyber Mind programı, en az 12 aylık bir süreyi kapsayacak şekilde planlanmalıdır. Bu süre, çalışanlara temel güvenlik bilgilerinin aktarılmasının yanı sıra, bu bilgilerin pekiştirilmesi, davranışa dönüştürülmesi ve şirket kültürüne entegre edilmesi için gereklidir.

Referans Örnekler

3.2. Eğitim Formatı: Karma (Blended) Öğrenme Modeli

Karma öğrenme ortamında çalışanlar
Online Eğitim
Esnek ve erişilebilir temel bilgiler
Yüz Yüze Eğitim
Etkileşimli ve kişiselleştirilmiş yaklaşım

3.3. Eğitim İçerikleri ve Aktiviteler

E-Öğrenme Modülleri

Kısa ve etkileşimli içerikler

Simülasyonlar

Gerçekçi phishing senaryoları

Yarışmalar

Ödüllü güvenlik kampanyaları

Özel Etkinlikler

Güvenlik Günü/Haftası

4. Ölçme ve Değerlendirme Stratejisi

4.1. Başarı Kriterlerinin Belirlenmesi

Programın başarısını değerlendirmek için net, ölçülebilir, ulaşılabilir, ilgili ve zamana bağlı (SMART) başarı kriterleri belirlenmelidir.

Phishing Simülasyonları

%30

Başlangıçtaki tıklama oranında azalma hedefi

Eğitim Tamamlama

%95

3 ay içinde temel eğitimleri tamamlama

Olay Raporlama

%40

Şüpheli olay raporlarında artış hedefi

Anket Sonuçları

+0.5

5 üzerinden bilgi düzeyi artışı

Davranışsal Gözlemler

Olumlu

Güvenli davranış değişiklikleri

Güvenlik İhlalleri

%20

İnsan hatası kaynaklı ihlallerde azalma

4.2. Ölçme Yöntemleri ve Araçları

Phishing Simülasyonları

Düzenli aralıklarla gerçekçi phishing e-postaları gönderilerek çalışanların tepkileri ölçülecektir. Stanford Üniversitesi modeli referans alınarak:

  • Tıklama oranları analizi
  • Raporlama oranları takibi
  • Eklenti açma oranları
  • Hedefli eğitim planlama

Anketler ve Testler

Program başlangıcında, ortasında ve sonunda çalışanlara anketler ve bilgi testleri uygulanacaktır. NIST SP 800-50r1 önerileri doğrultusunda:

Bilgi Düzeyi
Güvenlik bilgi seviyesi ölçümü
Tutumlar
Güvenli davranışa yönelik tutum
Alışkanlıklar
Günlük güvenlik alışkanlıkları

Davranışsal Gözlemler

IT destek ekipleri ve yöneticiler tarafından günlük iş yapış şekillerinde davranış değişiklikleri gözlemlenecektir.

Gözlem Alanları
  • • Ekran kilitleme alışkanlıkları
  • • Parola paylaşımı yapmama
  • • Şüpheli e-postaları raporlama
  • • Fiziksel güvenlik önlemleri
Veri Toplama
  • • IT destek kayıtları
  • • Yönetici gözlem raporları
  • • Güvenlik ekip denetimleri
  • • Nitel veri analizi

4.3. Değerlendirme ve Raporlama

Değerlendirme Süreci

1
Veri Toplama
2
Analiz
3
Değerlendirme
4
İyileştirme

NIST SP 800-50r1 standartlarına uygun olarak, değerlendirme sonuçları programın sürekli iyileştirilmesi için kullanılacaktır. Üç aylık periyotlarla üst yönetime detaylı raporlar sunulacaktır.

5. Kültürel Entegrasyon ve Sürdürülebilirlik

5.1. Liderlik Desteği ve Katılımı

Üst yönetimin ve departman liderlerinin Cyber Mind programına aktif desteği ve katılımı son derece önemlidir. Liderler, güvenlik bilincinin önemini vurgulayarak ve kendileri de güvenli davranışları rol model olarak sergileyerek çalışanlar üzerinde olumlu bir etki yaratmalıdır.

Liderlik Katılımı Örnekleri

  • Program Başlangıç Bildirisi - Üst yönetim tarafından program öneminin vurgulanması
  • Eğitimlere Katılım - Liderlerin eğitimlere aktif katılımı
  • Rol Model Davranış - Güvenlik önlemlerine uyum konusunda örnek teşkil etme
İş liderleri toplantı odasında siber güvenlik sunumu dinlerken

NIST SP 800-50r1 Önerileri

NIST SP 800-50r1 standardına göre, kuruluş başkanının ve üst düzey yöneticilerin siber güvenlik programından nihai olarak sorumlu olduğu ve gerekli kaynakları sağlaması gerektiği vurgulanmaktadır.

5.2. Güvenlik Şampiyonları Programı

Program Hedefleri

Güvenlik Şampiyonları Programı, farklı departmanlardan gönüllü çalışanları "Güvenlik Şampiyonu" olarak eğitmeyi ve donatmayı hedefler.

  • • Siber güvenlik farkındalığını yaymak
  • • Güvenlik en iyi uygulamalarını teşvik etmek
  • • Merkezi ekip ile çalışanlar arasında köprü görevi görmek
  • • Yerel ihtiyaçlara göre destek sağlamak

Şampiyon Rolleri

İletişim Sorumlusu
Güvenlik mesajlarını yayma
Eğitim Destek
Yerel eğitim organizasyonu
Geri Bildirim Toplama
Departman ihtiyaçlarını raporlama

5.3. Ödül, Motivasyon ve Tanıma Sistemleri

Maddi Ödüller

  • • Küçük ikramiyeler
  • • Hediye çekleri
  • • Ödül programları

Manevi Tanıma

  • • Takdir belgeleri
  • • Şirket içi duyurular
  • • "Ayın Güvenlik Kahramanı"

Oyunlaştırma

  • • Puan sistemleri
  • • Liderlik tabloları
  • • Rozet ve unvanlar

Referans Öneriler

5.4. Güvenlik Bilincinin Kurum Kültürüne Yerleştirilmesi

Uzun Vadeli Hedef

Siber güvenlik bilincinin Acme şirketler grubunun DNA'sına, yani kurum kültürüne işlemesini sağlamak. Güvenliğin sadece bir dizi kural değil, her çalışanın günlük iş yapış şeklinin doğal bir parçası haline gelmesi.

Sürekli güncellenen eğitim içerikleri
Sürekli iletişim ve güvenlik bültenleri
Açık iletişim kanalları
İş yerinde güvenlik kültürü konsepti

NIST SP 800-50r1 ve ENISA rehberleri doğrultusunda, siber güvenlik kültürünün geliştirilmesi ve iç pazarlama stratejisi olarak tasarlanması hedeflenmektedir.

Referanslar