Güvenlik & Prosedürler
Güvenlik konuları kural ve farkındalık ağırlıklı olduğu için bu modül çoğunlukla yazılı; yalnızca MFA kurulumu gibi uygulamalı adımlar videolu. Teknoloji ekiplerinin bir üyesi olarak sen hem kurallara uyan hem de başkalarına örnek olan taraftasın.
1. Güvenliğin Üç Sacayağı
Yazılı AnlatımTüm güvenlik kuralları üç temel hedefe dayanır (CIA üçlüsü):
- Gizlilik (Confidentiality): Bilgiye yalnızca yetkili kişiler erişebilmeli.
- Bütünlük (Integrity): Bilgi, yetkisiz kişilerce değiştirilememeli.
- Erişilebilirlik (Availability): Yetkili kişiler ihtiyaç duyduğunda bilgiye ulaşabilmeli.
Bu hedeflerden günlük hayatımıza inen pratik ilkeler:
- En az yetki: Herkes yalnızca işi için gerekenlere erişir. Yetkin yoksa sebebi budur; kişisel değildir.
- Hesap = kişi: Her işlem, yapan kişinin hesabıyla yapılır. Parola paylaşımı — "iki dakikalığına" bile — yasaktır; çünkü paylaştığın anda o hesabın yaptığı her şey senin üzerinde görünür.
- Şüphede kal, teyit et: Olağan dışı bir talep (aceleci, korkutucu, "kimseye söyleme" diyen) her zaman ikinci bir kanaldan teyit edilir.
- Kaydet ve bildir: Güvenlikte "görmezden gelmek" en pahalı seçenektir — bkz. Olay Bildirimi.
2. İki Kilit: Parola ve MFA
Yazılı + VideoParola kuralları
- En az 12 karakter; büyük/küçük harf, rakam ve özel karakter içermeli.
- Uzun ve akılda kalır bir parola cümlesi tercih et:
MorKedi!42TrenBiletigibi — hem güçlü hem hatırlanabilir. - Aynı parolayı birden fazla sistemde kullanma; özellikle iş parolanı hiçbir kişisel sitede kullanma.
- Parolalar tarayıcıya değil, onaylı bir parola yöneticisine kaydedilir.
- Parolanı kimseyle paylaşma — IT dahil. Gerçek IT personeli asla parolanı sormaz.
MFA (Çok Faktörlü Doğrulama)
MFA, parolanın çalınması durumunda bile hesabını koruyan ikinci kilittir: bildiğin şey (parola) + sahip olduğun şey (telefonundaki doğrulama uygulaması). Kritik sistemlerde (e-posta, VPN, yönetici hesapları) MFA zorunludur. Kurulum adımları kısa videoda gösteriliyor:
3. Oltaya Gelme: Phishing
Yazılı AnlatımSaldırıların büyük çoğunluğu sistemleri değil insanları hedefler: sahte bir e-posta, sahte bir telefon, sahte bir "acil durum". Teknik önlemler ne kadar iyi olursa olsun, son savunma hattı sensin.
Şüpheli e-postanın klasik belirtileri
- Aciliyet ve korku: "Hesabınız 24 saat içinde kapatılacak!", "Ödeme hemen yapılmalı!"
- Gönderen adresi tuhaf: Görünen isim tanıdık ama adres
muhasebe@sirket-odeme-tr.comgibi benzetilmiş bir alan adı. - Beklenmedik ek veya bağlantı: Özellikle
.zip,.exe, makro isteyen Office dosyaları. - Bağlantı hedefi farklı: Üzerine gelince (tıklamadan!) görünen adres, metinde yazandan farklı.
- Dil bozuklukları ve alışılmadık hitaplar.
- Telefonla da gelir: "Acil VPN erişimi lazım" tarzı aramalarda kural net — kimliğini kanıtlamayan kimseye işlem yapılmaz; kayıtlı dahilisinden geri ara.
Şüphelendiğinde ne yapmalı?
- Bağlantıya tıklama, eki açma, yanıt verme.
- E-postayı silme — inceleme için gerekli.
- Güvenlik sorumlusuna veya mentoruna bildir; şirketin bildirim kanalı varsa e-postayı ekleriyle birlikte o kanala ilet.
- Gerçek gibi görünüyorsa göndereni başka bir kanaldan (telefon, yüz yüze) teyit et — e-postaya yanıt vererek değil.
4. Masa, Kart, Kapı: Fiziksel Güvenlik
Yazılı Anlatım- Ekran kilidi: Masandan her kalkışta
Win + L. İstisnasız. IT çalışanının açık bıraktığı ekran, herkesinkinden daha risklidir. - Kartlı geçiş: Kartını kimseyle paylaşma; arkandan kartsız birinin süzülmesine (tailgating) izin verme — nazikçe kartını okutmasını iste.
- Misafirler: Ziyaretçiler karşılanır, yalnız dolaşmaz; sistem odasına misafir asla yalnız girmez.
- Temiz masa: Gün sonunda masada parola notu, müşteri bilgisi içeren kağıt, zimmetsiz cihaz kalmaz. Parolayı post-it'e yazmak — evet, hâlâ oluyor — kesinlikle yasak.
- Taşınabilir cihazlar: Dizüstü, harici disk ve USB bellekler şifreli olmalı; şirket verisi taşıyan cihaz araçta/açıkta bırakılmaz.
- Bilinmeyen USB: Yerde/masada bulunan USB bellek asla takılmaz — güvenlik sorumlusuna teslim edilir. (Bu, gerçek bir saldırı yöntemidir.)
- Sistem odası: Giriş yetkilidir ve kayıtlıdır; sıcaklık, enerji ve düzen kurallarına uyulur.
5. Bir Şey mi Oldu? Sakla Değil, Bildir
Yazılı AnlatımGüvenlik olayı saydığımız durumlara örnekler:
- Şüpheli e-postaya tıklanması veya ek açılması
- Antivirüs uyarısı, beklenmedik pop-up'lar, cihazın olağan dışı davranması
- Kaybolan/çalınan cihaz (dizüstü, telefon, USB bellek, geçiş kartı)
- Sen yapmadığın halde gelen MFA onay istekleri, hesabında tanımadığın etkinlik
- Yetkisiz kişilerin verilere eriştiği şüphesi, ofiste kimliği belirsiz kişiler
Bildirim adımları
- Durdur: Şüpheli cihazda çalışmayı bırak. Virüs şüphesinde cihazın ağ bağlantısını kes (kabloyu çıkar / Wi-Fi kapat) ama cihazı kapatma — inceleme için kanıtlar bellekte kalmalı.
- Bildir: Güvenlik sorumlusuna, mentoruna veya yöneticine hemen haber ver. Mesai dışındaysan şirketin acil iletişim kanalını kullan.
- Not al: Ne oldu, saat kaçta, hangi cihazda, ne gördün — hafızan tazeyken yaz.
- Müdahale etme: Kendi başına silme, format atma, "temizleme" girişiminde bulunma — iyi niyetli müdahale, izleri yok eder.
6. KVKK: Veriye Saygı
Yazılı AnlatımKVKK (Kişisel Verilerin Korunması Kanunu), kişisel verilerin işlenmesini düzenleyen yasadır ve şirket olarak buna uymakla yükümlüyüz. Teknoloji ekiplerinde veriye en yakın kişilerden biri sensin; bu da sana özel bir sorumluluk yükler.
Kişisel veri nedir?
Bir kişiyi doğrudan veya dolaylı tanımlayan her bilgi: ad-soyad, TC kimlik no, telefon, e-posta, adres, özlük bilgileri, hatta IP adresi ve konum verisi. Sağlık bilgisi gibi özel nitelikli veriler daha da sıkı korunur.
Teknoloji çalışanı olarak uyman gereken pratik kurallar
- Destek verirken gördüğün hiçbir kişisel/kurumsal bilgiyi dışarıda anlatma, paylaşma — ekran başında gördüğün her şey iş sırrıdır.
- Kişisel veri içeren dosyaları yalnızca yetkili sistemlerde tut; kişisel USB'ye, özel e-postana, kişisel bulutuna kopyalama.
- Test/deneme ortamlarında gerçek kişisel veri kullanma; kullanılacaksa maskelenmiş veri iste.
- İmha edilecek diskler ve dokümanlar prosedüre göre yok edilir — çöpe atılmaz.
- Veri talep eden üçüncü kişilere (telefonda, e-postada) asla doğrudan veri verme; talebi yöneticine yönlendir.
- Bir veri ihlali şüphesi (yanlış kişiye giden e-posta dahil!) olay bildirimi kapsamındadır — KVKK'da bildirim süreleri yasal olarak sınırlıdır, geç kalma.