Bilgi güvenliği ihlallerinin %85'i; teknik açıklardan değil insan hatasından kaynaklanır. KVKK ihlallerinin de büyük çoğunluğu; çalışanın bilinçsizce paylaştığı veya yanlış kullandığı veriden doğar. Bu yüzden hiçbir teknik güvenlik altyapısı; bilinçsiz çalışanlardan kaynaklı riski tamamen ortadan kaldıramaz. KVKK ve Bilgi Güvenliği Bilinçlendirme Eğitimi; tüm çalışanların temel farkındalığını yıllık olarak güncelleyen sistematik bir programdır.
Eğitim Modülleri
- KVKK 6698 Temel Çerçeve: Kişisel veri nedir, hakları nedir, sorumluluklarımız neler.
- Kişisel Veri İşleme Kuralları: Açık rıza, aydınlatma metni, veri saklama süreleri.
- Şirket İçi Veri Akışı: Hangi veriler hangi kanaldan, kim kullanır.
- Bilgi Güvenliği Temelleri: CIA (Confidentiality, Integrity, Availability) prensipleri.
- Şifre ve Hesap Yönetimi: Güçlü şifre, MFA, parola yöneticisi.
- Phishing ve Sosyal Mühendislik: E-posta, telefon, fiziksel sosyal mühendislik teknikleri.
- Bulut ve Mobil Güvenlik: Kişisel cihaz, BYOD, bulut depolama kuralları.
- Olay Bildirimi: Şüpheli e-posta, veri kaybı, ihlal şüphesinde ne yapmalı.
- Vaka Çalışmaları: Türkiye'den gerçek veri ihlali örnekleri.
Phishing Simülasyon Programı
Teorik eğitimden sonra; düzenli aralıklarla çalışanlara test phishing e-postaları gönderilir:
- Yıllık 4-12 simülasyon
- Tıklama oranı, veri girme oranı, raporlama oranı KPI'ları
- Tıklayan çalışana anında ek mini eğitim
- İK ile entegre takip ve raporlama
- Yıllık trend analizi ve iyileştirme
Hedef Kitle
| Grup | Eğitim Tipi | Süre |
|---|---|---|
| Tüm çalışanlar | Temel bilinçlendirme | 2 saat (yıllık) |
| Yöneticiler | Liderlik perspektifi + risk yönetimi | 4 saat |
| Bilgi işlemciler | Veri envanteri + işleme protokolü | 8 saat |
| İK ve müşteri hizmetleri | Hassas veri yönetimi | 8 saat |
| Yeni başlayanlar | Oryantasyon eğitimi | 4 saat |
Eğitim Çıktıları
- Kişisel veri kavramına net hâkimiyet
- Günlük iş yapma şekillerinde değişen alışkanlıklar
- Şüpheli e-postaları tanıma ve raporlama refleksi
- Güçlü şifre kullanımı
- Sosyal mühendislik saldırılarını fark etme
- Yetkisiz veri paylaşımından kaçınma
- Veri ihlali şüphesinde doğru aksiyon
Format ve Sıklık
- Yıllık temel eğitim: Tüm çalışanlar için 2 saatlik yıllık bilinçlendirme.
- Yeni başlayan oryantasyonu: İşe giriş ilk haftada zorunlu modül.
- Phishing simülasyonu: Yılda 4-12 kez random e-posta testi.
- Üç ayda bir mini güncellemeler: 15-30 dakikalık güncel tehdit özetleri.
- Olay sonrası eğitim: Veri ihlali veya yakın temas sonrası ek eğitim.
Veri ihlalinin en pahalı maliyeti; idari para cezası değil; itibar kaybıdır. Bilinçli çalışan; bu maliyetin önündeki en güçlü savunmadır.
Sıkça Sorulan Sorular
- Online eğitim yeterli mi?
Yıllık temel eğitim için online platform yeterli. Ancak; karmaşık vaka çalışmaları, role-play egzersizleri için yüz yüze format daha etkili. Hibrit yaklaşım optimum sonuç verir.
- Phishing simülasyonu çalışan motivasyonunu olumsuz etkiler mi?
Doğru iletişim ile uygulanırsa hayır. "Cezalandırma" değil "eğitim" perspektifiyle sunulur. Tıklayan çalışana mini eğitim verilir; tekrarlayan tıklayıcılar için ek destek programı.
- Hangi metrikler izlenmeli?
Phishing tıklama oranı (hedef: %5 altı), veri girme oranı (hedef: %1 altı), raporlama oranı (hedef: %80 üstü), eğitim tamamlama oranı (hedef: %100), olay bildirim sayısı (artan).