Siber Güvenlikte İnsan Faktörü Neden
Nisan 16, 2026
Siber Savunma,Sosyal Mühendislik
Sosyal mühendislik saldırıları insan psikolojisindeki hangi bilişsel önyargıları (cognitive biases) hedefler ve bu zafiyetler nasıl istismar edilir?
Sosyal mühendislik, teknik bir zafiyet değil, insan doğasının öngörülebilir kalıplarını sistematik şekilde sömüren bir saldırı vektörüdür. Saldırganlar, aciliyet hissi yaratmak için “scarcity bias” (kıtlık önyargısı) kullanır: “Hesabınız 24 saat içinde kapatılacak!” mesajı, mantıklı düşünme sürecini bypass eder. “Authority bias” (otorite önyargısı) ile sahte CEO/IT desteği kimliği, sorgulama refleksini zayıflatır. “Social proof” (sosyal kanıt) ile “Diğer departmanlar zaten tamamladı” ifadesi, uyum baskısı yaratır. “Familiarity bias” (tanıdıklık önyargısı) ise, saldırganın kurumsal dil, logo ve imza formatlarını taklit etmesiyle çalışır; beyin “bu bana tanıdık geliyor” diyerek tehdit algısını düşürür. Bu bilişsel kısayollar, evrimsel olarak hayatta kalmayı kolaylaştırsa da dijital ortamda manipülasyona açık hale gelir. Savunma stratejisi, bu önyargıları çalışanlara öğretmek ve “dur-think-verify” (dur-düşün-doğrula) refleksini kas hafızasına dönüştürmektir.
Eğitim, Farkındalık ve Davranış Değişikliği Stratejileri
Geleneksel güvenlik eğitimleri neden davranış değişikliği yaratmaz ve etkili eğitim tasarımı hangi prensiplere dayanmalıdır?
Geleneksel eğitimler genellikle yıllık, teorik ve bağlamsız içeriklerle sunulur; çalışanlar “tamamlanması gereken bir görev” olarak görür, bilgiyi içselleştirmez. Etkili eğitim, dört prensibe dayanır: Role-based: Finans ekibine BEC senaryoları, geliştiricilere secure coding, müşteri hizmetlerine sosyal mühendislik direnci odaklı içerikler. Just-in-time: İş akışı içinde mikro öğrenme; örneğin, e-posta açarken “Bu gönderen daha önce iletişim kurmadığınız bir adres, dikkatli olun” uyarısı. Interaktif: Simülasyon, gamification ve CTF tarzı challenge’lar; çalışan kendi yazdığı koda saldırıp veriyi çaldığında etki kalıcı olur. Ölçülebilir: Eğitim sonrası davranış metrikleri (phishing tıklama oranı, raporlama hızı) izlenerek etki somutlaştırılır. Bu yaklaşım, eğitimi “formalite” olmaktan çıkarıp, güvenlik kültürünün yapı taşı haline getirir.
Teknik Kontroller ve İnsan Davranışı Arasındaki Uyum Sorunları
Karmaşık şifre politikaları ve sık MFA istekleri neden güvenlik hijyenini baltalar ve kullanıcı deneyimi (UX) ile güvenlik dengesi nasıl kurulur?
Geleneksel şifre politikaları (büyük/küçük harf, rakam, özel karakter, 90 günde değişim) bilişsel yükü artırır; çalışanlar şifreleri post-it’e yazar, basit varyasyonlar kullanır (Password1, Password2…) veya password reuse yapar. MFA’nın her girişte tetiklenmesi ise “approval fatigue” yaratır; çalışanlar istekleri otomatik onaylar, saldırganın MFA bypass’ına kapı aralar. Çözüm, risk bazlı ve kullanıcı-merkezli yaklaşımdır: Passwordless authentication (FIDO2/WebAuthn) ile biyometrik veya hardware token kullanımı; Adaptive MFA ile yalnızca şüpheli durumlarda (yeni cihaz, yabancı lokasyon) ek doğrulama; Password manager entegrasyonu ile karmaşık şifrelerin otomatik doldurulması. Bu denge, güvenliği “sürtünme” değil, “görünmez koruma” olarak konumlandırır; kullanıcı deneyimi iyileşirken güvenlik de güçlenir.
Organizasyonel Kültür, Liderlik ve Sürdürülebilir Güvenlik Ekosistemi
Üst yönetim desteği ve güvenlik kültürü dönüşümü hangi liderlik davranışlarıyla hızlandırılır?
Güvenlik kültürü, “yukarıdan aşağı” liderlik taahhüdü olmadan dönüşemez. Üst yönetim, güvenlik metriklerini düzenli gözden geçirir, bütçe kararlarında risk bazlı önceliklendirmeyi destekler, güvenlik başarılarını görünür kılar. Liderlik davranışları: Modeling: CEO’nun kendisi MFA kullanır, şüpheli e-postaları raporlar, güvenlik eğitimlerine katılır. Communication: Güvenlik yatırımlarını “maliyet” değil, “rekabet avantajı” olarak konumlandırır; “Güçlü veri koruması müşteri güvenini artırır” mesajı ile stratejik bağlam kurar. Empowerment: Çalışanların güvenlik önerilerini dikkate alır, hata bildiriminde ödüllendirme mekanizmaları geliştirir. Bu davranışlar, güvenliği “IT’nin sorumluluğu” olmaktan çıkarıp, kurumun stratejik önceliği haline getirir.
Departmanlar arası iş birliği ve güvenlik sahipliği (ownership) nasıl dağıtılmalıdır?
Güvenlik, yalnızca CISO veya BT ekibinin sorumluluğu değildir; her departmanın kendi risklerini yönetmesi gerekir. RACI matrisi ile sorumluluklar netleştirilir: İş birimleri, kendi süreçlerindeki veri akışlarını haritalar ve temel kontrolleri uygular; İK, onboarding/offboarding süreçlerinde güvenlik adımlarını entegre eder; Hukuk, regülasyon gereksinimlerini iş diline çevirir; Güvenlik ekibi ise metodoloji, araç ve uzmanlık desteği sağlar. Bu dağıtık sahiplik modeli, “security champion” ağları ve cross-functional workshop’larla pekiştirilir. Güvenlik, “proje başlatmayı geciktiren engel” değil, “riski yöneterek inovasyonu hızlandıran katalizör” olarak algılanır; bu da kurumsal direnci ve çevikliği aynı anda güçlendirir.
Tags :
#SiberGüvenlik #İnsanFaktörü #SosyalMühendislik #GüvenlikKültürü #SiberSavunma #PhishingSimülasyonu #SecurityUX #UEBA
Share This :