Sosyal Mühendislik Testleri Nasıl Yapılır?
Nisan 16, 2026
KVKK,Phishing,Siber Savunma,Sosyal Mühendislik
Sosyal mühendislik testi, kurum çalışanlarının güvenlik farkındalığını, prosedür uyumunu ve manipülasyon direncini gerçekçi senaryolarla ölçen insan odaklı güvenlik değerlendirmesidir. Teknik pentestler sistem, ağ ve uygulama katmanındaki zafiyetleri hedeflerken; sosyal mühendislik testleri “insan faktörünü” saldırı vektörü olarak ele alır. Bu yaklaşım, saldırganların en çok kullandığı giriş kapısını (çalışan) proaktif şekilde test ederek, teknik kontrollerin bypass edilme riskini azaltır. Testler, phishing, vishing, pretexting ve fiziksel erişim senaryoları gibi çok boyutlu vektörleri kapsar; ancak etik sınırlar ve çalışan güvenliği her zaman önceliklidir. Sonuçlar, güvenlik kültürü olgunluğunu ölçen nicel ve nitel metriklerle raporlanır; bu sayede yatırım öncelikleri veriye dayalı belirlenir.
Test Türleri, Senaryo Tasarımı ve Uygulama Metodolojileri
Phishing testleri, sahte e-postalarla çalışanların link tıklama, ek açma veya bilgi paylaşma tepkilerini ölçer; gönderen adresi spoofing’i, benzer domain kullanımı (homograph attack) ve kişiselleştirilmiş içerik (spear-phishing) senaryoya dahil edilir. Vishing (voice phishing), telefonla sahte IT desteği veya yönetici kimliğiyle bilgi alma denemeleridir; ses tonu, aciliyet dili ve teknik jargon kullanımı inandırıcılığı artırır. Smishing, SMS üzerinden sahte link veya kod talebi ile çalışır; özellikle mobil cihaz yoğunluklu ekiplerde etkilidir. Pretexting, önceden hazırlanmış sahte kimlik/senaryo ile (teknik servis, denetçi, yeni çalışan) fiziksel veya dijital erişim denemesidir. Başarı kriterleri çok boyutludur: “tıklama oranı”, “bilgi giriş oranı”, “raporlama oranı” ve “zaman damgası” (ilk tepki süresi); bu metrikler çeyreklik trend analizleriyle izlenir.
Fiziksel testler, kurumun fiziksel güvenlik kontrollerini ve çalışanların erişim prosedürlerine uyumunu sınar. Tailgating testinde, test uzmanı yetkili bir kişinin ardından izinsiz giriş yapmaya çalışır; çalışanların “tek kişi tek kart” kuralına uyumu ve nazikçe sorgulama eğilimi ölçülür. Impersonation senaryolarında, sahte teknik servis, kurye veya denetçi kimliği ile resepsiyon, güvenlik noktası veya ofis alanlarına erişim denemesi yapılır. Planlama aşamasında, hedef lokasyonun fiziksel düzeni, güvenlik personeli sayısı ve acil çıkış rotaları haritalanır; test sırasında “anında durdur” kodu ve yetkili gözlemci bulundurulur. Tüm senaryolar, çalışanlara zarar vermeyecek, itibar zedelemeyecek ve operasyonel kesinti yaratmayacak şekilde kurgulanır; test sonrası debriefing ile öğrenme fırsatı sunulur. Bu ihtiyatlı yaklaşım, fiziksel testlerin değerini korurken yasal ve etik riskleri minimize eder.
Operasyonel Süreçler, İletişim Protokolleri ve Risk Yönetimi
RoE belgesi, sosyal mühendislik testinin yasal, etik ve operasyonel sınırlarını çizen temel sözleşmedir. Belge, test kapsamını (hedef departmanlar, iletişim kanalları, fiziksel lokasyonlar), yasaklı senaryoları (siyaset, din, sağlık, finansal dolandırıcılık taklidi), zaman penceresini (iş saatleri, bakım dönemleri) ve acil durum protokollerini net şekilde tanımlar. Ayrıca, test ekibinin yetki belgeleri, iletişim kanalları (şifreli mesajlaşma, acil toplantı linki) ve “kill switch” mekanizması (testin anında durdurulması) detaylandırılır. Veri gizliliği açısından, toplanan bilgilerin anonimleştirilmesi, saklama süresi ve imha prosedürleri KVKK/GDPR uyumlu şekilde belirtilir. RoE, BT, İK, hukuk ve üst yönetim temsilcilerinin imzası ile onaylanır; değişiklikler versiyon kontrolü ile dokümante edilir. Bu disiplinli hazırlık, testin güvenli ve verimli yürütülmesini garanti eder.
Ölçüm, İyileştirme ve Kültür Dönüşümü Entegrasyonu
Etkili ölçüm, davranışsal değişimi somutlaştıran çok boyutlu KPI’lar gerektirir. Temel metrikler: “tıklama oranı” (phishing linkine tıklayanların yüzdesi), “raporlama oranı” (şüpheli e-postayı güvenlik ekibine bildirenlerin yüzdesi), “raporlama hızı” (ilk şüphe anından bildirim anına geçen süre) ve “bilgi giriş oranı” (sahte forma veri girenlerin yüzdesi). Eğitim etkisi, test öncesi ve sonrası metrik karşılaştırması ile ölçülür: örneğin, eğitim sonrası tıklama oranında %70’ten %20’ye düşüş, programın etkinliğini kanıtlar. Metrikler, haftalık güvenlik komitesi toplantılarında değerlendirilir; düşüş gösteren alanlar kök neden analiziyle incelenir. Dashboard’lar, trend analizleri (çeyreklik karşılaştırma) ve benchmark verileri (sektör ortalaması) ile zenginleştirilir; bu sayede ilerleme görünür hale gelir. Bu veriye dayalı yaklaşım, güvenlik farkındalığını “zorunlu eğitim” olmaktan çıkarıp, iş akışının doğal parçası haline getirir.
Test bulguları güvenlik farkındalık eğitimlerine ve politika güncellemelerine nasıl yansıtılır?
Sosyal mühendislik testleri, eğitim içeriklerinin gerçekçi ve bağlamsal olmasını sağlayan en değerli girdidir. Bulgular, role-based eğitim kurgusunda doğrudan kullanılır: finans departmanında BEC tıklama oranı yüksekse, bu ekibe özel simülasyonlar ve vaka çalışmaları hazırlanır; geliştiricilerde supply chain phishing riski tespit edilirse, secure coding eğitimine sosyal mühendislik modülü eklenir. Politika güncellemelerinde, testte ortaya çıkan prosedür boşlukları (ör. “ziyaretçi kayıt süreci zayıf”) doğrudan politika revizyonuna yansıtılır. Eğitim sonrası tekrarlanan mini testlerle bilgi kalıcılığı ölçülür; düşük performans gösteren alanlara hedefli müdahaleler planlanır. Bu kapalı döngü yaklaşımı, test ve eğitimi birbirinden bağımsız aktiviteler olmaktan çıkarıp, sürekli iyileştirme döngüsünün entegre bileşenleri haline getirir.
Tags :
#SosyalMühendislikTesti #PhishingSimülasyonu #SiberSavunma #Vishing #FizikselGüvenlik #GüvenlikFarkındalığı #KVKK #RoE #SiberDirenç #İnsanFaktörü
Share This :