Bilgi Güvenliği Farkındalık Eğitimi | Sparta Siber Güvenlik
Sparta Siber Güvenlik

Bilgi Güvenliği Farkındalık Eğitimi

Kurumların siber güvenlik bütçeleri her yıl artıyor. Ama saldırganlar artık firewall'ları veya EDR sistemlerini aşmaya çalışmıyor — doğrudan çalışanları hedef alıyor. Teknik sistemler ne kadar güçlü olursa olsun, insanlar hâlâ en kritik güvenlik değişkeni.

Eğitim teklifi alın →="#konular" class="btn btn-outline">Eğitim içeriklerini inceleyin

Bilgi güvenliği farkındalık eğitimi nedir?

Bilgi güvenliği farkındalık eğitimi; çalışanların bilgi güvenliği risklerini tanımasını, şüpheli durumları fark edebilmesini, güvenli davranış alışkanlıkları geliştirmesini, kurum politikalarına uygun hareket etmesini ve sosyal mühendislik saldırılarına karşı daha dirençli hale gelmesini amaçlayan kurumsal siber güvenlik eğitimidir.

Bu eğitimler yalnızca IT ekiplerine yönelik değildir. Saldırganlar çoğu zaman teknik ekip yerine muhasebe çalışanlarını, insan kaynaklarını, satın alma ekiplerini, üst düzey yöneticileri ve çağrı merkezi personellerini hedef alır.

Hedefli siber saldırıların %75'inden fazlası bir e-posta ile başlıyor ve oltalama bağlantısına tıklayan kullanıcıların %52'si, o e-postanın şirketteki üst düzey bir yöneticiden geldiğini düşündüğü için tıklamış. Saldırganlar güven ilişkisini doğrudan silah olarak kullanıyor.
Kaynak: Terranova Security / Norton Antivirus, 2024

Bugün pek çok veri ihlali; zayıf parola kullanımı, MFA onaylarının dikkatsizce kabul edilmesi, sahte e-posta eklerinin açılması, kontrolsüz USB bellek kullanımı veya yanlış kişilere veri gönderilmesi gibi nedenlerle gerçekleşiyor. Bilgi güvenliği farkındalık eğitimi tam olarak bu riskleri azaltmayı hedefler.

%60
siber saldırıda insan faktörü belirleyici rol oynuyor
Verizon DBIR 2025
%75
hedefli siber saldırı bir e-posta ile başlıyor
Norton / Terranova 2024
%34
eğitimsiz çalışan sosyal mühendislik testinde başarısız oluyor
KnowBe4 2025
%86
12 aylık eğitim sonrası sosyal mühendislik riski azalıyor
KnowBe4 2025

Bilgi güvenliği farkındalık eğitimi neden gereklidir?

Birçok kurum güvenlik yatırımlarını yalnızca teknik çözümler üzerinden değerlendiriyor: firewall, EDR, SIEM, antivirüs, MFA. Ancak saldırganlar artık teknik zafiyet aramak yerine doğrudan çalışanları manipüle etmeye çalışıyor.

Sahte Microsoft 365 e-postaları, CEO taklidi yapan WhatsApp mesajları, sahte kargo bildirimleri, LinkedIn üzerinden hedefli sosyal mühendislik saldırıları ve sahte VPN giriş ekranları kurumlarda giderek daha sık görülüyor.

Sparta'nın sızma testi projelerinde hâlâ monitöre yapıştırılmış parolalara, paylaşılmış Excel parola listelerine, kilitsiz bırakılan bilgisayarlara ve kişisel e-posta adreslerine gönderilmiş kurumsal verilere rastlanabiliyor.

KnowBe4'ün 2025 raporuna göre eğitim almamış çalışanların ortalama %33'ü sosyal mühendislik testlerinde başarısız oluyor. 12 aylık sürekli eğitim ve simülasyon programı uygulayan kurumlar bu oranı %86 oranında düşürmeyi başarıyor.

Bu nedenle bilgi güvenliği farkındalık eğitimi yalnızca "bilgilendirme" amacı taşımaz. Aynı zamanda:

  • Veri sızıntısı riskini azaltır
  • KVKK uyum süreçlerini destekler
  • ISO 27001 uyumluluğuna katkı sağlar
  • Sosyal mühendislik saldırılarının başarı oranını düşürür
  • Kurum içi güvenlik kültürü oluşturur

Bilgi güvenliği farkındalık eğitiminde ele alınan başlıca konular

Kurumun sektörü, çalışan profili ve güvenlik ihtiyaçları dikkate alınarak içerik özelleştirilir.

Bilgi güvenliği farkındalık eğitimi konuları Sekiz ana eğitim konusu: fiziksel güvenlik, parola güvenliği, oltalama ve e-posta güvenliği, sosyal mühendislik, mobil cihaz güvenliği, veri güvenliği ve KVKK, ağ ve uzaktan erişim, USB ve harici cihaz güvenliği 🏢 Fiziksel güvenlik Ofis, ekran kilidi, temiz masa politikası Konu 1/8 🔑 Parola güvenliği Güçlü parola, MFA, parola yöneticisi Konu 2/8 📧 Oltalama ve e-posta güvenliği Sahte e-posta, QR kod, CEO dolandırıcılığı Konu 3/8 🎭 Sosyal mühendislik Telefon, LinkedIn, sahte otorite Konu 4/8 📱 Mobil cihaz güvenliği Uygulama izinleri, halka açık Wi-Fi Konu 5/8 🛡️ Veri güvenliği ve KVKK Veri sınıflandırma, kişisel veri güvenliği Konu 6/8 🌐 Ağ ve uzaktan erişim güvenliği VPN, ev ağı, uzak masaüstü Konu 7/8 💾 USB ve harici cihaz güvenliği Malware, ransomware, veri sızıntısı riskleri Konu 8/8 İçerik kurumun sektörü, çalışan profili ve regülasyon ihtiyaçlarına göre özelleştirilebilir.
🏢

Fiziksel güvenlik

Birçok güvenlik ihlali yalnızca dijital ortamda gerçekleşmez. Ofis güvenliği, ziyaretçi yönetimi, ekran kilitleme alışkanlığı, temiz masa politikası, fiziksel belge güvenliği ve cihaz güvenliği bu bölümde ele alınır. Özellikle hibrit ve ortak çalışma düzenlerinde fiziksel güvenlik riskleri önemli ölçüde artmış durumda.

🔑

Parola güvenliği

Çalışanların büyük bölümü hâlâ tahmin edilebilir ya da farklı platformlarda tekrar eden parolalar kullanıyor. Bu bölümde güçlü parola oluşturma, parola yöneticisi kullanımı, MFA farkındalığı, parola paylaşım riskleri, brute force ve credential stuffing saldırıları anlatılır.

📧

Oltalama ve e-posta güvenliği

Oltalama saldırıları günümüzde en yaygın siber saldırı yöntemlerinin başında geliyor. KnowBe4 araştırmasına göre eğitim almamış kullanıcıların %34,3'ü sosyal mühendislik testinde başarısız oluyor; 90 günlük eğitim sonrasında bu oran %18,9'a, 12 ay sonunda ise yalnızca %4,6'ya düşüyor.

Sahte e-postaların nasıl tanınacağı, bağlantı kontrolü, dosya eki riskleri, e-posta sahteciliği, CEO dolandırıcılığı, sahte Microsoft 365 giriş ekranları ve QR kod ile yapılan oltalama saldırıları gerçek örnekler üzerinden ele alınır.

Oltalama e-postası nasıl fark edilir? Sahte bir Microsoft 365 e-postasının anatomisi; sahte gönderici adresi, aciliyet ifadeleri, sahte bağlantı ve logo gibi şüpheli unsurlar işaretlenmiş halde gösteriliyor. Oltalama e-postası nasıl fark edilir? Kimden: Microsoft Destek <no-reply@micros0ft-secure.com> Konu: ⚠ Hesabınız 24 saat içinde kapatılacak! Microsoft Sayın kullanıcı, Hesabınızda şüpheli giriş tespit edildi. Hesabınızı doğrulamazsanız 24 saat içinde kalıcı olarak kapatılacaktır. Hesabımı Doğrula https://micros0ft-secure-login.xyz/verify © 2025 Microsoft Corporation. Tüm hakları saklıdır. One Microsoft Way, Redmond, WA 98052 Sahte domain "micros0ft" Aciliyet baskısı "24 saat" Kopyalanmış marka logosu Zararlı link buton arkasında Sahte URL .xyz uzantısı Bu e-postadaki 5 tehlike işareti fark edilebildi mi? Eğitim almamış çalışanların %34'ü bu tür tuzaklara düşüyor. Örnek amaçlı hazırlanmıştır. Gerçek bir e-postayı temsil etmez.
🎭

Sosyal mühendislik saldırıları

Sosyal mühendislik yalnızca e-posta ile yapılmaz. Telefon aramaları, LinkedIn mesajları, sahte teknik destek talepleri veya fiziksel manipülasyon yöntemleri de saldırganlar tarafından sıkça kullanılmaktadır. İnsan manipülasyonu teknikleri, güven ilişkisi oluşturma, aciliyet baskısı ve sahte otorite kullanımı bu bölümde ele alınır. Finans ekipleri ve üst düzey yöneticiler için özellikle kritik bir başlıktır.

📱

Mobil cihaz güvenliği

Kurumsal verilere artık yalnızca masaüstü sistemlerden erişilmiyor. Mobil cihaz güvenliği, uygulama izinleri, kayıp cihaz senaryoları, halka açık Wi-Fi riskleri ve mobil oltalama saldırıları bu bölümde ele alınır.

🛡️

Veri güvenliği ve KVKK farkındalığı

Kişisel verilerin yanlış paylaşılması veya korunamaması ciddi hukuki sonuçlara yol açabilir. Hassas veri kavramı, veri sınıflandırma, kişisel veri güvenliği ve yanlış kişiye veri gönderimi ele alınır. Müşteri verisi işleyen kurumlar için KVKK yükümlülükleri kapsamında bu başlık öncelikli tutulur.

🌐

Ağ ve uzaktan erişim güvenliği

Uzaktan çalışma modelleriyle birlikte VPN kullanımı, ev ağı güvenliği, halka açık ağ riskleri ve uzak masaüstü erişimleri daha kritik hale geldi. Çalışanların güvenli bağlantı alışkanlıkları geliştirmesi hedeflenir.

💾

USB ve harici cihaz güvenliği

Harici cihazlar hâlâ ciddi bir tehdit oluşturuyor. USB bellekler üzerinden malware bulaşması, veri sızıntısı ve ransomware yayılımı yaşanabiliyor. Kontrolsüz cihaz kullanımının riskleri, taşınabilir medya politikaları ve güvenli dosya aktarımı konularında farkındalık kazandırılır.

Bilgi güvenliği farkındalık eğitimi kimlere verilmelidir?

Bu eğitim yalnızca teknik ekipler için değildir. Saldırganlar çoğu zaman teknik bilgisi düşük kullanıcıları hedef alır.

Sparta Siber Güvenlik araştırmalarına göre içeriden kaynaklanan olayların %55'i ihmalkar veya yanlış davranan çalışanlardan kaynaklanıyor ve kurumlara yıllık ortalama 8,8 milyon dolar maliyet çıkarıyor.
Tüm ofis çalışanları
Üst düzey yöneticiler
İnsan kaynakları ekipleri
Muhasebe ve finans çalışanları
Satın alma ekipleri
Çağrı merkezi çalışanları
Saha ekipleri
Uzaktan çalışan personeller

Özellikle yönetici seviyesindeki çalışanlar spear phishing saldırılarında daha sık hedef haline gelir. Bu nedenle Sparta Siber Güvenlik yöneticilere yönelik ayrı bir farkındalık oturumu da sunmaktadır.

Sosyal mühendislik testleri ve ölçümleme

Sadece eğitim vermek çoğu zaman yeterli değildir. Çalışanların gerçekten nasıl davrandığını görmek için sosyal mühendislik testleri kritik önem taşır.

Sosyal mühendislik testi ve farkındalık eğitimi döngüsü Dört aşamalı döngü: Test, Rapor ve Analiz, Eğitim, Yeniden Test. Her aşama bir sonrakine bağlanıyor. Sosyal mühendislik testi ve eğitim döngüsü 🎣 1. Test Kuruma özel oltalama senaryoları ve QR kod simülasyonları gönderilir. Çalışan davranışı ölçülür 📊 2. Rapor Hangi ekipler risk altında? Hangi konularda açık var? Farkındalık seviyesi nedir? Detaylı analiz raporlanır 🎓 3. Eğitim Rapora dayalı, hedefe yönelik farkındalık eğitimi düzenlenir. Davranış değişimi hedeflenir 🔄 4. Yeniden test Eğitim sonrası aynı senaryolar tekrar uygulanır. İyileşme ölçülür Sürekli iyileştirme döngüsü — yılda en az bir kez tekrarlanması önerilir 12 aylık sürekli eğitim sonrası risk %86 azalıyor — KnowBe4 2025

Simülasyonlar sayesinde hangi ekiplerin daha riskli olduğu, hangi konularda ek eğitim gerektiği ve farkındalık seviyesinin nasıl değiştiği ölçülebilir hale gelir. Sparta Siber Güvenlik'in sızma testi ve sosyal mühendislik test hizmetleri hakkında ayrıca bilgi alabilirsiniz.

Bilgi güvenliği farkındalık eğitiminde format seçenekleri

Statista'nın 2024 küresel araştırmasına göre kurumların %45'i bilgisayar tabanlı eğitimi, %37'si yüz yüze eğitimi tercih ediyor. Sparta Siber Güvenlik her iki formatı da sunmaktadır.

💻
Online eğitim

Canlı oturumlar, soru-cevap bölümleri, interaktif senaryolar ve örnek saldırı analizleri içerir. Tüm çalışanlara aynı anda ulaşmak için idealdir.

🏛️
Yerinde eğitim

Çalışan etkileşimi en yüksek format. Gerçek soru-cevap ve grup tartışması imkânı sunar. Kısa oturumlar veya departman bazlı planlanabilir.

Hibrit

Online ve fiziksel oturumların birlikte planlandığı esnek format. Farklı lokasyonlardaki ekipler için uygundur.

Bilgi güvenliği farkındalık eğitimi ISO 27001 ve KVKK açısından

Farkındalık eğitimleri birçok standart ve düzenleme kapsamında önemli bir güvenlik bileşeni olarak değerlendirilir.

ISO 27001 KVKK BİG Rehberi EPDK SGYM Sektör regülasyonları

ISO 27001 standardı kapsamında çalışanların bilgi güvenliği farkındalığı kazanması beklenir. KVKK açısından ise kişisel verilere erişen çalışanların veri güvenliği, gizlilik, veri paylaşımı ve erişim kontrolü konularında bilinçli olması gerekir.

Enerji sektöründe faaliyet gösteren kurumlar için EPDK Siber Güvenlik Yetkinlik Modeli kapsamında çalışan farkındalığı ayrı bir gereklilik olarak öne çıkmaktadır.

Sparta Siber Güvenlik yaklaşımı

Sparta Siber Güvenlik bugüne kadar kamu ve özel sektörde yüzlerce farklı kurumla çalışmış, sızma testlerinden olay müdahaleye kadar birçok farklı projede görev almıştır. Bu deneyim sayesinde eğitimlerde yalnızca teorik bilgiler değil, gerçek hayatta karşılaşılan saldırı yöntemleri ve saha deneyimleri paylaşılır.

🏭
Sektöre özel içerik Kurumun faaliyet alanına göre özelleştirilmiş senaryolar
👥
Çalışan profiline uygun Teknik ve teknik olmayan ekipler için farklı içerik derinliği
📋
Regülasyon odaklı KVKK, ISO 27001, EPDK ve sektör gereklilikleri gözetilir
🎯
Davranış odaklı Amaç "eğitim verilmiş olmak" değil, gerçek davranış değişikliği
Araştırmalara göre düzenli güvenlik farkındalık eğitimi, çalışan kaynaklı siber olayların riskini %72'ye kadar azaltabiliyor. Kurum genelinde güvenlik kültürü gelişir, olay bildirimleri artar ve sosyal mühendislik saldırılarına karşı direnç yükselir.

Sık sorulan sorular

Bilgi güvenliği farkındalık eğitimi hakkında en çok sorulan sorular.

Eğitim süresi kurumun ihtiyacına göre değişebilir. Temel farkındalık eğitimleri genellikle 1-2 saat arasında planlanır. Departman bazlı veya yönetici oturumları için bu süre farklılaşabilir.
Evet. Eğitimler online, hibrit veya fiziksel ortamda gerçekleştirilebilir; kurumun ihtiyacına göre format belirlenir.
Talebe göre katılım sertifikası düzenlenebilir.
Evet. Kuruma özel sosyal mühendislik ve oltalama simülasyon testleri planlanabilir.
Evet. Eğitimler teknik bilgisi olmayan çalışanların da anlayabileceği şekilde hazırlanır.
Evet. Sektör, regülasyon ve çalışan profiline göre özel içerikler hazırlanabilir.
Hayır. İnsan kaynakları, muhasebe, yönetim ve operasyon ekipleri dahil tüm çalışanlar hedeflenmelidir.
Kişisel veri işleyen çalışanların veri güvenliği konusunda farkındalık sahibi olması KVKK kapsamında oldukça önemlidir.

Kurumunuz için bilgi güvenliği farkındalık eğitimi alın

Siber güvenlik yalnızca teknik ekiplerin sorumluluğu değildir. Bugün birçok saldırı doğrudan çalışanları hedef alıyor ve tek bir kullanıcı hatası ciddi güvenlik olaylarına yol açabiliyor.

Teklif isteyin → Sızma testi hizmetlerini inceleyin

Biz Ne Yapıyoruz ?

Sparta Siber Güvenlik, kurumların bilgi teknolojileri ve siber güvenlik ekiplerine destek olarak, onların bir parçası gibi çalışır. Uluslararası sertifikalı ve sürekli eğitim alan uzman kadromuzla sızma testleri ve ileri düzey siber güvenlik hizmetleri sunarız.

Bize Ulaşın:

+90 (312) 909 33 02