ISO 27001’de Sosyal Mühendislik Saldırılarına Karşı Kurumsal Önlemler
2025 Rehberi – İnsan Kaynaklı Risklere Karşı Bilgi Güvenliği
ISO/IEC 27001 sadece teknik önlemlerle değil, insan faktörüne dayalı tehditlere karşı da güçlü savunmalar kurmayı hedefler.
Bu tehditlerin başında da sosyal mühendislik saldırıları gelir. Birçok veri sızıntısı, gelişmiş yazılımlar değil, bir çalışanın kandırılmasıyla başlar.
Bu yazıda, 2025 yılı itibariyle sosyal mühendisliğe karşı alabileceğiniz ISO 27001 uyumlu önlemleri ve uygulamaları derledik.
Sosyal Mühendislik Nedir?
Sosyal mühendislik; kişilerin iyi niyetini, dikkatsizliğini veya bilgi eksikliğini kullanarak gizli verilere veya sistemlere erişim sağlama yöntemidir.
Genellikle:
-
Telefonla bilgi sorma (vishing)
-
E-posta oltalama (phishing)
-
Fiziksel sızma (tailgating)
-
Sahte kimlik kullanma (pretexting)
gibi yollarla uygulanır.
ISO 27001 Standardında Hangi Maddelerle İlişkilidir?
| Madde No | Başlık |
|---|---|
| A.6.3 | Bilgi güvenliği farkındalığı, eğitim ve yetkinlik |
| A.5.10 | Yetkilendirme (izin verilen işlemler dışına çıkılmaması) |
| A.5.15 | Bilgi erişimi için minimum ayrıcalık ilkesi |
| A.5.23 | Kullanıcı sorumlulukları (parola gizliliği vb.) |
| A.5.24 | Eğitim sonrası davranışların izlenmesi |
| A.8.16 | Olay izleme ve kayıt alma |
ISO 27001’e Uyumlu Kurumsal Önlemler
1. Sosyal Mühendislik Farkındalık Eğitimi
Tüm çalışanlara yılda en az 1 kez verilmeli. İçeriğinde şunlar olmalı:
-
Oltalama e-posta örnekleri
-
Gerçek olay simülasyonları
-
Fiziksel sızma örnekleri
-
Kurumsal veri paylaşım politikaları
Eğitim sadece sunumla sınırlı kalmamalı; senaryo ve interaktif örneklerle pekiştirilmelidir.
2. Test Edilebilirlik: Phishing Simülasyonları
-
Dış kaynaklı ya da kurum içi olarak yapılabilir
-
Sonuçlar kişisel değil departmansal analiz edilerek iyileştirme aksiyonları alınmalı
-
ISO 27001’de bu, kontrollerin etkinliğini izleme faaliyetleriyle doğrudan ilgilidir
3. Fiziksel Güvenlik Önlemleri
-
Kimliksiz personel girişini engelleyen sistemler
-
Misafir ziyaretçi etiketleri ve refakat prosedürleri
-
Açık alanda evrak bırakmama – “temiz masa politikası”
-
Ortak alanlardaki ekran koruyucular / otomatik kilitleme süreleri
4. Bilgi Paylaşım Politikası
-
Kimin hangi bilgiyi paylaşabileceği açıkça tanımlanmalı
-
Telefonda, sosyal medyada veya e-postada bilgi paylaşım limitleri belirlenmeli
-
Sloganlar kullanılmalı:
“Bilgi talebi geldiğinde sorgula, sorgularken yazılı iste, asla şüpheden taviz verme.”
5. Olay Kayıtları ve Geri Bildirim Süreci
-
Tespit edilen şüpheli sosyal mühendislik girişimleri kayıt altına alınmalı
-
Çalışanlar, cezalandırılma korkusu olmadan bildirim yapabilmeli
-
Olay sonrası değerlendirme ve eğitim aksiyonları yapılmalı
Önerilen Dokümanlar
-
Sosyal Mühendislik Farkındalık Eğitimi Planı
-
Bilgi Güvenliği Farkındalık Politikası
-
Bilgi Paylaşım Rehberi
-
Ziyaretçi Prosedürü
-
Fiziksel Güvenlik Denetim Formu
-
Sosyal Mühendislik Simülasyonu Sonuç Raporu
YYS Danışmanlık ile Ne Sağlıyoruz?
-
Sosyal mühendislik risk analizinin yapılması
-
Kurum içi özel eğitim tasarımları
-
Phishing simülasyonu desteği ve analiz
-
Fiziksel sızma senaryolarının planlanması
-
ISO 27001 iç tetkik ve dış denetime yönelik hazırlık desteği
Sonuç
Sosyal mühendislik saldırıları, %90 oranla insan hatasına dayalı gerçekleşir.
ISO 27001 standardı, sadece firewall değil, insan güvenliği için de sistematik önlemler kurulmasını zorunlu kılar.