Orta ölçekli bir üretim firmasının BT yöneticisi geçen yıl yaşadığı olayı şöyle anlatıyor: Muhasebe departmanından bir çalışan, tedarikçilerinden birinin gönderdiğini sandığı bir e-posta ekini açtı. Ekranda bir hata mesajı belirdi, çalışan dosyayı silip geçti. Ancak o tek tıklama, şirketin ERP sistemine bağlı sunucuya fidye yazılımı yerleştirmeye yetti. Güvenlik duvarı, antivirüs yazılımı, güncel yamalar — hepsi yerli yerindeydi. Zincirin en zayıf halkası teknik altyapı değil, eğitilmemiş bir kullanıcıydı.
Siber güvenlik yatırımlarının büyük bölümü hâlâ teknik katmana akıyor: yeni nesil güvenlik duvarları, uç nokta koruma yazılımları, ağ izleme sistemleri. Bu yatırımların değeri tartışılmaz. Ancak güvenlik araştırmacılarının uzun süredir işaret ettiği bir gerçek var: başarılı saldırıların önemli bir kısmı teknik açıklardan değil, insan davranışından kaynaklanıyor. Oltalama (phishing) e-postaları, telefon yoluyla kimlik avı, sahte oturum açma sayfaları — bunların ortak noktası, teknik savunmayı devre dışı bırakmak yerine çevresinden dolaşmasıdır. Saldırgan sisteme değil, sisteme erişimi olan insana saldırıyor.
Bu noktada farkındalık eğitimi, teknik önlemlerin rakibi değil tamamlayıcısı olarak konumlandırılmalıdır. Ancak burada kritik bir ayrım var: ‘farkındalık eğitimi’ derken yılda bir kez yapılan, PowerPoint sunumundan ibaret bir oturumu kastetmiyoruz. Davranış değişikliği hedefleyen, ölçülebilir çıktıları olan, tekrarlayan bir program kastediyoruz. İki kavramı birbirinden ayırt etmek, programın başarısını doğrudan belirliyor.
Etkili bir farkındalık programının ilk bileşeni simüle edilmiş saldırı testleridir. Çalışanlara önceden haber vermeksizin hazırlanan sahte oltalama e-postaları gönderilir; kim tıklıyor, kim eki açıyor, kim kimlik bilgilerini giriyor — bunlar kayıt altına alınır. Bu yöntem hem mevcut risk düzeyini ölçer hem de eğitimin hangi departmana, hangi profildeki kullanıcıya odaklanması gerektiğini gösterir. Muhasebe, satın alma ve üst yönetim sekreterlikleri çoğunlukla en yüksek risk profilini taşıyan gruplar arasında çıkıyor; çünkü bu kişiler finansal işlemlere ve kritik sistemlere erişim yetkisine sahip. Eğitim bütçesini bu gruplara öncelikli yönlendirmek, toplam yatırım getirisini (ROI) anlamlı ölçüde artırıyor.
İkinci bileşen, eğitim içeriğinin gerçek saldırı örnekleriyle beslenmesidir. Soyut tehdit tanımları davranış değişikliği yaratmıyor; çalışanın kendi iş süreçlerine benzeyen, kendi kullandığı sistemleri taklit eden senaryolar yaratıyor. E-fatura portalına benzer görünümlü sahte bir oturum açma sayfası, soyut bir ‘phishing nedir?’ anlatımından çok daha güçlü bir öğrenme deneyimi sunuyor. Üçüncü bileşen ise ölçümdür: tıklama oranı, kimlik bilgisi girme oranı ve eğitim sonrası tekrar test skoru — bu üç metrik programın etkinliğini somut biçimde ortaya koyuyor ve yönetime raporlanabilir bir tablo sağlıyor.
Pratikte en sık karşılaşılan zorluk, üst yönetimin bu eğitimi ‘teknik bir mesele’ olarak BT birimine devretmesidir. Oysa davranış değişikliği bir kültür meselesidir ve kültür yukarıdan aşağıya şekillenir. Genel müdürün simüle edilmiş testlere dahil edilmediği, yönetim kurulunun siber güvenlik raporlarını mali tablolarla aynı ciddiyetle incelemediği bir ortamda, çalışanlar bu eğitimi zorunlu bir formalite olarak algılar. Ayrıca e-fatura ve e-defter sistemlerinin zorunlu hale gelmesiyle birlikte muhasebe süreçlerinin dijital altyapıya olan bağımlılığı artmıştır; bu da olası bir ihlalın operasyonel ve yasal maliyetini yükseltiyor. Toplam sahip olma maliyeti (TCO) hesabına veri ihlali sonrası kurtarma maliyetleri, olası yasal yükümlülükler ve itibar kaybı dahil edildiğinde, farkındalık programının maliyeti son derece makul kalıyor.
Bir KOBİ yöneticisi olarak bu konuya yaklaşırken şu soruyu sormak gerekiyor: Şirketimde son altı ay içinde çalışanlara yönelik simüle edilmiş bir oltalama testi yapıldı mı, ve sonuçları ölçüldü mü? Cevap hayırsa, teknik altyapıya ne kadar yatırım yapılmış olursa olsun, savunmanın en kritik katmanı hâlâ açık demektir. Farkındalık programı bir defaya mahsus bir proje değil, altı ayda bir güncellenen, test edilen ve raporlanan bir operasyonel süreç olarak kurgulanmalıdır. Bu kurguyu doğru yapan şirketler, siber güvenlik yatırımlarının gerçek getirisini ancak o zaman ölçebiliyor.