FBI İnternet Suç Şikayet Merkezi (IC3) ve ENISA'nın yıllık tehdit raporları, phishing saldırılarını kurumsal güvenlik ihlallerinde en sık kullanılan ilk erişim vektörü olarak listelemekte; bu nedenle phishing simülasyonu ve eğitim kombinasyonunu pek çok güvenlik çerçevesi zorunlu bir önlem olarak kabul etmektedir.
Phishing Simülasyonu ve Eğitim Paketi Nedir?
Phishing simülasyonu, çalışanlara gerçek saldırı biçimini taklit eden e-postalar göndererek tepkilerini ölçen kontrollü bir testtir. Eğitim paketiyle birleştirildiğinde simülasyon bir ölçüm aracına dönüşür: düşen çalışanlar anında mikro eğitime yönlendirilir ve kurumun risk profili somut verilerle belgelenir.
Phishing Simülasyonu + Eğitim Paket Fiyatını Belirleyen Faktörler
Paket fiyatlandırması tek bir kampanya ile yıllık sürekli program arasında büyük farklılıklar gösterir. Aşağıdaki unsurlar hesaplamanın temelini oluşturur.
1. Hedef Kullanıcı Sayısı
Simülasyona dahil edilecek çalışan sayısı, teknik altyapı ihtiyacını (e-posta gönderim sistemi, takip araçları) ve raporlama karmaşıklığını doğrudan etkiler.
2. Kampanya Sayısı ve Sıklığı
Yılda bir kez yapılan tek kampanya ile üç aylık döngülerle gerçekleştirilen dört kampanya arasındaki fiyat farkı belirgindir. Sürekli kampanyalar zamana bağlı davranış değişimini ölçme imkânı sağlar.
3. Phishing Şablonu Özelleştirme Düzeyi
Genel hazır şablonlar daha düşük maliyetlidir. Kurumun marka kimliğini, iç yazışma diline benzeme düzeyini veya sektöre özgü saldırı senaryolarını taklit eden özel şablonlar ise içerik geliştirme maliyeti ekler.
4. Eğitim Modülü Kapsamı
Simülasyon sonrasında düşen çalışanlara gösterilen anında mikro eğitimden, kapsamlı farkındalık eğitimi programına kadar farklı derinlikte içerik seçenekleri sunulabilir.
5. Raporlama ve Analitik Derinliği
Temel tıklanma/gönderme oranları raporunun ötesinde departman bazlı analiz, zaman serisi karşılaştırması ve yönetici özeti pakete eklendiğinde maliyet artar.
Kurum Büyüklüğüne Göre Paket Kapsamı
Kurum | Paket İçeriği | Frekans |
|---|---|---|
KOBİ | 1 kampanya, hazır şablonlar, temel mikro eğitim, özet rapor | Yılda 1-2 kez |
Orta Ölçekli | 2-3 kampanya, özel şablonlar, e-öğrenme modülleri, departman raporu | 3-4 ayda bir |
Büyük Kurum | Sürekli program, çoklu saldırı vektörü (SMS, sesli), liderlik raporu | Aylık / sürekli |
Phishing Simülasyonu ile Savunma Testi Nasıl Bütünleşir?
Phishing kampanyaları, teknik savunmanın insan katmanındaki etkinliğini ölçer. Blue team izleme kapasitesi simülasyon e-postasını tespit edebildi mi? Çalışan güvenli mi davrandı? Bu sorular teknik ve insan katmanlarını birlikte değerlendiren bütünleşik bir güvenlik yaklaşımını zorunlu kılar.
Secunnix Phishing Simülasyonu Yaklaşımı
Secunnix phishing simülasyonlarında kurumun sektörüne ve gerçek tehdit aktörü taktiklerine dayanan şablonlar kullanırız. Kampanya sonuçlarını bölüm bazında raporlayarak yönetimin riski somut verilerle görmesini sağlarız.
Kurumunuzun insan kaynaklı risklerini ölçmek için iletişime geçin ve ihtiyacınıza özel fiyat teklifi alın.
Sık Sorulan Sorular
Phishing simülasyonu çalışanları strese sokar mı?
Amacın cezalandırma değil eğitim olduğu çalışanlara önceden duyurulduğunda (program var ama kampanya tarihleri gizli tutulduğunda) stres minimize edilir. Düşen çalışan, suçlanmak yerine hemen eğitime yönlendirilir.
Simülasyon kurumun gerçek e-posta sistemini etkiler mi?
Hayır. Simülasyon öncesinde kurumun güvenlik sistemlerini (spam filtresi, güvenlik duvarı) atlatmak için teknik whitelisting yapılır. Bu, test e-postalarının gerçekmiş gibi ulaşmasını sağlar; ancak gerçek bir tehdit değildir.
Sadece e-posta mı yoksa SMS veya sesli phishing de yapılır mı?
E-posta (spear phishing) en yaygın format olsa da SMS (smishing) ve telefon (vishing) simülasyonları da paket kapsamına eklenebilir.
Kampanya sonuçları KVKK kapsamında veri içerir mi?
Kişi bazlı sonuçlar kişisel veri niteliği taşır. Bu verilerin işlenme koşulları proje başında netleştirilmeli ve KVKK çerçevesinde aydınlatma metni hazırlanmalıdır.
Phishing simülasyonu ile sızma testi arasındaki fark nedir?
Phishing simülasyonu insan davranışını ölçerken sızma testi teknik altyapıdaki güvenlik açıklarını tespit eder. İkisi birlikte uygulandığında kurumun saldırı yüzeyinin hem teknik hem de insan boyutu kapsanmış olur.
