Çalışanlar İçin Yapay Zeka Güvenlik Kontrol Listesi

Hassas verileri sızdırmadan, onay süreçlerini atlamadan veya çıktılara fazla güvenmeden yapay zeka araçlarını iş yerinde güvenli kullanmak için pratik bir kontrol listesi.

10 dk okuma Güncellendi: Nisan 2026

Bir Kural ile Başlayın

Çalışanlar artık yazma, özetleme, çeviri, kodlama, not tutma, arama ve karar destek için AI araçları kullanıyor. Bu zaman kazandırabilir, ancak yeni gizlilik ve güvenlik riskleri de yaratır. En güvenli iş alışkanlığı basittir: bir AI sohbet botunu kişisel bir not defteri veya güvenilir bir şirket kasası gibi görmeyin.

Pratik soru yalnızca “bu aracın gizlilik ayarları var mı?” değildir, aynı zamanda “bunun gözden geçirilmesi, depolanması, ifşa edilmesi veya sağlıksız bir sisteme gönderilmesi zararlı olur mu?” sorusudur. Cevap evet olabilir ise, yapıştırmadan önce durun ve onaylı iş akışını kontrol edin.

Önemli: İş yerinde AI güvenliği nadiren tek büyük bir karar olur. Genellikle hangi hesabı kullandığınız, hangi verileri paylaştığınız, hangi dosyaları yüklediğiniz, hangi uygulamaların bağlı olduğu ve sonucun bir insan tarafından gözden geçirilip geçirilmediği gibi küçük kararlar zinciridir.

10 Çalışan AI Güvenlik Kontrolü

1. Rastgele AI uygulamaları değil, onaylı araçları kullanın

Çalışanlar önce şirket tarafından onaylanmış AI araçlarını kullanmalıdır. Hesap türü, yönetici kontrolleri, saklama politikası, bağlı uygulamalar ve gizlilik sınırları ürünler arasında değişir. İki ürün benzer görünse bile yönetişim modeli çok farklı olabilir.

Pratik bir çalışan kuralı basittir: kuruluşunuz onaylı bir çalışma alanı aracı sağlıyorsa, iş verileri için kişisel bir AI hesabı kullanmayın.

2. Gizli bilgileri asla yapıştırmayın

Parolaları, kurtarma kodlarını, API anahtarlarını, erişim tokenlarını, özel anahtarları, veritabanı kimlik bilgilerini veya webhook sırlarını AI sohbet botlarına yapıştırmayın. Bir kez ifşa olurlarsa, sırlar sistemlere, bulut hizmetlerine, depolara ve faturalama ortamlarına doğrudan erişim sağlayabilir.

Güvenli desen, gerçek sırları şu gibi yer tutucularla değiştirmektir: [API_KEY], [TOKEN][API_KEY], [TOKEN] veya [PASSWORD] [PASSWORD]. Çoğu durumda AI sadece problemin yapısına ihtiyaç duyar, gerçek değere değil.

3. Gizli müşteri veya çalışan verilerini yapıştırmayın

Müşteri e-postaları, telefon numaraları, adresler, destek talepleri, İK kayıtları, bordro detayları, öğrenci verileri, sağlık bilgileri ve diğer kişisel olarak stanımlanabilir bilgiler varsayılan olarak AI araçlarına yapıştırılmamalıdır.

Çalışanlar önce anonimleştirmelidir. Gerçek isimleri şu gibi etiketlerle değiştirin: Müşteri A, Öğrenci 1[API_KEY], [TOKEN] veya [PASSWORD] Çalışan B, ve yardım istemeden önce gereksiz tarihler, kimlikler ve hesap referanslarını kaldırın.

4. Sözleşmeleri, hukuki taslakları veya NDA kapsamındaki materyalleri genel araçlara yapıştırmayın

Hukuki belgeler genellikle gizli yükümlülükler, müzakere geçmişi, fiyatlandırma şartları ve düzenlemeye tabi veya ayrıcalıklı bilgiler içerir. Daha güvenli bir yaklaşım, tüm belgeyi yapıştırmak yerine bir şablon, kontrol listesi veya kloz açıklaması istemektir.

İnceleme desteği gerekiyorsa, belirsiz sınırları olan bir sohbet botu yerine onaylı bir şirket iş akışı içinde karartılmış bir sürüm kullanın.

5. Dahili belgeleri tahminde bulunarak değil sınıflandırmaya göre ele alın

Çalışanlar halka açık, dahili, gizli ve kısıtlı bilgi arasındaki farkı bilmelidir. Dahili notlar zararsız gibi gelebilir, ancak bazıları müşteri bağlamı, güvenlik detayları, finansal varsayımlar veya yol haritası öğeleri içerebilir ve bunlar tüketici AI araçlarına yapıştırılmamalıdır.

Sınıflandırmayı bilmiyorsanız, verinin en azından dahili olduğunu varsayınız ve kontrol edene kadar bunu harici veya onaylanmamış AI araçlarıyla paylaşmayınız. Daha ayrıntılı açıklama için şu kaynağı okuyun: Data Classification Explained .

6. Kişisel hesaplar yerine iş hesaplarını tercih edin

Bu çalışanlar için en önemli ayrımlardan biridir. İş ürünleri genellikle daha güçlü bir kontrol ortamı sağlar, ancak bu onların her şey için güvenli olduğu anlamına gelmez.

Çalışanlar yine de paylaştıkları verileri en aza indirmeli, yalnızca onaylı araçları kullanmalı ve şirket politikasına uymalıdır. İş hesabı daha güvenli bir başlangıç noktasıdır, serbest kullanım için bir muafiyet değildir.

7. Bağlı uygularlar, ajanlar ve MCP tarzı araçlarla dikkatli olun

Risk sadece sohbet arayüzünde değildir. Bazı AI araçları şirket verilerini arama, dosya çekme veya bağlı uygulamalar ve özel entegrasyonlar aracılığıyla işlem gerçekleştirme yeteneğine sahiptir.

Bir uygulamayı, bağlayıcıyı veya ajanı etkinleştirmeden önce şu üç soruyu sorun: neye erişebilir, ne gönderebilir ve daha sonra kolayca kaldırabilir miyim? Cevap belirsizse, bağlamayın.

8. AI çıktısının yanlış, eksik veya güvensiz olabileceğini varsayın

Çalışanlar AI çıktısını, insan denetimi olmadan doğrudan üretim sistemlerine, müşteri iletişimlerine, hukuki belgelere veya güvenlik kararlarına kopyalamamalıdır.

Doğru kural: AI'yı işi hızlandırmak için kullanın, yargıyı yerine koymak için değil. Fikirleri, izinleri, hesaplamaları, atıfları ve hassas ifadeleri çıktıyı kullanmadan önce gözden geçirin.

9. Önce karartın, sonra özetleyin, en son yapıştırın

Çalışanlar AI yardımı gerektiğinde en güvenli sıra şudur:

  • Hassas detayları karartın
  • Gerçek problemi özetleyin
  • Yalnızca gerekli olanı yapıştırın

Bu e-postalar, destek talepleri, olay notları, kod parçacıkları, tablolar ve toplantı özetleri için işe yarar. Örneğin, bir müşterinin tam şikayetini isimler ve hesap numaralarıyla yapıştırmak yerine, gecikmiş gönderiyle ilgili daha sakin bir yeniden yazım isteyin.

10. Hataları ve riskli kullanımı erken bildirin

Çalışanlar yanlış bir şeyi yapıştırırlarsa, yanlış aracı bağlarlarsa veya AI'nın güvensiz kullanıldığını görürlerse ne yapacaklarını bilmelidir. Hızlı bildirim, sessiz temizleme girişimlerinden daha iyidir.

Güçlü bir şirket uygulaması, çalışanlara bildirme için net bir yol sağlamaktır:

  • Kazara hassas veri paylaşımı
  • Şüpheli AI kaynaklı çıktılar
  • Güvensiz istem kalıpları
  • Onaylanmamış araçlar veya bağlayıcılar
  • Müşteriyi etkileyen halüsinasyonlar
  • Dahili politika soruları

Basit Bir Çalışan Kontrol Listesi

AI'yı iş için kullanmadan önce çalışanların kontrol etmesi gerekenler:

  • Bu onaylı şirket AI aracı mı?
  • Doğru iş hesabına giriş yaptım mı?
  • İçerik sırlar, PII, sözleşmeler, hukuki materyal veya kısıtlı dahili bilgi içeriyor mu?
  • İsimleri, kimlikleri, tokenları ve dahili detayları önce karartabilir miyim?
  • Bu içerik dahili, gizli veya kısıtlı olarak sınıflandırılmış mı?
  • Tamamen anlamadığım bir uygulamayı, ajanı veya harici aracı mı bağlamak üzereyim?
  • Çıktıyı göndermeden veya işlem yapmadan önce insan incelemesine ihtiyacım var mı?
  • Bir şey ters giderse bir hatayı nasıl bildireceğimi biliyor muyum?

Bu kontrol listesi kasıtlı olarak basittir. Amaç çalışanları AI'dan korkutmak değildir. Amaç güvenli kullanımı varsayılan davranış haline getirmektir.

İlgili okumalar için bu kontrol listesini şu kaynaklarla eşleştirin: AI Sohbet Gizlilik Ayarları , AI Sohbet Botlarıyla Asla Paylaşmamanız Gerekenler , ve Data Classification Explained .

Sonuç

Çalışanların AI'yı iyi kullanmak için güvenlik uzmanı olmalarına gerek yoktur. Ancak birkaç güçlü alışkanlığa ihtiyaçları vardır: onaylı araçları kullanmak, hassas verileri korumak, kişisel hesaplar yerine iş hesaplarını tercih etmek, işlem yapmadan önce çıktıları gözden geçirmek ve bağlı uygulamalar ve ajanlarla dikkatli olmak.

En iyi AI güvenlik kontrol listesi uzun bir politika belgesi değildir. Her gün gerçekten uygulanabilecek kısa davranışlar dizisidir.

Resmi Kaynaklar ve İleri Okuma

Sıkça Sorulan Sorular

Çalışanlar iş için kişisel AI hesapları kullanabilir mi?

Varsayılan olarak, bunun yerine onaylı şirket araçlarını kullanmalılar. Kişisel AI hesaplarının gizlilik, saklama ve yönetici kontrol sınırları iş için sunulan ürünlerden çok farklı olabilir.

Çalışan AI iş akışına asla ne yapıştırılmamalıdır?

Parolalar, kurtarma kodları, API anahtarları, özel anahtarlar, müşteri PII, İK kayıtları, hukuki taslaklar, gizli sözleşmeler ve kısıtlı dahili veriler, açıkça onaylanmış bir iş akışı olmadıkça genel amaçlı AI araçlarına gönderilmemelidir.

İş AI hesapları her zaman güvenli midir?

Hayır. İş hesapları genellikle daha güçlü kontroller sağlar, ancak çalışanların yine de hassas girdileri en aza indirmeleri, sınıflandırma kurallarına uymaları ve işlem yapmadan önce çıktıyı gözden geçirmeleri gerekir.

Bağlayıcılar ve ajanlar neden ekstra dikkat gerektirir?

Risk sadece sohbet penceresiyle sınırlı değildir. Bağlı uygulamalar, ajanlar ve MCP tarzı araçlar, güven sınırını genişleterek şirket verilerinde arama yapabilir, dosya çekebilir veya harici sistemlerde işlem gerçekleştirebilir.

Çalışanların AI kullanırken edinmesi gereken en iyi ilk alışkanlık nedir?

Yapıştırmadan önce duraklayın. Araç onaylı mı, bilgi hassas mı ve önce karartma veya özetleme yapabilir miyim kontrol edin.

Bir hata yaptıktan sonra çalışanlar ne yapmalıdır?

Erken bildirin. Kazara paylaşım, riskli çıktı veya güvensiz araç kullanımı gibi durumların hızlı bildirilmesi, sonradan sessizce temizlemeye çalışmaktan daha iyidir.