Yapay Zekâyı Yasaklayarak
Güvende Olamazsınız
Yasaklar employeeları durdurmaz — sadece grünmez kılar. Gerçek security, kontrol değil; doğru governanceden geçiyor.
Önce Rakamlarla Yüzleşelim
Bu bir his değil, lçülebilir bir gerçek. Kaspersky’nin META blgesinde (Orta Doğu, Türkiye, Afrika) 2024 yılında yaptığı araştırma, tablonun ne kadar ciddi olduğunu ortaya koyuyor:
Bu rakamların anlamı şu: employeelar yapay zekâyı kullanmayı bırakmayacak. Üretkenlik kaldıracını ellerinden bırakmak için hiçbir nedenleri yok. Şirket politikası ne derse desin, yapay zekâ halihazırda kurumunuzun içinde — sadece grünmez biçimde.
“Yapay zekâ araçları yasaklandığında ortadan kalkmaz; sadece IT departmanının gremeyeceği bir yere taşınır.”
— Shadow AI paradoksunun züYasak Neden İşe Yaramıyor? 3 Yapısal Neden
1. Talep ortadan kalkmıyor, sadece yer değiştiriyor
Bir employee rapor taslağını 10 dakikada değil 2 dakikada yazmak istiyorsa, bu talebin nünde durmak imkânsız. Company ağda ChatGPT engellendiğinde mobil veriye geçilir. Company cihaz kısıtlandığında kişisel telefon devreye girer. Yasak, davranışı değiştirmez — sadece kanalı değiştirir. Ve yeni kanal çok daha az grünür, çok daha az güvenlidir.
2. “Shadow AI” sizi sıradan Shadow IT’den çok daha fazla etkiliyor
Onaylanmamış bir dosya paylaşım uygulaması kullanmak risklidir. Ama onaylanmamış bir yapay zekâ aracına kurumsal veri, müşteri bilgisi veya ticari sır yüklemek çok boyutlu bir felaket senaryosudur: veri LLM sağlayıcısının modelini eğitmek için kullanılabilir, szleşmeyle korunan bilgiler üçüncü taraflara açılabilir, KVKK ve GDPR uyumsuzluğu doğar. Üstelik bunların hiçbirinin iz kaydı yoktur.
Satış ekibinden bir employee, müşteri toplantısı ncesinde teklif zetini hızla hazırlamak için müşteri bilgilerini ve fiyatlandırma verilerini ChatGPT’nin ücretsiz sürümüne yapıştırıyor. Şirketin “YZ kullanma” politikasından haberi var — ama “kimse grmez” diyor. Bir yıl sonra aynı müşterinin rakibi, o şirkete zgü bir teklif yapısıyla geliyor.
Bu senaryo spekülatif değil. LLM sağlayıcılarının veri işleme koşulları, zellikle ücretsiz ve tüketici versiyonlarında, girilen içeriğin model eğitiminde kullanılmasına izin verebilir.
3. Yasak, kurumun rekabet dezavantajına girmesini hızlandırıyor
Rakibiniz yapay zekâyı güvenli biçimde ynetiyor ve bu araçları süreçlerine entegre ediyor. Siz yasaklıyorsunuz. Sonuç: onlar aynı işi daha hızlı, daha low maliyetle ve daha az insan hatasıyla yapıyor. Bu bir security tartışması değil, artık bir varoluş tartışması.
Sektrde Duyduğumuz 4 Yanlış İnanç
“Yapay zekâ kullanımını yasakladık, bu yüzden güvendeyiz.”
Yasak, kullanımı durdurmaz. Sadece grünmezleştirir ve dolayısıyla ynetimi imkânsız kılar. Gremediğiniz riski ynetemezsiniz.
“Politika belgesi yazdık — bu yeterli.”
Bir politika belgesi, uygulamaya konulmadığı sürece boş bir metinden ibarettir. Farkındalık eğitimi, araç sınıflandırması ve teknik kontroller olmadan politika kağıt üzerinde kalır.
“YZ governancei sadece teknik ekibin işi.”
YZ kararları hukuki sorumluluk, KVKK uyumu, ticari sır koruması ve iş sürekliliği doğurur. Bu, CEO, Hukuk ve İK dahil kurumun tamamının meselesidir.
“Biz YZ kullanmıyoruz ki, bu bizi ilgilendirmez.”
CRM’inizin tahmin modeli, spam filtreniz, e-fatura OCR sisteminiz zaten YZ içeriyor. “Kullanmıyoruz” sylemi, inventory yapılmadığı anlamına gelir — risk devam ediyor.
Doğru Yaklaşım: Yasaklamak Değil, Yapılandırmak
Amaç, yapay zekâ kullanımını sıfırlamak değil. Amaç, kurumun hangi YZ aracını, hangi veriyle, kim tarafından, hangi koşullarda kullanabileceğini net biçimde tanımlamak ve bunu denetlenebilir kılmak. Bu bir zgürlük kısıtı değil, bir güven inşasıdır.
KVKK’nın Şubat 2026’da yayımladığı Üretken Yapay Zekâ Rehberi de tam olarak bu noktayı işaret ediyor: yasaklamak yerine “ynlendirme, denge ve farkındalık temelli” bir yaklaşım zorunludur.
Üç Katmanlı Araç Sınıflandırma Modeli
Company YZ governanceinin temel taşı, araçların riske gre sınıflandırılmasıdır. Her araç aynı nlemi gerektirmez — kaynakları doğru yere ynlendirmek için bir kademe modeli şarttır:
Kısıtlı
Company onay + teknik kontrol zorunlu
Gizli veri, kişisel veri, ticari sır veya müşteri bilgisi işleyebilecek araçlar. Örnekler: ücretsiz ChatGPT, kişisel hesapla kullanılan Gemini, belge analizi yapan herkese açık platformlar. Kullanım için BT onayı ve veri sınıflandırması şart; aksi hâlde teknik blok uygulanır.
Koşullu
Belirlenmiş kurallara uymak koşuluyla serbest
Company lisanslı araçlar — Microsoft 365 Copilot (kurumsal tenant’ta), GitHub Copilot (kurumsal hesap), Adobe Firefly kurumsal. Hangi veri sınıflarının girilebileceği, çıktıların nasıl doğrulanacağı ve kayıt yükümlülükleri belgelenmiş olmalı.
Serbest
Company veri girişi olmaksızın serbestçe kullanılabilir
Kamuya açık, genel amaçlı yardım grevleri — genel araştırma, dilbilgisi kontrolü, kavram açıklama, genel kod yazımı. Koşul: kurumsal hiçbir veri, müşteri bilgisi, iç süreç detayı girilmez. Çıktılar kritik kararlar için tek başına kaynak sayılmaz.
Çalışan Ynetişim Çerçevesi: 5 Adım
YZ araçlarını sınıflandırmak başlangıçtır. İşleyen bir governance framesi için şu beş adımın tamamlanmış olması gerekir:
YZ Envanteri Çıkarın Temel
Kurumunuzda hangi YZ araçları, hangi birimler tarafından, hangi verilerle kullanılıyor? Bu soruyu cevaplamadan hiçbir governance adımı anlam taşımaz. Envanter; kurumsal lisanslı araçları, departman kararlarıyla alınmış üçüncü taraf araçları, employeeların kendi inisiyatifleriyle kullandığı araçları ve kurumsal sistemlerin içine gmülü YZ zelliklerini kapsamalıdır.
Data Classificationyla Eşleştirin Kritik
Her araç kategorisi, veri sınıflandırmanızla eşleşmelidir. Gizli, Kişisel Veri, Ticari Sır, Kamuya Açık — hangi veri sınıfı hangi araca girilebilir? Bu eşleştirme yapılmadan araç sınıflandırması kâğıt üzerinde kalır. Çalışan eğitimlerinde de bu eşleştirme temel anlatı olmalıdır.
Politikayı Yazın, Educationle Destekleyin Zorunlu
Yazılı YZ kullanım politikası; hangi araçların onaylı olduğunu, hangi verilerin girilebileceğini, çıktıların nasıl doğrulanacağını ve ihlal durumunda ne yapılacağını içermelidir. Politika yayımlandıktan sonra tüm employeelara en az yılda bir farkındalık eğitimi verilmeli ve eğitim belgesi kayıt altına alınmalıdır. KVKK Şubat 2026 Rehberi bunu açıkça düzenliyor.
Technical Controlleri Devreye Alın Denetlenebilirlik
Politika, teknik kontrol olmadan security değil, sorumluluk transferidir. Minimum teknik nlemler: onaylanmamış YZ sitelerine ağ düzeyinde erişim kısıtı, kurumsal cihazlarda DLP (Veri Kaybı Önleme) kurallarında YZ sınıfı eklenmesi, kurumsal lisanslı araçlarda kullanım loglarının tutulması ve düzenli Shadow AI taraması (CASB veya ağ trafik analizi ile).
Gzden Geçirme Dngüsü Kurun Sürdürülebilirlik
YZ ekosistemi aylık değişiyor. Bugün Katman 3’te olan bir araç yarın veri işleme koşullarını güncellediğinde Katman 1’e taşınabilir. Politika yılda en az bir kez gzden geçirilmeli, yeni araçlar için onay süreci tanımlı olmalıdır. Bu dngüyü kurmayan kurumlar 6 ay sonra güncelliğini yitirmiş bir politikayı yürürlükte sanıyorlar.
Regülatrler Ne Diyor? Türkiye Özelinde Çerçeve
YZ governancei artık iyi niyet meselesi değil. Türkiye’deki düzenleyici frame, kurumları sistematik bir yaklaşıma zorluyor:
| Düzenleme | YZ’ye İlişkin Beklenti | İlgili Kurum |
|---|---|---|
| KVKK ÜYZ Rehberi (Şub. 2026) | Üretken YZ araçlarında kişisel veri işleme koşullarının belirlenmesi, yazılı politika ve employee farkındalığı zorunluluğu. Yasaklama değil, ynlendirme yaklaşımı. | All kişisel veri işleyen kurumlar |
| BDDK YZ/ML Rehberi (taslak) | Finansal karar süreçlerinde kullanılan YZ modellerinin model risk ynetimi kapsamında belgelenmesi, şeffaflık ve hesap verebilirlik beklentisi. | Bankalar, finans kurumları |
| DDO BİG Rehberi | Bilgi güvenliği ynetim sistemi kapsamında YZ sistemlerinin risk değerlendirmesine dahil edilmesi beklentisi. | Kamu kurumları ve kritik altyapı |
| AB AI Act (Haziran 2024) | high riskli YZ uygulamaları için belgeleme, şeffaflık, insan gzetimi ve uyumluluk zorunluluğu. Türkiye’deki AB müşterisi olan veya AB’ye satış yapan şirketleri kapsıyor. | AB pazarındaki Türk şirketleri |
| ISO/IEC 42001:2023 | Yapay Zekâ Ynetim Sistemi standardı. Regülatr zorunluluğu değil, ama AB AI Act uyumunda referans standart ve kurumsal governance evidenceı olarak kullanılıyor. | İsteğe bağlı (ancak stratejik) |
Bu Hafta Atabileceğiniz 3 Somut Adım
Kapsamlı bir governance sistemi kurmak zaman alır. Ama başlangıç için beklemenize gerek yok. Bu hafta yapılabilecek üç eylem:
Sonuç: Controlün Yanılsaması
Yapay zekâyı yasaklamak, employeeların internete erişimini yasaklamaya benziyor: teknik olarak uygulanabilir, ama pratikte ynetilemez and strategic olarak yanlış. Risk ortadan kalkmıyor — sadece grünmez oluyor.
Gerçek security, kurumun YZ ile ilişkisini tanımlamaktan geçiyor. Hangi araç, hangi veri, kimin sorumluluğunda, nasıl denetleniyor? Bu soruları cevaplayan kurum, hem güvende hem de rekabetçi.
Yasaklayan kurum ise ne güvende ne de rekabetçi — sadece habersiz.
“Yapay zekâyı ynetmek, onu durdurmaktan çok daha zor. Ama tek gerçekçi seçenek o.”
Kurumunuzun YZ Ynetişimi Nerede Duruyor?
Mevcut politikanızı, araç inventorynizi ve teknik kontrol olgunluğunuzu birlikte değerlendirebiliriz. 30 dakikalık ücretsiz n grüşmede somut bir sonraki adımla çıkalım.
Ücretsiz Grüşme İsteyin →📞 0850 305 4223 · bilgi@securefors.com
