Sık Sorulan Sorular

Veri sızıntısını azaltmak için önce hangi verilerin nerede işlendiğini haritalandırın. Ağ segmentasyonu ile kritik veri tabanlarını izole edin, DLP (Data Loss Prevention) araçlarıyla hassas verinin dışarı çıkışını engelleyin. E-posta ve uç nokta üzerinden gerçekleşen kasıtsız sızıntılar için çalışan farkındalık eğitimi ve içerik filtreleme zorunludur. Secunnix olarak veri sınıflandırma ve DLP mimarisi konularında danışmanlık sunuyoruz.

Fidye yazılımına karşı çok katmanlı savunma gerekir: izole edilmiş yedekleme (3-2-1 kuralı), uç nokta tespit ve müdahale (EDR), ağ mikro-segmentasyonu ve e-posta güvenlik geçidi. Yama yönetimini güncel tutmak ve ayrıcalıklı hesap erişimini kısıtlamak (PAM) saldırganın yatay hareketini engeller. Saldırı gerçekleşmeden önce olay müdahale planını test etmek kritiktir.

Oltalama önlemenin teknik katmanı DMARC/DKIM/SPF e-posta doğrulama, URL filtreleme ve güvenli e-posta geçididir. İnsan katmanı için düzenli phishing simülasyonu ve farkındalık eğitimi şarttır. MFA olmadan kimlik bilgisi ele geçirilince sistem korumasız kalır; bu nedenle tüm kritik sistemlerde çok faktörlü doğrulama zorunlu olmalıdır. Secunnix phishing simülasyonu ve teknik kontrol danışmanlığı sunar.

Yatay hareketi engellemek için ağı segmentlere ayırın ve segmentler arası trafiği güvenlik duvarıyla kontrol edin. Yerel yönetici parolalarını benzersiz kılmak için LAPS kullanın; SMB ve RDP erişimini kısıtlayın. Ayrıcalıklı erişimi PAM çözümüyle yönetin ve servis hesaplarının gereksiz yetkilerini temizleyin. SIEM ile anormal kimlik doğrulama kalıplarını gerçek zamanlı tespit edin.

NIST 800-63B önerilerine göre minimum 12 karakter, ihlal listesine alınmamış parolalar ve zorunlu MFA temel gereksinimlerdir. Parola güvenliği için password manager kullanımını zorunlu kılın, periyodik zorla sıfırlama yerine ihlal tespitine dayalı sıfırlama uygulayın. Active Directory ortamlarında Fine-Grained Password Policy ile kritik hesaplara daha sıkı kurallar atanabilir.

Yayımlanan her CVE için exploit geliştirme süresi giderek kısalmaktadır; kritik yamalar ortalama 15 gün içinde saldırganlar tarafından kullanılmaya başlanır. Yamalanmamış sistemler, tehdit aktörlerinin hızla tarama yaptığı açık hedeflere dönüşür. Yama yönetimi sürecini önceliklendirme (CVSS + iş etkisi) ve test-dağıtım döngüsüyle otomatize etmek riski somut biçimde düşürür.

Dışa açık sunucularda sertleştirme için önce gereksiz servisleri ve portları kapatın. SSH için anahtar tabanlı kimlik doğrulama kullanın, root girişini devre dışı bırakın. Web sunucusunda HTTP başlık güvenliğini, TLS 1.2+ zorunluluğunu ve WAF korumasını etkinleştirin. CIS Benchmark kontrol listeleri işletim sistemi bazında hızlı sertleştirme için standart bir referans sağlar.

Gölge BT tespiti için pasif ağ izleme ve DNS sorgu analizi en etkili yöntemlerdir. Dış yüzey taraması (ASM araçları) kurumun internete açık bilinmeyen varlıklarını ortaya koyar. Bulut harcama analizi, yetkisiz SaaS abonelikleri ve shadow cloud kullanımını tespit eder. Varlık envanteri olmadan güvenlik yatırımları boşa gider; Secunnix ASM değerlendirmesi bu sürecin başlangıç noktasıdır.

Bulut ortamlarında yetki aşımı en yaygın yapılandırma hatasıdır. En az ayrıcalık ilkesini (PoLP) uygulayın; her servis hesabı yalnızca kendi ihtiyacı olan izinlere sahip olsun. IAM politikalarını CSPM araçlarıyla sürekli denetleyin. AWS'de SCPs, Azure'da Azure Policy ile kurumsal izin sınırlarını uygulayın. Atıl kimlik bilgileri ve kullanılmayan servis hesaplarını düzenli temizleyin.

Tedarik zinciri saldırıları son yılların en kritik tehdit vektörüdür. Tedarikçileri güvenlik olgunluklarına göre katmanlara ayırın ve kritik tedarikçilerden yıllık güvenlik değerlendirmesi raporu isteyin. Sözleşmelere güvenlik gereksinimleri ve ihlal bildirim yükümlülükleri ekleyin. Tedarikçi erişimini ayrı ağ segmentine yönlendirin ve VPN yerine sıfır güven erişim modelini tercih edin.

DDoS koruması için birden fazla savunma katmanı gerekir: CDN ve anycast dağıtımı, ISP düzeyinde trafik temizleme (scrubbing) ve uygulama katmanı rate limiting. Kritik sistemleri DNS tabanlı yük dağılımıyla yedekleyin. Saldırı başladığında devreye alınacak eskalasyon planını ve ISP ile iletişim protokollerini önceden belirleyin. Yıllık DDoS dayanıklılık testi planı olgunluk seviyesini ölçer.

Ayrıcalıklı hesap ele geçirilmesi ihlallerin büyük çoğunluğunda kilit rol oynar. Yönetici hesaplarında phishing-resistant MFA (FIDO2/hardware key) zorunlu kılın. Yönetimsel görevler için ayrı, izole admin workstation'lar kullanın. Just-In-Time (JIT) erişim modeli ile ayrıcalıklar yalnızca ihtiyaç anında tanınsın. Tüm ayrıcalıklı oturumlar PAM çözümüyle kayıt altına alınsın.

BDDK Bilgi Sistemleri Yönetmeliği, bankaların yılda en az bir kez bağımsız firma tarafından sızma testi yaptırmasını zorunlu kılar. Test kapsamı çekirdek bankacılık, internet bankacılığı, ATM altyapısı ve iç ağı içermeli; bulgular risk sınıflandırmasıyla raporlanmalıdır. Kapanış testi (retest) ile açıkların giderildiği belgelenmeli ve denetim dosyasında saklanmalıdır.

TCMB'nin ödeme ve elektronik para kuruluşlarına yönelik düzenlemeleri sızma testi ve bilgi güvenliği yönetim sistemi kurulumunu kapsar. Denetim öncesinde mevcut güvenlik kontrollerinin boşluk analizi yapılmalı, politika ve prosedürler TCMB beklentilerine göre güncellenmelidir. Secunnix bu süreçte teknik değerlendirme ve dokümantasyon hazırlığını birlikte yürütür.

EPDK düzenlemeleri kritik enerji altyapılarında bilgi güvenliği tedbirlerini zorunlu kılar. OT/ICS ortamlarında sızma testi, üretim kesintisi riskini minimize edecek biçimde pasif keşif ve kontrollü aktif test aşamalarıyla planlanmalıdır. SCADA sistemleri test öncesi ayrıntılı risk değerlendirmesinden geçmeli; test penceresi bakım dönemine denk getirilmelidir.

EKS/SCADA koruması IT güvenliğinden farklı öncelikler gerektirir; süreklilik (availability) en kritik değerdir. Danışmanlık kapsamı: OT ağ segmentasyonu ve IT-OT demilitarize bölge, varlık envanteri, endüstriyel protokol analizi (Modbus, DNP3, IEC 61850) ve güvenli uzak erişim mimarisi. IEC 62443 standardı OT güvenlik programının çerçevesini sunar.

E-ticaret platformları ödeme verisi (PCI DSS), kişisel veri (KVKK) ve güvenlik (OWASP Top 10) gereksinimlerini aynı anda karşılamak zorundadır. Önce veri akış haritası çıkarın; kart verisi asla kendi sisteminizde tutmayın. KVKK için açık rıza mekanizmalarını ve veri saklama sürelerini belirleyin. Yıllık web uygulama sızma testi her üç gereksinimi de destekler.

Hasta verisi KVKK kapsamında özel nitelikli kişisel veridir ve güçlendirilmiş teknik tedbirler gerektirir. PACS, HIS ve laboratuvar sistemlerinin ağ segmentasyonu, tıbbi cihaz güvenlik değerlendirmesi ve sağlık personeline yönelik farkındalık eğitimi öncelikli adımlardır. Veri şifreleme (hem dinlenme hem aktarım halinde) ve erişim loglama zorunlu kontroller arasındadır.

Lojistik sektöründe telematics sistemleri, WMS yazılımları ve IoT depo sensörleri saldırı yüzeyini genişletir. Araç takip sistemlerini kurumsal IT ağından izole edin, WMS erişimini rol tabanlı yetkilendirmeyle kısıtlayın. Tedarikçi ve taşeron erişimlerini VPN yerine sıfır güven modeline geçirin. GPS manipülasyonu ve araç telematics saldırılarına karşı anomali tespiti kritiktir.

SaaS güvenliği için SDL (Secure Development Lifecycle) temel çerçevedir. Tehdit modelleme tasarım aşamasında başlamalı; SAST ile statik kod analizi CI/CD pipeline'ına entegre edilmeli, DAST ile çalışan uygulama test edilmeli ve yılda en az bir kez bağımsız penetrasyon testi yapılmalıdır. Müşteri verilerini kiracı izolasyonuyla ayırmak SOC 2 ve ISO 27001 sertifikasyon süreçlerini de destekler.

Holding düzeyinde güvenlik standardı oluşturmak merkezi politika + şirket düzeyinde uygulama esnekliği dengesiyle işler. Ortak BGYS politikalarını holding seviyesinde belirleyin; grup şirketlerinden yıllık öz değerlendirme ve bağımsız denetim raporu alın. Kritik altyapılar için merkezi SOC izleme, bireysel şirketler için minimum kontrol seti (MFA, yedekleme, AV/EDR) tanımlayın.

Kamu kurumları vatandaş verisi işlediğinden KVKK yükümlülükleri özellikle ağırdır. Kamu BT altyapılarında yaygın sorunlar: eski işletim sistemleri, yama yönetimi eksikliği ve fiziksel erişim kontrolü zayıflığıdır. ISO 27001 veya BGYS temelli bir güvenlik programı, merkezi loglama ve yılda bir sızma testi kamu güvenliği standartlarını karşılamanın pratik yoludur.

Oteller pasaport bilgisi, ödeme kartı ve iletişim verisi gibi hassas kişisel verileri işler. PMS (Property Management System) güvenliği, misafir Wi-Fi ağının iç ağdan izolasyonu ve kart verisi için PCI DSS uyumu öncelikli adımlardır. KVKK kapsamında misafire açık rıza metni sunulması ve veri saklama sürelerinin belirlenmesi yasal zorunluluktur.

Okullar ve üniversiteler öğrenci verisi, araştırma verisi ve finansal bilgi işler. Kimlik ve erişim yönetimi için SSO (Single Sign-On) ve MFA temel altyapıdır. Öğrenci bilgi sistemine (OBS/LMS) erişim rol tabanlı olmalı; ayrılan personelin hesapları derhal devre dışı bırakılmalıdır. KVKK kapsamında reşit olmayanların verisi için ek koruma tedbirleri zorunludur.

Teknik tedbirler: erişim kontrolü, şifreleme, güvenlik duvarı, sızma testi, log yönetimi ve veri maskeleme. İdari tedbirler: veri envanteri, aydınlatma metinleri, gizlilik politikası, personel eğitimi, imha prosedürleri ve tedarikçi sözleşmeleri. Her iki tedbirler seti yıllık iç denetimle gözden geçirilmeli; zafiyetler risk skoruyla önceliklendirilmelidir.

VERBİS kaydı hukuk biriminin sorumluluğunda görünse de teknik altyapıyı anlayan güvenlik ekibinin katkısı kritiktir. Veri akışı haritalama, işleme amaçları ve teknik güvenlik tedbirlerinin doğru girilmesi için güvenlik ve hukuk ekipleri birlikte çalışmalıdır. Secunnix VERBİS kaydı öncesi veri varlık envanteri ve güvenlik kontrolü eşleştirmesi yapıyor.

KVKK ve GDPR kapsamında veri ihlali tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılmalıdır. 72 saatin aşılmaması için ihlal tespit, sınıflandırma ve bildirim adımlarını içeren olay müdahale planı önceden hazırlanmalıdır. Plan yılda en az bir kez masa başı tatbikatla test edilmelidir.

ISO 27001 sertifikasyon sürecine başlamadan önce: mevcut kontrollerin boşluk analizi, kapsam tanımı, risk değerlendirme metodolojisi seçimi ve risk işleme planı hazırlanmalıdır. Dokümantasyon olgunlaştıktan sonra iç denetim ve yönetim gözden geçirmesi zorunludur. Secunnix ön hazırlık danışmanlığı ve sahaya hazırlık değerlendirmesiyle sertifikasyon sürecini hızlandırır.

ISO 27001 Annex A'da 93 kontrol yer alır; hepsini ilk etapta uygulamak pratik değildir. Risk değerlendirme sonucuna göre en yüksek risk azaltımı sağlayan kontroller önceliklendirilmelidir. Genellikle ilk seçilmesi gereken kontroller: erişim yönetimi (A.5.15), kriptografi (A.8.24), varlık yönetimi (A.5.9) ve olay yönetimi (A.5.24) kategorileridir.

BDDK en az bir yıl, KVKK teknik tedbirler kapsamında ise güvenlik logları en az iki yıl saklanmalıdır. Log kapsamı; güvenlik duvarı, kimlik doğrulama, ayrıcalıklı erişim ve kritik sistem loglarını içermelidir. Merkezi SIEM veya log yönetim sistemi olmadan logların bütünlüğünü ve erişilebilirliğini garanti etmek mümkün değildir.

Veri ihlali müdahale planı şu bölümleri içermelidir: ihlal tetikleyicileri ve sınıflandırma kriterleri, bildirim zinciri (CISO-hukuk-üst yönetim-KVK Kurumu), 72 saat bildirim şablonu, etkilenen kişilere iletişim taslağı ve ihlal sonrası iyileştirme aksiyonları. Plan, tüm paydaşlar tarafından onaylanmış ve güncel iletişim bilgilerini içeriyor olmalıdır.

Güvenlik logları meşru menfaat hukuki dayanağıyla işlenebilir; açık rıza gerektirmez. Ancak logların kapsamı ve saklama süresi orantılılık ilkesine uygun olmalı, açık rıza gerektiren pazarlama amaçlı işlemelerle karıştırılmamalıdır. Secunnix log yönetimi projelerinde hukuki dayanak belirleme ve veri minimizasyonu konularında danışmanlık verir.

KVKK yurt dışına veri aktarımında ya alıcı ülkenin yeterli koruma sağlaması ya da açık rıza/taahhütname alınması zorunludur. Teknik boyutta: şifreli iletim, erişim denetimi ve aktarım logları. Bulut hizmetleri için veri merkezinin konumunu ve veri işleme sözleşmesi (DPA) koşullarını doğrulayın; GDPR ile uyum varsa KVKK aktarım gereklilikleri de büyük ölçüde karşılanmış olur.

BDDK uyumlu sızma testi kapsamı bankanın dijital varlıklarını bütünüyle ele almalıdır: internet bankacılığı ve mobil uygulama, API katmanı, iç ağ ve Active Directory, kritik sunucular ile SWIFT bağlantısı. Test OWASP metodolojisiyle yürütülmeli, her bulgu CVSS bazlı risk skoru almalı ve kapanış testi ile açıkların kapatıldığı kanıtlanmalıdır.

EPDK yetkinlik modeli enerji kuruluşlarından belirli güvenlik olgunluk düzeyi bekler. Hazırlık için önce mevcut kontrollerin model ile karşılaştırmalı boşluk analizi yapılmalıdır. OT/IT güvenlik entegrasyonu, olay müdahale planı ve personel eğitimi en çok eksikliği görülen alanlardır. Secunnix EPDK yetkinlik değerlendirmesi ve iyileştirme yol haritası konularında hizmet sunmaktadır.

PCI DSS ve TCMB gereksinimleri yılda en az bir kez sızma testi ve büyük değişiklikler sonrasında ek test yapılmasını zorunlu kılar. Ödeme altyapısının karmaşıklığına göre test kapsamını planlayın: kart veri ortamı (CDE), payment gateway, mobil POS ve 3DS altyapısı. Test sonuçları PCI QSA ile paylaşılacaksa onaylı metodoloji (PTES veya OSSTMM) tercih edin.

Denetim için politika envanterinin güncel, onaylı ve uygulandığı kanıtlanabilir olması gerekir. Her politika için sahip, versiyon tarihi, onay kaydı ve gözden geçirme takvimi tanımlayın. ISO 27001 veya SOC 2 denetimine hazırlanıyorsanız politika ile uygulama kanıtları (log, ekran görüntüsü, yapılandırma dosyası) arasındaki bağlantıyı belgelemek kritik öneme sahiptir.

Tedarikçi sözleşmelerine eklenecek siber güvenlik maddeleri: minimum güvenlik gereksinimleri (MFA, şifreleme, yama), veri ihlali bildirim süresi (genellikle 48-72 saat), bağımsız güvenlik denetimi hakkı ve sözleşme sonunda veri imha yükümlülüğü içermelidir. Kritik tedarikçiler için yıllık güvenlik değerlendirme raporu sunma zorunluluğu eklenmelidir.

CSIRT (Bilgisayar Güvenliği Olay Müdahale Ekibi) kurmak için önce ekip rollerini tanımlayın: olay koordinatörü, teknik analist, hukuk temsilcisi ve iletişim sorumlusu. 7/24 nöbet çizelgesi, eskalasyon matrisi ve olay sınıflandırma kriterleri belirlenmeli; yılda en az bir kez simülasyon tatbikatı yapılmalıdır. Küçük ekipler için dış kaynaklı CSIRT hizmeti ekonomik bir alternatiftir.

Siber kriz masasının ilk 24 saatteki öncelikleri: saldırının kapsamını ve etkilenen sistemleri belirlemek, saldırının devam edip etmediğini tespit etmek, etkilenen sistemleri izole etmek ve kanıtları korumak. Paralelde hukuki ekip KVKK bildirim yükümlülüğünü değerlendirirken iletişim ekibi iç ve dış mesajlaşmayı koordine eder. Panik kararları vermemek için önceden hazırlanmış playbook şarttır.

Retainer (ön anlaşmalı) olay müdahale hizmeti kriz anında en hızlı yanıtı garanti eder çünkü firma kurumun altyapısını önceden tanır. İhlal gerçekleştiğinde yeni firma seçme, sözleşme ve gizlilik anlaşması süreçleriyle harcanan zaman kritik öneme sahiptir. Özellikle BDDK ve KVKK bildirim süreleri olan kurumlar için retainer model pratik bir zorunluluktur.

Adli bilişim (digital forensics) incelemesi ihlal tespitinin hemen ardından başlatılmalıdır; bekleme kanıtları yok eder. Şüpheli sistemleri kapatmak yerine ağdan izole ederek bellek dökümleri ve disk imajları alın. Zaman damgası bütünlüğünü koruyun. Sonuçlar hukuki süreçte kullanılacaksa chain of custody (kanıt zinciri) protokolüne uyulması zorunludur.

Fidye yazılımı tespitinde ilk adım ağ bağlantısını kesmek, yayılmayı durdurmaktır. Etkilenen sistemlerin kapsamını belirledikten sonra temiz yedeklerden kurtarma başlatın. Yedekler de etkilenmişse alternatif kurtarma yolları değerlendirilmelidir. Kurtarma sonrası saldırganın sistemde hâlâ var olup olmadığını doğrulamak için tehdit avcılığı yapılmalıdır.

Müşteri iletişimi KVKK'nın "aydınlatma yükümlülüğü" kapsamında hem yasal hem de itibar yönetimi açısından kritiktir. Bildirimin içeriği: ne olduğu, hangi verinin etkilendiği, alınan önlemler ve müşterilerin yapması gerekenler. Net, teknik jargondan arındırılmış ve şeffaf bir dil kullanın. Hukuk onayı olmadan kamuoyu açıklaması yapmayın.

Alarm yorgunluğu (alert fatigue) SOC'ların en büyük operasyonel sorunudur. Çözüm: gereksiz korelasyon kurallarını temizleyin, UEBA ile davranış bazlı alarm ekleyin ve alarmları kritiklik bazında otomatik önceliklendirin. SOAR entegrasyonu tekrarlayan alarmları playbook'larla otomatik ele alır. Yanlış pozitif oranını takip edin ve yüzde oranı belirli bir eşiği geçen kuralları revize edin.

Tehdit avcılığı (threat hunting), alarm sistemini atlatmış saldırganları proaktif aramaktır. MITRE ATT&CK'taki kalıcılık teknikleri (T1053 zamanlanmış görevler, T1543 servisler, T1078 geçerli hesaplar) hipotez olarak kullanılır ve log verisinde bu kalıplar aranır. Secunnix tehdit avcılığı hizmeti, EDR ve SIEM verisini MITRE ATT&CK matrisiyle harmanlayarak gizli tehditleri ortaya çıkarır.

5-Neden ve balık kılçığı yöntemi siber olaylarda kök nedeni bulmak için etkili çerçevelerdir. Rapor şu bölümleri içermelidir: olay zaman çizelgesi, saldırı vektörü ve teknik detaylar, başarıya zemin hazırlayan kontrol eksiklikleri ve tekrarlamaması için alınan önlemler. Yönetim özetinde teknik ayrıntı yerine iş etkisi ve düzeltme öncelikleri ön plana çıkmalıdır.

Olay müdahale planı (IRP) ve iş sürekliliği planı (BCP) birbirini tamamlar; ancak farklı önceliklere sahiptir. IRP tehdidin kaynağını araştırırken BCP kritik iş fonksiyonlarını ayakta tutmaya odaklanır. İkisi ortak senaryolarla test edilmelidir. Siber olay kaynaklı BCP aktivasyonu için eşik kriterleri (etkilenen sistem sayısı, kesinti süresi) önceden tanımlanmalıdır.

Dış kaynaklı SOC'ta eskalasyon akışı net SLA'larla tanımlanmalıdır: Tier 1 triage süresi, Tier 2 analiz süresi ve müşteriye bildirim süresi. Kritik alarmlar için 15-30 dakika bildirim SLA'sı piyasa standardıdır. Eskalasyon matrisinde müşteri tarafındaki teknik ve yönetim iletişim noktaları güncel tutulmalı; aylık raporlama ile alarm trendi paylaşılmalıdır.

Teknik adımlar: sistemleri izole et, kanıtları koru, sızıntının kapsamını belirle, güvenlik açığını kapat ve sistemi sertleştirilmiş biçimde yeniden devreye al. Hukuki adımlar: KVK Kurumu'na 72 saat içinde bildir, etkilenen kişileri bilgilendir, hukuki sorumluluk analizini yap ve sigorta şirketini haberdar et. İkisi paralel yürütülmeli, birinin diğeri için bekletilmemesi gerekir.

Phishing simülasyon programı kampanya tasarımıyla başlar: hedef kitle, şablon türü (e-posta, SMS, credential harvest) ve başarı kriterleri belirlenir. Simülasyon güvenlik sistemleri (spam filtresi, EDR) whitelist edilerek gönderilir. Tıklayan çalışanlar anında mikro eğitime yönlendirilir. Altı aylık döngülerle tekrarlanan kampanyalar davranış değişimini somut verilerle ölçer.

Yönetim kurulu teknik jargon yerine iş riski ve finansal etki dili anlar. Sunum içeriği: sektördeki güncel ihlal örnekleri, kurumun risk puanı ve kıyaslama, yatırımın getirisi (ROI of security) ve acil karar gerektiren konular olmalıdır. Masa başı simülasyon (tabletop exercise) üst yönetim için en etkili farkındalık aracıdır; gerçek senaryo üzerinden kararlar alınır.

İşe başlama sürecinde güvenlik oryantasyonu ilk hafta içinde tamamlanmalıdır. İçerik: kabul edilebilir kullanım politikası, kimlik bilgisi güvenliği ve parola yöneticisi, phishing tanıma, veri sınıflandırması ve şüpheli olayları raporlama kanalları. Dijital onay ve tamamlama belgesi KVKK ve ISO 27001 denetimleri için kanıt oluşturur.

Parola ve MFA eğitimi pratik odaklı olmalıdır: soyut politika yerine "şimdi parola yöneticinizi kuralım" formatı çok daha etkilidir. Güvenli parola oluşturma (passphrase yöntemi), parola yöneticisi seçimi ve kurulumu, MFA uygulama kurulumu ve kurtarma kodları eğitim akışının ana hatlarıdır. Tatbikat sınıfı ortamında her çalışan kendi cihazında uygulamalı yapar.

BEC (Business Email Compromise) ve sahte fatura saldırıları finans ekiplerinin en yüksek riskli tehditlerinden biridir. Eğitim gerçek örnek vakalarla desteklenmeli; ödeme talimatı değişikliği, acil transfer talebi ve CEO impersonation senaryoları canlandırılmalıdır. Doğrulama prosedürleri: bant dışı teyit (telefon ile onay), çift imza kuralı ve ödeme limiti kontrolleri eğitimin teknik çıktısıdır.

İK birimleri özlük dosyaları, sağlık verisi ve kişisel iletişim bilgisi gibi hassas veri işler. Eğitim kapsamı: hangi verinin özel nitelikli sayıldığı ve güçlendirilmiş koruma gerektirdiği, İK yazışmalarında şifreleme zorunluluğu, eski personel verilerinin imha takvimi ve KVKK kapsamında açık rıza gerektiren işlemler olmalıdır.

Geliştirici güvenlik eğitimi "shift-left" yaklaşımını benimser. OWASP Top 10 her bulguyu gerçek kod örnekleriyle açıklayan CTF (capture the flag) formatında en etkili öğrenmeyi sağlar. SQL injection, XSS ve IDOR gibi zaafiyetleri kendi yazdıkları kodda tespit etmeleri kalıcı öğrenme sağlar. Güvenli kod inceleme kültürü oluşturmak için pull request sürecine güvenlik checkpoint'leri ekleyin.

Çağrı merkezleri vishing (telefon phishing) ve sosyal mühendislik saldırılarına maruz kalır. Eğitim senaryoları: yetkili biri gibi davranan saldırganın kimlik doğrulamasını atlatmaya çalışması, aciliyet hissiyle veri paylaşımı baskısı ve "test" adı altında sistem erişimi talepleri. Kimlik doğrulama protokolleri ve şüpheli arama raporlama süreci uygulamalı olarak pekiştirilmelidir.

Tedarikçi kaynaklı ihlaller arttıkça tedarikçi eğitimi stratejik öneme kavuştu. Yıllık online farkındalık modülü tamamlama zorunluluğu sözleşmeye eklenebilir. İçerik: kurumun güvenlik politikalarına uyum, VPN ve erişim protokolleri, olay bildirimi ve kurumun sistemlerinde yapılması/yapılmaması gerekenler. Tamamlama belgesi tedarikçi denetim dosyasında saklanmalıdır.

Tabletop exercise (masaüstü tatbikat), gerçek sistemlere dokunmadan yönetim ekibinin olay müdahale kararlarını test ettiği yapılandırılmış bir simülasyondur. Senaryo fidye yazılımı, veri ihlali veya kritik hizmet kesintisi olabilir. Moderatör 2-3 saatte enjekte ettiği gelişmelerle katılımcıları zorlar. Tatbikat raporu, tespit edilen planlama eksikliklerini önceliklendirilmiş aksiyon listesiyle sunar.

Web uygulama penetrasyon testi kapsamı belirlenirken test edilecek URL listesi, kimlik doğrulama rolleri (misafir, kayıtlı kullanıcı, yönetici), dışarıda bırakılacak URL'ler ve test metodolojisi (OWASP WSTG) netleştirilmelidir. Kapsam belgesi onaylanmadan teste başlanmaz; kapsam dışı sistemlerin test edilmesi hukuki sorun yaratır. API endpoint'leri ve WebSocket bağlantıları kapsama dahil edilmeyi genellikle unutulur.

API testlerinde en sık karşılaşılan kritik bulgular: BOLA/IDOR (nesne düzeyi yetki atlatma), kırık kimlik doğrulama, aşırı veri maruziyeti (fazla alan döndüren endpoint'ler), rate limiting eksikliği ve güvensiz direkt nesne referansı. OWASP API Security Top 10 liste halinde bu zaafiyetleri tanımlar. GraphQL ve REST API'lerinin farklı test yaklaşımı gerektiğini göz ardı etmeyin.

Mobil uygulama güvenlik testinde OWASP Mobile Top 10 çerçeve olarak kullanılır. Öncelikli riskler: hassas verinin cihazda şifresiz saklanması, sertifika sabitleme eksikliği (MITM saldırısına açık), güvensiz IPC (Intent hijacking), tersine mühendislik ile gizli anahtar tespiti ve sunucu tarafındaki kimlik doğrulama zafiyetleri. Dinamik ve statik analiz birlikte uygulanmalıdır.

İç ağ sızma testinde hedefler şunlardır: Active Directory zaafiyetleri (Kerberoasting, AS-REP Roasting, Pass-the-Hash), ağ protokolü zafiyetleri (LLMNR/NBT-NS zehirleme, SMB relay), yamalanmamış servisler ve domain admin yetki yükseltme yolları. Test, gerçek bir iç saldırganın veya ele geçirilmiş bir çalışan hesabının nereye kadar ilerleyebileceğini ölçer.

Dış saldırı yüzeyi yönetimi (ASM) kurumun internete açık tüm varlıklarını (bilinmeyenler dahil) sürekli tarar. Subdomain keşfi, expired sertifikalar, açık S3 bucket'ları, shadow IT ve sızdırılan kimlik bilgileri bu taramanın tipik bulguları arasındadır. Manuel sızma testinden önce ASM değerlendirmesi yaparak test kapsamını ve risk önceliğini belirlemek test verimliliğini artırır.

Active Directory sıkılaştırma denetiminde Microsoft tarafından önerilen tier modeli temel alınır. Kontrol edilecek başlıca alanlar: domain admin hesaplarının sayısı ve kullanımı, Kerberos delegasyon ayarları, Group Policy güvenlik yapılandırması, LAPS dağıtımı ve AdminSDHolder izinleri. Bloodhound veya Purple Knight gibi araçlar saldırı yollarını görselleştirerek önceliklendirmeyi kolaylaştırır.

Wi-Fi güvenlik testi şunları ortaya koyar: WPA2/WPA3 yapılandırma zafiyetleri, sahte erişim noktası (evil twin) kurulumuna karşı savunma, guest ağının iç ağdan izolasyonu ve PMKID saldırısına karşı direnç. Kurumsal ağlarda 802.1X kimlik doğrulama yapılandırması ve sertifika doğrulama zorunluluğu en kritik kontroller arasındadır.

SAST (kaynak kod analizi) geliştirme aşamasında kod hatalarını erken yakalar; DAST (dinamik test) çalışan uygulamada çalışma zamanı zaafiyetlerini tespit eder. İkisi birbirinin yerine değil, tamamlayıcısı olarak kullanılmalıdır. Yüksek güvence gerektiren uygulamalar için SAST+DAST+manuel sızma testi kombinasyonu önerilir. Kaynak koda erişim varsa SAST daha derin kapsam sağlar.

Doğrulama testi (retest), sızma testinde bulunan açıkların kapatıldıktan sonra gerçekten giderildiğini teyit eder. Kritik ve yüksek bulgular için 30-60 gün içinde retest planlanmalıdır. Retest yalnızca bildirilen açıkları değil, benzer yapıdaki zafiyetlerin de giderilip giderilmediğini kontrol etmelidir. BDDK ve PCI DSS denetimleri kapanış testi belgesini ister.

Red team operasyonu belirli bir güvenlik olgunluk düzeyine ulaşmış, SOC ve mavi takımı olan kurumlar için anlamlıdır. Temel güvenlik kontrolleri (EDR, SIEM, yama yönetimi) uygulanmamışsa önce standart sızma testi tercih edilmelidir. Red team bir saldırganın haftalarca fark edilmeden nereye kadar ilerleyebileceğini test eder; dolayısıyla savunma kapasitesi test etmek için bir öncül şarttır.

Purple team'de saldırı ekibi (red) ve savunma ekibi (blue) aynı anda çalışır; her teknik uygulandıktan hemen sonra blue team'in tespit edip etmediği değerlendirilir. Bu döngü, tespit açıklarını gerçek zamanlı olarak kapatmayı sağlar. MITRE ATT&CK haritalı teknikler sistemli ilerlemeyi mümkün kılar. Purple team savunma kapasitesini standart sızma testinden çok daha hızlı olgunlaştırır.

EKS/OT ortamlarında üretim kesintisi riskini sıfıra yaklaştırmak için pasif keşif ile başlanır: ağ trafiği analizi, varlık tespiti ve protokol haritalama aktif müdahale gerektirmez. Aktif test aşamasında planlı bakım pencereleri kullanılır ve her adım önce test ortamında doğrulanır. PLC ve DCS'lere doğrudan saldırı simülasyonu yerine güvenli klon ortamında yürütülmelidir.

DDoS dayanıklılık testi gerçek bir saldırı trafiği ürettiğinden hazırlık kritiktir. ISP ve CDN sağlayıcısı önceden bildirilmeli, test penceresi düşük trafikli döneme planlanmalı ve geri alma (rollback) planı hazırlanmalıdır. Test kapsamı (Katman 3/4 volumetrik, Katman 7 uygulama) ve hedef sistem açıkça tanımlanmalı; test sırasında anlık izleme ekibi hazır bulunmalıdır.

Yapılandırma denetimi (configuration review) aktif exploit içermeyen; ancak güvenlik açığı yaratan yanlış ayarları tespit eder. Güvenlik duvarı kural seti analizi, bulut IAM politikası incelemesi, veritabanı erişim hakları ve web sunucu başlık yapılandırması bu denetimin tipik kapsamıdır. CIS Benchmark kılavuzları işletim sistemi ve uygulama bazında referans kontrol listesi sağlar.

CSPM araçları (Wiz, Prisma Cloud, AWS Security Hub) yüzlerce bulgu üretebilir. Önceliklendirme için iki eksen kullanılır: zaafiyetin istismar edilebilirliği ve etkilediği varlığın kritikliği. Açık S3 bucket'ı ile herkese açık veritabanı birinci önceliğe girerken düşük kritiklikli log saklama ayarları sonraya bırakılabilir. Otomatik iyileştirme (auto-remediation) pipeline'ı tekrarlayan sorunları köklü çözer.

Siber risk yönetimi yol haritası dört aşamayla kurulur: mevcut durum değerlendirmesi (AS-IS), hedef güvenlik olgunluk seviyesi belirlenmesi (TO-BE), boşlukların risk bazlı önceliklendirilmesi ve proje takvimi oluşturulması. Yol haritası yıllık güncellenmeli; tehdit ortamı, iş değişimleri ve denetim bulguları doğrultusunda revize edilmelidir.

Yönetim kuruluna teknik metrik yerine iş değeri konuşan KPI'lar sunulmalıdır. Önerilen set: ortalama tespit süresi (MTTD), ortalama müdahale süresi (MTTR), kritik açıkların ortalama kapatma süresi, çalışan phishing tıklama oranı ve güvenlik olayı başına maliyet. Bu metrikler trendlerle birlikte sunulduğunda yatırım kararlarını destekler.

Siber bütçe planlaması risk bazlı olmalıdır: en yüksek risk azaltımı sağlayan kontrollere öncelik verilir. Gartner'ın "protect surface" modeli veya NIST CSF olgunluk ölçümü bütçe gerekçesi oluşturmak için etkili çerçevelerdir. Düzenleyici zorunluluklar (BDDK, KVKK) bütçenin ilk katmanını oluşturur; üzerine risk bazlı yatırımlar eklenir.

Koruyamayacağınız şeyi bilemezsiniz; varlık envanteri tüm güvenlik programının temelidir. Envanter olmadan yama yönetimi, sızma testi kapsamı ve sigorta başvurusu eksik kalır. Otomatik keşif araçları (Nmap, Tenable, Qualys) pasif ve aktif varlık tespitini birleştirerek canlı envanter tutar. Envanter bir kez çıkarılıp rafa kaldırılmamalı; sürekli güncellenmesi zorunludur.

Tedarik zinciri güvenliği yönetişimi üç katmanda kurulur: politika (tedarikçi güvenlik gereksinimleri, risk sınıflandırması), süreç (onboarding güvenlik değerlendirmesi, periyodik denetim, sözleşme yönetimi) ve teknik (tedarikçi erişim izolasyonu, TPCRM aracı). NIST SP 800-161 ve ISO 27036 bu çerçevenin uluslararası referanslarıdır.

Siber dayanıklılık skoru; önleme (prevention), tespit (detection), müdahale (response) ve kurtarma (recovery) kapasitelerini birleştiren bütünsel bir ölçümdür. NIST CSF olgunluk seviyeleri, CIS Controls uygulama oranı ve tatbikat sonuçları bu skoru oluşturan bileşenlerdir. Sektör ortalamasıyla kıyaslama (benchmarking) yönetim kuruluna durumu bağlamsal olarak aktarır.

Siber olaylar iş sürekliliği planını (BCP) en sık tetikleyen nedenlerden biridir; bu nedenle iki programın koordineli yönetimi kritiktir. Ortak senaryo tatbikatları, paylaşılan olay kategorisi tanımları ve birleşik kurtarma hedefleri (RTO/RPO) her iki programın etkinliğini artırır. ISO 22301 (iş sürekliliği) ile ISO 27001 entegrasyonu bu koordinasyonun altyapısını sağlar.

Sıfır güven (Zero Trust) tek bir ürün değil, mimari bir yaklaşımdır. Geçiş için önce kimlik doğrulama katmanını güçlendirin (MFA, kimlik sağlayıcı), ardından ağ mikro-segmentasyonu uygulayın ve uygulama erişimini ZTNA ile yönetin. Sıfır güven geçişi tüm altyapıyı aynı anda değiştirmeyi gerektirmez; yüksek riskli varlıklardan başlayarak aşamalı uygulama pratiktir.

Tam zamanlı CISO kapasitesi olmayan KOBİ ve orta ölçekli kurumlar için sanal CISO (vCISO) modeli uygun maliyetli bir alternatiftir. vCISO güvenlik stratejisi, politika geliştirme, denetim hazırlığı ve yönetim raporlaması gibi CISO sorumluluklarını yarı zamanlı olarak üstlenir. Secunnix vCISO hizmeti kapsamında stratejik danışmanlık ve uygulama desteği sunmaktadır.

M&A süreçlerinde siber durum tespiti (cyber due diligence) hedef şirketin güvenlik risklerini satın alma kararından önce ortaya koyar. Kapsam: güvenlik olay geçmişi, açık yamalanmamış zaafiyetler, veri ihlali riskleri, KVKK/GDPR uyum durumu ve güvenlik borcu (security debt). Bulgular satın alma fiyatına ve sözleşme koşullarına yansıtılabilir.