Metodolojimiz
Çoğu araç bir açıklar listesi tükürür ve onu yorumlamayı size bırakır. Biz tam tersini yaparız: ortamınızla masaya otururuz, her isteği takip ederiz, her katmanı belgeleriz ve yarın işe başlayabileceğiniz öncelikli bir plan teslim ederiz.
Amaç daha uzun bir açık listesi değildir — nerede açık olduğunuzu, bunun neden önemli olduğunu ve önce ne yapmanız gerektiğini daha net görmektir. Taramak ile değerlendirmek arasındaki fark budur.
Gerçekte ne işlettiğinizi haritalandırarak başlarız: sistemler, hesaplar, perimetreler, entegrasyonlar. Göremediğinizi koruyamazsınız.
Edge, uygulama, ağ, backend, veri. Her katman kendi analizini alır — tek bir perimetre taraması değil.
Kırmızı/turuncu/yeşil önceliklerle yazılı bir Security Score ve somut sonraki adımlar. Sizindir; saklayın, paylaşın, harekete geçirin.
Alan 1 — Erişim Kontrolü ve Kimlikler
Her ihlal bir hesapla başlar. Kimliği baştan sona denetleriz: insanlar, ayrıcalıklar, SSO, offboarding ve acil durum erişimi.
Her yerde çok adımlı kimlik doğrulama zorunlu; yedek olarak authenticator uygulaması.
Ayrılmış yönetici hesapları; her yetki yükseltmesinde tam denetim kaydı.
Çevrimdışı saklanan acil durum hesabı; kimlik servisi kesintisi sizi sistemlerinizden kilitlemesin diye.
Birincil araçlarda SSO; ikincil uygulamalar hâlâ SAML/OIDC ile bağlanmalı.
Ekip genelinde parola yöneticisi; departman bazlı kasalar ve işe alım/ayrılış akışı.
Her sistem için belgelenmiş offboarding senaryosu — sahipsiz erişim yok.
Alan 2 — Veri Koruma ve Yedekleme Stratejisi
Koruma döngüsünün tamamını denetleriz: ne şifrelenmiş, ne yedekleniyor, ne sıklıkla test ediliyor, ne kadar sürede geri dönüyorsunuz.
Günlük yedekler ile üç aylık sandbox geri yükleme testi ve ölçülmüş kurtarma süresi.
Her dizüstüde disk şifreleme; depolama ve veritabanlarında platform-managed anahtarlar.
Güncel, imzalı politika ve aktif kullanılan bilgi koruma etiketleri.
Sistem başına yazılı Recovery Time ve Recovery Point hedefleri.
Üç aylık ritim, runbook, sahip ve denetim kaydında tarihli kanıt.
Önceliklerle, bağımlılıklarla ve yıllık walkthrough ile yazılı DR planı.
Sizinle birlikte sürdürdüğümüz yedekleme döngüsü
Otomatik günlük snapshot, aktarımda ve beklemede şifreli.
Üç ayda bir sandbox'a geri yükleme — bahane yok, istisna yok.
Gerçek RTO'ya karşı gerçek kurtarma — söz değil, saat cinsinden ölçülmüş.
Veri bütünlüğü kontrolü + onay, denetçiler için kanıt olarak arşivlenir.
Yedekleme bir olay değil, bir döngüdür — önemli olan tek adım geri yüklemedir.
Alan 3 — Altyapı ve Ağ Güvenliği
İnternete açık uçlar, ofis Wi-Fi, VLAN sınırları, yama temposu. İsteği açık internetten perimetreye, oradan iş yüklerine kadar takip ederiz.
Gerçek topolojiyi haritalarız — public IP'ler, WAF kuralları, VLAN'lar ve ingress — ve her hop'u beklenen yapılandırmaya göre kontrol ederiz.
Public domainlerde rate-limit ve bot yönetimi açık edge güvenliği.
Dizin kimlik doğrulamalı WPA3-Enterprise — paylaşılmış WPA2 parolası değil.
Staff, IoT ve Guest için ayrı VLAN'lar — düz bir ofis LAN'ı değil.
İşletim sistemi ve uygulama güncellemeleri 30 gün içinde, belgelenmiş istisnalarla.
Çıkış DNS filtreleme ve gözden geçirilmiş firewall kural seti.
İç servislerde kimliğe dayalı erişim, ağ konumuna göre örtük güven yok.
Alan 4 — Olay Müdahalesi ve Süreklilik
Olay müdahale planı bir kas, bir belge değildir. Planı, tatbikat sıklığını, dış kontakları ve olay sonrası döngüyü kontrol ederiz.
Güncel IR planı; roller, yükseltme yolları ve net bir iletişim ağacı içerir.
Neyi kontrol ediyoruz: Sürüm, son inceleme tarihi, sahiplik ve saklama yeri — ve planda adı geçen kişilerin hâlâ burada çalışıp çalışmadığı.
Dönüşümlü senaryolarla altı ayda bir tabletop, ekibin oyun kitabını bilmesi için.
Neyi kontrol ediyoruz: Son tatbikat tarihi, koşturulan senaryolar, çıkarılan dersler ve plana yansıyan değişiklikler.
USOM/CERT, sigortacı, hukuk ve adli analiz; 24/7 numaralarla IR planında.
Neyi kontrol ediyoruz: Her kontak güncelliği için test edildi ve önceden anlaşılmış kapsamla; kriz anında pazarlık yapmamak için.
Çalışanlar, müşteriler, düzenleyiciler ve basın için önceden hazırlanmış açıklamalar — hukuk onaylı.
Neyi kontrol ediyoruz: Hedef kitleye göre şablonlar, onaylı yükseltme eşikleri ve durum güncellemeleri için tek doğruluk kaynağı.
14 gün içinde yapılandırılmış post-mortem; eylemler kapanışa kadar takip edilir.
Neyi kontrol ediyoruz: Suçlamasız şablon, eylem kütüğü ve olaydan 90 gün sonra kontrolleri tekrar gözden geçirmek için takvim hatırlatıcısı.
Alan 5 — Uyum ve Üçüncü Taraf Riski
KVKK/GDPR sicilleri, işleme envanterleri, ilgili kişi başvuruları, tedarikçi incelemeleri. Sicilleri ve üçüncü taraf risk yüzeyini denetler — ve elinizde gerçekten güncel bir sicil bırakırız.
Domainlerinize göre ayarlanmış safe-link, ek ve anti-phishing politikalarıyla e-posta platformu filtreleme.
Her işleme faaliyeti, hukuki dayanak, saklama süresi ve sahibiyle güncel sicil.
Sahibi, SLA'sı ve şablon yanıtları olan belgelenmiş başvuru süreci.
Üretim verisine veya kişisel veriye erişimi olan her sağlayıcı için risk bazlı değerlendirme.
Kişisel veriye dokunan her yeni sistem veya sağlayıcı için VEDA; sicille birlikte arşivlenir.
Uyum kanıtları aranabilir tek bir yerde — politikalar, onaylar, tatbikat logları, incelemeler.
Çıktı
Yukarıdaki beş alanın her bulgusu tek bir yazılı raporda toplanır, çevirmensiz harekete geçebileceğiniz üç katmanlı bir sistemle puanlanır. Biz ayrıldıktan sonra elinizde kalacak olan budur.
Erişim kontrolü, veri koruma, altyapı, olay müdahalesi, uyum — her biri durum, bulgu ve kanıt ile.
Her açık için: öncelik, sahip, eforu tahmini ve doğrudan bir sonraki aksiyon — muğlak 'gözden geçir ve iyileştir' değil.
Raporda yer alan mimari diyagramları sağlıklı/risk altında/kritik olarak renklendirildi; resim metinle örtüşsün diye.
Security Score'unuz
Jargon dolu bir kâğıt yığını almazsınız. Bir Skor alırsınız: her başlık için neyin iyi gittiği ve neyin dikkat istediği anında belli olur.
Kritik açık — derhal müdahale gerekir. Mümkünse aynı gün çözeriz.
Dikkat gerektirir — 30 gün içinde planlayın. Adımları biz veriyoruz.
Sorun yok — bu başlık iyi yönetiliyor. Yazılı olarak teyit edilmiş.
Ortalama olarak her denetimde 8–12 nokta tespit ederiz. Bulduklarımızı — mümkünse — aynı gün çözeriz.
Opsiyonel — aynı gün hızlı kazanımlar
Tam denetimden sonra vaktimiz kalırsa, dakikalar süren — haftalar değil — değişiklikleri uygularız; böylece uyandığınızdan daha güvenli bir şekilde yatağa girersiniz.
İhtiyaç duyan yollar için bot yönetimi, tarayıcı bütünlük kontrolleri ve güvenlik seviyesini açmak. Beş dakika, gerçek etki.
İletişim formu, giriş ve parola sıfırlamaya makul limitler. En kolay istismar vektörlerini başlamadan keser.
Seviye 1'de bulduğumuz ayrılan çalışanlar, eski admin hesapları ve kullanılmayan API anahtarlarını iptal etmek. Rapordaki en ucuz kazanım.
HSTS, X-Frame-Options ve temel CSP eklenir. Edge'de tek bir yapılandırma değişikliği, sonsuza kadar yerinde.
Dürüst uyarı: Hızlı kazanımlar yalnızca tam denetim zamanla biterse gerçekleşir. Derinliği asla düzeltmelerle takas etmeyiz — esas çıktı kapsamlı denetimdir, düzeltmeler ikramdır.
Korur neden farklıdır
Birçok araç size bir tarama satar. Ofisinize bir gün oturup bulduklarını anlatacak çok az insan vardır. Fark işte budur.
Her seviyede ne yaptığımızı tam olarak görürsünüz — kara kutu yok, gizli yöntem yok. Metot, çıktının kendisidir.
Envanter, edge, uygulama, ağ, backend, veri, entegrasyonlar. Çoğu tarama tek bir katmanı kapsar; biz yolu kapsarız.
Bir sorun dakikalar içinde çözülebiliyorsa, devam etmeden önce çözeriz. Sadece listeyle değil, sonuçlarla ayrılırsınız.
Partnership hizmetimizle Security Score canlı kalır — önerileri uyguladıkça pozisyonunuzun değiştiğini görürsünüz.
Bulduğumuz her şey; denetçinizin, CTO'nuzun ve gelecek ekip üyelerinizin okuyabileceği bir belgeye düşer. Bilgi bizimle gitmez.
Hazır olduğunuzda
Bir tam gün. Yerinde. Sabit fiyat. Bir Siber Güvenlik Raporu ile — vakit kalırsa — halihazırda devreye alınmış bir dizi iyileştirmeyle ayrılırsınız.
