Kurumsal Kontrol Kartları
Kurumsal güvenlik bölümlerinin en kritik yap / yapma kurallarını tek kart boyutunda özetleyen yazdırılabilir şablonlar.
Kart 1: Risk Temelleri
Bunu Yap
- ✓ Risk, olasılık ve etkinin çarpımıdır; her tehdidi bu formülle değerlendir
- ✓ Sistematik risk yönetimi sürecini işlet: tanımla, değerlendir, yanıtla, izle
- ✓ CIA üçlüsünü (gizlilik, bütünlük, erişilebilirlik) korumayı hedefle
- ✓ Risk iştahını net tanımla ve tüm kararları buna göre ver
- ✓ Risk yönetimini bir defalık proje değil, sürekli süreç olarak gör
Bunu Yapma
- ✗ Riski sadece teknolojik tehdit olarak görme, insan ve süreç faktörünü ihmal etme
- ✗ "Başımıza gelmez" diye düşünerek risk değerlendirmesini atla
- ✗ Riski tek kişi olarak değerlendirme, ekipçe tartış
- ✗ Risk değerlendirmesini bir kere yapıp unutma
Kart 2: Risk Kategorileri ve Değerlendirme
Bunu Yap
- ✓ Riskleri kategorilere ayır: stratejik, finansal, operasyonel, teknik, insan, uyumluluk
- ✓ Risk matrisi kullan: olasılık ve etki skorlarını çarp
- ✓ Quantitative (sayısal) analiz yap, sezgilerle değil veriyle karar ver
- ✓ Varlık, tehdit ve zafiyet ilişkisini net kur
- ✓ Risk kategorilerini düzenli gözden geçir ve güncelle
Bunu Yapma
- ✗ Tüm riskleri aynı önceliğe sokma, matrisle önceliklendir
- ✗ Sadece qualitative (kalitatif) değerlendirme yapıp sayıları kullanma
- ✗ İnsan faktörü riskini "çözülemeyen bir şey" diye yok sayma
- ✗ Uyumluluk risklerini "yasal bir formalite" olarak görme
Kart 3: Risk Yanıtları ve İzleme
Bunu Yap
- ✓ Her risk için net bir yanıt seç: kabul, azaltma, transfer, kaçınma
- ✓ Risk sahibi ve takip tarihi ata; sahipsiz risk yönetilmez
- ✓ KPI ve KRI ile riskleri sürekli izle
- ✓ Olası risk senaryoları için olay müdahale planı hazırla
- ✓ Risk yanıt kararlarını düzenli olarak gözden geçir
Bunu Yapma
- ✗ Tüm riskleri kabul etme (yani görmezden gelme)
- ✗ Risk yanıtını belirleyip sorumlu atamadan bırak
- ✗ Riski bir kez yanıtladıktan sonra izlemeyi kes
- ✗ KPI'ları hiç takip etme, sadece kur
Kart 4: Tehdit Modelleme Çerçeveleri
Bunu Yap
- ✓ Tehdit modellemeyi tasarım aşamasında başlat, üretime kadar bitir
- ✓ Veri akış diyagramı (DFD) çıkar ve güven sınırlarını belirle
- ✓ STRIDE veya PASTA ile sistematik analiz yap
- ✓ Microsoft SDL gibi bir çerçeve benimse ve sürece entegre et
- ✓ Tehdit modelini canlı bir belge olarak güncelle
Bunu Yapma
- ✗ Tehdit modellemeyi "sonradan hallederiz" diye ertele
- ✗ DFD olmadan tehdit modellemeye başlama
- ✗ Sadece bir kişinin görüşüyle tehdit modeli oluştur
- ✗ Tehdit modelini bir kere yapıp dosyaya kaldır
Kart 5: STRIDE ve PASTA
Bunu Yap
- ✓ STRIDE ile tehditleri kategorize et, sonra PASTA ile derinleş
- ✓ Tehdit ağacı (stratejik) ve saldırı ağacını (taktiksel) birlikte kullan
- ✓ Her STRIDE kategorisini kendi sistemine uyarla
- ✓ PASTA'nın yedi adımını sırayla işle
- ✓ Senaryo çalışmalarıyla teoriyi pratiğe dök
Bunu Yapma
- ✗ STRIDE ve PASTA'yı rakip olarak görüp sadece birini seçme
- ✗ Tehdit ağacını saldırı ağacıyla karıştırma
- ✗ STRIDE kategorilerini tek tek incelemeden geçiştirme
- ✗ PASTA adımlarından bazılarını atlayarak hızlanmaya çalışma
Kart 6: Tehdit Modelleme Pratiği
Bunu Yap
- ✓ 5 kişilik ekiple 2 saatlik oturumlarla başla
- ✓ Rolleri net dağıt: moderatör, mimar, geliştirici, iş analisti, testçi
- ✓ Oturum sonunda her çözüme sorumlu ve tarih ata
- ✓ Eleştiri yok kuralını uygula; tüm fikirleri yaz
- ✓ Zaman çizelgesine sadık kal: 15+30+30+30+15 dakika
Bunu Yapma
- ✗ Tehdit modellemeyi tek başına yapma
- ✗ Oturumda eleştiri kültürü yaratma, fikirleri engelleme
- ✗ Çözümlere sorumlu atamadan oturumu bitir
- ✗ Teknik jargonla iş analistini ve karar vericileri dışarıda bırak
Kart 7: Shadow IT
Bunu Yap
- ✓ Varlık envanterini düzenli güncelle, ne kullanıldığını bil
- ✓ Çalışanların ihtiyaçlarına resmi BT çözümleri sun
- ✓ Shadow IT risklerini eğitimlerle anlat
- ✓ İzleme sistemleriyle izinsiz araç kullanımını tespit et
- ✓ BYOD politikası ve MDM çözümü uygula
Bunu Yapma
- ✗ "İşi yapsınlar da nasıl yaparlarsa yapsınlar" de
- ✗ Shadow IT'yi tamamen yasakla ama alternatif sunma
- ✗ Kişisel cihazları kontrolsüz kurum ağına bağlat
- ✗ Shadow IT'yi görmezden gel, "bizde yok" san
Kart 8: KVKK: İdari Tedbirler
Bunu Yap
- ✓ Kişisel veri envanterini çıkar ve VERBİS'e bildir
- ✓ Personele düzenli veri güvenliği eğitimi ver
- ✓ Hizmet aldığın firmalarla yazılı veri işleme sözleşmesi yap
- ✓ İzin verilmedikçe her şey yasaktır prensibini benimse
- ✓ Gereksiz veriyi güvenli şekilde imha et (veri minimizasyonu)
Bunu Yapma
- ✗ Gereksiz veriyi "bir gün lazım olur" diye saklamaya devam et
- ✗ "İzin verilmedikçe her şey yasak" yerine serbest bırak
- ✗ VERBİS bildirimini unut veya ertele
- ✗ İşten ayrılan personelin veri erişimini kapatmayı unut
Kart 9: KVKK: Teknik Tedbirler
Bunu Yap
- ✓ Kişisel verileri hem bekleyen hem hareket halinde şifrele
- ✓ Erişim loglarını merkezi topla (SIEM) ve düzenli incele
- ✓ Yedekleri düzenli test et, sadece alma
- ✓ Çok faktörlü doğrulama (MFA) tüm kritik hesaplarda açık olsun
- ✓ İhlal durumunda en kısa sürede KVKK Kurulu'na ve ilgilisine bildir
Bunu Yapma
- ✗ Antivirüs kurduysan güncellemeyi unut
- ✗ Tüm personelle aynı admin şifresini paylaş
- ✗ Özel nitelikli verileri şifrelemeden sakla
- ✗ İhlal durumunda "belki geçer" diye bekleyip bildir
Baskı ve Kullanım
- Her kart A6 boyutunda (105 x 148 mm) yazdırılabilir
- Çift yüzlü renkli baskı önerilir (yeşil: yap, kırmızı: yapma)
- BT ekibi toplantılarında ve güvenlik eğitimlerinde dağıt
- Laminate ederek dayanıklı hale getirebilirsin
- Duvar panosunda görünür yerde asılı tut
İlgili Bölümler
- Vatandaş Kontrol Kartları: bireysel güvenlik için yap/yapma kuralları
- Eğitimler: kurumsal ve bireysel güvenlik eğitimleri