Kurumsal Kontrol Kartları

Kurumsal Kontrol Kartları

Kurumsal güvenlik bölümlerinin en kritik yap / yapma kurallarını tek kart boyutunda özetleyen yazdırılabilir şablonlar.

Kart 1: Risk Temelleri

Bunu Yap
  • Risk, olasılık ve etkinin çarpımıdır; her tehdidi bu formülle değerlendir
  • Sistematik risk yönetimi sürecini işlet: tanımla, değerlendir, yanıtla, izle
  • CIA üçlüsünü (gizlilik, bütünlük, erişilebilirlik) korumayı hedefle
  • Risk iştahını net tanımla ve tüm kararları buna göre ver
  • Risk yönetimini bir defalık proje değil, sürekli süreç olarak gör
Bunu Yapma
  • Riski sadece teknolojik tehdit olarak görme, insan ve süreç faktörünü ihmal etme
  • "Başımıza gelmez" diye düşünerek risk değerlendirmesini atla
  • Riski tek kişi olarak değerlendirme, ekipçe tartış
  • Risk değerlendirmesini bir kere yapıp unutma

Kart 2: Risk Kategorileri ve Değerlendirme

Bunu Yap
  • Riskleri kategorilere ayır: stratejik, finansal, operasyonel, teknik, insan, uyumluluk
  • Risk matrisi kullan: olasılık ve etki skorlarını çarp
  • Quantitative (sayısal) analiz yap, sezgilerle değil veriyle karar ver
  • Varlık, tehdit ve zafiyet ilişkisini net kur
  • Risk kategorilerini düzenli gözden geçir ve güncelle
Bunu Yapma
  • Tüm riskleri aynı önceliğe sokma, matrisle önceliklendir
  • Sadece qualitative (kalitatif) değerlendirme yapıp sayıları kullanma
  • İnsan faktörü riskini "çözülemeyen bir şey" diye yok sayma
  • Uyumluluk risklerini "yasal bir formalite" olarak görme

Kart 3: Risk Yanıtları ve İzleme

Bunu Yap
  • Her risk için net bir yanıt seç: kabul, azaltma, transfer, kaçınma
  • Risk sahibi ve takip tarihi ata; sahipsiz risk yönetilmez
  • KPI ve KRI ile riskleri sürekli izle
  • Olası risk senaryoları için olay müdahale planı hazırla
  • Risk yanıt kararlarını düzenli olarak gözden geçir
Bunu Yapma
  • Tüm riskleri kabul etme (yani görmezden gelme)
  • Risk yanıtını belirleyip sorumlu atamadan bırak
  • Riski bir kez yanıtladıktan sonra izlemeyi kes
  • KPI'ları hiç takip etme, sadece kur

Kart 4: Tehdit Modelleme Çerçeveleri

Bunu Yap
  • Tehdit modellemeyi tasarım aşamasında başlat, üretime kadar bitir
  • Veri akış diyagramı (DFD) çıkar ve güven sınırlarını belirle
  • STRIDE veya PASTA ile sistematik analiz yap
  • Microsoft SDL gibi bir çerçeve benimse ve sürece entegre et
  • Tehdit modelini canlı bir belge olarak güncelle
Bunu Yapma
  • Tehdit modellemeyi "sonradan hallederiz" diye ertele
  • DFD olmadan tehdit modellemeye başlama
  • Sadece bir kişinin görüşüyle tehdit modeli oluştur
  • Tehdit modelini bir kere yapıp dosyaya kaldır

Kart 5: STRIDE ve PASTA

Bunu Yap
  • STRIDE ile tehditleri kategorize et, sonra PASTA ile derinleş
  • Tehdit ağacı (stratejik) ve saldırı ağacını (taktiksel) birlikte kullan
  • Her STRIDE kategorisini kendi sistemine uyarla
  • PASTA'nın yedi adımını sırayla işle
  • Senaryo çalışmalarıyla teoriyi pratiğe dök
Bunu Yapma
  • STRIDE ve PASTA'yı rakip olarak görüp sadece birini seçme
  • Tehdit ağacını saldırı ağacıyla karıştırma
  • STRIDE kategorilerini tek tek incelemeden geçiştirme
  • PASTA adımlarından bazılarını atlayarak hızlanmaya çalışma

Kart 6: Tehdit Modelleme Pratiği

Bunu Yap
  • 5 kişilik ekiple 2 saatlik oturumlarla başla
  • Rolleri net dağıt: moderatör, mimar, geliştirici, iş analisti, testçi
  • Oturum sonunda her çözüme sorumlu ve tarih ata
  • Eleştiri yok kuralını uygula; tüm fikirleri yaz
  • Zaman çizelgesine sadık kal: 15+30+30+30+15 dakika
Bunu Yapma
  • Tehdit modellemeyi tek başına yapma
  • Oturumda eleştiri kültürü yaratma, fikirleri engelleme
  • Çözümlere sorumlu atamadan oturumu bitir
  • Teknik jargonla iş analistini ve karar vericileri dışarıda bırak

Kart 7: Shadow IT

Bunu Yap
  • Varlık envanterini düzenli güncelle, ne kullanıldığını bil
  • Çalışanların ihtiyaçlarına resmi BT çözümleri sun
  • Shadow IT risklerini eğitimlerle anlat
  • İzleme sistemleriyle izinsiz araç kullanımını tespit et
  • BYOD politikası ve MDM çözümü uygula
Bunu Yapma
  • "İşi yapsınlar da nasıl yaparlarsa yapsınlar" de
  • Shadow IT'yi tamamen yasakla ama alternatif sunma
  • Kişisel cihazları kontrolsüz kurum ağına bağlat
  • Shadow IT'yi görmezden gel, "bizde yok" san

Kart 8: KVKK: İdari Tedbirler

Bunu Yap
  • Kişisel veri envanterini çıkar ve VERBİS'e bildir
  • Personele düzenli veri güvenliği eğitimi ver
  • Hizmet aldığın firmalarla yazılı veri işleme sözleşmesi yap
  • İzin verilmedikçe her şey yasaktır prensibini benimse
  • Gereksiz veriyi güvenli şekilde imha et (veri minimizasyonu)
Bunu Yapma
  • Gereksiz veriyi "bir gün lazım olur" diye saklamaya devam et
  • "İzin verilmedikçe her şey yasak" yerine serbest bırak
  • VERBİS bildirimini unut veya ertele
  • İşten ayrılan personelin veri erişimini kapatmayı unut

Kart 9: KVKK: Teknik Tedbirler

Bunu Yap
  • Kişisel verileri hem bekleyen hem hareket halinde şifrele
  • Erişim loglarını merkezi topla (SIEM) ve düzenli incele
  • Yedekleri düzenli test et, sadece alma
  • Çok faktörlü doğrulama (MFA) tüm kritik hesaplarda açık olsun
  • İhlal durumunda en kısa sürede KVKK Kurulu'na ve ilgilisine bildir
Bunu Yapma
  • Antivirüs kurduysan güncellemeyi unut
  • Tüm personelle aynı admin şifresini paylaş
  • Özel nitelikli verileri şifrelemeden sakla
  • İhlal durumunda "belki geçer" diye bekleyip bildir

Baskı ve Kullanım

  • Her kart A6 boyutunda (105 x 148 mm) yazdırılabilir
  • Çift yüzlü renkli baskı önerilir (yeşil: yap, kırmızı: yapma)
  • BT ekibi toplantılarında ve güvenlik eğitimlerinde dağıt
  • Laminate ederek dayanıklı hale getirebilirsin
  • Duvar panosunda görünür yerde asılı tut

İlgili Bölümler