⏱️ 7 Dakikalık Okuma
✍️ Bu yazı Sparta Siber Güvenlik Kıdemli Danışmanı Alper Başaran tarafından incelenmiştir.
CISSP | CISA | LPT | GPEN | GICSP | ISO 27001 Lead Auditor | 15+ yıl saha deneyimi
İÇİNDEKİLER
- Doğru Siber Güvenlik Firması Seçimi Neden Önemli
- Sertifikasyon ve Yetki Belgeleri: Kağıt mı, Kanıt mı
- Sektörel Regülasyon Tecrübesi: Genel Bilgi Yetmez
- Sızma Testi mi, Kurumsal Siber Güvenlik Danışmanlığı mı
- Metodoloji mi Referans mı
- Raporlama Derinliği ve İyileştirme Desteği
- Bağımsızlık İlkesi ve Ürün Satış Tuzağı
- Siber Güvenlikte Ucuz Hizmetin Gizli Maliyetleri
- Süreklilik ve Aylık Danışmanlık Modeli
- Ölçülebilirlik: Başarı Nasıl Değerlendirilir?
Doğru Siber Güvenlik Firması Seçimi Neden Önemli?
Yanlış bir siber güvenlik firması seçimi yalnızca “kötü bir rapor” anlamına gelmez.
Önce tespit edilmemiş açıklar kalır, sonra operasyonel kesinti riski büyür; veri ihlali ve regülasyon yaptırımları ise bunun doğal sonucu olur. Kurumun yıllar içinde inşa ettiği güven birkaç gün içinde zedelenebilir.
Bu yukarıda anlatılan tablo bir varsayım değil, verilerle ispatlı. Verizon’un Data Breach Investigations Report çalışmaları, ihlallerin önemli bir bölümünün karmaşık saldırılardan değil, temel güvenlik kontrollerindeki eksikliklerden kaynaklandığını gösteriyor. IBM’in Cost of a Data Breach araştırması ise bu eksikliklerin finansal karşılığının milyon dolar seviyelerine ulaştığını ortaya koyuyor.
Dolayısıyla mesele teknik kapasite de değil, doğru metodolojiye, doğru önceliklendirmeye ve doğru bakış açısına sahip bir partnerle çalışmak.
Siber güvenlik firması seçimi bir tedarikçi tercihi değildir. Kurumunuzun siber güvenlik riskini sizinle kimin bölüşeceğine ve kriz anında kimin yanınızda olacağına dair stratejik bir karardır.
Sertifikasyon ve Yetki Belgeleri: Kağıt mı, Kanıt mı?
Her siber güvenlik firması aynı standartta hizmet vermez. Farkı anlamanın en nesnel yolu ise firmanın ve ekibinin taşıdığı yetki belgelerine bakmaktır.
Sızma testi söz konusu olduğunda, özellikle kamu kurumları, enerji altyapısı ve kritik sistemlerde, TSE A Grubu Yetkili Sızma Testi belgesi temel bir güven göstergesidir. Bu yetki sadece teknik beceriyi değil, belirli bir metodolojiye uyumu, yetkin personel zorunluluğunu, denetlenebilir süreç yapısını ve raporlama standardizasyonunu da gösterir. Kısacası kurumsal disiplini belgeler.
Ancak bir firmayla sadece sızma testi için değil, bütünsel siber güvenlik danışmanlığı için çalışıyorsanız tablonun tamamına bakmanız gerekir.
Danışman yetkinlikleri açısından uluslararası alanda kabul görmüş sertifikalar şunlardır: Bilgi güvenliği liderliğinin altın standardı olan CISSP, denetim ve kontrol yetkinliğini belgeleyen CISA, sızma testi uzmanlığında öne çıkan LPT ve GPEN, endüstriyel kontrol sistemleri güvenliğinde kritik olan GICSP. Bu sertifikalar, bir danışmanın riski anlayan ve yorumlayan bir uzman olduğunu gösterir.
Kurumsal olgunluk düzeyini ölçmek içinse firmanın taşıdığı yönetim sistemi belgelerine bakmak gerekir. ISO 27001 bilgi güvenliği yönetiminin, ISO 27701 kişisel veri gizliliğinin, ISO 9001 kalite yönetiminin, ISO 22301 iş sürekliliğinin ve ISO 20000-1 IT servis yönetiminin standartlarını temsil eder. Bu belgeler bir arada olduğunda, firmanın güvenliği proje bazlı değil, kurumsal bir olgunlukla yönettiği anlaşılır.
Türkiye özelinde bir firmanın BİG Rehberi Denetim Firması olması ayrı bir anlam taşır. Bilgi ve İletişim Güvenliği Rehberi kapsamında denetim yapabilmek, yerel regülasyon gereksinimlerini derinlemesine bilmeyi, kamu ve kritik altyapı kurumlarının beklentilerini kavramayı gerektirir. Bu yetki, firmanın Türkiye’ye özgü uyumluluk ortamında gerçek bir rehber olabileceğinin göstergesidir.
Sparta Siber Güvenlik, yukarıda sıralanan firma yetki belgeleri ve bireysel danışman sertifikasyonlarının tamamına sahip olup BİG Rehberi kapsamında yetkili denetim firmaları arasında yer almaktadır.
Sektörel Regülasyon Tecrübesi: Genel Bilgi Yetmez
Bir siber güvenlik firması güvenlik teknolojilerini iyi biliyor olabilir ancak bu siber güvenlik danışmanlığı için aranması gereken yeterliliğin yarısıdır. Diğer yarısı, çalıştığınız sektörün regülasyon ortamına hakim olmaktır.
Enerji sektöründe EPDK gereklilikleri bir tavsiye listesi değil, denetim kriteridir. Kamu kurumları için Bilgi ve İletişim Güvenliği Rehberi bağlayıcı bir çerçeve çizer. Finans sektöründe BDDK ve SPK düzenlemeleri, sağlık alanında Sağlık Bakanlığı genelgeleri de aynı şekilde somut teknik yükümlülükler doğurur.
KVKK ise sektörden bağımsız olarak neredeyse her kurumun masasında duran, hem hukuki hem operasyonel boyutu olan bir gerekliliktir.
Regülasyon deneyimi olan bir firma bu çerçeveleri sıfırdan öğrenmek zorunda kalmaz — geçmiş projelerden gelen birikim, boşluk analizini hızlandırır, denetim hazırlığını gerçekçi kılar ve sizi “teorik uyumlu” değil fiilen denetimden geçebilir hale getirir.
Doğru soruyu sormak için: Çalışmayı düşündüğünüz firmadan sektörünüze özgü tamamlanmış projelerini ve bu projelerde karşılaştıkları regülasyon gereksinimlerini anlatmalarını isteyin. Cevabın derinliği, deneyimin gerçekliğini gösterir.
Sızma Testi mi, Kurumsal Siber Güvenlik Danışmanlığı mı?
Sızma testi ile kurumsal siber güvenlik danışmanlığı aynı şey değildir ve bu farkı görmeden yapılan seçimler kurumları “rapor sahibi ama hâlâ riskli” bir noktada bırakır.
Sızma testi, belirli bir andaki güvenlik durumunun fotoğrafıdır. Değerlidir; ancak fotoğraf çekilir, teslim edilir ve süreç biter. Ortaya çıkan bulgular bir sonraki adımı gösterir, ama o adımı atmaz.
Kurumsal siber güvenlik danışmanlığı bu noktadan başlar. Bulguları bir yol haritasına dönüştürür, riskleri olgunluk düzeyine ve iş önceliğine göre sıralar, aksiyonların takibini üstlenir ve yönetimi periyodik olarak bilgilendirir. Zamanla güvenliği bir proje olmaktan çıkarıp kurumsal bir süreç haline getirir.
İhtiyacınızı doğru tanımlamak bu yüzden kritiktir. Uyumluluk belgesi için belirli bir kapsama yönelik teknik test mi yaptırıyorsunuz? Yoksa kurumunuzun genel güvenlik olgunluğunu geliştirmeyi mi hedefliyorsunuz? Bu sorunun cevabı, hangi hizmet modelini ve hangi firma profilini aramanız gerektiğini belirler.
Metodoloji mi Referans mı?
Bir firmanın referans listesi uzun olabilir; bu, doğru işi yaptığının değil, çok iş yaptığının göstergesidir. Asıl soru şudur: o firma her projede aynı kaliteyi garanti eden, sektörel standartlara dayalı bir metodolojiye sahip mi?
Metodoloji, deneyimi tekrarlanabilir bir sürece dönüştüren yapıdır. NIST Cybersecurity Framework gibi olgun çerçeveler risk yönetimine sistematik bir dil kazandırır; CIS Controls ise bu dili somut teknik aksiyonlara çevirir. Bunların üzerine risk bazlı önceliklendirme, ölçülebilir KPI ve KRI sistemleri ile sürekli doğrulama yaklaşımı eklendiğinde ortaya çıkan şey bir hizmet değil, bir olgunluk yolculuğudur.
Metodolojisi olmayan bir firma her projede sıfırdan başlar, her danışmanın kendi yorumuna göre hareket eder ve teslim ettiği çıktıların kalitesi değişkenlik gösterir. Referansları ne kadar parlak olursa olsun, sürdürülebilir bir güvenlik programı inşa etmek için gereken altyapı orada yoktur.
Bir firmayı değerlendirirken referans listesinden önce şunu sorun: “Bize uygulayacağınız metodolojinin çerçevesini anlatır mısınız?” Cevabın netliği ve derinliği, o firmayla çalışmanın nasıl bir deneyim olacağını önceden gösterir.
Raporlama Derinliği ve İyileştirme Desteği
Bir sızma testi veya güvenlik değerlendirmesinin değeri, büyük ölçüde teslim edilen raporun kalitesiyle belirlenir. Kalın bir rapor iyi bir rapor değildir, iyi rapor, doğru kişiye doğru dili konuşandır.
Yönetici özeti, teknik detaylarla ilgilenmeyen karar vericilere riskin iş etkisini net biçimde aktarmalıdır. Teknik bulgular ise yalnızca “bu açık var” demekle kalmamalı; açığın nerede olduğunu, nasıl istismar edilebildiğini ve öncelik sırasını göstermelidir. İş etkisi analizi bu iki katmanı birbirine bağlar: bir güvenlik açığının operasyonel, finansal veya itibar boyutundaki sonuçlarını görünür kılar.
Ancak raporun teslim edilmesi sürecin bitmesi anlamına gelmez. Bulguların kapatılması çoğu zaman raporun kendisinden daha fazla çaba gerektirir. İyileştirme önerilerinin uygulanabilir olması, teknik ekibin kapasitesine ve kurumun önceliklerine göre şekillendirilmesi gerekir. Bunu yapmayan bir firma raporu verir, gider; sizi kendi halinize bırakır.
Hizmet aldığınız firmayı değerlendirirken şunu sorun: “Bulgular kapatılana kadar yanımızda olacak mısınız?” Bu sorunun cevabı, firmanın sizi bir proje olarak mı yoksa uzun vadeli bir sorumluluk olarak mı gördüğünü ortaya koyar.
Bağımsızlık İlkesi ve Ürün Satış Tuzağı
Siber güvenlik danışmanlığında en az konuşulan ama belki de en önemli konu budur: danışmanınız size gerçekten bağımsız bir tavsiye mi veriyor, yoksa portföyündeki ürünü mü satıyor?
Bir firma hem güvenlik danışmanlığı yapıyor hem de belirli üreticilerin ürünlerini satıyorsa, çıkar çatışması yapısal olarak zaten mevcuttur. Danışman size “şu ürünü alın” dediğinde bu tavsiyenin arkasında teknik objektiflik mi yoksa satış hedefi mi yatıyor, bunu ayırt etmek neredeyse imkânsız hale gelir. Belki o ürün gerçekten doğru çözümdür. Belki değildir. Ama artık bunu bağımsız bir gözle değerlendiren kimse yoktur.
Gerçek danışmanlık şöyle çalışır: önce ihtiyaç analiz edilir, ardından piyasadaki seçenekler değerlendirilir, en uygun çözüm önerilir. Bu süreçte danışmanın hangi üreticinin ürününü sattığının hiçbir önemi olmamalıdır; çünkü danışman hiçbirini satmıyor olmalıdır.
Bağımsızlık ilkesi bir tercih meselesi değil, danışmanlığın tanımı gereğidir. Bunu test etmek için tek bir soru yeterlidir: “Herhangi bir güvenlik ürünü veya çözüm ortağının satışını yapıyor musunuz?” Cevap “evet” ise, aldığınız her tavsiyeyi o bilgiyle yeniden değerlendirmeniz gerekir.
Siber Güvenlikte Ucuz Hizmetin Gizli Maliyetleri
Siber güvenlik hizmetlerinde fiyat karşılaştırması yaparken rakamların arkasında ne olduğunu görmek gerekir. En düşük teklif, çoğu zaman en düşük maliyetli seçenek değildir.
Ucuz bir danışmanlık firmasının ilk faturası küçük görünür. Gerçek fatura ise aylar sonra gelir: eksik bir risk değerlendirmesi nedeniyle yanlış önceliklendirilen yatırımlar, regülasyon denetiminde yetersiz bulunan çıktılar, güvenlik açıklarını kapatmak yerine yanlış yönlendiren tavsiyeler. Bunların hiçbiri teklifin altında yazmaz.
Daha tehlikeli olan ise şudur: doğru seçilmemiş bir danışmanlık firması sizi yanlış yönlendirir, hatalı geri bildirimler verir. Kurum buna inanır, bütçe başka yöne akar, ekipler başka konulara odaklanır. Oysa gerçek riskler hâlâ oradadır, sadece artık görünmez hale gelmiştir. Bir danışmanlık firmasının en büyük zararı verdiği yanlış tavsiyeler değil, kurumda yarattığı yanlış güven duygusudur.
Fiyat bir kriter olmalıdır, ama tek kriter olmamalıdır. Doğru soru şudur: “Bu fiyatla hangi kapsam, hangi metodoloji ve hangi çıktı teslim ediliyor?” Bu soruya net cevap veremeyen bir teklif, ne kadar düşük görünürse görünsün değerlendirme dışı bırakılmalıdır.
Süreklilik ve Aylık Danışmanlık Modeli
Siber güvenlik, bir kez tamamlanıp rafta bırakılan bir proje olamaz. Altyapılar değişir, yeni sistemler devreye girer, tehdit ortamı gelişir ve dün geçerli olan güvenlik kararı yarın yetersiz kalabilir. Bu gerçeklik, kurumları tek seferlik hizmet alımlarından uzaklaştırarak sürekli bir danışmanlık ilişkisine yönlendiriyor.
Aylık danışmanlık veya vCISO (Virtual CISO) modeli tam bu ihtiyaca yanıt verir. Kurumun hem stratejik hem operasyonel güvenlik gündemini takip eden, üst yönetime düzenli raporlayan, yeni teknoloji ve ürün kararlarında bağımsız bir değerlendirme sunan, olay yaşandığında zaten bağlamı olan bir danışman yapısı kurulur. Risk takibi kesintisiz devam eder, yol haritası gerçek koşullara göre güncellenir.
Bunun alternatifi ise şöyle işler: yılda bir proje yapılır, rapor teslim edilir, bulgular kısmen kapatılır ve aradan altı ay geçer. O altı ayda altyapı değişmiş, yeni sistemler gelmiş, ekip rotasyonu yaşanmıştır. Bu durum bir sonraki projeye gelindiğinde hiçbir şey tamamlanmadan her şeye yeniden başlamak anlamına gelir.
Süreklilik olmadan güvenlik programı değil, “güvenliğin anlık görüntüsü” elde edilir. İkisi arasındaki fark ise kurumun gerçek anlamda korunup korunmadığını belirler.
Ölçülebilirlik: Başarı Nasıl Değerlendirilir?
Bir siber güvenlik firmasıyla çalışmanın size ne kazandırdığını nasıl anlarsınız? Bu soruya “raporlar geldi, projeler tamamlandı” dışında bir cevap veremiyorsanız, doğru metrikleri takip etmiyorsunuz demektir.
Gerçek ilerleme sayılarla görünür hale gelir. Kapatılan kritik zafiyet sayısı, saldırı yüzeyinin zaman içindeki değişimi, bir olaya müdahale süresindeki iyileşme, regülasyon uyum seviyesindeki artış, güvenlik olgunluk skorundaki ilerleme — bunlar bir danışmanlık ilişkisinin gerçekten işe yarayıp yaramadığını gösteren göstergelerdir. Rapor sayısı değil, bu göstergelerdeki trend önemlidir.
Ölçemeyen yönetemez. Bu, güvenlik için de geçerlidir. Çalıştığınız firma size başlangıçta bir temel ölçüm yapmalı, hedefler koymalı ve periyodik olarak bu hedeflere göre ilerlemeyi raporlamalıdır. Bunu yapmayan bir firma size hizmet satmaktadır; güvenlik programı inşa etmiyordur.
Değerlendirme sürecinde firmaya şunu sorun: “Altı ay sonra başarıyı birlikte nasıl ölçeceğiz?” Somut bir cevap alamıyorsanız, o firma için başarı zaten tanımlı değil demektir.
Doğru Siber Güvenlik Firması Seçimi
Siber güvenlik firması seçimi bir tedarik kararı gibi görünür ama sonuçları stratejik düzeyde hissedilir. Yanlış bir tercih finansal kayıp, regülasyon cezası, itibar zedelenmesi ve operasyonel kesinti olarak geri döner. Doğru tercih ise kurumunuza güvenli, sürdürülebilir ve ölçülebilir bir yapı kazandırır.
Bu yazıda ele aldığımız on kriter, bir kontrol listesinden ibaret değildir. Her biri, bir danışmanlık ilişkisinin gerçekten işe yarayıp yaramayacağını önceden görmenizi sağlayan sinyallerdir.
Sertifikasyon, metodoloji, bağımsızlık, ölçülebilirlik — bunların hepsi aynı soruya cevap arar: bu firma kurumunuzun riskini gerçekten taşıyabilir mi?
Kurumunuzun mevcut güvenlik olgunluk seviyesini TSE standartlarında değerlendirmek ve risklerinizi somut verilerle görmek istiyorsanız Sparta Siber Güvenlik uzman ekibiyle ücretsiz bir ön değerlendirme görüşmesi planlayabilirsiniz.