Siber Güvenlikte Olgunluk Nedir?
Siber güvenlik olgunluğu, bir kurumun tehditleri tespit etme, önleme ve müdahale etme kapasitesinin ne kadar sistematik, tekrarlanabilir ve ölçülebilir olduğunu ifade eder. Tek bir olay için başarılı olmak yetmez, Asıl soru, bu başarının bir sisteme mi yoksa bireysel kahramanlara mı dayandığıdır.
NIST Cybersecurity Framework (CSF), olgunluğu reaktif bir yapıdan proaktif ve sürekli iyileşen bir modele geçiş olarak tanımlar. Bu yaklaşım, ISO 27001 gibi yönetim sistemleriyle de uyumludur. Her ikisi de belgelenmiş süreçleri, ölçülebilir kontrolleri ve sürekli iyileştirme döngüsünü merkeze alır.
Olgunluk ölçümü, zafiyet yönetimi, olay müdahale süreçleri ve mimari tasarım disiplinleriyle birlikte ele alınmak zorundadır. Çünkü bir gösterge, yalnızca arkasındaki süreç sağlıklıysa anlamlı sonuç verir.
KPI ve KRI Arasındaki Temel Fark
Kurumların en sık yaptığı hata, bu iki gösterge tipini birbirinin yerine kullanmak ya da yalnızca birini izlemektir. Oysa ikisi farklı sorulara yanıt verir ve birlikte anlam kazanır.
| KPI (Key Performance Indicator) | KRI (Key Risk Indicator) | |
|---|---|---|
| Amacı | Operasyonel performansı ölçmek | Risk seviyesini ve eğilimini ölçmek |
| Odağı | Tespit, müdahale, iyileştirme hızı | Maruziyet, potansiyel etki, öncü sinyal |
| Yanıtladığı soru | Savunma sistemlerimiz ne kadar etkili çalışıyor? | Ne kadar risk altındayız ve bu artıyor mu? |
| Bakış yönü | Geriye (ne yaptık?) | İleriye (ne olabilir?) |
| Örnek göstergeler | MTTD, MTTR, yama kapatma süresi | Kritik açık birikimi, ayrıcalıklı hesap oranı |
Stratejik güvenlik yönetimi, yalnızca KPI veya yalnızca KRI ile değil, ikisinin birlikte analiz edilmesiyle mümkündür. KPI’lar kontrollerinizin çalışıp çalışmadığını söyler; KRI’lar ise bu kontrollerin hâlâ yeterli olup olmadığını.
Siber Güvenlik KPI Örnekleri
Aşağıdaki göstergeler teknik ekiplerin operasyonel performansını ve yönetimin görmek istediği ilerlemeyi dengeli biçimde yansıtır.
| KPI | Ne Ölçer? | Neden Önemlidir? |
|---|---|---|
| Ortalama Tespit Süresi (MTTD) | Bir tehdidin fark edilme süresi | Algılama kapasitesinin doğrudan göstergesidir |
| Ortalama Müdahale Süresi (MTTR) | Tespitten çözüme geçen süre | Operasyonel çevikliği ve süreç olgunluğunu ölçer |
| Kritik Zafiyet Kapatma Süresi | SLA uyumu | Zafiyet yönetimi disiplinini gösterir |
| Yama Yönetimi Kapsamı | Güncel sistem yüzdesi | Saldırı yüzeyini doğrudan etkiler |
| False Positive Oranı | Yanlış alarm yüzdesi | Güvenlik araçlarının verimliliğini ve ekip odağını gösterir |
| Güvenlik Farkındalık Eğitimi Tamamlama Oranı | Eğitim katılımı | İnsan faktörü riskine karşı temel önlemi ölçer |
Eşik değerleri hakkında önemli bir not: MTTD veya MTTR için “sektör ortalaması X saattir” gibi rakamlar yaygın biçimde dolaşımda olsa da bu değerler kuruma, sektöre, altyapı olgunluğuna ve kullanılan araçlara göre önemli ölçüde farklılaşır. Anlamlı bir hedef belirlemek için önce kendi kurumunuzun mevcut temel değerini ölçmeniz, ardından bu değeri zaman içinde iyileştirmeyi hedeflemeniz önerilir. Dışarıdan alınan kıyaslama rakamları, bağlamından koparıldığında yanıltıcı olabilir.
Siber Güvenlik KRI Örnekleri
KRI’lar, henüz gerçekleşmemiş ama olasılığı artan risklerin öncü sinyalleridir. Yönetim seviyesinde görünürlük için kritik öneme sahiptirler.
| KRI | Ne Gösterir? | Stratejik Etki |
|---|---|---|
| Yüksek Riskli Zafiyet Birikimi | Yamalanamayan kritik açık yoğunluğu | İhlal olasılığının artış sinyali |
| Ayrıcalıklı Hesap Yoğunluğu | Gereğinden fazla yetkilendirilmiş hesap oranı | İç tehdit ve yatay hareket riski |
| Kritik Veri Erişim Sapmaları | Normal dışı erişim örüntüleri | Potansiyel veri sızıntısı erken uyarısı |
| Kimlik Avı Simülasyonu Başarısızlık Oranı | Çalışanların sosyal mühendislik maruziyeti | İnsan kaynaklı ihlal riskinin göstergesi |
| Üçüncü Taraf Güvenlik Değerlendirme Sonuçları | Tedarik zinciri risk profili | Dışarıdan kaynaklanan ihlal riskini gösterir |
| Süresi Dolmuş Sertifika ve Kimlik Bilgisi Sayısı | Yönetilmeyen dijital varlık yoğunluğu | Erişim kontrolü boşluklarının habercisi |
KRI eşiklerini belirlerken de kuruma özgü bir yaklaşım şarttır: “Kaç adet kritik zafiyet kabul edilemez?” sorusunun yanıtı dışarıdan alınan bir rakamdan değil, kurumun yazılı risk iştahı belgesinden türetilmelidir.
Olgunluk Seviyesine Göre Gösterge Seçimi
Her kurumun aynı gösterge setiyle başlaması doğru değildir. Ölçüm, kurumun bulunduğu olgunluk seviyesiyle uyumlu olmalıdır; aksi hâlde toplanamayan veya anlamsız veri üretilir.
Temel Seviye: Henüz sistematik bir güvenlik yönetimi programı kurulmamış kurumlarda öncelik, temel görünürlüğü sağlamaktır.
- Varlık envanteri doğruluğu
- Yama yönetimi kapsamı (güncel sistem yüzdesi)
- Kritik zafiyet kapatma süresi
Gelişmiş Seviye: Temel süreçler oturmuş, artık hız ve etkinlik ölçülmeye başlanabilir.
- MTTD ve MTTR
- False positive oranı ve alarm kalitesi
- Olay analizi derinliği ve kök neden tespiti oranı
Stratejik Seviye: Güvenlik yönetimi iş hedefleriyle hizalanmış, risk temelli karar alma mekanizmaları işler durumdadır.
- Risk trend analizi ve KRI tabanlı erken uyarı
- Yetki yoğunluğu ve ayrıcalıklı erişim olgunluğu
- Düzenleyici çerçeve bazlı risk haritası (KVKK, BDDK, NIS2 vb.)
Temel KPI’lar oturmadan ileri seviye risk modellemesi sürdürülebilir değildir. Bir üst seviyeye geçiş, alt seviyenin tutarlı biçimde işlediğinin kanıtını gerektirir.
Göstergeleri Yönetişime Entegre Etmek
Göstergelerin toplanması tek başına yetmez. Asıl değer, doğru göstergenin doğru kişiye doğru formatta ulaşmasından gelir.
Operasyonel Katman (SOC / Güvenlik Ekibi) Günlük ve haftalık izleme. Teknik KPI ve KRI panoları. Amaç hızlı tespit ve taktik müdahaledir.
Taktik Katman (CISO / Risk Yönetimi) Aylık raporlama. Trend analizi ve program yönetimi kararları. KPI performansı ile KRI eğilimleri birlikte değerlendirilir.
Stratejik Katman (Yönetim Kurulu / Üst Yönetim) Çeyreklik veya yarıyıllık. İş riski diline çevrilmiş göstergeler. Amaç kurumsal risk iştahının gözetimi ve stratejik yatırım kararlarıdır.
Bu katmanlı yapıyı ISO 27001 yönetim sistemi çerçevesiyle entegre yürütmek, hem yapısal bir zemin sağlar hem de denetlenebilir kanıtlar üretir.
Danışmanlık Perspektifi: Ölçülemeyen Güvenlik Yönetilemez
Kurumlarla yürüttüğümüz çalışmalarda tekrarlayan bir örüntü görüyoruz: teknik veriler mevcut, ancak bunlar ne anlamlı KPI’lara dönüştürülmüş ne de risk perspektifiyle yorumlanmış. Sonuç olarak güvenlik ekibi “çok şey yapıyor” ama yönetim “hiçbir şey görmüyor.”
Doğru kurgulanmış bir KPI/KRI sistemi bu boşluğu kapatır:
- Teknik veriler yapılandırılarak operasyonel KPI’lara dönüştürülür
- Bu göstergeler risk perspektifiyle yorumlanarak KRI’ya evriltilir
- Yönetim seviyesinde karar destek mekanizması oluşturulur
Bu süreç, Kurumsal Siber Güvenlik Mimarisi ve Teknik Tasarım çerçevesiyle entegre yürütüldüğünde güvenlik yatırımları ölçülebilir hale gelir ve olgunluk seviyesi objektif biçimde izlenebilir.
Bu yazı, siber güvenlik yönetişimi ve olgunluk ölçümü konularında genel bilgilendirme amacıyla hazırlanmıştır. Kurumunuza özgü gösterge seti tasarımı ve raporlama yapısı için uzman danışmanlık alınması önerilir.