GNNcyber

BT Danışmanlık & Güvenlik Rehberi

Bu rehber, küçük işletmelerden büyük ölçekli holdinglere kadar tüm yapılar için IT güvenlik denetimi ve danışmanlığı süreçlerinde kullanılmak üzere hazırlanmıştır. Her adım, sahada test edilmiş uygulamalarla birlikte kontrol listesi, komutlar ve tavsiyeler içerir. Rehberin amacı; firmanın ağ güvenliği, veri bütünlüğü ve operasyonel sürekliliğini sağlamak için eksiksiz ve uygulanabilir bir yol haritası sunmaktır.

Soldaki menüden incelemek istediğiniz adımı seçerek rehberi kullanmaya başlayabilirsiniz.

1. Genel Bilgi Toplama

Denetimin temel taşıdır. Bu adım, firmanın mevcut BT altyapısını, organizasyonel yapısını ve kritik varlıklarını anlamak için uygulanır. Toplanan bilgiler sonraki adımların doğruluğunu doğrudan etkiler.

  • Kullanıcı Yapısı: Toplam kullanıcı sayısı, kullanıcıların birimlere (muhasebe, satış, üretim vb.) dağılımı, kullanıcı adı formatları, yerel/AD kullanımı.
  • Organizasyonel Lokasyonlar: Ofisler, fabrikalar, depo lokasyonları ve uzak ofislerin BT erişim türleri (VPN, MPLS, doğrudan bağlantı).
  • IP Dağılımı: Her lokasyona ait IP blokları (ör. 192.168.10.0/24), VLAN yapısı, Gateway adresleri.
  • İnternet Servis Sağlayıcıları (ISP): ISP adları, kota/durum bilgisi, sözleşme bilgileri.
  • Kritik Sistemler: ERP, CRM, e-posta sunucuları, dosya paylaşım sistemleri, yedekleme sunucuları, bulut hizmetleri (Google Workspace, M365, AWS vb.)
  • Domain ve AD Yapısı: Domain adı, organizasyon birimleri (OU), grup politikaları hakkında kısa bilgi.
  • BT Personeli Bilgisi: IT sorumluları, dış kaynak destek bilgileri (varsa anlaşmalı firma).
İlgili Komutlar:
  • ipconfig /all — Ağ adaptörleri, IP blokları ve DNS bilgilerini gösterir. (CMD)
  • systeminfo — Bilgisayar adı, domain üyeliği, kurulum tarihi gibi temel sistem bilgileri verir. (CMD)
  • net config workstation — Domain ve bilgisayar bilgilerini özetler. (CMD)
  • whoami — Oturum açmış kullanıcıyı gösterir. (CMD)
  • Get-ADComputer -Filter * — AD'deki tüm cihazları listeler. (PowerShell - AD Modülü gerekir)

Not: Eğer yapı bir domain altında çalışıyorsa, bu adımda Active Directory üzerindeki bilgisayarlar, kullanıcılar ve OU yapısı mutlaka belgelemelidir. Fiziksel lokasyonlarda cihazların gerçekten olup olmadığı da gözle kontrol edilmelidir.

2. Ağ Yapısı & Haritalama

Ağ topolojisinin hem fiziksel (cihazların bağlantı şekli) hem de mantıksal (IP blokları, VLAN’lar, yönlendirme) olarak çıkarılması; trafiğin izlenmesi, segmentasyonun doğruluğu ve güvenlik açıklarının saptanması açısından kritik öneme sahiptir.

  • Fiziksel ağ haritası: Router, switch, firewall, access point gibi cihazların konumları ve bağlantı şekli
  • Mantıksal topoloji: VLAN yapısı, alt ağlar (subnet), yönlendirme kuralları
  • Katman 2 & 3 cihaz tespiti: MAC-IP eşleşmeleri, gateway konumları
  • Network segmentasyonu kontrolü: Misafir ağı, üretim ağı, ofis ağı gibi ayrımlar
  • Firewall içi ve dışı zoneların gözden geçirilmesi (ör. WAN, LAN, DMZ)
  • Yönetim ağlarının izole edilip edilmediği
İlgili komutlar:
  • tracert 8.8.8.8 – Paketlerin hangi cihazlardan geçtiğini izleyerek yönlendirme zincirini çıkarır (CMD)
  • arp -a – IP-MAC eşleşmelerini göstererek fiziksel cihazların tespiti (CMD)
  • nmap -sn 192.168.1.0/24 – Alt ağdaki tüm aktif cihazları listeler (Nmap aracı)
  • netsh interface ipv4 show interfaces – Ağ adaptörleri ve VLAN tanımları (PowerShell)

Not: nmap ve benzeri tarama araçları kullanılırken sistem yöneticisinden yazılı/sözlü onay alınmalıdır. Ağ taramaları firewall veya IPS tarafından loglanabilir ve üretim sistemlerini etkileyebilir.

Ek Tavsiye: Ağ şeması çizimi için draw.io veya Lucidchart gibi araçlar kullanılabilir. Haritalar, hem belgelemeyi hem de ağ yönetimini kolaylaştırır.

3. Donanım & Yazılım Envanteri

Donanım ve yazılım varlıklarının tam ve güncel envanteri, sistem yönetimi ve güvenlik kontrolleri açısından kritik öneme sahiptir. Eksik, eski ya da lisanssız yazılımlar; güvenlik açıkları doğurabilir ve yasal risk oluşturabilir.

  • Tüm istemci ve sunucuların listesi: Marka, model, CPU, RAM, disk bilgileri, IP/MAC adresleri
  • Sunucu rollerinin belirlenmesi: (örn. Dosya sunucusu, Domain Controller, Web sunucusu vs.)
  • İşletim sistemleri ve sürümleri: Güncel olmayan sistemlerin tespiti
  • Kurulu yazılımların listesi: Uygulama adı, sürüm, üretici bilgisi
  • Lisans durumu ve süresi: Özellikle antivirus, Office, ERP gibi yazılımlar
  • Envanter yönetim aracı: (örn: Lansweeper, OCS Inventory, GLPI, Spiceworks gibi)
İlgili komutlar:
  • Get-ComputerInfo – Donanım, OS sürümü, domain bilgileri gibi geniş kapsamlı sistem verisi (PowerShell)
  • Get-WmiObject Win32_ComputerSystem – Sistem modeli, üretici, fiziksel RAM (PowerShell)
  • Get-WmiObject Win32_LogicalDisk – Disk bilgileri, boş alanlar (PowerShell)
  • wmic product get name,version – Yüklü yazılımların listesi (CMD, eksik sonuçlar verebilir)

Not: wmic aracı Windows 10 21H1 sonrası bazı sistemlerde varsayılan olarak devre dışıdır. Güvenilir yazılım listesi için SCCM, PDQ Inventory, PowerShell scriptleri veya 3. parti envanter yazılımları tercih edilmelidir.

Ek Tavsiye: Envanter bilgilerinin merkezi bir veri tabanında (ör. Excel, Google Sheets veya web tabanlı sistem) tutulması, lisans yönetimi ve denetim süreçlerini kolaylaştırır. Bilgilerin düzenli güncellenmesi önemlidir.

4. Açık Portlar & Servisler

Açık portlar, kötü niyetli kullanıcıların sistemlere erişim sağlaması için en yaygın kullanılan giriş noktalarıdır. Bu nedenle, sistemde açık olan portlar ve bu portlara bağlı servislerin düzenli olarak taranması, denetlenmesi ve gereksiz olanların kapatılması gereklidir.

  • Açık portların listelenmesi: Hem sunucular hem de istemciler için dışarıya açık portlar
  • Port servis eşleşmelerinin doğrulanması: Örn. 3389 (RDP), 80 (HTTP), 443 (HTTPS), 445 (SMB), 22 (SSH)
  • Servislerin güncel ve gerekli olup olmadığının kontrolü
  • Firewall yapılandırmalarının denetlenmesi: Gerekli olmayan dış bağlantılar kapatılmalı
  • Varsayılan portların değiştirilmesi: Özellikle RDP, SSH gibi servisler için önerilir
İlgili komutlar:
  • netstat -ano – Mevcut bağlantılar, dinlenen portlar ve PID bilgileri (CMD)
  • tasklist | findstr <PID> – PID numarasına göre çalışan uygulamayı bulma (CMD)
  • nmap -sS 192.168.1.1 – TCP SYN taraması (Nmap ile, hedef IP için)
  • nmap -sV 192.168.1.1 – Servis versiyon bilgisiyle tarama (Nmap)

Not: Nmap, üçüncü parti bir araçtır ve hedef sistemin güvenlik politikaları gereği kullanımı önceden izin alınarak gerçekleştirilmelidir.

Ek Tavsiye: Port tarama işlemleri hem iç ağdan hem de dış ağdan yapılmalıdır. İçeriden görülebilen ama dışarıdan görülmeyen servisler belirlenebilir. Ayrıca, portlara bağlı servislerin zafiyetli versiyonlarını da tespit etmek için nmap --script vuln kullanılabilir.

5. Antivirüs / EDR Kontrolleri

Sistemlerin kötü amaçlı yazılımlara karşı korunabilmesi için her uç noktada etkin ve güncel bir Antivirüs (AV) veya Uç Nokta Algılama ve Yanıt (EDR) yazılımı bulunmalıdır. Merkezi yönetim, lisans geçerliliği ve gerçek zamanlı tarama özellikleri denetlenmelidir.

  • Yüklenmiş AV/EDR yazılımlarının listesi: Marka, versiyon ve kurulum tarihi
  • Gerçek zamanlı koruma durumu: Aktif/pasif kontrolü
  • Güncelleme durumu: En son imza tarihi
  • Yönetim paneli entegrasyonu: ESET Protect, Microsoft Defender ATP, Sophos Central vb.
  • İstenmeyen yazılımlara karşı tarama: PUP/PUA tespiti
İlgili komutlar / yöntemler:
  • Get-MpComputerStatus – Microsoft Defender için durum bilgisi (PowerShell)
  • Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct – WMI ile yüklü AV yazılımlarını listeler (PowerShell)
  • WMIC /Node:ComputerName /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get * /Format:List – Uzaktaki sistemler için AV bilgisi (CMD)
  • EDR Yönetim Paneli: Web arayüzlerinden aktif/pasif uç nokta listesi alınabilir

Not: Birden fazla antivirüs programı çakışmalara yol açabilir. Sadece bir güvenlik motorunun aktif olması tavsiye edilir.

Ek Tavsiye: Windows cihazlarda Microsoft Defender varsayılan olarak bulunur, ancak üçüncü parti bir antivirüs etkinse Defender devre dışı kalır. Bu nedenle merkezi kontrol paneli olmayan firmalarda, PowerShell ile toplu tarama scriptleri oluşturulabilir.

6. Güncelleme / Yama Takibi

Sistemlerin düzenli olarak güncellenmesi; kritik güvenlik açıklarının kapatılması, istikrarın artırılması ve dış tehditlere karşı dirençli olunması için zorunludur. Özellikle işletim sistemi, güvenlik yazılımları ve yaygın kullanılan 3. parti uygulamalar (Java, Adobe, Chrome vb.) için güncelleme takibi yapılmalıdır.

  • İşletim sistemi güncellemeleri: Otomatik güncelleme yapılandırması, en son kurulum tarihi
  • Güvenlik yamaları: CVE bazlı kritik güncellemelerin uygulanma durumu
  • Yaygın uygulamalar: Adobe Reader, Java, Chrome, WinRAR gibi yazılımlar
  • Güncelleme yönetimi: WSUS, SCCM veya manuel
  • Sunucularda planlı bakım: Planlı yeniden başlatmaların takibi
İlgili komutlar / yöntemler:
  • Get-WindowsUpdateLog – Windows Update günlüklerini inceler (PowerShell)
  • Get-HotFix – Yüklü yamaları listeler (PowerShell)
  • wmic qfe list – Hızlı yama listesini verir (CMD)
  • sconfig – Windows Server güncelleme ve yapılandırma (CMD)
  • 3. Parti yazılımlar için: Belarc Advisor, PDQ Inventory, Chocolatey gibi araçlar

Not: Otomatik güncellemeler devre dışı bırakılmış sistemlerde, manuel veya merkezi yönetim ile periyodik tarama ve yama planlaması yapılmalıdır.

Ek Tavsiye: Yama takibi yapılmayan sistemler, fidye yazılımı (ransomware) gibi tehditlerin ilk hedefi olur. Kritik sistemler için güncellemeler test ortamında denenmeli, ardından canlı sistemlere uygulanmalıdır.

7. Kullanıcı & Yetki İncelemesi

Kullanıcıların rollerine uygun yetkilerle sistemlere erişmesi, yetkisiz erişimlerin önüne geçmek ve siber saldırılara karşı savunma hattını güçlendirmek açısından kritiktir. Özellikle yerel yönetici hakları ve domain grup üyelikleri düzenli olarak denetlenmelidir.

  • Yerel yöneticiler (Local Admin): Sunucu ve istemcilerde kimlerin yerel yönetici olduğunu kontrol edin.
  • Domain grup üyelikleri: Domain Admins, Enterprise Admins, Remote Desktop Users gibi gruplar incelenmelidir.
  • Pasif kullanıcılar: 90+ gündür giriş yapmamış kullanıcılar tespit edilip kapatılmalıdır.
  • Yetki fazlası kontrolü: Aynı kişiye hem kullanıcı hem yönetici yetkisi verilmiş mi?
  • İşten ayrılmış personel: Aktif hesapları devre dışı bırakıldı mı?
  • Ortak hesaplar: Ortak kullanılan hesaplar varsa, takip mekanizmaları var mı?
İlgili komutlar / PowerShell sorguları:
  • net localgroup administrators – Yerel yöneticileri listeler (CMD)
  • net user – Tüm kullanıcıları listeler (CMD)
  • Get-ADUser -Filter * – Active Directory'deki tüm kullanıcıları getirir (PowerShell)
  • Get-ADUser -Filter {LastLogonDate -lt (Get-Date).AddDays(-90)} – 90 gündür giriş yapmayan kullanıcılar (PowerShell)
  • Get-ADGroupMember "Domain Admins" – Domain Admin üyelerini listeler (PowerShell)

Not: Get-ADUser ve benzeri AD komutları için RSAT: Active Directory modülünün yüklü olması gerekmektedir.

Ek Tavsiye: Kullanıcı hesabı yönetiminde “en az ayrıcalık ilkesi” (Principle of Least Privilege) esas alınmalıdır. Ayrıca 2FA (iki faktörlü kimlik doğrulama) etkinleştirilmiş mi kontrol edilmelidir.

8. Yedekleme ve Kurtarma

BT sistemlerinde meydana gelebilecek veri kaybı, iş sürekliliğini ciddi şekilde tehdit eder. Bu nedenle hem yedekleme hem de kurtarma süreçleri etkin şekilde planlanmalı, uygulanmalı ve test edilmelidir.

  • Yedekleme altyapısı: Kullanılan yazılım (örneğin: Veeam, Acronis, Windows Server Backup), donanım (NAS, Tape, SAN vs.) ve saklama lokasyonları incelenmelidir.
  • Yedekleme sıklığı: Kritik sistemler için günlük; diğer sistemler için haftalık yedekleme yapılmalı.
  • Yedeklerin kapsamı: Sistem yedeği mi alınıyor? Yoksa sadece dosya/dizin yedeği mi?
  • Şifreleme: Yedeklerin erişime karşı korunması için şifreli olup olmadığı kontrol edilmelidir.
  • Offline yedekler: Ransomware saldırılarına karşı diske bağlı olmayan bağımsız yedeklerin (air-gapped backup) bulunması önerilir.
  • Geri yükleme testleri: Rastgele yedek dosyalarıyla yılda en az 1 kere restore testi yapılmalıdır.
  • Felaket senaryoları: Sunucu çökmesi, veri merkezi yangını gibi durumlar için kurtarma prosedürü var mı?
  • Yedek döngüsü (retention): Kaç günlük/haftalık/yıllık yedek tutuluyor? Otomatik silme ayarı yapılmış mı?
İlgili komutlar / yöntemler:
  • wbadmin get versions – Windows sunucularda alınmış yedekleri listeler (CMD)
  • vssadmin list shadows – Gölge kopya geçmişini gösterir (CMD)
  • Veeam Backup & Replication veya benzeri yazılımın yedek raporları incelenmelidir.
İlgili notlar:
  • Yedeklerin en az bir kopyası fiziksel olarak farklı bir lokasyonda ya da bulut ortamında tutulmalıdır (3-2-1 kuralı önerilir).
  • Geri yükleme (restore) testleri, yazılı olarak dokümante edilmeli ve sorumlu kişi belirtilmelidir.
  • Yedekleme sunucuları antivirüs taramasından muaf bırakılmalı ama loglanmalıdır.

9. Politika ve Belgelendirme

Güvenlik uygulamalarının sürdürülebilir ve ölçülebilir olabilmesi için yazılı politikalara ve prosedürlere ihtiyaç vardır. Bu belgeler, hem yasal uyumluluğu sağlar hem de çalışan farkındalığını artırır.

  • Şifre politikaları: Minimum uzunluk, büyük/küçük harf, rakam, özel karakter kullanımı, şifre değiştirme sıklığı ve parola geçmişi kuralları kontrol edilmelidir.
  • Yetkilendirme ve erişim protokolleri: Hangi kullanıcı hangi sistemlere hangi seviyede erişebiliyor? Kademeli (least privilege) yapı uygulanıyor mu?
  • Güvenlik olaylarına müdahale planı (Incident Response Plan): Olay tespiti, sınırlama, analiz, raporlama ve iyileştirme adımları belirlenmiş mi?
  • Çalışan Bilinçlendirme Politikaları: Kullanıcılara yönelik BT kullanım kuralları, e-posta güvenliği, taşınabilir medya kullanımı, sosyal mühendislik farkındalığı gibi konular belgeyle açıklanmış mı?
  • Yedekleme, loglama, güncelleme gibi teknik süreçlerin prosedürleri: Dokümante edilip periyodik olarak gözden geçiriliyor mu?
İlgili dokümantasyon önerileri:
İlgili notlar:
  • Politikalar, çalışanların anlayabileceği basit ve açık bir dille yazılmalı, dijital ortamda paylaşılmalı ve imza karşılığı onay alınmalıdır.
  • Yılda en az 1 kez politika gözden geçirme ve güncelleme toplantısı yapılmalıdır.
  • Yeni çalışanlar için oryantasyon sürecine güvenlik politikaları eğitimi dahil edilmelidir.
  • Politika ihlali durumunda uygulanacak yaptırımların yazılı olması önemlidir.

10. Fiziksel Güvenlik

BT altyapısına fiziksel erişimin sınırlandırılması, izinsiz müdahaleleri engellemek ve sistem sürekliliğini sağlamak açısından kritik önemdedir. Bu güvenlik katmanı genellikle göz ardı edilir, ancak siber güvenlik kadar fiziksel güvenlik de önemlidir.

  • Sunucu odalarının güvenliği: Yetkisiz kişilerin erişimini engelleyecek şekilde kilitli, kartlı geçişli veya biyometrik sistemlerle korunmalıdır.
  • Güvenlik kameraları (CCTV): Sunucu odası girişleri, bina içi geçiş alanları ve dış kapılar izlenmeli; kayıtlar 30 gün saklanmalıdır.
  • Yangın önleme sistemleri: Yangın algılama sensörleri (duman, ısı), gazlı söndürme sistemleri (FM200, Novec 1230) tercih edilmelidir.
  • Ziyaretçi giriş-çıkış kayıtları: Fiziksel ziyaretlerde imzalı kayıt tutulmalı, refakatçi zorunlu olmalıdır.
  • Sunucu ve ağ cihazlarının kilitli kabinetlerde yer alması: Açık raf sistemleri yerine anahtarlı/kilitli kabinet sistemleri tercih edilmelidir.
  • Donanım güvenliği: USB portlar, harici disk bağlantıları gibi fiziksel portlar kısıtlanmalı ya da kilitlenmelidir.
İlgili notlar:
  • Sunucu odasında sürekli çalışan bir UPS (güç kaynağı) ve klima bulunması sistemlerin 7/24 çalışabilirliği için gereklidir.
  • Kabinetler topraklama sistemine entegre edilmeli, kablo karmaşasından kaçınılmalıdır.
  • Sunucu odası dışında tutulan aktif cihazlar (örneğin modem, router, switch) da fiziki güvenlik çerçevesinde değerlendirilmelidir.

11. Web & Uygulama Güvenliği

Dış erişime açık web siteleri ve uygulamalar, siber saldırıların en çok hedef aldığı alanlardır. Bu sistemlerin güvenliğinin sağlanması; veri sızıntısı, sistem ele geçirme veya hizmet kesintisi gibi büyük riskleri önler.

  • SSL/TLS Sertifikaları: Web siteleri HTTPS üzerinden çalışmalı, sertifikalar SHA-256 tabanlı olmalı ve otomatik yenileme sistemi kullanılmalıdır.
  • Kimlik Doğrulama ve Giriş Kontrolleri: CAPTCHA, brute-force koruması, MFA (çok faktörlü kimlik doğrulama) gibi önlemler uygulanmalıdır.
  • Veritabanı Güvenliği: Uygulama, veritabanına minimum yetkiyle bağlanmalı, root yetkisiyle bağlantıdan kaçınılmalıdır.
  • Girdi Doğrulama: SQL Injection (SQLi), Cross Site Scripting (XSS) gibi zafiyetleri önlemek için tüm kullanıcı girdileri filtrelenmeli ve doğrulanmalıdır.
  • Güncelleme Takibi: Web framework, CMS (ör. WordPress, Joomla), eklenti ve bileşenler güncel tutulmalıdır.
  • Loglama: Web erişimleri ve hata kayıtları merkezi bir loglama sistemi ile toplanmalı ve incelenmelidir.
  • Hata Yönetimi: Hata mesajlarında sistem mimarisi, versiyon bilgisi gibi hassas detaylar gösterilmemelidir.
İlgili araçlar:
  • SSL Labs Test — SSL sertifikası ve protokol zafiyetleri taraması
  • Burp Suite — Web uygulaması güvenlik testi için profesyonel bir araç
  • OWASP ZAP — Açık kaynak, otomatikleştirilebilir zafiyet tarama aracı
Not: Web güvenliği kontrolleri, yazılım geliştiriciler ve DevOps ekipleri ile koordineli yürütülmelidir.

12. Loglama ve İzleme

Loglama, sistemlerdeki olayların izlenmesi, olası tehditlerin erken fark edilmesi ve adli analiz yapılabilmesi açısından kritik öneme sahiptir. İzleme sistemleri ise anlık uyarılar ve olay tepkileri için kullanılır.

  • Merkezi Log Toplama: Sunucu, firewall, switch, antivirüs, yedekleme yazılımı, web sunucusu gibi tüm sistemlerden loglar tek bir merkezi sisteme yönlendirilmelidir (ör. Graylog, ELK).
  • Olay Tiplerinin Belirlenmesi: Başarısız oturum açma, kullanıcı ekleme/silme, servis durmaları, kritik hata ve saldırı izleri (IDS/IPS) gibi olaylar özel olarak filtrelenmelidir.
  • Log Saklama Politikası: Normal sistemlerde minimum 90 gün; kamu, finans gibi regülasyona tabi ortamlarda 1 yıl ve üzeri önerilir.
  • Anlık İzleme ve Uyarılar: Syslog tabanlı sistemlerde e-posta, Slack, webhook gibi uyarı mekanizmaları kurulmalıdır.
  • İzinler ve Erişim: Log sistemine sadece güvenilir kullanıcılar erişebilmeli ve tüm işlemler audit log’da kayıt altına alınmalıdır.
  • Log Manipülasyonuna Karşı Önlem: Log sunucusu yalnızca kayıt almalı, log dosyalarının yazıldığı sistemlere yazma hakkı tanınmamalıdır.
  • Görselleştirme ve Raporlama: Dashboard ile olayların zamana göre dağılımı, en çok oturum açan kullanıcılar, en çok hata veren sistemler gibi metrikler izlenebilir olmalıdır.
İlgili yazılımlar:
  • Graylog: Açık kaynak, kolay yapılandırılabilir log analiz platformu.
  • Wazuh: IDS/IPS özellikli, agent tabanlı olay takibi.
  • ELK Stack (Elasticsearch + Logstash + Kibana): Yüksek performanslı ve özelleştirilebilir loglama çözümü.
  • Splunk: Kurumsal düzeyde ücretli SIEM çözümü, yüksek görselleştirme desteği.
Not: Logların günlük olarak incelenmesi önerilir. Kritik sistemlerde anlık uyarı sistemleri kurulmalıdır. Ayrıca log bütünlüğü SHA256 hash ile korunmalıdır.

13. Raporlama ve Skor

Rehberin her bir adımı değerlendirilerek kuruma özel bir güvenlik puanı oluşturulur. Bu değerlendirme, mevcut güvenlik durumu hakkında net bir fotoğraf sunar ve iyileştirme alanlarını belirlemeye yardımcı olur.

  • Kontrol Bazlı Değerlendirme: 1 ila 5 arasında puanlama yapılır. 1 = zayıf, 5 = çok iyi.
  • Zayıf Noktaların Vurgulanması: Her başlık için eksik veya yetersiz bulunan alanlar not edilir.
  • Geliştirme Önerileri: Her maddeye özel kısa öneriler elle girilir.
  • Toplam Güvenlik Skoru: 60 üzerinden hesaplanan toplam puan, kurumun genel durumu hakkında fikir verir.
Not: Raporlama sürecini dijital olarak yürütmek isteyen kurumlar için aşağıdaki Google Sheets şablonu kullanılabilir.

📊 Google Sheets ile Raporla

Google Sheets şablonu, her kontrol adımı için "Kontrol Alanı", "Skor (1–5)", "Notlar", "Kontrol Edildi" gibi sütunlar içerir. Denetleyen kişi, ilgili alanları manuel olarak doldurabilir. Şablonun sonunda toplam skor otomatik olarak hesaplanır.

Skor Değerlendirme Tablosu

  • 0–20: ⚠️ Kritik Risk – Acil aksiyon alınmalı.
  • 21–40: 🟠 Orta Risk – Kısa vadede iyileştirme planı yapılmalı.
  • 41–60: 🟢 Güvenli – Mevcut yapı sürdürülebilir, ancak düzenli kontrol edilmeli.

Kurumun güvenlik olgunluğu bu skor tablosu ile ölçülebilir hale gelir. Yıllık veya altı aylık tekrar denetimlerde önceki skorlarla karşılaştırma yapılabilir.