Masa başı tatbikatları, red/blue team simülasyonları ve kriz senaryolarıyla müdahale kapasitesini ölçer; zayıf noktaları kriz gelmeden görünür kılarız.
KANITISO 22301ISO 27001NIS2Kapsam kaydı
01Mevcut durumTopoloji, trafik ve bağımlılık görünürlüğü.
02Hedef mimariSegmentasyon, kapasite ve erişilebilirlik tasarımı.
03Kontrollü geçişDeğişiklik penceresi, doğrulama ve geri dönüş planı.
Bu hizmetin ele aldığı kritik başlıklar ve her birinde teslim ettiğimiz sonuç.
Zayıf noktalar kriz öncesi görünür olur
kanıt hazırlığı
Masa başı tatbikatı, red/blue team simülasyonu ve kriz senaryosu egzersizleriyle müdahale kapasitesini ölçer, zayıf noktaları kriz yaşanmadan görünür kılarız.
Refleks süresi ölçülebilir kısalır
ölçülen hedef
MTTD, MTTR, karar süresi ve iletişim etkinliği metrikleriyle ekiplerin refleks süresini ölçer, dönemsel tatbikatlarla iyileştirmeyi izleriz.
Düzenleyici gereksinimlere hizalanma
onay sonrası yayınlanır
Sektörel düzenleyici gereksinimlere (BDDK, SPK, KVKK) hizalı tatbikat tasarlarız; nihai uyum değerlendirmesi denetçi ve hukuk tarafına bırakılır.
90 günlük takipli aksiyon planı
sözleşme kapsamı
Önceliklendirilmiş aksiyon kalemlerini Jira/Azure DevOps'a atar, sorumlu ve termin tarihleriyle 90 gün boyunca izleriz.
Teslim modeli
Yaklaşım modeli
Hizmeti teslim modeli, yönetişim ve ilgili hizmet alanları açısından nasıl fazladığımızın özeti.
Tatbikat yürütme: tabletop, functional ve full-scale formatlarda, purple team yaklaşımıyla saldırı ve savunma ekiplerini birlikte çalıştırarak öğrenme döngüsünü hızlandırırız.
03
Değerlendirme ve takip: NIST CSF, MITRE ATT&CK ve ISO 22301 referansıyla gap matrisi, yönetim özeti ve 90 günlük iyileştirme aksiyon planı çıkarır, ilerlemeyi izleriz.
Kullanım bağlamları
Örnek uygulama bağlamları
Bu hizmetin en sık devreye girdiği örnek operasyon yüzeyleri.
Test edilmemiş kriz hazırlığı
Yazılı planı olan ancak gerçek kriz anında tepkisini ölçmemiş kurumlar.
Çok birimli koordinasyon provası
IT, hukuk, iletişim, insan kaynakları ve üst yönetimi krizde koordineli çalıştırmak isteyen ekipler.
Düzenleyici tatbikat kanıtı
BDDK, SPK veya KVKK denetimleri için tatbikat ve aksiyon planı kanıtı oluşturmak isteyen kuruluşlar.
DERİNLİK
Teknik ve uyum derinliği
Bu hizmetin sektöre özgü teknik ve uyum başlıklarındaki derinliği.
Tatbikat türleri ve senaryolar
Tabletop, functional ve full-scale tatbikatları ransomware, DDoS, insider threat ve supply chain senaryolarıyla 20+ sektörel senaryo şablonu üzerinden tasarlarız.
Purple team ve katılımcılar
IT, güvenlik, hukuk, iletişim ve üst yönetimi purple team oturumlarında birlikte çalıştırarak teorik bilgiyi pratik deneyime dönüştürürüz.
Raporlama ve sertifikasyon desteği
Gap matrisi, aksiyon planı ve yönetim özetiyle ISO 22301 ve SOC 2 Type II süreçlerine kanıt dosyası sağlarız; sertifikasyon kararı denetçiye bırakılır.
Neyi Çözer
Kuruluşların gerçek bir siber kriz anında nasıl tepki vereceği bilinmeden hazırlık eksiklikleri ortaya çıkmaz. Siber Dayanıklılık Testleri; masa başı tatbikatları, red team/blue team simülasyonları ve kriz senaryosu egzersizleriyle organizasyonun kriz müdahale kapasitesini ölçer, zayıf noktaları tespit eder ve ekiplerin refleks süresini kısaltır.
Masa başı tatbikatı (Tabletop Exercise)
Red Team / Blue Team simülasyonu
Kriz iletişim senaryosu testi
Post-exercise gap analizi ve iyileştirme planı
Kazanımlar
Fayda
Operasyonel süre ve kalite göstergelerini kabul kriterleriyle ölçülebilir hale getirir
Fayda
Çıktıyı başlangıç ölçümü, hedef ve kanıt kaydıyla izlenebilir hale getirir
Fayda
Kriz müdahale kapasitesindeki zayıf noktaları kriz yaşanmadan görünür kılar
Kriter
Tabletop, Functional, Full-Scale
Kriter
Ransomware, DDoS, Insider Threat, Supply Chain
Kriter
NIST CSF, MITRE ATT&CK, ISO 22301
Kriter
Gap matrisi, aksiyon planı, yönetim özeti
Kapsam
Hizmet kapsamı, kuruluşun sektörüne ve risk profiline özel senaryo tasarımından başlayarak tatbikat yürütme, gözlem ve değerlendirme süreçlerini içerir. Purple team yaklaşımıyla saldırı ve savunma ekipleri birlikte çalışarak öğrenme döngüsünü hızlandırır.
Tekrar eden tatbikatlarla kurumsal dayanıklılık kültürü oluşturur
Kriter
IT, güvenlik, hukuk, iletişim, üst yönetim
Kriter
20+ sektörel senaryo şablonu
Kriter
MTTD, MTTR, karar süresi, iletişim etkinliği
Kriter
Yılda minimum 2 tatbikat (düzenleyici tavsiye)
Teslimatlar
Tatbikat öncesi senaryo dokümanı, tatbikat sırasında gözlem notları ve tatbikat sonrası kapsamlı değerlendirme raporu teslim edilir. Tüm bulgular önceliklendirilmiş aksiyon planına dönüştürülür ve takip mekanizması kurulur.
Senaryo tasarım dokümanı ve katılımcı brifing paketi
Tatbikat yürütme ve moderasyon
Kapsamlı değerlendirme raporu ve gap matrisi
90 günlük iyileştirme aksiyon planı
Kazanımlar
Fayda
Somut ve ölçülebilir iyileştirme hedefleri sunar
Fayda
Düzenleyici denetim ve sertifikasyon süreçlerini destekler
Fayda
Bir sonraki tatbikat için baseline oluşturur
Kriter
Tatbikat sonrası 5 iş günü
Kriter
Jira/Azure DevOps entegrasyonu
Kriter
Sektörel ortalama karşılaştırması
Kriter
ISO 22301, SOC 2 Type II kanıt dosyası
Sıkça Sorulan Sorular
Masa başı tatbikatı ne kadar sürer?
Takvim; kapsam, entegrasyon karmaşıklığı, mevcut olgunluk ve kabul kriterlerine göre keşif aşamasında netleştirilir. Proje planı onaylı kapsam ve bağımlılıklar üzerinden hazırlanır.
Red Team simülasyonu ile penetrasyon testi arasındaki fark nedir?
Penetrasyon testi belirli sistemlerdeki teknik açıkları arar; Red Team simülasyonu ise gerçek bir saldırganın taktik, teknik ve prosedürlerini taklit ederek organizasyonun tüm savunma katmanlarını (insan, süreç, teknoloji) test eder.
Hangi departmanlar tatbikata katılmalı?
IT ve güvenlik ekiplerinin yanı sıra hukuk, kurumsal iletişim, insan kaynakları ve üst yönetim mutlaka dahil edilmelidir. Gerçek bir krizde tüm bu birimler koordineli çalışmak zorundadır.
Tatbikat sonuçları nasıl raporlanır?
Her tatbikat sonrası detaylı gözlem raporu, gap analizi matrisi ve önceliklendirilmiş aksiyon planı sunulur. Yönetim kuruluna özel özet rapor da hazırlanır.