TATBİKATLA ÖLÇÜLEN HAZIRLIK

Siber Dayanıklılık Testleri

Masa başı tatbikatları, red/blue team simülasyonları ve kriz senaryolarıyla müdahale kapasitesini ölçer; zayıf noktaları kriz gelmeden görünür kılarız.

ISO 22301ISO 27001NIS2Kapsam kaydı
01 Mevcut durum Topoloji, trafik ve bağımlılık görünürlüğü.
02 Hedef mimari Segmentasyon, kapasite ve erişilebilirlik tasarımı.
03 Kontrollü geçiş Değişiklik penceresi, doğrulama ve geri dönüş planı.
04 Hypercare İzleme, ince ayar ve operasyon devri.
KONUM

Bu hizmet portföy içinde nerede duruyor

Siber Dayanıklılık Testleri için yetenek kartı infografiği
HİZMET KAPSAMI

Bu hizmet neyi ele alır

Bu hizmetin ele aldığı kritik başlıklar ve her birinde teslim ettiğimiz sonuç.

Zayıf noktalar kriz öncesi görünür olur

kanıt hazırlığı

Masa başı tatbikatı, red/blue team simülasyonu ve kriz senaryosu egzersizleriyle müdahale kapasitesini ölçer, zayıf noktaları kriz yaşanmadan görünür kılarız.

Refleks süresi ölçülebilir kısalır

ölçülen hedef

MTTD, MTTR, karar süresi ve iletişim etkinliği metrikleriyle ekiplerin refleks süresini ölçer, dönemsel tatbikatlarla iyileştirmeyi izleriz.

Düzenleyici gereksinimlere hizalanma

onay sonrası yayınlanır

Sektörel düzenleyici gereksinimlere (BDDK, SPK, KVKK) hizalı tatbikat tasarlarız; nihai uyum değerlendirmesi denetçi ve hukuk tarafına bırakılır.

90 günlük takipli aksiyon planı

sözleşme kapsamı

Önceliklendirilmiş aksiyon kalemlerini Jira/Azure DevOps'a atar, sorumlu ve termin tarihleriyle 90 gün boyunca izleriz.

Teslim modeli

Yaklaşım modeli

Hizmeti teslim modeli, yönetişim ve ilgili hizmet alanları açısından nasıl fazladığımızın özeti.

  1. Senaryo tasarımı: kuruluşun sektörüne ve risk profiline özel senaryolarla (ransomware, DDoS, insider threat, supply chain) tatbikatı kurgular, katılımcı brifing paketini hazırlarız.

  2. Tatbikat yürütme: tabletop, functional ve full-scale formatlarda, purple team yaklaşımıyla saldırı ve savunma ekiplerini birlikte çalıştırarak öğrenme döngüsünü hızlandırırız.

  3. Değerlendirme ve takip: NIST CSF, MITRE ATT&CK ve ISO 22301 referansıyla gap matrisi, yönetim özeti ve 90 günlük iyileştirme aksiyon planı çıkarır, ilerlemeyi izleriz.

Kullanım bağlamları

Örnek uygulama bağlamları

Bu hizmetin en sık devreye girdiği örnek operasyon yüzeyleri.

Test edilmemiş kriz hazırlığı

Yazılı planı olan ancak gerçek kriz anında tepkisini ölçmemiş kurumlar.

Çok birimli koordinasyon provası

IT, hukuk, iletişim, insan kaynakları ve üst yönetimi krizde koordineli çalıştırmak isteyen ekipler.

Düzenleyici tatbikat kanıtı

BDDK, SPK veya KVKK denetimleri için tatbikat ve aksiyon planı kanıtı oluşturmak isteyen kuruluşlar.

DERİNLİK

Teknik ve uyum derinliği

Bu hizmetin sektöre özgü teknik ve uyum başlıklarındaki derinliği.

Tatbikat türleri ve senaryolar

Tabletop, functional ve full-scale tatbikatları ransomware, DDoS, insider threat ve supply chain senaryolarıyla 20+ sektörel senaryo şablonu üzerinden tasarlarız.

Purple team ve katılımcılar

IT, güvenlik, hukuk, iletişim ve üst yönetimi purple team oturumlarında birlikte çalıştırarak teorik bilgiyi pratik deneyime dönüştürürüz.

Raporlama ve sertifikasyon desteği

Gap matrisi, aksiyon planı ve yönetim özetiyle ISO 22301 ve SOC 2 Type II süreçlerine kanıt dosyası sağlarız; sertifikasyon kararı denetçiye bırakılır.

Neyi Çözer

Kuruluşların gerçek bir siber kriz anında nasıl tepki vereceği bilinmeden hazırlık eksiklikleri ortaya çıkmaz. Siber Dayanıklılık Testleri; masa başı tatbikatları, red team/blue team simülasyonları ve kriz senaryosu egzersizleriyle organizasyonun kriz müdahale kapasitesini ölçer, zayıf noktaları tespit eder ve ekiplerin refleks süresini kısaltır.

Masa başı tatbikatı (Tabletop Exercise)
Red Team / Blue Team simülasyonu
Kriz iletişim senaryosu testi
Post-exercise gap analizi ve iyileştirme planı

Kazanımlar

Fayda

Operasyonel süre ve kalite göstergelerini kabul kriterleriyle ölçülebilir hale getirir

Fayda

Çıktıyı başlangıç ölçümü, hedef ve kanıt kaydıyla izlenebilir hale getirir

Fayda

Kriz müdahale kapasitesindeki zayıf noktaları kriz yaşanmadan görünür kılar

Kriter
Tabletop, Functional, Full-Scale
Kriter
Ransomware, DDoS, Insider Threat, Supply Chain
Kriter
NIST CSF, MITRE ATT&CK, ISO 22301
Kriter
Gap matrisi, aksiyon planı, yönetim özeti

Kapsam

Hizmet kapsamı, kuruluşun sektörüne ve risk profiline özel senaryo tasarımından başlayarak tatbikat yürütme, gözlem ve değerlendirme süreçlerini içerir. Purple team yaklaşımıyla saldırı ve savunma ekipleri birlikte çalışarak öğrenme döngüsünü hızlandırır.

Sektöre özel senaryo tasarımı
Çok katmanlı simülasyon (teknik + organizasyonel)
Purple Team işbirliği oturumları
C-Level kriz liderliği değerlendirmesi

Kazanımlar

Fayda

Sektörel düzenleyici gereksinimleri (BDDK, SPK, KVKK) karşılar

Fayda

Gerçekçi senaryolarla teorik bilgiyi pratik deneyime dönüştürür

Fayda

Tekrar eden tatbikatlarla kurumsal dayanıklılık kültürü oluşturur

Kriter
IT, güvenlik, hukuk, iletişim, üst yönetim
Kriter
20+ sektörel senaryo şablonu
Kriter
MTTD, MTTR, karar süresi, iletişim etkinliği
Kriter
Yılda minimum 2 tatbikat (düzenleyici tavsiye)

Teslimatlar

Tatbikat öncesi senaryo dokümanı, tatbikat sırasında gözlem notları ve tatbikat sonrası kapsamlı değerlendirme raporu teslim edilir. Tüm bulgular önceliklendirilmiş aksiyon planına dönüştürülür ve takip mekanizması kurulur.

Senaryo tasarım dokümanı ve katılımcı brifing paketi
Tatbikat yürütme ve moderasyon
Kapsamlı değerlendirme raporu ve gap matrisi
90 günlük iyileştirme aksiyon planı

Kazanımlar

Fayda

Somut ve ölçülebilir iyileştirme hedefleri sunar

Fayda

Düzenleyici denetim ve sertifikasyon süreçlerini destekler

Fayda

Bir sonraki tatbikat için baseline oluşturur

Kriter
Tatbikat sonrası 5 iş günü
Kriter
Jira/Azure DevOps entegrasyonu
Kriter
Sektörel ortalama karşılaştırması
Kriter
ISO 22301, SOC 2 Type II kanıt dosyası

Sıkça Sorulan Sorular

Masa başı tatbikatı ne kadar sürer?

Takvim; kapsam, entegrasyon karmaşıklığı, mevcut olgunluk ve kabul kriterlerine göre keşif aşamasında netleştirilir. Proje planı onaylı kapsam ve bağımlılıklar üzerinden hazırlanır.

Red Team simülasyonu ile penetrasyon testi arasındaki fark nedir?

Penetrasyon testi belirli sistemlerdeki teknik açıkları arar; Red Team simülasyonu ise gerçek bir saldırganın taktik, teknik ve prosedürlerini taklit ederek organizasyonun tüm savunma katmanlarını (insan, süreç, teknoloji) test eder.

Hangi departmanlar tatbikata katılmalı?

IT ve güvenlik ekiplerinin yanı sıra hukuk, kurumsal iletişim, insan kaynakları ve üst yönetim mutlaka dahil edilmelidir. Gerçek bir krizde tüm bu birimler koordineli çalışmak zorundadır.

Tatbikat sonuçları nasıl raporlanır?

Her tatbikat sonrası detaylı gözlem raporu, gap analizi matrisi ve önceliklendirilmiş aksiyon planı sunulur. Yönetim kuruluna özel özet rapor da hazırlanır.

Tatbikat bulguları sertifikasyon denetimlerinde kullanılabilir mi?

Evet. Tatbikat raporları ve aksiyon planları ISO 22301, SOC 2 Type II ve BDDK düzenleyici denetimlerinde kanıt dokümanı olarak sunulabilir.

İyileştirme planı nasıl takip edilir?

Aksiyon kalemleri Jira veya Azure DevOps'a atanır, sorumlu ve termin tarihleriyle birlikte izlenir. 90 gün sonunda ilerleme raporu sunulur.

BAŞLAMA NOKTASI

Konuşmaya nereden başlayalım?

Kısa form, talebinizi doğru destek hattına taşır. Önce bağlamı netleştirir, sonra güvenli paylaşım yöntemini belirleriz.

  1. Bağlamı alırız
  2. Güvenli kanalı seçeriz
  3. İlk yönü netleştiririz

KVKK uyumlu ilk temas; gerekirse güvenli paylaşım akışı; satış baskısı yok.

Talebin ana konusu