2026 · İyileştirme Planı · Yol Haritası

2026 İyileştirme Planı ve Yol Haritası: Önceliklendirme, Sahiplik ve Ölçülebilir Dönüşüm

2026 döneminde kurumların güvenlik, uyum ve operasyonel verimlilik hedefleri; tekil aksiyon listelerinden ziyade, risk/etki odaklı önceliklendirilmiş, sahipliği tanımlı ve KPI’larla izlenen bir yol haritası yaklaşımıyla yönetilmelidir.

Bu içerik; iyileştirme ihtiyaçlarının hızlı kazanımlar, orta vadeli olgunluk adımları ve uzun vadeli mimari dönüşüm olarak kademelendirilmesini; bağımlılık yönetimi, takvimleme ve yönetişim bileşenleri ile birlikte ele alan kurumsal bir çerçeve sunar.

Çerçeveyi Gör Planlama Adımları

İçindekiler 1. Kapsam ve Hedef: 2026 İyileştirme Planı Neyi Çözer? 2. Önceliklendirme Modeli: Risk/Etki, Bağımlılıklar ve Hızlı Kazanımlar 3. Planlama: 30-60-90 Gün, 6 Ay ve 12 Ay Aksiyonları 4. Sahiplik ve Yönetişim: RACI, Onay Mekanizmaları ve Denetim İzleri 5. KPI ve Raporlama: Ölçüm, Kanıt ve Yönetim Görünürlüğü 6. Örnek Yol Haritası: Başlık Bazlı Aksiyon Havuzu 7. Sık Sorulan Sorular

Özet

Hedef: İyileştirmeleri “liste” olmaktan çıkarıp yönetilebilir programa dönüştürmek.
Yaklaşım: Risk/etki + bağımlılık + sahiplik + takvim + KPI + kanıt.
Çıktı: 30-60-90 gün hızlı kazanımlar, 6 ay olgunluk adımları, 12 ay mimari hedefler.

Risk/Etki Roadmap RACI KPI Kanıt

Not: İyileştirme planı; denetim ve değerlendirme çıktılarının “bulgu” seviyesinde kalmasını engeller. Her madde için hedef durum, kabul kriteri, kanıt ve tamamlama tanımı birlikte belirlenmelidir.

1. Kapsam ve Hedef: 2026 İyileştirme Planı Neyi Çözer?

Kurum içi iyileştirme girişimlerinin başarısız olmasının temel nedeni, aksiyonların “tek seferlik müdahale” olarak ele alınmasıdır. Oysa sürdürülebilir yaklaşım; kontrol olgunluğu, operasyonel disiplin ve yönetişim bileşenlerini birlikte kurgular.

2026 iyileştirme planı ve yol haritası; güvenlik ve uyum başta olmak üzere kritik operasyonel alanlarda riskleri azaltmayı, denetimlenebilirliği artırmayı ve yatırım kararlarını rasyonelleştirmeyi amaçlar. Bu kapsamda plan; sadece “ne yapılacak” sorusunu değil, aynı zamanda “kimin, ne zaman, hangi kanıtla tamamladığı” sorularını da cevaplar.

Boyut	Örnek İyileştirme Alanı	Beklenen Çıktı	Kanıt / Ölçüm
Teknik	Kimlik ve erişim (IAM), zafiyet yönetimi, segmentasyon, EDR/SIEM	Azaltılmış saldırı yüzeyi, hızlı tespit/müdahale	Konfig çıktıları, raporlar, test sonuçları
İdari	Politika-prosedür, rol/sorumluluk, tedarikçi güvenliği	Denetimlenebilir yönetişim	Politika onay kayıtları, RACI, tedarikçi değerlendirmeleri
Süreç	Değişiklik yönetimi, olay müdahale, yedekleme/BCP	İş sürekliliği ve operasyonel standardizasyon	SLA, tatbikat kayıtları, DR test raporu

Uygulamada bu tablo, kurumun mevcut olgunluğu, bütçe sınırları ve kritik iş süreçlerine göre özelleştirilmelidir.

2. Önceliklendirme Modeli: Risk/Etki, Bağımlılıklar ve Hızlı Kazanımlar

“Her bulgu önemli” yaklaşımı, kaynakları dağıtır ve risk azaltımını geciktirir. Bu nedenle 2026 yol haritası, risk/etki odaklı bir matrise dayanmalıdır. Önceliklendirme yapılırken yalnızca teknik önem değil; iş etkisi, uyum yükümlülüğü, tehdit senaryosu olasılığı ve bağımlılıklar birlikte değerlendirilmelidir.

2.1. Pratik Öncelik Kriterleri

İş Etkisi: Hizmet kesintisi, veri kaybı, finansal zarar, itibar etkisi.
Olasılık: Sömürülebilirlik, internet maruziyeti, erişim kolaylığı, PoC varlığı.
Yayılım Riski: Tek sistem mi, yatay yayılım yaratır mı, ayrıcalık yükseltme mümkün mü?
Uyum Etkisi: KVKK/ikincil düzenlemeler, ISO 27001, sözleşmesel yükümlülükler.
Efor/Maliyet: Hızlı kazanım mı, mimari değişiklik mi, lisans/altyapı ihtiyacı var mı?
Bağımlılıklar: Örneğin IAM olmadan erişim izleri; envanter olmadan zafiyet yönetimi.

2.2. “Quick Win” Mantığı

30-60-90 gün bandında, düşük eforla yüksek risk azaltımı sağlayan aksiyonlar önceliklendirilmelidir. Tipik örnekler:

İnternete açık yönetim portlarının kapatılması / erişim kısıtlanması
MFA devreye alınması (özellikle yönetici ve uzaktan erişim hesapları)
Kritik yamaların SLA kapsamında uygulanması
Temel log toplama ve alarm üretimi (kritik sistemler için)

Yönetim Notu: Quick win adımları, “yol haritasının tamamı” değildir. Ama erken dönemde görünür risk azaltımı sağlayarak programın sahiplenilmesini ve bütçe gerekçelendirmesini güçlendirir.

3. Planlama: 30-60-90 Gün, 6 Ay ve 12 Ay Aksiyonları

Yol haritası; dönemsel hedeflere ayrılarak yönetildiğinde, hem operasyonel yük dengelenir hem de ölçülebilir ilerleme sağlanır. Önerilen yapı; 30-60-90 gün (hızlı kazanımlar), 6 ay (olgunluk) ve 12 ay (mimari dönüşüm) şeklindedir.

3.1. 30-60-90 Gün: Kritik Risk Azaltımı

Kritik/yüksek zafiyetlerin kapatılması (SLA tanımlı)
MFA + ayrıcalıklı hesap yönetimi temel adımları
İnternet maruziyetinin azaltılması (WAF, IP allowlist, VPN/Zero Trust erişim)
Log toplama kapsamının artırılması (kritik sistemler, kimlik olayları)
Yedekleme doğrulama ve geri dönüş testleri (en azından kritik servisler)

3.2. 6 Ay: Süreç ve Olgunluk Kurgusu

Zafiyet yönetimi sürecinin standardize edilmesi (scan, triage, remediation, retest)
Olay müdahale playbook’larının oluşturulması ve tatbikat
Tedarikçi güvenliği kontrol seti (asgari güvenlik gereksinimleri, değerlendirme)
Değişiklik yönetimi ve konfigürasyon standardı
SIEM use-case setinin olgunlaştırılması (kritik senaryolar)

3.3. 12 Ay: Mimari Hedefler

Zero Trust yaklaşımı: kimlik, cihaz, ağ ve uygulama katmanı kontrolleri
Segmentasyon ve mikro segmentasyon adımları
Gelişmiş tehdit avcılığı ve otomasyon (SOAR) fırsatları
Güvenlik metrikleri ile kurumsal performans yönetimi entegrasyonu

Operasyonel Kural: Her aksiyon için “tamamlandı” tanımı yalnızca görev kapatma değildir. Kanıt üretilmeli (konfig çıktısı, kontrol raporu, test sonucu, kayıt, tutanak).

4. Sahiplik ve Yönetişim: RACI, Onay Mekanizmaları ve Denetim İzleri

Yol haritasının en kritik bileşeni; sahiplik modelidir. “Birimin işi” yaklaşımı yerine; her aksiyon için RACI (Responsible, Accountable, Consulted, Informed) ile rol netliği sağlanmalıdır.

4.1. RACI Kurgusu (Örnek)

Aksiyon	Responsible	Accountable	Consulted	Informed
MFA yaygınlaştırma	BT Operasyon	BT Direktörlüğü	Bilgi Güvenliği	İş Birimleri
Zafiyet yönetimi süreci	Bilgi Güvenliği	Üst Yönetim Sponsor	BT Operasyon / Uygulama	Denetim / Uyum
Olay müdahale tatbikatı	Bilgi Güvenliği	CISO/ISMS	Hukuk / İK / İletişim	Üst Yönetim

4.2. Denetimlenebilirlik

Kurumsal yapılarda “yapıldı” beyanı tek başına yeterli kabul edilmez. Denetimlenebilirlik için; versiyonlu dokümantasyon, onay kayıtları, uygulama kanıtları ve izleme raporları birlikte tutulmalıdır.

İpucu: Yol haritası maddelerini; Jira/DevOps gibi araçlarda epik-iş paketi modeline çevirip, her iş paketine “kabul kriteri” alanı eklemek, kapanış kalitesini ciddi ölçüde artırır.

5. KPI ve Raporlama: Ölçüm, Kanıt ve Yönetim Görünürlüğü

KPI’lar; hem teknik iyileştirmelerin iş etkisini görünür kılar hem de kaynak kullanımını yönetilebilir hale getirir. Öneri; “az ama etkili” metrik seti ile başlamaktır.

Patch SLA Uyumu

Kritik/yüksek açıkların kapanma süresi ve zamanında kapanma oranı (haftalık/aylık trend).

Log Kapsama Oranı

Kritik sistemlerde log toplama yüzdesi, kimlik olayları kapsaması ve alarm üretim kalitesi.

MTTD / MTTR

Olay tespit süresi ve müdahale/iyileştirme süreleri; playbook’lara uyum ile birlikte izlenir.

Kontrol Olgunluğu

Yıl içinde belirlenen kontrol setinde seviye artışı (ör. 1→2); denetim kanıtlarıyla doğrulanır.

5.1. Raporlama Yapısı

Operasyon Raporu (Haftalık): Kritik riskler, geciken aksiyonlar, blokajlar.
Yönetim Özeti (Aylık): KPI trendleri, bütçe/efor görünürlüğü, risk azaltım çıktısı.
Denetim Paketi (Çeyreklik): Kanıt setleri, politika sürümleri, tatbikat kayıtları.

2026 İyileştirme Planı Yol Haritası RACI KPI Yönetişim Denetim

6. Örnek Yol Haritası: Başlık Bazlı Aksiyon Havuzu

Aşağıdaki aksiyon havuzu, farklı kurumlarda ortak karşılaşılan ihtiyaçları temsil eder. Kurumunuza uyarlarken; kapsam, bağımlılık, mevcut olgunluk ve regülasyon gereksinimleri dikkate alınmalıdır.

Başlık	Hızlı Kazanım (0-90 Gün)	Olgunluk (0-6 Ay)	Mimari Hedef (0-12 Ay)
Kimlik & Erişim	MFA kritik hesaplar, ayrıcalıklı hesap envanteri	PAM süreçleri, erişim gözden geçirme periyotları	Zero Trust erişim modeli
Zafiyet Yönetimi	Kritik patch SLA, internet maruziyeti azaltımı	Scan/triage/remediation standardı, retest	Sürekli zafiyet yönetimi otomasyonu
Log & İzleme	Kritik sistem log toplama, temel alarmlar	Use-case olgunlaştırma, korelasyon kuralları	SOAR entegrasyonu ve otomasyon
İş Sürekliliği	Yedek doğrulama, kritik servis geri dönüş testi	BCP/DR tatbikatları, RTO/RPO netleştirme	Dayanıklılık mimarisi ve otomatik failover

Uygulama Notu: Tabloyu, her satıra “sorumlu”, “kabul kriteri” ve “kanıt” alanlarını ekleyerek proje planına dönüştürmeniz, sürdürülebilir sonuç üretir.

7. Sık Sorulan Sorular

İyileştirme planı ile aksiyon listesi arasındaki fark nedir?

Aksiyon listesi çoğunlukla “yapılacaklar” görünümündedir. İyileştirme planı ise; sahiplik, takvim, bağımlılık, KPI ve kanıt bileşenleriyle denetimlenebilir bir program yapısı kurar.

Önceliklendirme kim tarafından yapılmalı?

Teknik ekip, iş birimleri ve uyum/hukuk paydaşları birlikte çalışmalıdır. Nihai sıralama; kurumun risk iştahı ve iş etkisi üzerinden yönetim seviyesinde netleştirilmelidir.

KPI seti çok mu detaylı olmalı?

Başlangıçta az ama güçlü metrik seti önerilir. KPI’lar; raporlanabilir, doğrulanabilir ve aksiyona dönüştürülebilir olmalıdır. Zaman içinde olgunluk arttıkça metrikler genişletilebilir.

Bu yol haritası hangi kaynaklarla yönetilmeli?

Asgari düzeyde; bir program sahibi, teknik aksiyon liderleri ve aylık yönetim gözden geçirme toplantısı yeterli başlangıç sağlar. Kurum ölçeğine göre PMO desteği ve denetim paketi süreçleri eklenebilir.