KVKK ve ISO 27001 uyumu siber güvenlik için yeterli mi?

Uyum vs Tehdit Odaklı Güvenlik

• Uyum odaklı: Checklist, reaktif, geçmiş vakalara dayalı.
• Tehdit odaklı: “Saldırgan gibi düşün”, proaktif, uyarlanabilir.

Regülasyonların Kapsayamadığı Alanlar

• Sıfırıncı gün zafiyetleri.
• İnsan faktörünün derinliği ve manipülasyon.
• İş mantığı hataları ve suistimal.
• Tedarik zinciri bağımlılıkları.

Phishing, spear phishing, vishing, baiting ve pretexting; otorite, aciliyet, merak ve yardım etme duygularını hedef alır.

Korunma

• Sürekli simülasyonlu eğitim, “güven ama doğrula”.
• E-posta ağ geçitleri, dış kaynak etiketi, prosedür dışına çıkmama.

• Kötü niyetli içeriden: İntikam/çıkar, arka kapı.
• İhmalkâr içeriden: Zayıf parola, izinsiz paylaşım.
• Ele geçirilmiş içeriden: Kimlik bilgisi sızmış kullanıcı.

Kontroller

• En az ayrıcalık (PoLP), hızlı offboarding.
• UEBA, DLP ve olağan dışı davranış alarmı.

• Teknoloji izi: Shodan/Censys, açık depolar, DNS/WHOIS.
• İnsan izi: LinkedIn, sosyal medya → spear phishing.
• Yanlış yapılandırma: Public S3, açık dev/test sistemleri.

ASM & DLP

• Saldırı yüzeyi yönetimi (ASM) ve dış veri sızıntısı izleme.
• Paylaşım hijyeni ve maruziyet azaltımı.

CEO’nun Acil Ricası

Taklit alan adı + M&A hikâyesi + psikolojik baskı → hatalı transfer.

Unutulmuş Dev Sunucu

Envanter dışı, yamalanmamış dev → yanal hareketle veri sızıntısı.

Güvenilir İş Ortağı

3. taraf güncellemeye zararlı kod enjekte edilmesi → şifreleme/ihlal.

• Kısıtlı zaman/kapsam, APT taktiklerini tam yansıtamaz.
• İş mantığı açıkları ve gelişmiş sosyal müh. kaçabilir.
• Fiziksel/insider simülasyonları genelde kapsam dışıdır.

Pentest Ötesi

• Red Teaming, sürekli güvenlik doğrulaması.
• Tehdit avcılığı ve saldırı simülasyonları.

Saldırganlar VPN/proxy/Tor, dağıtık brute-force ve C2 trafiği ile izlerini gizler.

Önlemler

• Tehdit istihbaratı entegrasyonu, davranışsal analiz.
• MFA, anomali tabanlı kimlik doğrulama kontrolleri.

Pasif, tek seferlik, genel eğitimler etkisiz kalır.

Etkili Model

• Süreklilik, simülasyon, anlık geri bildirim, oyunlaştırma.
• Rol bazlı içerik ve “güvenlik şampiyonları” yaklaşımı.

• Yazılım tedarik zinciri (SolarWinds, OSS kütüphaneler).
• Hizmet tedarik zinciri (MSP, ajans, hukuk bürosu).
• Donanım tedarik zinciri (hardware backdoor).

TPRM ve Kontroller

• Değerlendirme & sözleşme şartları, SBOM.
• Sıfır güven, ağ segmentasyonu, erişim sınırları.

• TTP odaklı savunma: Sektör aktörlerini analiz edin.
• Assume Breach: Önleme + tespit/müdahale dengesi.
• Sürekli doğrulama: Red Team & ASM.

Dayanıklılık

• Yedekleme/kurtarma, olay müdahale ve kriz iletişimi.