vCTO ve Ortak Yönetilen Güvenlik
Sorumlu olduğumuz katmanların tek yetkili otoritesini kuruma yerleştiriyoruz: ekibiniz günlük operasyonu sürdürür, ayrıcalıklı erişim ve yapılandırma yetkisi bizdedir.
Sorun
Çoğu orta ölçekli kurumda güvenlik bir kurulum projesidir. Bir firewall alınır, bir antivirüs yüklenir, bir denetim raporu tamamlanır, sonra herkes işine döner. Altyapı kurulduğu gün doğrudur, ertesi gün eskimeye başlar. Ama daha derin bir sorun var: kurum çoğu zaman neye sahip olduğunu bile bilmiyor. Korunacak varlıkların bir kısmı hiçbir envanterde görünmüyor. Görünmeyeni koruyamazsınız.
Dört sonuç
vCTO çalışmasının çıktısı bir ürün listesi değil, dört ölçülebilir sonuçtur:
Görünürlük
Alan adlarından sunuculara, lisanslardan erişim haklarına kadar tam dijital varlık envanteri. Yönetim ilk kez neye sahip olduğunu ve neyin kimin kontrolünde olduğunu görür.
Daralan saldırı yüzeyi
Segmentasyon, egress kilitleme, e-posta kimlik doğrulama, savunmacı alan adı kilitleri ve MFA ile saldırganın kullanabileceği kapılar sistematik olarak kapanır.
Doğru kaynak kullanımı
Mevcut donanımın yeniden değerlendirilmesi, açık kaynakla lisans kalemlerinin eliminasyonu, kullanıcı/cihaz analiziyle fazla lisans alımının önlenmesi. Güvenlik bütçesi ihtiyaca gider, rafa değil.
Felaket hazırlığı
Yedekleme (3-2-1, immutable kasa), DR ortamı ve tatbikatları, internet sürekliliği (BGP multihoming), fiziksel risklerin (su, elektrik, güç) tespiti. Kötü gün planı kağıtta değil, test edilmiş halde durur.
C-level'ın görmediği katman: dijital varlık envanteri
Güvenlik projelerinin çoğu, kurumun neye sahip olduğunu bildiği varsayımıyla başlar. Sahada gördüğümüz gerçek farklı: üst yönetim genellikle kendi dijital envanterinden bihaberdir. Bir vCTO çalışmasının en değerli ilk çıktısı çoğu zaman bir firewall kuralı değil, kimsenin yazmadığı bir varlık haritasıdır.
Somut ve anonim bir örnek. Yakın zamanlı bir çalışmada, kurumun bütün markalı alan adı portföyünü (web siteleri, e-posta, marka kimliği hepsi bu alanlara bağlı) tek bir teknisyenin kendi adına açtığı bir bayi hesabında bulduk. Hesabın kapısı kişisel bir telefona gelen SMS koduyla korunuyordu. Kurumsal bir sahiplik kaydı yoktu. Bu bir kişi hatası değil, tanımlanmamış bir süreçtir. İlgili kişinin ayrılması, hesabı devretmemesi ya da telefon hattının SIM-swap ile ele geçirilmesi durumunda kurum, bütün markalarının internet kimliği üzerindeki kontrolü kaybedebilirdi.
vCTO'nun ilk işi bu: görünmeyeni görünür kılmak, sonra tek elden, kurumsal ve denetlenebilir bir yönetişime bağlamak. Alan adı gibi varlıkları rol bazlı erişim (RBAC), TOTP tabanlı iki adımlı doğrulama, otomatik yenileme takibi ve değiştirilemez denetim izi bulunan kendi yönetilen panelimize (Ops Hub) taşıyoruz; SMS tabanlı doğrulamaya bağımlılık tamamen kaldırılır. Ders alan adlarıyla sınırlı değil: her kurumda kimsenin envantere almadığı, tek kişinin dikkatine asılı bir varlık sınıfı vardır.
Yaklaşım
Önce mimari, sonra ürün. Hiçbir tekil ürün tek başına güvenlik sağlamaz, sıra değişmez. Savunmayı dört katmanda kuruyoruz:
- 1Saldırı yüzeyini daraltmak: segmentasyon, güven zonları, yatay yayılmanın baştan kapatılması.
- 2Kimliği korumak: merkezi MFA, kademeli yönetim, ayrıcalıklı erişimin tek elde toplanması.
- 3Yayılmayı kesmek: e-posta katmanından başlayan giriş savunması, sıkı egress kontrolü.
- 4Tespit ve yanıt: SIEM korelasyonu, XDR, değişmez denetim izi.
Bu sıralama tehdidin işleyişinden çıkar. Tipik fidye zincirinin kökeninde çoğunlukla oltalanmış bir kimlik bilgisi vardır. En güçlü EDR bile geçerli kullanıcı adı ve parolayla yapılan girişi meşru kullanıcı olarak görür. Bu yüzden ilk savunma e-posta ve kimlik katmanındadır.
Yetenek envanteri
| Katman | Ne yapıyoruz | Standart karşılığı |
|---|---|---|
| Dijital varlık keşfi ve envanteri | Salt-okunur alan adı/DNS/WHOIS keşfi, e-posta kimlik doğrulama durumu, shadow-mail tespiti, varlık envanterinin çıkarılıp yönetişime bağlanması | ISO 27001 A.5.9 · PCI DSS 12.5.1 |
| Mimari ve segmentasyon | Güven zonları, ERP/satış/OT ayrımı, Purdue benzeri OT katmanı, çok lokasyonlu IPSec | ISO A.8.22 · PCI DSS Gereksinim 1 |
| Sanallaştırma | VMware ESXi'den Proxmox'a göç, çift host HA kümesi (QDevice hakemli), çökme testi, PBS imaj yedekleme | ISO A.8.14 |
| Kimlik ve MFA | AD/LDAP entegre merkezi MFA (privacyIDEA, RADIUS/PAM), kademeli yönetim, LAPS, FortiGate için FortiToken | ISO A.5.17, A.8.2, A.8.5 · PCI DSS Gereksinim 8 |
| Güvenlik duvarı ve ağ | FortiGate tek elden yönetim (IP whitelist + MFA), FortiManager, FortiAnalyzer, en az 6 ayda bir kural gözden geçirme | ISO A.8.20, A.8.21 · PCI DSS Gereksinim 1 |
| İnternet sürekliliği ve BGP | Kuruma ait /24 IP bloğu ve ASN ile çoklu operatör (BGP multihoming), RPKI ROA, rDNS/PTR kontrolü, FortiGate HA çifti; operatör bağımsızlığı ve saniyeler içinde hat devri | ISO A.5.29, A.5.30, A.8.14 |
| SIEM ve izleme | Wazuh ile log toplama, korelasyon, anomali tespiti, FIM (AD/SYSVOL değişiklikleri dahil), değişmez denetim izi | ISO A.8.15, A.8.16 · PCI DSS Gereksinim 10 |
| E-posta güvenliği | Proofpoint (kurumsal) ve Barracuda (KOBİ): oltalama, BEC, hesap ele geçirme, ek/URL sandbox, e-posta DLP. SPF/DKIM/DMARC yönetimi ve fazlı DMARC. Teslimat: FCrDNS/PTR ve IP itibarı | ISO A.5.14, A.8.7 |
| Uç nokta | Palo Alto Cortex XDR, politika yönetimi, periyodik tarama | ISO A.8.7 · PCI DSS Gereksinim 5 |
| Yedekleme ve DR | PBS imaj yedeği, Oracle RMAN, Proxmox replikasyonu, VeriTeknik veri merkezinde DR ortamı, silinemeyen offsite immutable kasa, periyodik geri yükleme testleri | ISO A.8.13, A.5.30 |
| BGYS (ISO 27001) danışmanlığı | 5x5 risk matrisi (Madde 6.1.2), Uygulanabilirlik Bildirgesi (SoA) güncelleme, CAPA planı, iç denetim ve yönetim gözden geçirme takvimi, tatbikatlar; belgelenmiş sistemin sahadaki kontrollerle hizalanması | ISO Madde 6.1, 9.2, 10.2 |
| Fiziksel ve çevresel değerlendirme | Sistem odası yerleşim ve su riski, elektrik güvenliği (RCD/RCBO), UPS mimarisi, erişim loglama; bulgular kalite sistemine (ISO 9001) bağlanır | ISO A.7.x · ISO 9001 7.1.3, 7.1.4 |
| CDR ve airgap | Zonlar arası denetimli dosya transferi: yeniden render, aktif içerik söküm, çok motorlu tarama (VeriTeknik geliştirmesi) | ISO A.5.14, A.8.22 |
| Yama yönetimi | WSUS, yerel apt mirror, FortiGate egress kilitleme (default deny + FQDN whitelist), kritik yamalar 1 ay içinde | ISO A.8.8 · PCI DSS Gereksinim 6 |
| Yazılım varlık ve lisans uyumu | Lisans envanteri, kullanıcı/cihaz (CAL) analiziyle fazla alım önleme, korsan etkinleştirme aracı taraması (bilinen zararlı dağıtım vektörü) | ISO A.5.32 · FSEK 5846 |
| Regülasyon ve resmi yazışma desteği | Kamu kurumu yazılarına teknik cevap ve proaktif önlem ekleri, 7545 sayılı Kanun bağlam takibi, KVKK bildirim süreçleri | 7545 · KVKK |
VMware'den Proxmox'a göç
Broadcom'un VMware'i abonelik paketlerine taşıması, bayi düzenini daraltması ve lisans fiyatlarındaki agresif artış, birçok kurumu sanallaştırma katmanını yeniden düşünmeye zorladı. Proxmox VE bu ölçekte olgun, denetlenebilir ve lisans maliyetsiz bir alternatiftir; yerleşik yedekleme sunucusu (PBS) ile Veeam sınıfı ayrı bir lisans kalemini de ortadan kaldırır.
Göç projelerimiz şu adımlarla yürür: envanter ve keşif, VM dönüşümü, paylaşımlı storage'ın (FC/iSCSI, multipath) yeni hypervisor'a bağlanması, PBS ile imaj yedekleme, test ve geri dönüş planı, ihtiyaca göre QDevice hakemli çift host HA ve çökme testi. Göç tek başına bir proje olarak tekliflenebilir; yönetilen hizmetle birlikte alındığında kurulum sonrası işletim, sıkılaştırma ve izleme de aynı çatı altında sürer.
Açık kaynak öncelikli, gerektiğinde kanıtlanmış ticari
Uygun olan her yerde açık kaynak konumlandırıyoruz: Proxmox, Wazuh, PBS, Zimbra, Nextcloud, privacyIDEA. Kaynak kodun denetlenebilirliği ve tedarikçi kilidinin olmaması kontrolü artırır, lisans maliyeti düşer. Açık kaynağın yetmediği veya kritikliğin ticari desteği zorunlu kıldığı katmanlarda ise kendini kanıtlamış ürünlerin yetkili iş ortağıyız:
| Ürün | Segment | İlişki |
|---|---|---|
| Barracuda | KOBİ e-posta güvenliği | 2007'den bayi, 2008'den distribütör |
| Proofpoint | Kurumsal e-posta güvenliği | Partner |
| Palo Alto (Cortex XDR) | Uç nokta tespit ve yanıt | Partner |
| Fortinet (FortiGate) | Ağ güvenliği | Kurulum ve tek elden yönetim |
Seçim kriterimiz dogma değil ihtiyaçtır: açık kaynak uyduğu yerde, ticari ürün gerektiği yerde. Aynı ilke kaynak tarafında da geçerlidir: mevcut donanım gözden çıkarılmaz, güvenli silme sonrası DR veya yedeklilik için yeniden değerlendirilir.
Aylık yönetilen hizmet ne yapar
Değeri üreten şey her gün sürdürülen işletimdir; kurulum yalnızca başlangıç noktasıdır. Sorumluluklar RACI ile netleştirilmiştir. Ritim:
| Periyot | Yapılan iş |
|---|---|
| Günlük | SIEM triyajı, kritik yama takibi, yedek doğrulama, kimlik ve erişim olaylarının izlenmesi |
| Haftalık | Firewall kural seti gözden geçirme, anomali raporu, egress kontrolü, e-posta tehdit özeti |
| Aylık | Yama uyum raporu, erişim hakları denetimi, DR geri yükleme testi örneklemi, değişiklik kayıtları, log ve güvenlik olaylarının ortak gözden geçirimi |
| Üç aylık | Mimari gözden geçirme, segmentasyon doğrulaması, DR tatbikatı, uyum durumu raporu (PCI DSS, ISO 27001, KVKK) |
Tek elden yönetim, net sorumluluk
Sorumlu olduğumuz katmanların tek yetkili otoritesi (single source of authority) biziz. Root ve ayrıcalıklı erişim VeriTeknik'tedir, her yapılandırma değişikliği yardım masası üzerinden bizim onayımızdan geçer. Günlük rutin operasyon ve L1 izleme ekibinizde kalır. Güvenlik duvarı yönetici erişimi yalnızca VeriTeknik'e açıktır (IP whitelist + MFA). Loglar, EDR ve yedekler kullanan taraftan ayrı bir otoritede tutulur; kullanan taraf bunları değiştiremez.
İlke net: çift başlı yönetimde sorumluluk takip edilemez. Kimin neyi değiştirdiği belirsizse, bir olay yaşandığında kök neden de belirsiz kalır. Uygulama katmanı (IFS, SAP ve benzeri ERP'ler) yetkili firmanın sorumluluğundadır; platform, işletim sistemi ve hypervisor tek elden bizde kalır. Bir işe sonradan dahil olursak, önceki adli analiz ve forensic çalışmasını açıkça kapsam dışında tutarız; geçmiş anlatıyı doğrulamaz veya sahiplenmeyiz, ileriye dönük önleyici aksiyonla başlarız.
Nasıl başlıyoruz
Keşif (1-2 hafta)
Salt-okunur dijital varlık keşfi, saha ve fiziksel ortam değerlendirmesi, lisans ve kaynak envanteri, mevcut durum analizi, risk ve boşluk haritası. Hiçbir sisteme müdahale edilmez.
Yol haritası
Bulgular üç katmanlı tek raporda sunulur (yönetici özeti, bulgular, teknik ekler), risk matrisi ve CAPA planıyla birlikte. Katman bazlı öncelik sırası ve kapsam birlikte netleştirilir.
Ortak yönetime geçiş
RACI ve yetki sınırları imzalanır, ayrıcalıklı erişim devralınır, ekibinize L1 operasyon aktarımı ve eğitim verilir. İlk 90 günde hızlı kazanımlar (MFA, egress kilitleme, e-posta kimlik doğrulama, savunmacı alan adı kilitleri) devreye alınır.
Kimlere uygun
PCI DSS, ISO 27001 veya KVKK yükümlülüğü olan, kendi bünyesinde tam zamanlı bir güvenlik ekibi taşımayan, çok lokasyonlu orta ölçekli kurumlar. Üretim (gıda dahil süreç üretimi), finans teknolojisi, sağlık ve OT katmanı bulunan işletmeler için uygundur.
Sık sorulan sorular
Ayrıcalıklı erişim sizde olursa iç BT ekibimiz ne olur?
Ekibiniz küçülmez, rolü netleşir. Kullanıcı desteği, fiziksel kontrol, envanter ve L1 izleme ekibinizde kalır; biz gözetim, değişiklik onayı ve ayrıcalıklı icrayı üstleniriz. Görev ve yetki sınırları yazılı bir belgeyle tanımlanır, herkes neyi yapıp neyi talep edeceğini bilir.
Neden tüm ayrıcalıklı erişim tek elde toplanıyor?
Kuvvetler ayrılığı için. Bir sistemi kullanan taraf aynı sistemin güvenliğini, loglarını ve yedeklerini kontrol ederse önleme, tespit ve hesap verebilirlik aynı anda çöker. İki ayrı ayrıcalıklı otorite olduğunda ise arıza anında sorumlu belirsizleşir. Standartlar da bunu şart koşar (ISO 27001 A.5.3, PCI DSS Gereksinim 7).
Sözleşme biterse ne olur, kilitlenir miyiz?
Hayır. Çıkış ve devir planı sözleşmede tanımlanır: güncel mimari ve yapılandırma dokümantasyonu, erişim envanteri ve devir prosedürü tarafınıza veya belirleyeceğiniz yeni sağlayıcıya düzenli biçimde teslim edilir. Açık kaynak ağırlıklı yığın, tedarikçi kilidini zaten yapısal olarak azaltır.
Açık kaynak kurumsal ortamda riskli değil mi?
Açık kaynak otomatik olarak daha güvenli veya daha riskli değildir. Güvenliği üreten şey doğru yapılandırma, denetlenebilirlik ve sürekli işletimdir. Bu yüzden açık kaynağı disiplinle işletiyor, kritik katmanlarda kendini kanıtlamış ticari ürünleri konumlandırıyoruz.
Fiyatlandırma nasıl çalışır?
Keşif sonrası kapsam bazlı tekliflenir. Model tipik olarak aylık yönetilen hizmet bedeli (kur korumalı) ile ayrı faturalanan donanım/lisans tedariğinden oluşur; kurulum eforu yönetilen hizmet dönemine dahil edilir.
Miras ve referanslar
2015'ten bu yana 50'den fazla PCI DSS sertifikasyonu, Türkiye'nin ilk Level 1 servis sağlayıcısı olarak sıfır başarısızlıkla. Bünyemizde iki TSE sertifikalı ISO/IEC 27001 iç denetçi görev yapar. E-posta güvenliğinde 2007'den itibaren Barracuda'nın Türkiye bayisi, 2008'den distribütörü; 17 yılı aşkın deneyimle bugün Proofpoint partneri. Bankacılık ve elektronik para kuruluşlarında olgunlaşan yüksek güvenlik disiplinini, aynı tehdide maruz kalan orta ölçekli kurumlara taşıyoruz.
İlgili içerik
Görüşelim
Kapsamı birlikte çıkaralım. Dijital varlık keşfi, mevcut durum analizi ve katman bazlı yol haritasıyla başlıyoruz. Fiyatlandırma kapsama göre tekliflenir.
Görüşme planlayın