🔍 Siber Güvenlik Risk Analizi Nedir?
Siber güvenlik risk analizi; bir işletmenin dijital varlıklarını, bu varlıklara yönelik tehditleri ve mevcut güvenlik açıklarını değerlendirerek risk seviyesini belirleme sürecidir.
Amaç:
- Mevcut açıkları görmek
- Saldırı ihtimalini ölçmek
- Etki → olasılık → risk skorlaması yapmak
- Gerekli önlemleri planlamak
- Yönetim raporları oluşturmak
Risk analizi yapılmadan alınan güvenlik ürünleri kör yatırım olur.
🎯 Risk Analizi Neden Gereklidir?
✔ Olası saldırı riskini ölçmek için
✔ Güvenlik bütçesini doğru planlamak için
✔ Yönetim kuruluna somut rapor sunmak için
✔ KVKK ve ISO 27001 uyumluluğu sağlamak için
✔ Zafiyetlerin öncelik sırasını çıkarmak için
✔ Ransomware gibi kritik tehditlere hazırlıklı olmak için
Risk analizi olmayan şirketin güvenliği eksik demektir.
🛠️ Siber Güvenlik Risk Analizi Nasıl Yapılır? (Adım Adım)
Aşağıda profesyonel danışmanlık ekiplerinin uyguladığı standart metodoloji yer almaktadır.
1. Varlık Envanteri ve Keşif Analizi
İlk olarak şirketin sahip olduğu tüm dijital varlıklar belirlenir:
- Sunucular
- Switch & Firewall
- Bulut hizmetleri
- Domain & Active Directory yapısı
- Kullanıcı ve cihaz envanteri
- Yazılım ve servisler
- Kritik veriler
Keşif yapılmadan risk ölçülemez.
2. Tehditlerin Belirlenmesi
Her varlık için olası tehditler çıkarılır:
- Ransomware
- Phishing
- Yetkisiz erişim
- Zafiyet sömürme
- Veri sızıntısı
- İç tehditler
- DDOS saldırıları
3. Zafiyet Taraması ve Pentest
Bu aşamada:
- İç/dış ağ zafiyet taraması
- Web uygulaması taraması
- Mobil uygulama testleri
- Kablosuz ağ testleri
- Sunucu güvenliği analizi
gibi testler yapılır.
4. Risk Matrisi Oluşturma
Risk değerlendirmesi etki x olasılık formülü ile yapılır.
| Olasılık | Etki | Risk Skoru | Risk Seviyesi |
|---|---|---|---|
| Orta | Yüksek | 15/25 | KIRMIZI – Kritik |
| Düşük | Orta | 6/25 | SARI – Orta |
| Yüksek | Düşük | 9/25 | SARI – Orta |
| Orta | Düşük | 4/25 | YEŞİL – Düşük |
Bu tablo yönetime karar aşamasında çok yardımcı olur.
5. Güvenlik Açıklarının Önceliklendirilmesi
Zafiyetler şu şekilde sınıflanır:
- Kritik zafiyetler → hemen kapatılmalı
- Yüksek risk → 7 gün
- Orta risk → 30 gün
- Düşük risk → uzun vadeli plan
Bu aşamada yönetim için aksiyon planı çıkarılır.
6. Güvenlik Politikalarının Gözden Geçirilmesi
Danışman, şirketin tüm politikalarını kontrol eder:
- Şifre politikası
- E-posta güvenliği
- Yedekleme politikası
- Log yönetimi
- Erişim kontrolü
- Olay müdahale planı
Eksikler raporlanır.
7. Donanım ve Yazılım Yapılandırmalarının İncelenmesi
Özellikle şu ürünler kontrol edilir:
- Firewall kuralları
- IPS/IDS
- NAT yapılandırmaları
- EDR politikaları
- SIEM kuralları
- MFA kullanımı
- Yedekleme stratejisi
Yanlış yapılandırma → risk demektir.
8. KVKK ve 5651 Uyum Kontrolleri
Bu bölüm Türkiye’de en kritik bölümdür.
- Logların imzalanması
- Zaman damgası
- Siber tedbirlerin doğrulanması
- Veri sınıflandırma
- DLP kontrolü
Mevzuat uyumsuzluğu hem ceza hem itibar kaybı yaratır.
9. Yönetim ve Teknik Raporlama
Hazırlanan raporda şu başlıklar bulunur:
- Mevcut risk skoru
- Kritik açıklar
- Tavsiye edilen çözümler
- Zaman planı
- Bütçe önerisi
- Yol haritası
Bu rapor yönetim için en güçlü karar aracıdır.
10. İyileştirme ve Sürekli İzleme
Risk analizi tek seferlik değildir.
- 7/24 İzleme
- Log yönetimi
- Firewall raporlaması
- EDR alarmları
- Aylık risk skorları
Bu adım olmadan güvenlik kapalı sayılmaz.
🛡️ Codark Risk Analizi Yaklaşımı
Codark olarak risk analizi sürecinde:
- ISO 27001 metodolojisi
- Fortigate, TrendMicro, SentinelOne, Palo Alto uzmanlığı
- OrianaLOG üzerinden korelasyonlu log analizi
- SIEM + EDR + Firewall bütünleşik değerlendirme
- Yönetim katına özel raporlama
- “Kritik açık → 24 saat aksiyon” yaklaşımı
kullanıyoruz.
Her şirket için özel olarak tasarlanmış bir risk analizi modeli sunuyoruz.
📌 Sonuç
Siber güvenlik risk analizi, şirketlerin hangi tehditlere açık olduğunu anlaması ve güvenlik yatırımlarını doğru planlaması için temel adımdır.
Profesyonel bir ekip tarafından yapılması; hem maliyetleri düşürür hem saldırı ihtimalini minimuma indirir.
Siber Güvenlik Risk Analizi Nedir? Nasıl Yapılır? – 2025 Kapsamlı Rehber