Zafiyet ve Yama Yönetimi: KOBİ'ler İçin 90 Günlük Uygulama Rehberi (2026)

Ankara'da Zafiyet ve Yama Yönetimi: KOBİ'ler İçin 90 Günlük Uygulama Rehberi (2026)

Ankara'da zafiyet ve yama yönetimi artık yalnızca teknik bir bakım işi değil; doğrudan iş sürekliliği, denetim hazırlığı ve müşteri güveni konusu. Bu rehber, özellikle KOBİ sahipleri, IT yöneticileri, sistem uzmanları ve güvenlik sorumluları için hazırlandı. Hedefimiz, "hangi açığı önce kapatmalıyım ve bunu operasyonu bozmadan nasıl yaparım?" sorusuna net bir çalışma modeli sunmak.

Kısa Cevap

Zafiyet yönetiminde başarı, tüm açıkları aynı anda kapatmak değil; aktif sömürü riski yüksek açıkları önce kapatıp bunu tekrarlanabilir bir süreç haline getirmektir. Ankara'daki kurumlar için pratik model: ilk 15 günde varlık ve açık görünürlüğü, 16-45 günde risk bazlı önceliklendirme ve hızlı kapatma, 46-90 günde otomasyon ve KPI odaklı yönetişim.

Kısa Özet

• Verizon DBIR 2025'e göre analiz edilen 22.052 olayın 12.195'i doğrulanmış veri ihlali; küresel ölçekte zafiyet sömürüsü başlangıç vektörü %34 arttı.
• Aynı raporda ransomware ihlallerin %44'ünde yer alıyor ve yıllık artış %37 seviyesinde.
• Microsoft Digital Defense Report 2025 bulgularında kimlik saldırılarının %97'si parola tabanlı saldırı tipiyle (password spray) ilişkili.
• NIST SP 800-40 Rev.4 (Nisan 2022), patching'i "işin maliyeti" ve kurumsal risk azaltmanın çekirdek disiplini olarak tanımlıyor.
• FIRST EPSS çalışma notlarına göre birçok kurum açıklarının ayda ortalama %10-15'ini kapatabiliyor; bu yüzden önceliklendirme modeli kritik.
• KVKK karar özetlerinde "en kısa sürede" bildirim ifadesi 72 saat olarak yorumlanıyor; gecikme ciddi idari para cezası riski doğuruyor.

İçindekiler

• Neden 2026'da Ankara için zafiyet ve yama yönetimi kritik?
• Zafiyet yönetimi nerede kırılır? 6 yaygın operasyon hatası
• 90 günlük Ankara uygulama planı
• Risk bazlı önceliklendirme modeli (CVSS + KEV + EPSS)
• KPI panosu: haftalık neyi ölçmelisiniz?
• Kopyalanabilir zafiyet ve yama kontrol listesi
• Sık sorulan sorular

Görsel: Pexels - Data center operations.

Neden 2026'da Ankara için zafiyet ve yama yönetimi kritik?

Ankara'da birçok şirket hibrit çalışıyor: merkez ofiste ERP/finans süreçleri, saha ekiplerinde mobil erişim, bulutta e-posta ve iş birliği araçları, yerelde de kritik sunucu iş yükleri. Bu karma mimaride "açık yönetimi" eksik kaldığında risk sadece IT tarafında kalmıyor; teklif süreçleri, üretim planı, müşteri destek ve yasal uyum akışları da etkileniyor.

Verizon'un 2025 DBIR bulguları tabloyu netleştiriyor: zafiyet sömürüsü artıyor, üçüncü taraf bağımlılığı saldırı yüzeyini büyütüyor, ransomware etkisi ise özellikle kaynakları sınırlı şirketlerde daha ağır hissediliyor. Bu durum, "kritik açığı hızlı kapatma" refleksini kurumsal bir rutine dönüştürmeyi zorunlu hale getiriyor.

Aynı dönemde kimlik tabanlı saldırıların yükselişi, patching ile identity güvenliğinin birlikte ele alınması gerektiğini gösteriyor. Çünkü çok sayıda olay tek bir zafiyetten değil, zafiyet + kimlik + yanlış yetki kombinasyonundan büyüyor.

Zafiyet yönetimi nerede kırılır? 6 yaygın operasyon hatası

1) Varlık envanteri güncel değil

Hangi sistemin nerede çalıştığı bilinmiyorsa, tarama sonucu çıkan açıklar gerçek sahiplerine atanmıyor. Kapatma süresi uzuyor, tekrar eden açık oranı artıyor.

2) CVSS tek başına karar kriteri oluyor

CVSS önemlidir, ancak "aktif sömürü" sinyalini tek başına vermez. CVSS + KEV + EPSS + iş kritiklik bilgisi birlikte kullanılmalı.

3) İnternet açık varlıklarla iç ağ aynı SLA'de yönetiliyor

İnternete açık sistemlerdeki kritik açıklar, iç ağdaki benzer açıklardan daha kısa sürede kapanmalı. Tek SLA, yanlış hızda müdahale üretir.

4) Patch penceresi sadece aylık bakım gününe sıkıştırılıyor

Acil riskli açıklar için standart bakım penceresi beklemek, maruz kalma süresini gereksiz uzatır. Acil patch prosedürü ayrı tanımlanmalı.

5) Değişiklik sonrası doğrulama yok

Patch "yüklendi" bilgisi tek başına yeterli değil. Servis sağlığı, performans ve güvenlik doğrulaması yoksa kapanan risk tekrar açılabilir.

6) Raporlama teknik kalıyor, yönetim dili oluşmuyor

Yönetim ekibi "kaç açık kapandı" değil, "iş riski ne kadar azaldı" sorusuna yanıt ister. Risk odaklı KPI raporu şart.

90 günlük Ankara uygulama planı

Faz 1 (Gün 1-15): Görünürlük ve sınıflandırma

• CMDB/varlık listesi güncellenir: sunucu, istemci, network cihazı, kritik uygulama.
• Zafiyet tarama kaynakları birleştirilir (agent, network scan, cloud bulguları).
• Varlıklar etiketlenir: owner, criticality, internet-facing, data-class.
• İlk risk backlog'u çıkarılır: aktif sömürü sinyali taşıyan açıklar ayrı kuyruğa alınır.

Çıktı:

• Açıkların tekil görünürlüğü
• İş kritikliği bazlı sahiplik haritası
• İlk 20 yüksek öncelikli açık listesi

Faz 2 (Gün 16-45): Risk bazlı kapatma ve hızlı kazanım

• İnternete açık kritik sistemler için hızlandırılmış kapanış akışı devreye alınır.
• KEV'de yer alan veya EPSS olasılığı yüksek açıklar önceliklendirilir.
• Patch öncesi/sonrası doğrulama checklist'i zorunlu hale getirilir.
• Geçici azaltım (workaround, segmentation, WAF rule, service isolation) senaryoları yazılı hale getirilir.

Çıktı:

• Kritik açık kapanış hızında görünür iyileşme
• Tekrarlayan açıkların düşmesi
• Değişiklik kaynaklı kesinti oranında azalma

Faz 3 (Gün 46-90): Otomasyon ve yönetişim

• Haftalık risk toplantısı: IT + güvenlik + operasyon + yönetim temsilcisi.
• SLA ihlal alarmı ve eskalasyon kuralı otomatikleştirilir.
• Aylık yönetim raporu: maruz kalma süresi, açık yaşlanması, iş etkisi.
• Çeyreklik iyileştirme planı: kapasite, araç, süreç, eğitim.

Çıktı:

• Sürdürülebilir yama ritmi
• Ölçülebilir risk azaltımı
• Denetime hazır kanıt seti

Risk bazlı önceliklendirme modeli (CVSS + KEV + EPSS)

Sahada en pratik yaklaşım, her bulguya tek bir risk puanı atayıp işlem sırasını bu puana göre belirlemektir.

Örnek puanlama yaklaşımı:

Risk Skoru = (CVSS x 0.30) + (KEV x 0.25) + (EPSS x 0.20) + (Varlık Kritiklik x 0.15) + (Internet Exposure x 0.10)

Açıklama:

• CVSS: Teknik şiddet
• KEV: Aktif sömürü kanıtı (var/yok)
• EPSS: Önümüzdeki 30 gün exploit olasılığı
• Varlık kritiklik: İş etkisi
• Internet exposure: Dışa açıklık seviyesi

Örnek aksiyon matrisi:

Not: CISA'nın federal kurumlar için tanımladığı BOD yaklaşımı (ör. 2 hafta, 15 gün, 30 gün gibi süreler) doğrudan özel sektöre zorunlu değildir; ancak KOBİ'ler için güçlü bir referans hız standardı sağlar.

KPI panosu: haftalık neyi ölçmelisiniz?

Aşağıdaki metrikler, teknik detayları yönetim kararına dönüştürür:

1. MTTR-Critical (gün): Kritik açık ortalama kapanış süresi
2. SLA Uyum Oranı (%): Hedef süre içinde kapanan açık oranı
3. Açık Yaşlanması (30/60/90): 30, 60, 90 günü aşan açık sayısı
4. KEV Açık Sayısı: Aktif sömürü sinyali taşıyan açıkların anlık adedi
5. Doğrulama Başarı Oranı (%): Patch sonrası sorunsuz doğrulanan değişiklik oranı
6. Tekrar Eden Açık Oranı (%): Aynı varlıkta tekrar eden açık yüzdesi

Önerilen başlangıç hedefleri:

• Kritik internet açık varlıklarda SLA uyumu: %90+
• 30 gün üstü kritik açık oranı: %5 altı
• Patch sonrası başarısız değişiklik oranı: %3 altı

Kopyalanabilir zafiyet ve yama kontrol listesi

• Tüm kritik varlıklarda sorumlu kişi/ekip net tanımlı
• İnternete açık sistem listesi güncel ve ayrı takip ediliyor
• KEV ve EPSS sinyalleri haftalık önceliklendirme toplantısına giriyor
• Kritik açıklar için acil patch prosedürü yazılı
• Patch öncesi yedek ve geri dönüş planı doğrulanmış
• Patch sonrası servis/performans/güvenlik kontrolü yapılıyor
• 30 günü aşan yüksek/kritik açıklar için eskalasyon aktif
• Aylık yönetim raporunda teknik + iş etkisi birlikte sunuluyor
• Tedarikçi/üçüncü taraf bileşen açıkları ayrı raporlanıyor
• KVKK bildirim süreçleri ve olay iletişim planı test edildi

LeonX ile nereden başlanır?

Ankara'da zafiyet ve yama yönetimi çalışmasını en hızlı başlatan yöntem, 2 haftalık "mevcut durum + öncelikli açıklar" keşfi yapmaktır. Bu keşifte teknik liste değil, doğrudan iş riski azaltımına göre bir kapanış planı çıkarılır.

İlgili sayfalar:

• Yönetilen Servisler
• İş ve Yönetim Hizmetleri
• İletişim

Sık sorulan sorular

CVSS yüksek değilse açık ertelenebilir mi?

Her zaman değil. CVSS orta seviyede olsa bile KEV'de yer alıyorsa veya varlık internete açıksa öncelik artar. Karar tek metrikle değil; tehdit sinyali, varlık kritiklik ve maruz kalma bilgisiyle verilmelidir.

Patch uygulayamıyorsak ne yapmalıyız?

Önce geçici azaltım uygulanmalı: erişim kısıtlama, ağ segmentasyonu, WAF kuralı, servis izolasyonu, izleme yoğunlaştırma. Ancak bu adımlar patch'in yerine geçmez; yalnızca kontrollü geçiş için zaman kazandırır.

KOBİ'lerde haftalık açık toplantısı gereksiz mi?

Hayır. Kaynağı sınırlı ekiplerde haftalık 30-45 dakikalık disiplinli toplantı, açıkların yaşlanmasını ve SLA kaçırmayı ciddi biçimde azaltır. Bu toplantı olmasa süreç kolayca reaktif destek döngüsüne döner.

KVKK açısından olay bildirimi ne kadar kritik?

Oldukça kritik. Kurul kararlarında "en kısa sürede" ifadesinin 72 saat olarak yorumlandığı açıkça belirtiliyor. Bildirimde gecikme, teknik ihlalin yanında ek idari para cezası riskini artırıyor.

Sonuç

Ankara'da zafiyet ve yama yönetimi, sadece sistem güncelleme takvimi değil; iş riskini ölçülebilir şekilde düşüren bir yönetim pratiği olmalı. 90 günlük doğru kurgu ile kurumlar hem kritik açıklara daha hızlı müdahale eder hem de denetime hazır, sürdürülebilir bir güvenlik ritmi kurar.

İsterseniz mevcut ortamınızı birlikte değerlendirip, kurumunuza özel önceliklendirme matrisi ve 90 günlük kapanış planını hazırlayalım. Başlamak için iletişim sayfamızdan bize ulaşabilirsiniz.

Kaynaklar

• Verizon - 2025 Data Breach Investigations Report (news release)
• Microsoft - Digital Defense Report 2025
• Microsoft - Digital Defense Report 2024
• NIST - SP 800-40 Rev.4 (Guide to Enterprise Patch Management Planning)
• NIST - Final publications on enterprise patch management (Apr 6, 2022)
• CISA - BOD 22-01 (Known Exploited Vulnerabilities)
• CISA - BOD 19-02 (15/30 gün federal kapanış referansı)
• FIRST - EPSS Model
• KVKK - 2021/407 Karar Özeti
• KVKK - Kamuoyu Duyurusu (72 saat yorumu)
• Pexels - Data center operations image