KOBİ Siber Güvenlik Rehberi: 10-100 Kişilik Şirketim İçin Temel Paket
KOBİ neden hedef (kolay av + tedarik zinciri kapısı). 10 maddelik minimum baseline (MFA, patch, 3-2-1 backup, EDR, SPF/DKIM/DMARC, segmentasyon, vendor risk, eğitim, IR playbook, KVKK). Microsoft 365 Business Premium kapsamı, CIS Controls IG1, NIST CSF 2.0 GOVERN. KAOS yerli AI motoru KOBİ alternatifi. 90 günlük yol haritası.
KOBİ Siber Güvenlik Rehberi: 10-100 Kişilik Şirketim İçin Temel Paket
10 ila 100 kişilik şirketler Türkiye ekonomisinin omurgasını oluşturuyor. Ancak siber saldırganların gözünde bu ölçek tatlı bir hedef anlamına geliyor. Büyük kurumların sahip olduğu güvenlik bütçesi yok, yine de hem müşteri verisi hem de tedarik zincirinde büyük markalara giriş kapısı barındırıyor. ENISA'nın küçük ve orta ölçekli işletmeler için yayınladığı rehbere göre KOBİ'ler artık fidye yazılım operatörlerinin birincil hedef grubu (kaynak: ENISA SME Cybersecurity).
Bu yazıda Hacettepe Teknokent Ankara'da kurulu DSET ekibi olarak, sahada onlarca KOBİ'ye dokunduktan sonra damıttığımız temel paketin ne içermesi gerektiğini paylaşıyoruz. Pahalı kurumsal lisanslara para yatırmadan, sade ve uygulanabilir bir çerçeveyle başlayacağız.
KOBİ Neden Bu Kadar Çekici Bir Hedef
Saldırgan psikolojisi basit: yatırım getirisi maksimum olsun. Büyük bir bankayı kırmak aylar süren özel operasyon ister. Buna karşılık 50 kişilik bir muhasebe firmasının veya tedarikçi imalatçının çevresi çoğu zaman varsayılan ayarlarda kalmış bir e-posta sunucusu, güncellenmemiş VPN cihazı, MFA olmayan ortak Excel klasörüne sahip. Türkiye özelinde 2026 yılı boyunca yaşanan saldırı dalgalarının ayrıntılı haritası için pillar yazımıza bakabilirsiniz: Türkiye Siber Tehdit Manzarası 2026.
İki temel sebep KOBİ'yi öne çıkarıyor.
Birincisi kolay av faktörü. CISA'nın yayınladığı Cyber Essentials kılavuzu, küçük işletmelerin yüzde altmıştan fazlasının temel beş kontrolden (MFA, yedek, yama, uç nokta koruması, güvenli yapılandırma) en az ikisini eksik bıraktığını belirtiyor (kaynak: CISA Cybersecurity Best Practices). Otomatik tarama yapan botlar bu eksik kapıları saniyeler içinde tespit ediyor.
İkincisi tedarik zinciri kapısı rolü. Büyük holding doğrudan kırılamadığında, saldırgan onun küçük yazılım sağlayıcısını, muhasebe firmasını veya kargo iş ortağını hedef alıyor. Bir kez içeri girince güvenli iş ortağı kanalı üzerinden ana şirkete sıçrıyor. Bu yüzden tedarikçi sözleşmelerinizde güvenlik şartları artık sadece uyum değil, ticari sağlık konusudur. Türkiye'de son iki yılda yaşanan büyük veri sızıntılarının önemli bölümünün, küçük entegratör firmaların kötü yapılandırılmış sunucularından doğduğunu USOM bültenlerinden takip ettik.
Üçüncü bir faktör de değişen iş modeli. Pandemi sonrası yerleşen hibrit çalışma, ofis dışındaki dizüstü bilgisayarları ve kişisel telefonları şirket ağının doğal uzantısı hâline getirdi. KOBİ'lerin çoğu hâlâ "ofis duvarı" mantığıyla güvenlik kuruyor, oysa veri artık kafede, evde ve farklı şehirdeki müşteri ofisinde dolanıyor. Bu yeni gerçeklik sıfır güven yaklaşımını sadece büyük kurum gündemi olmaktan çıkarıyor.
Çerçeve Seçimi: NIST CSF 2.0 + CIS Controls IG1
Sıfırdan kontrol listesi uydurmak yerine uluslararası kabul görmüş çerçevelere yaslanmak en kestirme yol. KOBİ için iki ana referans var.
NIST CSF 2.0, 2024 yılında yenilenen sürümünde GOVERN (yönetişim) adında yepyeni bir fonksiyon ekledi. Bu fonksiyon özellikle KOBİ için ev ödevi niteliğinde: kim sorumlu, hangi risk kabul ediliyor, sözleşmelerde neyi imzalıyoruz sorularına yazılı cevap istiyor (kaynak: NIST Cybersecurity Framework). Identify, Protect, Detect, Respond, Recover ve Govern adlı altı sütun, raporlama kolaylığı için zaten Türkçe iletişimde rahat çevriliyor.
CIS Controls v8, küçük şirket realitesini en iyi yakalayan model. Üç Implementation Group sunuyor (kaynak: CIS Controls):
- IG1: Temel siber hijyen. Küçük işletme için yeterli. 56 koruma kontrolü içeriyor.
- IG2: Orta ölçek, düzenleme baskısı altındaki şirketler.
- IG3: Büyük kurumsal yapı, ulusal kritik altyapı.
10-100 kişilik bir şirketin hedefi IG1'i bitirmek olmalı. IG2'ye sıçrama, müşteri sözleşmeleri talep etmedikçe zorunlu değil. Bu sade yaklaşım hem bütçeyi koruyor hem de denetimde net konuşmanızı sağlıyor.
NIST CSF ve CIS Controls birbirinin alternatifi değil, tamamlayıcısıdır. CSF size "ne yapmalıyım" sorusunun yönetişim ve risk dili cevabını verir, CIS Controls ise teknik takım için "hangi sıra ile, nasıl ölçeceğim" sorusuna pratik liste sunar. Yönetim kuruluna sunum yaparken CSF dili, BT ekibine görev dağıtırken CIS dili kullanmak iletişimi rahatlatır.
10 Maddelik Minimum Güvenlik Baseline
Aşağıdaki on madde, sahadaki olay müdahale deneyimimizden çıkan ve hangi sırayla uygulanması gerektiği test edilmiş listedir. KOBİ bu sırayı izlerse ilk üç ay içinde saldırı yüzeyini kayda değer şekilde küçültür.
1. MFA (Çok Faktörlü Kimlik Doğrulama)
İlk hamle her zaman MFA olmalı. Microsoft, Google ve CISA ortak verilerine göre MFA, otomatik kimlik bilgisi denemelerinin yüzde doksan dokuzunu durduruyor. Microsoft 365 yönetici hesapları, banka portalları, uzak masaüstü erişimleri, kod depoları öncelikli kapsam. Mümkünse SMS yerine kimlik doğrulayıcı uygulama veya FIDO2 anahtarı tercih edin.
2. Yama Yönetimi (Patch Management)
Saldırıların büyük bölümü sıfır gün değil, aylar önce yamalı kalmış zafiyetler üzerinden geliyor. Windows, Office, tarayıcı, VPN cihazı, NAS firmware'i için aylık takvim oluşturun. Microsoft Intune, küçük şirketler için Microsoft 365 Business Premium içinde geliyor ve cihaz envanteri ile birlikte yama dağıtımını otomatikleştiriyor.
3. Yedekleme 3-2-1 Kuralı
Üç kopya, iki farklı medya, en az bir kopya çevrim dışı veya farklı lokasyonda. Fidye saldırısı sonrası geri dönüş süresini belirleyen tek değişken yedek kalitesidir. Yedek altyapısının kendisi de saldırı hedefi olduğundan ayrı kimlik bilgisi ve MFA ister. Fidye senaryosunda ilk yapılacaklar için ayrıntılı kılavuz: Fidye Yazılım Sonrası İlk 24 Saat.
4. EDR veya Modern Uç Nokta Koruması
Klasik antivirüs imza tabanlı çalıştığı için yeni nesil saldırganlara yetişemiyor. EDR (Endpoint Detection and Response) davranışsal analiz yapar, anormal süreç başlatma, yetki yükseltme, şüpheli ağ trafiğini canlı kayıt altına alır. Aradaki farkı detaylı işlediğimiz yazı: EDR vs Antivirüs Modern Şirket Koruma. Microsoft 365 Business Premium aboneliği Defender for Endpoint Plan 1'i içeriyor; KOBİ için iyi bir başlangıç noktası.
5. E-posta Güvenliği: SPF, DKIM, DMARC
Phishing hâlâ saldırıların yüzde sekseninin başlangıç noktası. Domain üzerinde SPF, DKIM ve DMARC kayıtlarını eksiksiz tanımlamak, sahte mail trafiğinin büyük bölümünü kapı eşiğinde durdurur. Microsoft 365 Business Premium'da gelen Defender for Office 365, oltalama bağlantılarını gerçek zamanlı kontrol eder ve şüpheli ekleri kum havuzunda açar. Kullanıcı tarafında olta tanıma için: Phishing E-postası Nasıl Anlaşılır.
6. Ağ Segmentasyonu
Ofis Wi-Fi'sini, ziyaretçi Wi-Fi'sını, üretim veya muhasebe sunucularını farklı VLAN'larda tutun. Saldırgan içeri girdiğinde yan hareket (lateral movement) yapamazsa hasar tek cihazla sınırlı kalır. Küçük şirket için Ubiquiti, Mikrotik veya Fortinet'in giriş seviyesi cihazları yeterli. Misafir ağına asla şirket dosya sunucusu erişimi vermeyin.
7. Tedarikçi Risk Yönetimi (Vendor Risk)
Çalıştığınız muhasebe yazılımı sağlayıcısı, bulut yedek firması, web ajansı hangi güvenlik standardına sahip? Sözleşme öncesi kısa bir soru listesi hazırlayın: olay bildirim süresi, veri ikamet ülkesi, alt yüklenici kullanımı, ISO 27001 veya eşdeğer sertifika durumu. ISO 27001 sürecinin nasıl işlediğini detaylandırdığımız yazı: ISO 27001 Sertifikası Nedir Nasıl Alınır.
8. Çalışan Eğitimi
Teknik kontroller insan zaafiyetini tamamen kapatamaz. Yılda en az iki kez kısa, senaryo bazlı eğitim oturumu düzenleyin. Süre olarak otuz dakika yeter, içerik olarak güncel oltalama örnekleri, deepfake telefon dolandırıcılığı, USB tak ve çalıştır riski yer almalı. Eğitim sonrası simülasyon kampanyası yapın, gerçek tıklama oranını ölçün.
9. Olay Müdahale Playbook'u
Bir saldırı anında "şimdi kimi arıyorduk" sorusunu cevaplayan tek sayfalık doküman, fidyeden kurtulmanızı sağlayan en ucuz yatırımdır. Playbook içinde olmazsa olmazlar: USOM bildirim hattı, hukuk danışmanı telefonu, siber sigorta poliçe numarası, yedek operatörü acil iletişim, KVKK 72 saat ihlal bildirim süresi takvimi. USOM yönergeleri ve güncel uyarıları için: USOM.
10. KVKK Uyumu
Türkiye'de faaliyet gösteren her şirket KVKK kapsamında veri sorumlusu sıfatına sahip. VERBİS kaydı, açık rıza metinleri, veri envanteri, saklama ve imha politikası, ihlal bildirim prosedürü yazılı olmalı. Resmi kaynak: KVKK. Uçtan uca süreç için: KVKK Uyum Danışmanlığı.
Bu on madde sıralaması önemli. Pek çok KOBİ EDR satın alıp MFA kurmadan saha açıyor; bu, alarm sistemi takıp kapıyı açık bırakmak demek. Sırayı bozmadan, her maddeyi tik atmadan bir sonrakine geçmemek bütçe verimliliği açısından kritik.
Microsoft 365 Business Premium: Tek Lisansla Geniş Kapsam
KOBİ ölçeğinde lisans karmaşası bütçeyi yer. Microsoft 365 Business Premium, tek aboneliğin altında üretkenlik ve güvenlik araçlarını paketliyor (kaynak: Microsoft 365 Business Premium). Pakette KOBİ için kritik olan parçalar şunlar:
- Defender for Endpoint Plan 1: Davranışsal uç nokta koruması, otomatik araştırma ve yanıt.
- Conditional Access: Şirket dışı IP'den, yönetilmeyen cihazdan, riskli giriş skorundan gelen erişimi koşullu engelleme.
- Intune MDM: Şirket cihazı ve BYOD telefon yönetimi, şifre politikası, uzaktan silme.
- Defender for Office 365 (Plan 1): Safe Links, Safe Attachments, oltalama koruması.
- Azure AD Premium P1: MFA, koşullu erişim, self servis şifre sıfırlama, denetim kayıtları.
Çalışan başı yaklaşık aylık maliyet, ayrı ayrı toplandığında üçte birine denk geliyor. 25 kişilik şirket için tek karar bu aboneliğe geçmek, yukarıdaki on maddenin altısını tek seferde çözer.
Siber Sigorta ve Dış MDR Retainer Alternatifi
Bütçenin teknik kontrollere yetmediği noktada finansal transfer mekanizması devreye giriyor. KOBİ için iki tamamlayıcı seçenek var.
Siber sigorta poliçesi, fidye ödemesi, iş kaybı, hukuki masraf, KVKK cezası savunması, kriz iletişimi gibi kalemleri kapsayabiliyor. Türkiye'de Allianz, Anadolu, AXA gibi şirketler KOBİ poliçesi sunuyor. Aldığınız limit 250 bin TL'den 5 milyon TL'ye kadar değişiyor. Poliçe öncesi sigorta şirketi genelde temel kontrolleri (MFA, yedek, EDR) soruyor, yani teknik baseline'ı zaten yapmış olmak primi düşürüyor.
Dış MDR retainer (Managed Detection and Response sözleşmesi), 7/24 SOC tutamayacak şirketler için akıllı bir model. Aylık sabit bir retainer karşılığında olay anında dakikalar içinde müdahale ekibi devreye giriyor. Saldırı yaşanmazsa düşük maliyet, yaşanırsa hızlı kurtarma garantisi sağlıyor.
İkisini birden almak şart değil; bütçeye göre öncelikle siber sigorta + iyi yapılandırılmış Microsoft 365 ikilisi pek çok KOBİ için yeterli oluyor.
KAOS: Yerli AI Motoru ile KOBİ İçin Ulaşılabilir Alternatif
DSET olarak geliştirdiğimiz KAOS adlı yerli yapay zeka motoru, KOBİ ölçeğinde kurumsal sızma testi ücretlerini ödemeden sürekli güvenlik değerlendirmesi yapmak isteyen şirketler için tasarlandı. Klasik yıllık sızma testinin aksine KAOS:
- Şirketinizin dış yüzünü periyodik tarıyor, yeni açılan port, sertifika değişikliği, varsayılan giriş ekranını gece yarısı yakalıyor.
- Tedarikçi domainlerini de izleyerek tedarik zinciri sürprizlerine karşı erken uyarı sağlıyor.
- Bulguları Türkçe açıklamalı raporda KOBİ yöneticisinin anlayacağı dilde sunuyor.
- Kritik bulgu çıktığında otomatik USOM/KVKK uyumlu olay kaydı taslağı hazırlıyor.
Yerli motor olması, verilerin yurt dışına taşınmaması ve teknik destekte zaman dilimi sorunu yaşanmaması açısından özellikle kamu işi alan KOBİ'ler için kritik. KAOS aboneliği, ayrı bir teknik ekip kurma maliyetinin çok altında kalıyor ve raporları doğrudan VERBİS ihlal süreciyle uyumlu format üretiyor.
Uygulama Yol Haritası: İlk 90 Gün
Sahadaki tecrübemize göre KOBİ'ler en çok her şeyi aynı anda yapmaya çalışırken takılıyor. Aşağıdaki üç aylık plan gerçekçi bir başlangıç sunar.
0-30 gün: MFA tüm yönetici hesaplarda zorunlu, Microsoft 365 Business Premium aboneliği aktif, yedek 3-2-1 doğrulanmış, USOM ve KVKK iletişim bilgileri playbook'a yazılmış.
30-60 gün: Intune ile cihaz kaydı tamamlanmış, Conditional Access politikaları yayında, Defender for Endpoint tüm uç noktalarda raporluyor, çalışan eğitimi birinci oturum tamam.
60-90 gün: Ağ segmentasyonu uygulanmış, tedarikçi anketi gönderilmiş, siber sigorta poliçesi imzalanmış, ilk olay tatbikatı (masaüstü egzersiz) yapılmış, KVKK politikaları yazılı hâle gelmiş.
90 günün sonunda CIS Controls IG1 listesinin yüzde sekseninden fazlasını işaretlemiş olursunuz. Bu noktadan sonra hedef sürekli iyileştirme: yıllık tatbikat, çeyreklik tarama, yıllık bağımsız değerlendirme.
Yol haritasında en sık atlanan adım masaüstü tatbikatıdır. Bir saat sürer, masraf çıkarmaz, ancak kim hangi telefonu açıyor, yedeği kim test ediyor, basın bildirisini kim onaylıyor sorularını gerçek bir kriz öncesinde cevaplatır. KOBİ sahiplerine ısrarla önerdiğimiz bu egzersizi yılda iki kez tekrarlamak playbook'u canlı tutar.
Sonuç ve İletişim
KOBİ siber güvenliği büyük kurum güvenliğinin küçültülmüş hâli değildir. Kendine has önceliklendirme, bütçe disiplini ve sade çerçeve gerektirir. NIST CSF 2.0 ve CIS Controls IG1 üzerine kurulu on maddelik baseline, Microsoft 365 Business Premium'un tek lisansla sağladığı kapsam, siber sigorta ve KAOS yerli AI motorunun sürekli izleme katmanı bir araya geldiğinde 10-100 kişilik bir şirket, hedef olmaktan çıkar ve saldırgan için zaman kaybı hâline gelir.
DSET ekibi Hacettepe Teknokent Ankara'da kurulu. KOBİ paketimiz, yukarıdaki on maddeyi anahtar teslim devreye alma, KAOS sürekli izleme aboneliği, üç aylık koçluk ve yıllık tatbikat hizmetini tek sözleşmede topluyor.
Şirketinize özel keşif görüşmesi için bize ulaşabilirsiniz: +90 536 662 38 09. İlk değerlendirme görüşmesi ücretsiz, bütçe ve öncelik haritası iki iş günü içinde elinizde oluyor.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.