Şirketler icin Siber Güvenlik Kontrol Listesi

• Çok Faktörlü Kimlik Doğrulama (MFA): Tüm kurumsal e-posta, VPN ve bulut hesaplarında zorunlu mu?
• Parola Politikası: Karmaşık, en az 12 karakterli ve düzenli periyotlarla (veya şüpheli durumda) değiştirilen şifreler kullanılıyor mu?
• Ayrıcalıklı Erişim Yönetimi (PAM): Sadece gerekli kişilere "admin" yetkisi veriliyor mu? İşten ayrılanların erişimleri anında iptal ediliyor mu?

• İşletim Sistemi Güncellemeleri: Windows, macOS veya Linux sunucularındaki kritik güvenlik yamaları otomatik yükleniyor mu?
• Uygulama Takibi: Kullanılan tüm üçüncü taraf yazılımlar (browserlar, PDF okuyucular vb.) güncel mi?
• Eski Sistemlerin İzolasyonu: Güncellenemeyen eski yazılımlar ana ağdan izole edildi mi?

• 3-2-1 Yedekleme Kuralı: 3 kopya, 2 farklı ortam, 1 çevrimdışı (offline) yedek alınıyor mu?
• Yedek Testi: Alınan yedekler periyodik olarak geri yüklenerek çalışıp çalışmadığı test ediliyor mu?
• Veri Şifreleme (Encryption): Hassas veriler hem depolanırken (at rest) hem de taşınırken (in transit) şifreleniyor mu?

• Güvenlik Duvarı (Firewall) ve IDS/IPS: Yeni nesil bir firewall (NGFW) aktif olarak ağ trafiğini izliyor mu?
• Wi-Fi Güvenliği: Misafir ağı ile kurumsal ağ birbirinden tamamen ayrıldı mı? (VLAN kullanımı).
• Uç Nokta Koruması (EDR/Antivirüs): Tüm bilgisayar ve mobil cihazlarda merkezi yönetimli bir güvenlik yazılımı kurulu mu?

• Oltalama (Phishing) Simülasyonu: Çalışanlara düzenli olarak sahte oltalama e-postaları gönderilerek farkındalıkları ölçülüyor mu?
• Siber Güvenlik Eğitimi: Yeni personellere işe girişte siber güvenlik temel eğitimi veriliyor mu?
• Temiz Masa Politikası: Şifrelerin kağıtlara yazılması veya ekranların kilitsiz bırakılması yasaklandı mı?

• Olay Müdahale Planı (IRP): Bir saldırı anında kimin ne yapacağı yazılı bir dökümanla belirlendi mi?
• Log İzleme: Kritik sistemlerin kayıtları (logs) merkezi bir sistemde (SIEM) toplanıp analiz ediliyor mu?