ZY KPI ve Raporlama: MTTR, SLA ve Kapanış Doğruluğu

Kısaca

• Az metrik, yüksek etki: MTTR, SLA uyumu, retest başarısı.
• Yönetici için özet, ekip için detay: iki katmanlı gösterim.

Özet Anlatım

Her metriğin bir karara hizmet etmesi gerekir. Yönetim; trendleri ve uyum oranlarını görmek isterken, ekipler darboğazları ve kök sebepleri çözmekle ilgilenir. Bu yüzden tek bir panelde “özet” ve “detay” katmanı birlikte kurgulanmalıdır.

Temel KPI’lar

• MTTR (kritik/yüksek) ve zaman içinde trendi
• SLA uyum oranı ve ihlal analizi
• Retest başarısı ve kapanış doğruluğu
• Gürültü azaltma (false positive, tekilleştirme başarısı)

Görselleştirme ve Sunum

• Yönetim özeti (1–2 slayt), ekibin çalışma paneli (detay)
• Eşikler ve hedefler; uyarı/eskalasyon eşikleri

Pratik Rehber

Hedef değerler ve eşikler: Önce birkaç net hedef belirleyin ve tüm ekipte aynı dili konuşun. Örneğin MTTR (bir bulgunun ortalama kapatma süresi) kritik bulgular için 7 gün, yüksek bulgular için 14 gün hedeflenebilir. Bu değerler şirketinizin büyüklüğüne ve ekip kapasitesine göre güncellenebilir. SLA uyumu için pratik hedef %90 ve üzeridir; her ihlal için kısa bir kök sebep analizi ve tekrarını engelleyecek kalıcı bir önlem (ör. kalıp kural, playbook) kaydı tutmak faydalıdır. “Kapanış gerçekten düzeldi mi?” sorusunun yanıtı retest başarısıdır; kritik ve yüksek bulguların mümkünse otomatik retest’e girmesi, doğruluk oranını %95 ve üzerine taşır. Gürültüyü azaltmak için yanlış pozitif oranını %5’in altında, aynı bulgunun farklı kaynaklardan tekrarlanmasını önleyen tekilleştirme başarısını ise %85 ve üzeri hedeflemek anlamlıdır.

Kullanım senaryoları: Yönetim kuruluna giderken detaylar yerine resmi gösterin: Son 90 güne ait MTTR trendi ve SLA ihlallerini ısı haritasıyla sunmak, nerede zorlandığınızı birkaç saniyede anlatır. Ekip planlamasında ayrıntıya inin: Uygulama/modül bazında MTTR’yi karşılaştırın; sürekli geciken bileşenlerde darboğaz (kapasite, sahiplik, borç) olduğunu göreceksiniz. Denetim döneminde ise “kanıt” konuşur: Kapatılan bulguların retest kayıtları ve ekran görüntüleri, hem kapanış doğruluğunu hem de sürecin izlenebilirliğini gösterir.

Örnek senaryo: Kritik bir zafiyet kapatıldıktan sonra otomatik retest başarısız oldu diyelim. Dashboard’da bu durum anında görünür, ilgili ticket tekrar açılır ve kök sebep notunda “yama yalnızca ön uca uygulandı, arka uç servis güncellenmedi” yazılıdır. Ekip, kalıcı önlem olarak “yama playbook’una arka uç kontrol adımı ekle” kararını kaydeder. Bu sayede aynı hata tekrarlandığında düzeltilmesi dakikalar sürer.

Adım adım (dashboard kurulumu):

1. Veri kaynaklarını bağlayın. Zafiyet platformu, iş takip (ticket) sistemi, varlık/envanter ve kimlik yönetimi en azından tek yöne (okuma) bağlansın. Amaç, “bulgu → sahip → varlık → kapatma → retest” zincirini tek ekranda görebilmek.
2. Basit bir model tanımlayın. Her bulguya; kritiklik (CVE skoru değil, iş etkisiyle birlikte), maruziyet (iç/dış, internet’e açık mı) ve iş etki katsayıları atayın. Bu üçlü, öncelik sıralamasını otomatik üretir.
3. Görünümleri hazırlayın. Yönetim için: MTTR trend + SLA uyum oranı. Ekip için: açık bulguların yaş dağılımı, tekrar açılanlar, retest başarısı ve gürültü/tekilleştirme panelleri. Her görünümde en çok 3–4 grafik tutun.
4. Uyarı kurallarını kalibre edin. Eşikler başlangıçta geniş tutulabilir (ör. kritik MTTR 10 gün). 2–3 sprint sonunda gerçekleşen değerlere bakıp eşikleri sıkılaştırın. Uyarıların gürültü üretmediğinden emin olun; gereksiz bildirim, önemli olanı görünmez yapar.

KPI Seçim Kriterleri

Doğru KPI seçimi, zafiyet yönetimi programının başarısını doğrudan etkiler. Çok fazla metrik izlemek analiz felcine yol açarken, çok az metrik kör noktalar bırakır. İdeal KPI seti, her bir metriğin somut bir karara hizmet ettiği minimal ama etkili bir küme olmalıdır.

İyi bir siber güvenlik KPI'sının dört temel özelliği vardır: Ölçülebilirlik - sayısal olarak ifade edilebilmeli; Aksiyona dönüştürülebilirlik - sonucu gören kişi ne yapacağını bilmeli; Tekrarlanabilirlik - aynı yöntemle her seferinde tutarlı sonuç vermeli; Zamanla karşılaştırılabilirlik - trend analizi yapılabilmeli.

Kaçınılması gereken metrikler de aynı derecede önemlidir. "Toplam taranmış IP sayısı" gibi vanity metrikler, aktivite gösterir ama güvenlik durumu hakkında bilgi vermez. Bunun yerine "taranmamış varlık oranı" veya "tarama kapsamı yüzdesi" çok daha anlamlıdır. KPI seçerken her zaman "Bu metrik kötüye giderse ne yapacağız?" sorusunu sorun - yanıt net değilse metrik gereksizdir.

SİTEY platformunda KPI'lar oluşturulurken iş birimi bağlamı da eklenebilir. Örneğin aynı MTTR değeri; internet-facing bir varlık için alarm verirken, izole bir test ortamı için kabul edilebilir olabilir. Bağlamdan bağımsız tek bir hedef koymak yerine varlık kritikliğine göre katmanlı hedefler belirlemek daha sağlıklıdır.

• Ölçülebilir: Sayısal ifade, yüzde veya oran olarak tanımlanabilir
• Aksiyona dönüştürülebilir: Eşik aşıldığında net aksiyon tetiklenir
• Tekrarlanabilir: Hesaplama yöntemi dokümante ve tutarlı
• Karşılaştırılabilir: Zaman serisi analizi ve benchmark yapılabilir
• Bağlamsal: Varlık kritikliği ve iş etkisine göre yorumlanır

Operasyonel KPI'lar

Operasyonel KPI'lar, zafiyet yönetimi sürecinin günlük işleyişini ölçer ve teknik ekiplerin performans darboğazlarını hızla tespit etmesini sağlar. Bu metrikler "süreç ne kadar verimli çalışıyor?" sorusuna yanıt verir.

Tespit oranı (detection rate), bilinen güvenlik açıklarının yüzde kaçının tarama araçları tarafından bulunduğunu gösterir. Düşük tespit oranı, tarama kapsamının yetersiz olduğuna veya araç yapılandırmasının eksik kaldığına işaret eder. Birden fazla araç kullanarak çapraz doğrulama yapmak tespit oranını artırır - SİTEY'in konsolidasyon motoru bu yaklaşımı otomatikleştirir.

Tarama kapsamı (scan coverage), toplam varlık envanterinin yüzde kaçının aktif tarama altında olduğunu ifade eder. Hedef %95 ve üzeridir. Kapsam dışı kalan varlıklar genellikle gölge BT (shadow IT), eski sistemler veya üçüncü taraf servislerdir. Bu güvenlik açığı kör noktaları periyodik ASM taramalarıyla kapatılabilir.

Yama uyumu (patch compliance), yayınlanan yamaların zamanında uygulanma oranıdır. Kritik yamalar için 72 saat, yüksek için 7 gün hedefler tipiktir. Yanlış pozitif oranı (false positive ratio) ise tarama sonuçlarındaki gerçek olmayan bulguların yüzdesini ölçer; %5'in altı hedeflenmelidir. Yüksek yanlış pozitif oranı, analist güvenini sarsar ve sızma testi ekiplerinin asıl risklere odaklanmasını engeller.

• Tespit oranı: Bilinen açıkların kaçının araçlarla bulunduğu - hedef %90+
• Tarama kapsamı: Envanterin kaçının aktif tarama altında olduğu - hedef %95+
• Yama uyumu: Zamanında uygulanan yamaların oranı - kritik %90+, genel %80+
• Yanlış pozitif oranı: Gerçek olmayan bulguların yüzdesi - hedef <%5
• Tekilleştirme başarısı: Mükerrer kayıtların birleştirilme oranı - hedef %85+
• Ortalama atama süresi: Bulgu tespitinden sorumluya atanmasına kadar geçen süre

Stratejik KPI'lar

Stratejik KPI'lar, zafiyet yönetimi programının uzun vadeli etkinliğini ve kurumun genel siber güvenlik duruşundaki iyileşmeyi ölçer. Bu metrikler yönetim kurulu seviyesinde raporlanır ve yatırım kararlarını destekler.

Risk azaltma trendi, toplam risk skorunun zaman içindeki değişimini gösterir. Her çeyrekte azalan bir risk trendi, programın olgunlaştığını gösterir. Artış varsa yeni varlık eklenmesi, kapsam genişlemesi veya düzeltme hızının yavaşlaması gibi kök sebepler analiz edilmelidir.

Saldırı yüzeyi azaltma (attack surface reduction), dışa açık varlıkların, açık portların ve bilinen güvenlik açığı sayısının zamanla düşüşünü ölçer. ASM (Attack Surface Management) verileriyle beslenen bu KPI, kurumun dijital ayak izinin ne kadar kontrol altında olduğunu yansıtır. SİTEY'in ASM entegrasyonu bu veriyi otomatik olarak dashboard'a taşır.

Uyum olgunluğu (compliance maturity), ISO 27001, PCI-DSS, KVKK gibi düzenleyici gereksinimlerin karşılanma oranını izler. Her denetim döneminde uyum skoru artıyor ve düzeltme gerektiren bulgu sayısı azalıyorsa, zafiyet yönetimi programı hedefine ulaşıyordur. Sızma testi sonuçlarının uyum skoruna etkisi de bu KPI altında izlenmelidir.

• Risk azaltma trendi: Çeyreklik toplam risk skorunun düşüş yüzdesi
• Saldırı yüzeyi azaltma: Dışa açık varlık ve açık port sayısının azalması
• Uyum skoru: Düzenleyici gereksinim karşılanma oranı - hedef %90+
• Tekrarlayan bulgu oranı: Önceki testlerde de bulunan açıkların yüzdesi - hedef <%10
• Güvenlik yatırım ROI: Önlenen potansiyel kayıp / zafiyet yönetimi bütçesi

Dashboard Tasarımı

Etkili bir zafiyet yönetimi dashboard'u, farklı paydaşlara farklı derinlikte bilgi sunar. Yöneticiler 30 saniyede genel durumu kavramalı, teknik ekipler ise darboğazları ve detayları drill-down ile görebilmelidir.

Executive view (yönetici görünümü), maksimum 4 ana karttan oluşmalıdır: genel risk durumu (trafik ışığı veya skor), SLA uyum oranı, MTTR trendi ve en riskli 5 varlık. Renk kodları ile anlık durum değerlendirmesi mümkün olmalıdır - yeşil/sarı/kırmızı basitliği yönetim toplantılarında hızlı karar almayı destekler.

Teknik view (operasyonel görünüm), daha fazla derinlik sunar: açık bulguların yaş dağılımı (aging chart), atanmamış bulgular, kaynak bazında bulgu sayısı, retest kuyruğu ve gürültü/tekilleştirme metrikleri. Her kart drill-down desteklemeli; bir grafiğe tıklayınca ilgili bulgu listesine geçiş mümkün olmalıdır.

Görselleştirme en iyi pratikleri: Bar chart'ları karşılaştırma için, line chart'ları trend için, heatmap'leri yoğunluk için kullanın. Pasta grafik kullanımından kaçının - yüzdeleri sezgisel karşılaştırmak zordur. SİTEY'in dashboard motoru bu görselleştirme türlerini sürükle-bırak arayüzüyle oluşturmanıza ve siber güvenlik ekibinin ihtiyaçlarına göre özelleştirmenize olanak tanır.

• Executive view: Risk skoru, SLA uyumu, MTTR, en riskli varlıklar
• Teknik view: Yaş dağılımı, atanmamış bulgular, retest kuyruğu, gürültü oranı
• Drill-down: Grafikten bulgu listesine, bulgudan detaya geçiş imkanı
• Renk kodları: Yeşil/sarı/kırmızı eşiklerle anlık durum değerlendirmesi
• Filtreleme: Tarih, varlık grubu, iş birimi, bulgu kaynağı bazında kesit alma

Benchmarking

Zafiyet yönetimi KPI'larınızı değerlendirmenin en güçlü yolu, sektör ortalamalarıyla karşılaştırma (benchmarking) yapmaktır. İç metriklerin tek başına anlamı sınırlıdır; benzer ölçek ve sektördeki kuruluşlarla karşılaştırma, programınızın gerçek konumunu ortaya koyar.

Sektör benchmark'ları için FIRST EPSS raporları, Verizon DBIR, Mandiant M-Trends ve Qualys TruRisk raporları güvenilir kaynaklardır. Örneğin ortalama MTTR'nin sektör genelinde 60 gün olduğu bir ortamda kuruluşunuzun 25 gün gibi bir değere sahip olması, programın güçlü olduğuna işaret eder. Ancak bu değerleri kendi varlık kompozisyonunuz ve risk iştahınız bağlamında yorumlamak önemlidir.

İyileştirme hedefleri, mevcut baseline'ınıza göre gerçekçi adımlarla belirlenmelidir. MTTR'niz 45 gün ise bir gecede 7 güne düşürmek yerine, ilk çeyrekte 35, ikinci çeyrekte 25 gün hedeflemek sürdürülebilir bir gelişim sağlar. SİTEY dashboard'ları hedef çizgileri (goal lines) destekler ve sapmaları görsel olarak vurgular.

Ekipler arası karşılaştırma da değerli bilgiler sunar. Farklı uygulama ekiplerinin, iş birimlerinin veya coğrafyaların güvenlik açığı düzeltme performansını kıyaslamak, en iyi pratiklerin yayılmasını teşvik eder. Ancak bu karşılaştırma suçlama aracı olarak değil, öğrenme fırsatı olarak konumlandırılmalıdır.

• Dış benchmark kaynakları: Verizon DBIR, Mandiant M-Trends, Qualys TruRisk, FIRST EPSS
• İç benchmark: Ekipler/birimler arası performans karşılaştırması
• Hedef belirleme: Mevcut baseline + kademeli iyileştirme adımları
• Trend izleme: Çeyreklik baseline güncellemesi ve sapma analizi
• Bağlam: Ölçek, sektör ve varlık kompozisyonuna göre yorumlama

Otomatik Raporlama

Manuel raporlama hem zaman kaybettirir hem de insan hatası riski taşır. Otomatik raporlama ile zafiyet yönetimi verileriniz doğru formatta, doğru zamanda ve doğru kişilere ulaşır. SİTEY'in zamanlı raporlama motoru bu süreci uçtan uca otomatikleştirir.

Zamanlı raporlar (scheduled reports), haftalık operasyonel özet, aylık yönetim raporu ve çeyreklik uyum raporu olarak yapılandırılabilir. Her rapor tipi için alıcı listesi, format (PDF/HTML/CSV) ve dağıtım kanalı (e-posta, Slack, Teams, SharePoint) ayrı ayrı tanımlanır.

Olay tetiklemeli bildirimler ise anlık farkındalık sağlar. Yeni kritik güvenlik açığı keşfedildiğinde, SLA ihlali yaklaştığında veya retest başarısız olduğunda otomatik bildirim gönderilir. Bildirimlerin gürültü üretmemesi için eşikler dikkatle kalibre edilmelidir - çok sık bildirim, önemli uyarıların gözden kaçmasına neden olur.

SİTEY'in raporlama özellikleri arasında özel rapor şablonları, çoklu format desteği, beyaz etiket (white-label) raporlama ve API üzerinden rapor çekme yer alır. Sızma testi sonuçları ile zafiyet yönetimi metriklerinin tek raporda birleştirilmesi, paydaşlara bütüncül bir görünüm sunar.

• Haftalık operasyonel: Yeni bulgular, kapatılanlar, SLA durumu, darboğazlar
• Aylık yönetim: Risk trendi, MTTR, SLA uyumu, en riskli varlıklar
• Çeyreklik uyum: ISO 27001, PCI-DSS, KVKK kanıt paketi ve uyum skoru
• Olay bazlı: Kritik bulgu, SLA ihlali, retest başarısızlığı bildirimi
• Dağıtım kanalları: E-posta, Slack, Teams, SharePoint, API entegrasyonu

Örnek KPI Tablosu ve Hedef Değerler

Aşağıdaki tablo, olgun bir zafiyet yönetimi programı için yaygın kullanılan KPI'ları, hedef değerlerini ve ölçüm yöntemlerini özetler. Her kurum bu değerleri kendi büyüklüğüne, sektörüne ve risk iştahına göre uyarlamalıdır.

MTTR (Mean Time To Remediate) metriğinde kritik bulgular için hedef 7 gün, yüksek bulgular için 14 gün, orta bulgular için 30 gündür. Bu değerler ilk yılda daha geniş tutulabilir ve program olgunlaştıkça sıkılaştırılabilir. Ölçüm yöntemi: Bulgunun açılma tarihinden kapanış tarihine kadar geçen ortalama iş günü.

SLA uyum oranı için hedef %90 ve üzeridir. İhlal eden her bulgu için kök sebep analizi yapılmalı ve tekrarını önleyecek sistemik düzeltme kaydedilmelidir. Ölçüm yöntemi: SLA süresi içinde kapatılan bulgu sayısı / toplam bulgu sayısı × 100.

Retest başarısı için hedef %95 ve üzeridir. Başarısız retestler "düzeltme yetersiz" veya "regresyon" olarak kategorize edilmeli ve tekrar atama yapılmalıdır. Yanlış pozitif oranı için hedef %5'in altıdır; yüksek yanlış pozitif oranı araç yapılandırması veya kural kürasyonu gerektirir. Tarama kapsamı için hedef %95 ve üzeridir; kapsam dışı kalan varlıklar listelenmeli ve neden dışarıda kaldığı belgelenmelidir.

• MTTR (Kritik): Hedef ≤7 gün - Ölçüm: Ortalama kapanış süresi (iş günü)
• MTTR (Yüksek): Hedef ≤14 gün - Ölçüm: Aynı formül, yüksek seviye filtresi
• SLA Uyumu: Hedef ≥%90 - Ölçüm: Zamanında kapatılan / toplam
• Retest Başarısı: Hedef ≥%95 - Ölçüm: Başarılı retest / toplam retest
• Yanlış Pozitif: Hedef <%5 - Ölçüm: FP / toplam tespit × 100
• Tarama Kapsamı: Hedef ≥%95 - Ölçüm: Taranan varlık / envanter × 100
• Tekilleştirme: Hedef ≥%85 - Ölçüm: Birleştirilen kayıt / mükerrer kayıt × 100

Kullanım Senaryoları

• Yönetim kurulu brifingleri: Son 90 günlük MTTR trendi, SLA uyum oranı ve en riskli 5 varlığı içeren özet dashboard ile yönetim kuruluna durumu 5 dakikada sunma. Trend çizgileri eklenerek iyileşme veya kötüleşme anında görselleştirilir.
• Ekip performans değerlendirmesi: Uygulama/modül bazında MTTR karşılaştırması yaparak sürekli geciken bileşenlerde darboğaz tespiti. Darboğaz kaynağı (kapasite, sahiplik, teknik borç) ayrı ayrı analiz edilir.
• Denetim hazırlığı: ISO 27001 ve PCI-DSS denetimleri için tarama tarihleri, düzeltme süreleri ve retest kanıtlarının otomatik dışa aktarımı. Denetime hazır formatted raporlar SİTEY üzerinden tek tıkla üretilir.
• Tedarikçi güvenlik yönetimi: Tedarikçi bazlı güvenlik açığı metriklerini ayrı izleme, SLA ihlallerini tedarikçi risk skoruyla ilişkilendirme.
• DevSecOps entegrasyonu: CI/CD pipeline'larındaki güvenlik kapılarının etkinliğini ölçme: Build'de yakalanan sızma testi bulguları vs. prodüksiyonda bulunan bulgular oranı.

Sık Yapılan Hatalar

• Çok fazla KPI izleme: 20+ metrik izleyen ekipler genellikle hiçbirinde derinlemesine analiz yapamaz. Başlangıçta 5-6 temel KPI yeterlidir; olgunluk arttıkça kademeli olarak genişletin.
• Vanity metrikler: "Toplam taranmış IP", "toplam kapatılan ticket" gibi aktivite gösteren ama güvenlik durumu hakkında bilgi vermeyen metriklere aşırı odaklanma.
• Bağlamsız hedefler: Tüm varlıklar için tek MTTR hedefi koymak - internet-facing kritik sunucu ile izole test VM'i aynı SLA'ya tabi olmamalı.
• Dashboard gürültüsü: Tek ekranda 10+ grafik, filtresiz veri yığını. Yönetici ve teknik ekip için ayrı görünümler oluşturun.
• Rapor sonrası aksiyon eksikliği: Haftalık rapor üretilir ama kimse okumaz veya aksiyon almaz. Her raporun sonunda "bu hafta yapılması gereken 3 aksiyon" listesi eklemek etkilidir.
• Eşik kalibrasyonu yapılmaması: İlk tanımlanan eşiklerle yıllarca devam etmek - 2-3 sprint sonunda gerçekleşen değerlere bakıp kalibre edin.

Metriklerin Olgunluk Seviyesine Göre Evrimi

Her zafiyet yönetimi programı aynı olgunluk seviyesinde değildir; KPI seti de buna göre evrilmelidir. Erken aşamada temel operasyonel metrikler yeterli iken, olgun programlar stratejik ve tahmine dayalı (predictive) metriklere geçiş yapar.

Başlangıç aşamasında (0-6 ay), tarama kapsamı (%kaç varlık taranıyor), açık bulgu sayısı ve temel MTTR gibi metriklerle başlayın. Amaç, sürecin görünür ve ölçülebilir hale gelmesidir. Bu aşamada mükemmellik hedeflemeyin; tutarlılık ve düzenlilik daha önemlidir.

Gelişme aşamasında (6-18 ay), SLA uyum oranı, retest başarısı, yanlış pozitif oranı ve tekilleştirme başarısı eklenir. Trend analizi başlar; MTTR ve SLA uyumunun zaman içindeki değişimi izlenir. Sızma testi bulgularının zafiyet yönetimi sürecine entegrasyonu bu aşamada olgunlaşır.

Olgunluk aşamasında (18+ ay), risk azaltma trendi, saldırı yüzeyi daralması, uyum olgunluk skoru ve tekrarlayan bulgu oranı gibi stratejik KPI'lar öne çıkar. Tahmine dayalı metrikler (EPSS tabanlı sömürü olasılığı trendi, ortalama bulgu yaşı tahmini) eklenebilir. Siber güvenlik yatırım ROI hesaplaması bu seviyede mümkün hale gelir.

SİTEY platformu, olgunluk seviyenize göre önerilen KPI setini otomatik sunar ve programınız ilerledikçe yeni metriklerin eklenmesi için rehberlik sağlar. Böylece güvenlik açığı yönetimi süreciniz veriye dayalı olarak büyür.

• Başlangıç (0-6 ay): Tarama kapsamı, açık bulgu sayısı, temel MTTR
• Gelişme (6-18 ay): SLA uyumu, retest başarısı, yanlış pozitif oranı, trend analizi
• Olgunluk (18+ ay): Risk azaltma trendi, saldırı yüzeyi, uyum skoru, ROI
• İleri seviye: Tahmine dayalı metrikler, anomali tespiti, makine öğrenmesi destekli öngörü

Sektörel KPI Farklılıkları

Her sektörün düzenleyici gereksinimleri ve tehdit profili farklıdır; zafiyet yönetimi KPI'ları da buna göre özelleştirilmelidir.

Finans sektöründe BDDK ve PCI-DSS gereksinimleri SLA sürelerini sıkılaştırır. Kritik bulguların 48 saat içinde kapatılması beklenir. ATM ağları, SWIFT altyapısı ve internet bankacılığı için ayrı KPI setleri tanımlanmalıdır. Düzenleyici denetim raporları çeyreklik hazırlanmalıdır.

Sağlık sektöründe hasta verisi hassasiyeti nedeniyle veri ifşası ile ilgili bulguların kapatılma süresi kritiktir. KVKK ve sağlık verileri yönetmeliği kapsamında güvenlik açığı raporlaması ek gizlilik kurallarına tabidir. Tıbbi cihaz zafiyetleri ayrı izlenmelidir.

E-ticarette PCI-DSS uyumu ve ödeme akışı güvenliği öne çıkar. Kampanya dönemleri (Black Friday, 11.11) öncesi tarama kapsamı artırılmalı ve SLA süreleri sıkılaştırılmalıdır. Kritik altyapıda (enerji, su, ulaşım) SCADA/OT zafiyetleri için ayrı KPI seti gerekir; sızma testi bulgularının düzeltme süreci çok daha uzun olabileceğinden SLA'lar buna göre ayarlanmalıdır.

• Finans: BDDK/PCI-DSS SLA, kritik <48h, çeyreklik denetim raporu
• Sağlık: Hasta verisi odaklı, tıbbi cihaz ayrımı, KVKK uyumu
• E-ticaret: Ödeme akışı önceliği, kampanya dönemi SLA sıkılaştırması
• Kritik altyapı: OT/SCADA ayrımı, uzun düzeltme SLA'ları, IEC 62443
• Kamu: USOM raporlama, e-Devlet güvenlik gereksinimleri, BTK uyumu

Örnek KPI İş Akışı

1. Veri kaynaklarını tanımlayın: Zafiyet platformu (SİTEY), iş takip sistemi (Jira/ServiceNow), varlık envanteri ve CMDB bağlantısını kurun. Veri akışının tek yönlü (okuma) olması bile yeterlidir.
2. Baseline ölçümü alın: Mevcut durumu 30 günlük veriyle ölçün: Mevcut MTTR, SLA uyum oranı, açık bulgu sayısı ve yaş dağılımı.
3. Hedefleri belirleyin: Baseline'a göre gerçekçi ilk hedefler koyun. Örneğin MTTR 45 gün ise ilk hedef 35, sonraki çeyrek 25 gün.
4. Dashboard'ları oluşturun: Yönetim ve teknik ekip için ayrı görünümler. Her görünümde maksimum 4-5 grafik. Drill-down ve filtreleme aktif.
5. Uyarı kurallarını ayarlayın: SLA süresinin %75'inde otomatik uyarı, %100'de eskalasyon. Kritik bulgu tespitinde anlık bildirim.
6. Düzenli gözden geçirin: Her sprint sonunda operasyonel metrikleri, her çeyrekte stratejik metrikleri analiz edin ve hedefleri kalibre edin.
7. Sürekli iyileştirin: Darboğazları tespit edin, otomasyon ekleyin, tarama kapsamını genişletin ve yeni KPI'ları kademeli olarak programınıza dahil edin.

SSS