Siber tehditlerin her geçen gün daha sofistike hale geldiği bir dünyada, CIS Kontrolleri şirketlerin güvenlik stratejisini rastgele adımlardan sistematik bir plana dönüştürür. Doğru uygulandığında; riskleri azaltır, operasyonel sürekliliği güçlendirir ve regülasyon uyumunu kolaylaştırır. Bu yazımda CIS kontrollerinin neler olduğunu örneklerle yazdım.

CIS (Center for Internet Security) Nedir?

CIS (Center for Internet Security), ABD merkezli, kâr amacı gütmeyen bir kuruluş olup siber güvenlik standartları ve en iyi uygulamaları geliştirmekle bilinir. Amacı, hem kamu kurumlarının hem de özel sektörün siber tehditlere karşı dayanıklılığını artırmaktır.

En bilinen ürünleri:

• CIS Controls → Güvenlik önlemleri çerçevesi

• CIS Benchmarks → Sistem, uygulama ve cihazlar için güvenli konfigürasyon rehberleri

Siber tehditler artık yalnızca teknik bir sorun değil, iş sürekliliğini doğrudan etkileyen stratejik bir risk. Bu nedenle kurumlar, güvenliklerini rastgele önlemlerle değil, sistematik çerçevelerle güçlendirmelidir. CIS Controls v8, bu konuda en güncel ve uygulanabilir rehberlerden biridir.

CIS Güncelleme Sıklığı: Ortalama 3–4 yılda bir küresel siber tehdit trendleri, yeni teknolojiler (bulut, IoT, mobil) ve güvenlik topluluğunun önerileri dikkate alınarak güncellenir.

• Yayın Yeri: Tüm versiyonlar CIS’in resmi web sitesinde (https://www.cisecurity.org) yayımlanır. Belgeleri indirmek için ücretsiz bir CIS hesabı oluşturmak gerekir. İndirilebilir formatlar genellikle PDF ve Excel’dir.

1. Donanım Varlıklarının Envanteri ve Yönetimi

Kurumdaki tüm sunucu, bilgisayar, ağ cihazı ve IoT cihazlarını kaydedin. Örnek: Ofise yeni gelen bir switch’in seri numarası, lokasyonu ve sorumlu kişisi envantere eklenmeli.

2. Yazılım Varlıklarının Envanteri ve Yönetimi

Lisanslı yazılımlar, sürümler ve kullanım durumları takip edilmeli. Örnek: SAP lisanslarının yıllık yenileme ve kullanıcı sayısı takibi.

3. Veri Koruma

Kritik verilerin şifrelenmesi, yedeklenmesi ve yetkisiz erişime karşı korunması. Örnek: Müşteri verilerini AES-256 ile şifrelemek.

4. Güvenli Konfigürasyonlar

Sunucu, ağ cihazı ve yazılımların fabrika ayarlarıyla bırakılmaması. Örnek: Router üzerinde varsayılan 'admin/admin' giriş bilgilerini değiştirmek.

5. Hesap Yönetimi

Tüm kullanıcı hesaplarının yetkilerinin belirlenmesi ve gereksiz hesapların kapatılması. Örnek: İşten ayrılan bir çalışanın e-posta ve ERP hesabını kapatmak.

6. Erişim Kontrol Yönetimi

“En az yetki” prensibiyle erişim yetkilerini sınırlamak. Örnek: Muhasebe personelinin yalnızca kendi modüllerine erişebilmesi.

7. Sürekli Güvenlik Açığı Yönetimi

Sistemlerde düzenli olarak zafiyet taraması yapmak. Örnek: Nessus veya OpenVAS ile aylık zafiyet taraması.

8. Denetim Günlükleri ve İzleme

Log kayıtlarının tutulması ve analiz edilmesi. Örnek: SIEM sisteminde şüpheli giriş denemelerinin tespit edilmesi.

9. E-posta ve Web Tarayıcı Koruması

Kimlik avı ve kötü amaçlı yazılımlara karşı koruma sağlamak. Örnek: E-posta gateway üzerinde phishing filtreleri.

10. Kötü Amaçlı Yazılımdan Korunma

Antivirüs ve EDR çözümlerinin aktif kullanımı. Örnek: CrowdStrike veya SentinelOne gibi EDR sistemleri.

11. Veri Kurtarma Süreçleri

Düzenli yedekleme ve felaket kurtarma planı. Örnek: Haftalık yedekleri coğrafi olarak farklı bir veri merkezine kopyalamak.

12. Ağ Altyapısı Yönetimi

Güvenlik duvarı, VLAN ve segmentasyon uygulamaları. Örnek: Misafir Wi-Fi ağını şirket ağıyla tamamen ayırmak.

13. Güvenli Yazılım Geliştirme Yaşam Döngüsü

Kod güvenliği ve güvenli geliştirme standartları. Örnek: OWASP standartlarına uygun yazılım geliştirmek.

14. Güvenlik Farkındalık Eğitimi

Çalışanlara siber güvenlik tehditlerini tanıtmak ve önlem almayı öğretmek. Örnek: Yılda 2 kez phishing simülasyonu yapmak.

15. Servis Sağlayıcı Yönetimi

Dış hizmet sağlayıcıların güvenlik standartlarını denetlemek. Örnek: Bulut sağlayıcının ISO 27001 sertifikasına sahip olup olmadığını kontrol etmek.

16. Uygulama Yazılımı Güvenliği

Kullanılan yazılımların güvenlik yamalarını zamanında uygulamak. Örnek: Web uygulaması framework’ünü en güncel sürüme yükseltmek.

17. Olay Müdahale Yönetimi

Siber olaylara hızlı ve planlı yanıt verebilmek. Örnek: Veri ihlali olduğunda 72 saat içinde KVKK bildirimi yapmak.

18. Sızma Testi ve Kırmızı Takım Egzersizleri

Gerçek saldırı senaryolarıyla savunma sistemini test etmek. Örnek: Yılda bir kez dış bağımsız firma ile sızma testi yaptırmak.

Sonuç

CIS Kontrolleri, teoride kalan güvenlik önerilerinden farklı olarak, günlük operasyonlara uygulanabilecek net adımlar sunar. Güvenlik, bir proje değil; sürekli gelişen bir süreçtir.