Hemen Ara WhatsApp
KOBİ Siber Güvenlik

IT Altyapı Denetimi: Neden, Ne Zaman, Nasıl Yaptırılmalı?

KOBİ'niz için IT altyapı denetimi rehberi. Ne anlama gelir, hangi alanları kapsar, süreç nasıl işler ve bağımsız denetim neden kritik? Kapsamlı anlatım.

Şirketinizin IT altyapısının sağlığı hakkında şu anda somut bilginiz var mı? Hangi bilgisayarlarda ne var, hangi yazılımların lisansı mevcut, sunucularınızın yaşı ne, güvenlik açıkları neler, yedekleriniz gerçekten çalışıyor mu — bu soruların hepsine net cevap verebiliyor musunuz? Çoğu KOBİ yöneticisi veremez. Ve bu normal; çünkü kimse onlara bunu yapmayı öğretmedi, kimse “IT’niz bir denetimden geçsin” demedi. Ama sonuçlar çok gerçek: bilinmeyen riskler her gün birikiyor. IT altyapı denetimi (bazen “IT sağlık kontrolü” veya “IT audit” olarak da anılır), tam da bu körlük durumunu gideren yapılandırılmış bir değerlendirme sürecidir. Bu yazıda denetimin ne olduğunu, neden KOBİ’ler için kritik hale geldiğini, hangi alanları kapsadığını ve süreci nasıl yönetmeniz gerektiğini detaylı anlatacağız.

IT Altyapı Denetimi Tam Olarak Nedir?

IT altyapı denetimi, şirketinizin teknoloji varlıklarının, süreçlerinin ve risklerinin bağımsız ve sistematik bir şekilde incelenmesidir. Sonucunda size bir rapor verilir — bu rapor neyiniz sağlıklı, neyiniz zayıf, neyiniz kritik risk altında bunları net olarak gösterir. İyi bir denetim sadece sorun tespiti değil, çözüm önceliklendirmesi de içerir. Bir analoji kullanmak gerekirse: IT denetimi, araç için genel servisin teknolojik karşılığıdır. Araba kullanırken her gün motorunu açıp kontrol etmezsiniz, ama 10.000 km’de bir ustaya gidersiniz. Usta araçta olan biteni sizin göremediğiniz açılardan kontrol eder, bir şey varsa söyler. IT denetimi de tam bu mantıkla çalışır: yılda bir ya da iki yılda bir, bağımsız bir uzman şirketinizin IT varlıklarını baştan sona gözden geçirir.

Neden KOBİ’ler İçin Kritik Hale Geldi?

Birkaç yıl öncesine kadar IT denetimi sadece büyük kurumların ve finans sektörünün işiydi. Artık durum değişti. Üç ana sebep var.

  1. KVKK ve Regülatif Baskılar

Kişisel Verileri Koruma Kanunu (KVKK) 2016’dan beri yürürlükte ama son yıllarda denetim ve ceza uygulaması ciddi şekilde arttı. Şirketinizde kişisel veri işliyorsanız (müşteri, çalışan, tedarikçi bilgileri) — ki hemen her şirket işler — bu verilerin nasıl saklandığı, kimin eriştiği, nasıl korunduğu dokümante edilmek zorunda. Bir veri ihlali durumunda “bizim de bilgimiz yoktu” demek artık geçerli bir savunma değil. Düzenli IT denetimi bu yükümlülüğü karşılamanın en sistematik yoludur.

  1. Siber Tehdit Ortamının Değişimi

Daha önceki yazılarımızda değindiğimiz gibi, fidye yazılımı saldırıları artık büyük oranda KOBİ’leri hedef alıyor. Bu saldırıların büyük kısmı bilinen güvenlik açıklarından geliyor — yani denetimle tespit edilebilecek ve kapatılabilecek açıklar. Denetim yapmayan şirketler bu açıkları fark etmeden yaşıyor ve bir gün saldırıya uğradıklarında “bilmiyorduk” diyerek çaresiz kalıyorlar.

  1. IT Bağımlılığının Artması

10 yıl öncesinin KOBİ’sinde bilgisayarlar araçtı. Bugünün KOBİ’sinde bilgisayarlar kalpdir. Muhasebe sistemleri, CRM, ERP, e-posta, cloud depolama, web siteleri, POS sistemleri — artık tüm iş operasyonu yazılım üzerinde. Sistem çökerse iş durur. Sistem bozuksa iş yarım kalır. Bu derece bağımlı olduğunuz bir şeyin sağlığını bilmemek mantıklı değil.

Bir Denetim Hangi Alanları Kapsar?

Kaliteli bir IT altyapı denetimi aşağıdaki 10 ana alanı inceler. Her birinin kendine göre kontrol noktaları vardır.

  1. Donanım Envanteri ve Yaşam Döngüsü

Şirketinizde tam olarak kaç bilgisayar var? Kaç sunucu? Kaç yazıcı? Kaç ağ cihazı? Hangileri kaç yaşında? Hangileri garanti kapsamında? Bu soruların cevabı yoksa, IT’niz “kaos” moddadır. İyi bir denetim her cihazın envanterini çıkarır, yaşını, durumunu, kullanım oranını ve beklenen emeklilik tarihini raporlar. Yaşı geçmiş donanım risk üretir: üretici desteği biter, yedek parça bulmak zorlaşır, güvenlik yamaları gelmez. Denetim size hangi cihazların yenilenme zamanının geldiğini söyler.

  1. Yazılım Envanteri ve Lisans Durumu

Hangi bilgisayarlarda hangi yazılımlar var? Hangilerinin lisansı aktif, hangileri bedava (ve tehlikeli), hangileri eski sürüm? Çoğu KOBİ lisans kaosu içindedir — kaç Office lisansınız olduğunu ve hangi bilgisayarda olduğunu bile bilemezsiniz. Bu hem yasal risk (lisans ihlali) hem de güvenlik riski (güncellenmemiş yazılım) yaratır.

  1. Ağ Yapılandırması ve Güvenliği

Şirketinizin ağ haritası var mı? Hangi cihaz nereye bağlı? Hangi kablo nereye gidiyor? Hangi segmentasyon yapılmış? Firewall kuralları ne durumda? Wi-Fi ağınızın şifresi yeterince güçlü mü? Ziyaretçi ağı ile çalışan ağı ayrılmış mı? Bu soruların hepsi denetlenmeli.

  1. Güvenlik Duruş Analizi

Antivirüs tüm cihazlarda aktif mi? EDR kurulu mu? Güvenlik yamaları güncel mi? Eski, açıkları bilinen yazılımlar çalışıyor mu? Yönetici şifreleri güçlü mü? MFA kullanılıyor mu? Bu alanda denetim, kullanabileceği teknik tarama araçlarıyla otomatik testler de yapar ve sizin göremediğiniz açıkları bulur.

  1. Yedekleme ve Felaket Kurtarma

Yedekler alınıyor mu? Sıklığı ne? Kapsamı ne? Test ediliyor mu? 3-2-1 kuralına uyuluyor mu? RTO ve RPO hedefleri tanımlı mı? Olay durumunda kurtarma planı var mı? Denetim sırasında genelde bir test geri yüklemesi yapılır — yedeğin gerçekten çalışıp çalışmadığı böyle anlaşılır.

  1. Kullanıcı Hesapları ve Erişim Yönetimi

Kaç kullanıcı hesabı var, kaçı aktif, kaçı pasif ama açık duruyor? Ayrılan çalışanların hesapları kapatılmış mı? Kimin hangi dosyalara erişimi var? “En az yetki” prensibi uygulanmış mı? Yönetici hesapları ayrılmış mı? Parola politikası var mı? Bu alanda yapılan testler sıklıkla şok edici sonuçlar verir — ayrılan çalışanların hala aktif hesaplarının olduğu, eski sağlayıcıların hala erişiminin olduğu sık görülür.

  1. Veri Yönetimi ve KVKK Uyumu

Kişisel veriler nerede saklanıyor? Şifrelenmiş mi? Kimler erişebiliyor? Silinmesi gereken veriler silinmiş mi? KVKK dokümantasyonu (VERBİS kaydı, aydınlatma metinleri, işleme envanteri) güncel mi? Bu alandaki eksikler hem yasal ceza riski hem de veri ihlali durumunda büyük zararlar yaratır.

  1. E-posta ve Bulut Hizmetleri

Microsoft 365 veya Google Workspace kullanıyorsanız, bu platformların güvenlik ayarları hangi seviyede? MFA aktif mi? Spam filtreleri ne kadar sıkı? Ortak erişime açık dosyalar var mı? Dış kullanıcılarla paylaşılan linkler kontrol altında mı? Bulut güvenlik ayarları çoğu KOBİ’de varsayılan değerlerde bırakılır — varsayılanlar güvenlik için yeterli değildir.

  1. İş Sürekliliği ve Risk Analizi

Bir felaket durumunda (yangın, su basması, hırsızlık, siber saldırı, personel ayrılması) ne yapacağınız belli mi? Kimi arayacağınız, hangi adımları atacağınız yazılı mı? Bu alan sadece teknik değil, operasyonel bir değerlendirmedir. İş sürekliliği planınız yoksa, olay anında kararlar panik halinde verilir ve genelde kötü olur.

  1. Dokümantasyon ve Bilgi Yönetimi

IT altyapınızla ilgili dokümantasyon var mı? Ağ haritası, sistem yapılandırmaları, parola listeleri, prosedürler yazılı mı? Bu dokümantasyon güncel mi? Bir kişi değil, en az iki kişi erişebilir mi? “Bilgi sadece bizim IT elemanının kafasındaydı, o da ayrıldı” durumundan kaçınmanın tek yolu düzgün dokümantasyondur.

Denetim Süreci: Adım Adım Ne Yaşanır?

Adım 1: Başlangıç Görüşmesi (1-2 saat)

Denetim firması şirketinizle tanışma görüşmesi yapar. Burada operasyonunuzun genel yapısı anlaşılır, kritik sistemleriniz belirlenir, denetimin hangi alanlara odaklanacağı konuşulur. Size yapılacak işlerin özeti sunulur, beklentiler hizalanır.

Adım 2: Bilgi Toplama ve Saha Ziyareti (1-3 gün)

Denetçiler şirketinize gelir (veya uzaktan bağlanır). Teknik ekiple birlikte sistemlere erişim sağlanır, otomatik tarama araçları çalıştırılır, röportajlar yapılır. Çalışanlardan bazıları ile konuşulur — IT sorumlusu, yöneticiler, hatta bazen sıradan kullanıcılar. Süreç boyunca şeffaflık önemli: denetim gizli bir iş değildir, çalışanlar neyi ne için yaptığınızı bilmelidir.

Adım 3: Analiz ve Rapor Hazırlığı (3-7 gün)

Toplanan veriler analiz edilir. Tespitler sınıflandırılır (kritik, yüksek, orta, düşük). Her tespit için öneri geliştirilir ve öncelik belirlenir. Tüm bulgular bir rapor haline getirilir.

Adım 4: Rapor Sunumu (1-2 saat)

Rapor size sunulur. Sadece teslim edilmez — birlikte incelenir, sorular cevaplanır, öncelikler tartışılır. Bu toplantı önemlidir çünkü raporun “raftaki bir belge” olmaması, gerçek bir eylem planına dönüşmesi için karar vericilerin içeriği tam anlaması gerekir.

Adım 5: Takip (İsteğe Bağlı)

İyi bir denetim firması raporun ardından 3-6 ay sonra bir takip toplantısı sunar. Önerdiği aksiyonların ne kadarı uygulandı, hala açık olan riskler neler, yeni sorunlar var mı — bu takip ilk denetimin etkinliğini ikiye katlar.

Bağımsız Denetim Neden Kritik?

Burada çok önemli bir nokta var: denetimin bağımsız olması. Yani denetimi yapan firma, şirketinizin mevcut IT sağlayıcısı olmamalı. Neden? Çünkü mevcut sağlayıcı kendi işini denetlediğinde, kendi zayıflıklarını objektif olarak göremez. İnsan doğası böyle çalışır — kimse “ben yıllardır yanlış yapıyormuşum” demek istemez. Üstelik mevcut sağlayıcının kendi satışlarını artırma teşviki vardır; denetim raporu, satmak istediği ürünlerin listesine dönüşebilir.

Bağımsız bir denetim firması ise:

Hiçbir satış teşviki olmadan sadece gerçeği söyler

Mevcut sağlayıcının iyi yaptığı ve kötü yaptığı şeyleri objektif değerlendirir Önceliklendirmeyi sizin iş ihtiyaçlarınıza göre yapar, ürün satmaya göre değil Rapor, başka sağlayıcılarla konuşurken de kullanabileceğiniz bir varlık olur Eğer mevcut bir IT sağlayıcınız varsa ve mutlu değilseniz, başka bir sağlayıcıya geçmeden önce mutlaka bağımsız denetim yaptırmanızı öneririz. Yeni IT sağlayıcısına geçiş süreci yazımızda bu konuya daha detaylı değiniyoruz.

Ne Zaman Denetim Yaptırmalısınız?

Bazı durumlar denetimi kaçınılmaz hale getirir:

  1. Hiç denetim yaptırmadınız: Eğer şirketinizin IT altyapısı hiç bağımsız bir gözden geçmediyse, ilk denetim en kritik adımdır. Mevcut durumun röntgeni olmadan nereye gideceğinizi bilemezsiniz. 2. Şirket büyüyor: Çalışan sayınız arttıysa, yeni ofisler açıldıysa, yeni sistemler devreye girdiyse — altyapı karmaşıklığı arttı demektir. Her büyüme dalgasından sonra denetim mantıklıdır. 3. Mevcut IT ortağınızdan memnun değilsiniz: Sorun mu, bahane mi anlamak için bağımsız bir göze ihtiyacınız var. IT altyapınızda 12 uyarı işareti yazımıza bakıp semptomlarınızı kontrol edin. 4. Bir olay yaşadınız: Fidye yazılımı, veri kaybı, büyük kesinti — olayın tekrar etmemesi için kök neden analizi ve denetim gerekli. 5. KVKK, ISO, denetim baskısı geliyor: Regülatif bir yükümlülüğünüz varsa, denetim hem hazırlık hem dokümantasyon açısından hayati. 6. Yılda bir rutini: Proaktif şirketler IT denetimini yıllık rutine dahil eder — aynı muhasebe denetimi gibi.

Denetim Ne Kadar Sürer, Ne Kadar Maliyet Üretir?

Bu sorular her şirket için farklıdır ama genel aralıklar şöyle:

Şirket Büyüklüğü Denetim Süresi Maliyet Aralığı

10-25 çalışan 3-5 gün 15.000 - 35.000 TL 25-50 çalışan 5-8 gün 30.000 - 60.000 TL 50-100 çalışan 8-12 gün 55.000 - 100.000 TL 100-200 çalışan 10-15 gün 90.000 - 180.000 TL Bu rakamlar yıldırıcı görünebilir ama şunu hesaba katın: bir fidye yazılımı olayının ortalama maliyeti 250.000-750.000 TL arasındadır. Bir denetim bunun küçük bir yüzdesine mal olur ve olasılığı ciddi oranda düşürür. Risk azaltma yatırımı olarak bakıldığında getirisi çok yüksektir.

Denetim Sonrası: Raporu Raftan Uçurmamak

Bir denetimin en yaygın başarısızlık modu, raporun yapılıp raflara konulması ve hiçbir şeyin değişmemesidir. Bunu önlemenin yolu:

  1. Raporu aldığınız gün, ilk 3 kritik maddeyi kim ne zaman uygulayacak yazın

  2. Bir takip tarihi belirleyin (30, 60, 90 gün)

  3. Raporu sadece yöneticilerle değil, IT ile ilgili tüm paydaşlarla paylaşın

  4. Her çeyrek bir ilerleme toplantısı yapın

  5. Denetim firmasından 3-6 ay sonra takip ziyareti isteyin

Sıkça Sorulan Sorular Denetim sırasında şirketimin işi aksar mı? Çok az. İyi bir denetim firması sizin günlük operasyonunuzu bozmadan çalışır. En fazla IT sorumlunuzla birkaç saatlik toplantı, çalışanlarla kısa röportajlar, sistemlere uzaktan veya yerinde kontrollü erişim. Saha ziyareti bile genelde 1-2 gündür. Aksaklık yaratan denetim, kötü yapılmış demektir.

Rapor benim için çok teknik olur mu?

İyi bir rapor iki seviyede yazılır. Yönetici özeti (executive summary) iş dilinde yazılır — “şu risk şu kadar kritik, şu kadar maliyetle çözülür, şu zararı önler” gibi. Teknik detaylar ise ayrı bölümlerde IT ekibine yönelik olarak verilir. Siz yönetici olarak sadece üst kısmı okursunuz, teknik ekibiniz detayları kullanır.

Küçük şirketim, denetim gereksiz pahalı olmaz mı?

Şirket büyüklüğüne göre denetim kapsamı da ölçeklenir. 15 çalışanı olan bir şirket için 3 günlük bir “light” denetim yeterli olabilir ve maliyeti 12-20 bin TL bandındadır. Bu yatırım, tek bir önlenmiş olay sayesinde bile kendini 10-20 kat amorti eder.

Denetim sonuçları gizli kalır mı?

Evet, profesyonel denetim firmaları sıkı gizlilik sözleşmesi (NDA) imzalar. Raporunuz sadece size aittir, başka hiçbir yerde paylaşılmaz. Bu sözleşmeyi imzalamayan veya muğlak şartlar sunan firmalarla çalışmayın.

Denetimden sonra illa o firmanın hizmetini almam gerekir mi?

Hayır, kesinlikle. Bağımsız bir denetim firmasının birincil hedefi sizi müşteri yapmak değil, size objektif rapor sunmaktır. Raporun sonunda “şu iyileştirmeler gerekli” der ama bunları kim yapacak, bu sizin kararınızdır. İyi bir firma size hem kendi hizmetini sunar hem de alternatifleri önerir.

Şirketinizin IT Altyapı Sağlığını Ölçelim

Ücretsiz bir keşif görüşmesinde hangi alanlarda denetim gerektiğini birlikte belirleyelim. Size özel bir denetim teklifini hazırlayalım. Süreç şeffaf, sonuçlar sizin, satış baskısı yok.

Ücretsiz Keşif Planla →

Sonuç

IT altyapı denetimi, modern bir KOBİ’nin “isteğe bağlı lüks”ü değil, operasyonel olgunluk göstergesidir. Denetim yaptırmayan şirketler körlüklerini koruyor, yani riskleri yaşamaya devam ediyor. Denetim yaptıran şirketler ise ne durumda olduklarını bilerek karar alıyor, bütçelerini doğru yere harcıyor ve olaylardan önce önlem alıyor. Kozyatağı Bilişim olarak IT Sağlık Kontrolü & Denetim hizmetimiz tam olarak bu çerçevede tasarlanmıştır: sistematik, bağımsız, eylem odaklı ve KOBİ’lerin ihtiyaçlarına uygun. Eğer şirketinizin IT durumu hakkında net bir cevabınız yoksa, bir denetim cevaplarınızı verir. Ve genellikle, yaptırdıktan sonra yöneticiler “keşke daha önce yaptırsaymışız” diyor.

CLUSTER

  1. Şirketinizin IT Altyapısı Hasta mı? 12 Uyarı İşareti

Bu konuda destek mi arıyorsunuz?

Ücretsiz keşif görüşmesi ile mevcut altyapınızı analiz edelim ve size özel bir yol haritası çıkaralım.

Ücretsiz Keşif Planla →

İlgili Rehberler

E-posta Phishing Saldırılarını Engelleme: Pratik Rehber

E-posta phishing saldırılarına karşı şirketinizi nasıl korursunuz? Teknik ve kullanıcı önlemleri için pratik rehber.

Fidye Yazılımı Saldırısı Sonrası Ne Yapmalı? Adım Adım Müdahale

Şirketinize fidye yazılımı bulaştı mı? Adım adım acil müdahale rehberi. Ne yapmalı, ne yapmamalı, kimleri aramalı.

Şirketinizin IT Altyapısı Hasta mı? 12 Uyarı İşareti

Şirketinizin IT altyapısının ciddi problemler ürettiğini gösteren 12 somut uyarı işareti. Her biri neyi işaret ediyor ve ne yapmalısınız?
← KOBİ Siber Güvenlik Rehberine Dön