Profesyonel Hizmet Firmaları İçin Veri Güvenliğinde 10 Altın Kural

Profesyonel hizmet firmalarında veri güvenliği, teknik bir başlık olmanın ötesinde doğrudan güven ilişkisinin parçasıdır. Günlük operasyon içinde uygulanabilecek net güvenlik adımlarını, Türkiye'nin yasal çerçevesiyle birlikte ele alıyoruz.

Neden Profesyonel Hizmet Firmaları Hedefte?

Profesyonel hizmet sektörü siber saldırılar açısından özellikle cazip bir hedef. Sebep basit: avukatlar, muhasebeciler ve danışmanlar, müşterilerinin en hassas bilgilerine erişim sağlıyor. Tek bir hukuk bürosunu ele geçirmek, onlarca müşterinin verilerine ulaşmanın en kısa yolu.

Türkiye'de de tablo kaygı verici. KVKK (Kişisel Verilerin Korunması Kurulu), her yıl artan sayıda veri ihlali bildirimi alıyor. Özellikle hukuk büroları, muhasebe firmaları ve danışmanlık şirketleri müşterilerinin özel nitelikli kişisel verilerini (sağlık bilgileri, adli sicil kayıtları, finansal veriler) işlediğinden, olası bir ihlal hem KVKK yaptırımlarını hem de avukat-müşteri ya da serbest muhasebeci-müşteri gizlilik yükümlülüğünü aynı anda ihlal anlamına geliyor. 2026 itibarıyla KVKK idari para cezaları veri güvenliği ihlali için 17 milyon TL'yi geçiyor.

Saldırganlar için cazip olan şey çok net: müşteri portföyü büyüklüğü değil, verilerin hassasiyeti. Küçük bir miras hukuku bürosu bile müvekkil kimlik bilgileri, banka hesapları ve gizli belgeler açısından değerli bir hedef.

Türkiye'deki Siber Güvenlik Riski

BTK (Bilgi Teknolojileri ve İletişim Kurumu) düzenlemeleri çerçevesinde Türkiye'deki işletmeler bilgi güvenliği tedbirlerini belgelendirmek durumunda. Kamu kaynaklı raporlar siber saldırıların yıldan yıla arttığını ortaya koyuyor; fidye yazılımı ve kimlik avı saldırıları, küçük ve orta ölçekli profesyonel hizmet firmalarını da giderek daha fazla etkiliyor.

Türkiye'de bir siber saldırı müşteri güveni kaybı açısından ayrı bir ağırlık taşıyor. Müşteri verilerinin sızdığı haberinin referans ağlarında yayılması, küçük bir firmanın iş hacmini kısa sürede yarıya indirebiliyor.

10 Altın Kural

Kural 1: Güçlü Parola Politikası ve Çok Faktörlü Kimlik Doğrulama (MFA)

Çalınan kimlik bilgileri veri ihlallerinin en yaygın başlangıç noktalarından biri. Zayıf ya da tekrar kullanılan parolalar saldırganlar için en kolay giriş kapısı.

Pratik Uygulama Adımları:

• Tüm çalışanlar için en az 14 karakterlik karmaşık parola zorunluluğu getirin.
• Kurumsal parola yöneticisi (Bitwarden, 1Password gibi) dağıtarak her hesap için benzersiz parola kullanılmasını sağlayın.
• E-posta, bulut depolama, muhasebe yazılımları ve müşteri yönetim sistemleri başta olmak üzere tüm kritik sistemlerde MFA'yı zorunlu kılın.
• SMS tabanlı MFA yerine TOTP (zaman bazlı tek kullanımlık parola) uygulamaları tercih edin.
• Ayrılan çalışanların hesaplarını işten ayrılma günü devre dışı bırakın — bu adım sıklıkla unutulur ve ciddi açığa yol açar.
• Başarısız giriş denemelerini izleyin; belirli bir eşik aşıldıktan sonra hesabı geçici olarak kilitleyin.

Kural 2: Veri Şifreleme — Durağan ve Aktarımda

KVKK'nın 12. maddesi ve Kurul'un Kişisel Veri Güvenliği Rehberi, özellikle özel nitelikli kişisel veriler için şifrelemeyi zorunlu kılıyor. Şifreleme yalnızca yasal uyumluluk değil, temel bir savunma katmanı.

Pratik Uygulama Adımları:

• Tüm dizüstü bilgisayarlarda ve mobil cihazlarda tam disk şifreleme (BitLocker veya FileVault) etkinleştirin.
• Veri tabanlarında hassas alanlara (TC kimlik numarası, finansal bilgiler) uygulama katmanında şifreleme uygulayın.
• E-posta iletişiminde TLS zorunlu kılın; hassas belge paylaşımlarında uçtan uca şifreleme kullanın.
• USB bellekler ve harici diskler için zorunlu şifreleme politikası oluşturun.
• Yedekleme verilerinizi de şifreleyin — şifrelenmemiş yedekler saldırganlar için hazır bir hedef.

Kural 3: Düzenli ve Test Edilmiş Yedekleme Stratejisi

Fidye yazılımı saldırısında firmayı ayakta tutan tek şey, güncel ve erişilebilir yedekler. Ancak yedeklemenin kendisi yeterli değil — yedeklerin geri yüklenebilirliğini test etmek kritik.

Pratik Uygulama Adımları:

• 3-2-1 kuralını uygulayın: verinizin 3 kopyası, 2 farklı medya türünde, 1 tanesi fiziksel olarak farklı konumda.
• Günlük otomatik yedekleme yapılandırın ve yedeklerin başarıyla tamamlandığını izleyin.
• Yedeklerinizi en az ayda bir geri yükleme testiyle doğrulayın.
• Fidye yazılımlarına karşı "değiştirilemez" (immutable) yedekler kullanın.
• Yedeklemeden geri dönme süresini (RTO) ölçün ve kabul edilebilir iş kesinti süresine uygun olduğundan emin olun.

Kural 4: En Az Yetki İlkesi ve Erişim Kontrolü

Her çalışan yalnızca işini yapmak için gerekli verilere erişebilmeli. KVKK da bu prensibi doğrudan destekliyor: kişisel verilere erişim, işleme amacıyla sınırlı tutulmalı.

Pratik Uygulama Adımları:

• Rol tabanlı erişim kontrolü (RBAC) uygulayın. Her kullanıcıya iş tanımının gerektirdiği minimum yetkiyi verin.
• Erişim haklarını üç ayda bir gözden geçirin; artık gerekli olmayanları iptal edin.
• Yönetici (admin) hesaplarını günlük iş için değil, yalnızca yönetim görevleri için kullanın.
• Müşteri dosyalarına erişimi proje bazında sınırlandırın — bir müşterinin vekilinin başka müşterinin finansal verilerine erişimi olmamalı.
• Tüm kritik sistemlerde oturum ve erişim logları tutun. KVKK ihlali şüphesinde bu loglar ispat aracı oluyor.

Kural 5: Çalışan Farkındalık Eğitimi

Siber olayların büyük bölümü insan hatasından kaynaklanıyor. En iyi teknik önlemler bile eğitilmemiş bir çalışanın tek bir tıklaması karşısında yetersiz kalıyor.

Türkiye'de kimlik avı saldırıları (phishing) giderek daha inandırıcı hale geliyor: sahte GİB veya SGK bildirimleri, sahte banka mesajları, CEO dolandırıcılığı gibi senaryolar profesyonel hizmet firmaları için özellikle tehlikeli.

Pratik Uygulama Adımları:

• İşe giriş sürecine zorunlu siber güvenlik eğitimi ekleyin.
• Üç ayda bir canlı kimlik avı simülasyonu yapın; sonuçları çalışanlarla paylaşın.
• "Bildir, cezalandırılma" kültürü oluşturun: şüpheli bir bağlantıya tıklayan çalışan bunu korkusuzca IT ekibine bildirebilmeli.
• Muhasebe ve finans departmanlarını CEO dolandırıcılığı (BEC) ve sahte fatura senaryolarına karşı özellikle eğitin.
• Uzaktan çalışma güvenlik kuralları: herkese açık Wi-Fi kullanımı, kişisel cihaz politikası, ekran kilitleme alışkanlıkları.

Kural 6: Yazılım Güncellemeleri ve Yama Yönetimi

Bilinen güvenlik açıklarının istismarı, saldırıların önemli bir bölümünü oluşturuyor. VPN ve ağ uç cihazlarındaki açıklar özellikle hedef alınıyor; bu araçlar birçok hizmet firmasında uzaktan erişimin temeli.

Pratik Uygulama Adımları:

• İşletim sistemleri, ofis yazılımları ve web tarayıcıları için otomatik güncelleme etkinleştirin.
• İş uygulamaları (muhasebe yazılımı, proje yönetim aracı) için aylık güncelleme takvimi oluşturun.
• VPN, güvenlik duvarı ve ağ cihazlarının ürün yazılımlarını (firmware) düzenli güncelleyin.
• Kullanım ömrü dolmuş (EOL) yazılımları tespit edip değiştirin; desteklenmeyen yazılımlar yama alamaz.
• Bir yama yönetimi sorumlusu atayın.

Kural 7: Bulut Güvenliği ve Uzaktan Çalışma Kontrolleri

Profesyonel hizmet firmaları giderek daha fazla bulut tabanlı araç kullanıyor. Ancak bulut hizmet sağlayıcısının güvenliği ile firmanın kendi sorumluluğu farklı şeyler. Firmaya ait yapılandırma hataları, bulut ortamlarındaki en yaygın açık kaynağı.

Pratik Uygulama Adımları:

• Bulut hizmetlerinde (Microsoft 365, Google Workspace) yerleşik güvenlik özelliklerini etkinleştirin: MFA, oturum süresi sınırlama, coğrafi erişim kısıtlama.
• Dosya paylaşım izinlerini gözden geçirin: "Bağlantıya sahip herkes" ayarı yerine belirli kişi veya grup erişimi kullanın.
• Uzaktan çalışan personel için VPN zorunluluğu getirin.
• Şirket verilerinin kişisel cihazlara indirilmesini sınırlandırın veya mobil cihaz yönetimi (MDM) kullanın.
• Bulut hesaplarındaki olağan dışı etkinlikleri (toplu indirme, yeni cihazdan giriş) izleyen uyarı mekanizmaları kurun.

Kural 8: Olay Müdahale Planı

Bir siber saldırı yaşandığında paniğin yerini hızlı ve koordineli eylem almalı. Plan olmadan bu hız imkânsız; müdahalede her geçen saat hasarı artırıyor.

Pratik Uygulama Adımları:

• Yazılı bir Olay Müdahale Planı oluşturun. Her aşamada kimin ne yapacağını netçe tanımlayın.
• Dört aşama: (1) Tespit ve sınıflandırma, (2) Sınırlandırma, (3) Temizleme ve kurtarma, (4) Olay sonrası analiz.
• İletişim zincirini belirleyin: IT ekibi, yönetim, hukuk danışmanı, sigorta şirketi ve KVKK'ya bildirim (72 saat zorunluluğu).
• Yılda en az iki kez masa başı tatbikatı yapın.
• Dış destek için bir siber güvenlik olay müdahale firmasıyla önceden anlaşma yapın.
• Siber sigorta poliçesini gözden geçirin; Türkiye'de siber sigorta pazarı gelişiyor ve profesyonel hizmet firmaları için giderek anlamlı hale geliyor.

Kural 9: KVKK ve Yasal Uyumluluk

Türkiye'de faaliyet gösteren her profesyonel hizmet firmasının KVKK yükümlülükleri var. 2026 itibarıyla ceza aralıkları ciddi seviyelere ulaştı: veri güvenliği yükümlülüklerinin ihlali için 256.357 TL ile 17.092.242 TL arasında idari para cezası uygulanabiliyor.

Pratik Uygulama Adımları:

• VERBİS kaydını tamamlayın (50'den fazla çalışan veya özel nitelikli veri işliyorsanız zorunlu).
• Veri envanteri çıkarın: hangi kişisel verileri, nerede, ne amaçla, ne kadar süre sakladığınızı belgelendirin.
• Aydınlatma metinlerini (müşteri, çalışan, web sitesi ziyaretçi) hazırlayın ve güncel tutun.
• Açık rıza mekanizmalarını uygulayın — özellikle pazarlama ve profilleme faaliyetleri için.
• Veri işleme sözleşmelerini üçüncü taraf hizmet sağlayıcılarınızla (bulut, muhasebe yazılımı, e-posta servisi) imzalayın.
• Veri ihlali bildirim prosedürü oluşturun: KVKK'ya 72 saat içinde bildirim zorunlu. Gecikmeli bildirim cezayı katlar.
• Yıllık KVKK uyumluluk denetimi yapın.

Kural 10: Düzenli Denetim ve Sürekli İyileştirme

Siber güvenlik tek seferlik bir proje değil, sürekli bir süreç. Bir kez yapılandırıp unutmak, silindir kalkan ile savaşmak gibi — dünya değişiyor, siz sabit kalıyorsunuz.

Pratik Uygulama Adımları:

• Yılda en az bir kez bağımsız siber güvenlik denetimi yaptırın (pentest ve güvenlik açığı taraması dahil). KVKK da bunu tavsiye ediyor.
• NIST CSF 2.0 çerçevesinin altı temel fonksiyonunu (Yönet, Tanı, Koru, Tespit Et, Yanıt Ver, Kurtar) firmanıza uyarlayın.
• ISO 27001 sertifikasyonunu değerlendirin: sertifika alan kuruluşların önemli bir bölümü güvenlik olaylarında azalma bildiriyor.
• Güvenlik metriklerini ölçün ve takip edin: yama uygulama süresi, kimlik avı simülasyonu başarı oranı, ortalama olay tespit süresi.
• Her ihlal veya güvenlik olayından sonra "olay sonrası analiz" yapın ve dersleri politikalarınıza yansıtın.
• Yıllık güvenlik bütçesi ayırın; bütçe olmadan sürekli iyileştirme mümkün değil.

Nereden Başlamalı?

Bu 10 kuralın hepsini aynı anda uygulamak, özellikle küçük firmalar için bunaltıcı görünebilir. Öncelik sıralaması için pratik bir başlangıç:

1. Bu hafta: MFA'yı etkinleştir, otomatik yedekleme başlat, yazılım güncellemelerini aç.
2. Bu ay: Erişim haklarını gözden geçir, çalışan eğitimi planla, olay müdahale planı taslağı oluştur.
3. Bu çeyrek: KVKK uyumluluk kontrolü yap, bulut güvenlik ayarlarını gözden geçir, siber güvenlik denetimi planla.
4. Bu yıl: ISO 27001 veya NIST çerçevesiyle yapısal olgunluğu artır, siber sigorta değerlendir.

Sonuç

Türkiye'deki profesyonel hizmet firmaları için veri güvenliği artık teknik bir detay değil — müşteri güveninin, iş sürekliliğinin ve KVKK uyumluluğunun temelidir. Fidye yazılımları artıyor, kimlik avı saldırıları karmaşıklaşıyor, BTK ve KVKK düzenlemeleri sıkılaşıyor.

Bu 10 altın kural savunmanızın temelini oluşturuyor. Firmanızın büyüklüğü fark etmez — iki ortaklı bir muhasebe ofisi de, 30 kişilik bir hukuk bürosu da bu risklerin içinde. Önemli olan bugünden başlamak.

Siber saldırganlar en zayıf halkayı hedef alıyor. En zayıf halka olmamanın yolu, sistematik bir yaklaşım benimsemekten geçiyor.

Bu makale, KVKK Kişisel Veri Güvenliği Rehberi, BTK düzenlemeleri, IBM Cost of a Data Breach Report 2025, Verizon DBIR, NIST CSF 2.0 ve BSI ISO 27001 araştırmalarından elde edilen verilere dayanmaktadır.