Projelerin Aşil Topuğu: GÜVENLİK

Kalenizi İnşa Ederken Kapıyı Açık Unutmayın!

2017, Eylül. Equifax'ın CISO'su bir kahve molasındayken telefonu çaldı. Şirketin 147 milyon müşterisinin verisi sızdırılmıştı. Sebep mi? Altı ay önce yayınlanan bir güvenlik yamasının uygulanmamasıydı. Bir proje yönetimi hatası, 700 milyon dolar ceza ve tazminat ödemesine neden olacak bir felakete dönüştü.

Şimdi kendinize sorun: Son projenizde güvenlik, hangi sprint'te ele alındı? Yoksa "sonra bakılacaklar" listesinde mi?

Güvenlik Sadece Proje Yöneticisi'nin Değil, Tüm Proje Paydaşlarının da İşi

Çoğumuz güvenliği siber güvenlik ve altyapı ekiplerine havale eder, "onlar halleder" deriz. Ancak gerçek şu ki, 2024 IBM raporuna göre veri ihlallerinin ortalama maliyeti 4.88 milyon dolara ulaştı. Ve bu ihlallerin %74'ünün kök nedeni, proje süreçlerindeki güvenlik açıklarıdır.

Sigorta şirketleri de bir çok kritik veri bünyesinde barındırır. Hassas sağlık verileri, finansal bilgiler, kimlik numaraları... Şirketlerde kullanılan temel uygulamalarda yaşanan güvenlik açığı, sadece para kaybı değil, marka itibarının sonu anlamına gelir. Polonya Veri Koruma Otoritesi (Polish SA), bir sigorta şirketine €24.000 para cezası verdi. Bu ceza, poliçe tazminat bildirimi gibi hassas verilerin e-posta ekiyle yanlış alıcılara gitmesi ve olayın yetkili otoriteye bildirilmemesi nedeniyle uygulandı.

Peki güvenlik deyince ne anlamamız gerekiyor? Çoğumuz firewall, antivirus der geçeriz. Modern IT projelerinde güvenlik konusunu bu sefer sembolikleştirerek dört farklı boyutta ele aldık:

1. Duvarlar ve Kapılar: Uygulama Güvenliği

Bu "dış güvenlik" konusunun temelidir. Yazılımın kendisinin siber saldırılara karşı dayanıklılığıdır. SQL Injection, Cross-Site Scripting (XSS), zafiyetli kütüphanelerin (dependency) kullanımı gibi konuları içerir. Çözüm olarak;

• canlıya çıkmadan önce statik/dinamik kod analizleri (SAST/DAST), sızma testleri (pentest), performans testleri, güvenli kodlama eğitimleri, web application firewall (WAF) kullanımı gösterilebilebilir. Proje yöneticileri, “sprint definition of done”a "security scan passed" kriteri eklemesi ve güvenliği projenin son aşamasına bırakmaması bu noktada çok önemlidir.

Target, 2013'te 41 milyon [kredi kartı bilgisini](https://www.aa.com.tr/tr/dunya/abdde-40-milyon-musterinin-bilgileri-calindi/196331#!) kaybetti. Saldırganlar bu alışveriş mağzasının bir tedarikçisinin zayıf güvenlik önlemlerinden sisteme sızdı. Bir vendor management sorunu, 200 milyon dolarlık kayba dönüştü. Yine 2025 başında bilgisayar korsanları, sigorta şirketi Allianz Life'ın Kuzey Amerika'daki 1,4 milyon müşterisinin çoğunun kişisel bilgilerini çaldı. Bu örnekler önce kendi kalemizin duvarlarının, kapılarının ve pencerelerinin neden sağlam olması gerektiğini gösteriyor.

1. Hazine Odası: Veri Güvenliği:

Özellikle sigortacılık gibi regülasyonların yoğun olduğu sektörler için en kritik başlıktır. Projenin ürettiği, işlediği veya sakladığı verinin (özellikle müşteriye ait kişisel veriler - PII) gizliliği, bütünlüğü ve erişilebilirliğidir. Veri nerede duruyor (at-rest), nerede transfer ediliyor (in-transit), ve nerede işleniyor konularını kapsar. Çözüm olarak:

• veri şifreleme (encryption), veri maskeleme (data masking), anonimleştirme, KVKK/GDPR gibi yasal düzenlemelere uyum, erişim yetki matrislerinin oluşturulması sayılabilir. Test verisinin, daima sentetik veya maskelenmiş veri olması güvenli alanda kalmamızı sağlar. Kalemizin içindeki hazine odası ve kraliyet mücevherleridir. Duvarlar sağlam olsa bile hazineyi kimin görebileceği ve ona nasıl dokunabileceği ayrı bir güvenlik katmanıdır.

Kişisel Verileri Koruma Kanunu (KVKK) “uyum - hukuk departmanlarının işi" diyorsanız, bir daha düşünün isteriz. Kişisel Verileri Koruma Kurumu ülkemizde 2024'te 8 bin 186 başvuruyu inceleyerek 6 bin 958'ini sonuçlandırdı. Yapılan denetimler sonucu, kanuna aykırılık tespit edilen gerçek ve tüzel kişilere toplamda 552 milyon 668 bin lira idari para cezası uyguladı. 2019'da Amerika’da Anthem Health Insurance, 79 milyon kayıt içeren bir veri ihlali yaşadı. Saldırganlar, şifrelenmemiş veritabanlarına erişti. Ceza: 115 milyon dolar. Firmaların karlılığa zor ulaştığı günümüzde bu ceza tutarları sizce de can acıtmaz mı?

1. Kalenin Zemini ve Temeli: Altyapı Güvenliği

Dünyanın en güvenli kodunu yazabilirsiniz. Proje çıktısı olan yazılımın çalıştığı sunucuların, bulut ortamının (AWS, Azure, GCP), network'ün ve işletim sistemlerinin güvenliğini sağlayamadıysanız tamamen güvende asla sayılmazsınız. Yanlış yapılandırılmış bir bulut servisi, en güvenli kodu bile savunmasız bırakabilir. Çözüm olarak:

• güvenli altyapı konfigürasyonu (IaC - Infrastructure as Code), altyapının kurulumunu manuel yapmak yerine kod ile (Terraform, Ansible vb.) otomatikleştirmesi, version kontrolleri, CI/CD pipeline güvenliğinin sağlanması, düzenli zafiyet taramaları, erişim loglarının izlenmesi, ortamların ayrımı (dev/test/preprod/prod) ve ortamların izolasyonu, yetki rollerinin ve yetki sınırlarının belirlenmesi, DDoS koruma servisleri, Güvenlik by Design (Tasarım Odaklı Güvenlik) yaklaşımlarının uygulanması, erişim ve yetkilendirmeler için gerekli politikaların oluşturulmasından bahsedilmelidir. Proje ekibinin sadece koda odaklanıp, uygulamanın çalışacağı altyapının güvenliğini "o altyapı ekibinin sorunu" olarak görmesi klasik bir hatadır. Proje planımızda "Altyapı Güvenlik Gözden Geçirme" adında net bir kilometre taşı ekleyerek, altyapı ve güvenlik ekiplerini işin en başında projeye dahil etmek proje ekibini güçlendirir.

ABD’nin en büyük petrol boru hatlarından Colonial Pipeline, 2021'de ransomware saldırısında 4.4 milyon dolar fidye ödedi. Sebep? Eski bir VPN hesabının MFA koruması olmaması. Bir proje yöneticisi, "kullanıcı deneyimi bozulur" diye MFA'yi ertelemişti. Sigorta sektöründe kullanılan temel sigortacılık sistemlerinde genellikle binlerce kullanıcı var: acenteler, hasar ekspertizi, call center, üst yönetim... Her birinin kullandığı yapıların farklı erişim seviyesi olması ve ayrıtştırarak yönetim riski azaltan önemli aksiyonlardandır. Altyapı güvenliği, kalemizin üzerine inşa edildiği tepenin, temelinin ve kaleye giden yolların güvenliğidir. Unutmayalım, zemin kaygansa en sağlam duvar bile yıkılır.

1. Muhafızlar ve Anahtarlar: Süreç ve İnsan Güvenliği

Ve geldik en zayıf halkaya: İnsan. Unutmayın, kaleler genellikle içeriden fethedilir. Kötü niyetli bir çalışandan ziyade, dikkatsiz veya eğitimsiz bir çalışanın yaratacağı risk çok daha yüksektir. Bir proje yöneticisinin, dış kaynak (vendor) bir çalışana projenin tüm kod deposuna (Git) "admin" yetkisi verilmesini talep etmesinden tutunda; kodların rakip firmaya sızdırılmasıyla sonuçlanan bir hikayeye kadar değişik varyasyonlar üretebiliriz. Çözüm olarak:

• en az yetki prensibi (PoLP) ile her kullanıcı ve sisteme sadece işini yapması için gereken minimum yetkinin verilmesi; görevler ayrılığı ilkesi gereği analizi yazan, kullanıcı kabul testini yapan,projeyi yöneten vb. farklı rollerdeki kişilerin gerçekte de ayrı kişiler olmasının sağlanması; dış firmalar ile yapılacak çalışmalarda sözleşmelere (SOW) güvenlik maddelerinin eklenmesi; felaket durum senaryolarının güncel tutulup en az üç ayda bir test edilmesi; değişim yönetim süreçlerinin net olarak belirlemesi ve uygulanması; sistem analist testlerinin ve kullanıcı kabul testlerinin otomasyon desteği ile sürekli, hızlı ve etkin yapılması; Agile süreçlerinin DevSecOps’u da kapsayacak şekilde analiz,yazılım,test ve deployment adımlarında tek bir sistem bütünlüğünde kurgulanması verimli takip yapılmasını sağlar. Test süreçleriniz de bir güvenlik kalkanıdır. Kapsamlı ve zamanında hazırlanan test senaryoları ve bunları takip eden net KPI'lar, projenizin en önemli silahlarındandır. Proje yöneticisi “Güvenliği” bir korku unsuru değil, projedeki bir kalite metriğine dönüştürmelidir.