Masabaşı Egzersizi

MASABAŞI EGZERSİZİ — TABLETOP TATBİKAT

Krizi yönetebileceğinizi sınamadan, hazır olduğunuzu söyleyemezsiniz.

Masabaşı egzersizi (tabletop tatbikat); fidye yazılımı, veri sızıntısı, üçüncü taraf ihlali veya hizmet kesintisi gibi gerçekçi siber kriz senaryoları üzerinden kurumun teknik ekiplerinin, yöneticilerinin, hukuk ve iletişim birimlerinin nasıl tepki vereceğini test eden uygulamalı bir tatbikat formatıdır. Ekipler bir masanın etrafında toplanır, senaryo adım adım açılır, kararlar gerçek zamanlı tartışılır.

Egzersiz Akışını İncele Tatbikat Planı Talep Et
Senaryo Bazlı Tatbikat Olay Müdahale Testi Kriz İletişimi Departmanlar Arası Koordinasyon Bulgu Raporu
Kriz Hazırlığı Olgunluk Panosu
SENARYO + KOORDİNASYON
Olay müdahale
plan
Departmanlar
iletişim
Kriz iletişimi
medya
3-6 satatbikat süresi
8-15katılımcı sayısı
3-5senaryo enjeksiyonu
SenaryoKuruma özel hazırlanan, sektör ve tehdit haritasına uygun gerçekçi siber kriz senaryosu.
RolBT, güvenlik, hukuk, iletişim ve üst yönetim için ayrı sorumluluk ve karar noktaları.
EnjeksiyonSenaryoyu ileri taşıyan ek bilgi, sürpriz olay veya dış paydaş baskısı.
BulguTatbikat sonrası raporlanan koordinasyon, iletişim ve süreç eksiklikleri.
EGZERSİZİN AMACI

Olay müdahale planınız kâğıt üzerinde mükemmel olabilir; ancak gerçek krizde işe yarayıp yaramayacağı sınanmadan bilinemez.

Pek çok kurumda olay müdahale planı, iş sürekliliği planı veya kriz iletişim planı vardır. Ancak bu planlar genellikle bir kez yazılır, klasöre konur ve tekrar açılmaz. Gerçek bir kriz anında ise plan dışı sorular ortaya çıkar: kim hangi kararı alacak, müşteri ne zaman bilgilendirilecek, basına ne zaman açıklama yapılacak, KVKK Kurulu'na bildirim hangi anda gidecek, sigorta şirketi nasıl devreye girecek.

Masabaşı egzersizi tam olarak bu boşluğu doldurur. Senaryo bazlı bir tatbikat formatında, ekipler bir masanın etrafında toplanır; eğitmen senaryoyu adım adım açar; her ekip kendi rolüne göre karar alır, başka ekiple iletişim kurar, eylem planı oluşturur. Süreç sırasında planın çalışmadığı, iletişimin koptuğu, sorumluluğun belirsiz olduğu noktalar netleşir. Tatbikat sonunda bu bulgular rapora dökülür ve iyileştirme önerileri ile birlikte yönetime sunulur.

Amaç: Kurumun olay müdahale planının pratikte test edilmesi, departmanlar arası koordinasyonun ölçülmesi, karar verme hızının değerlendirilmesi, iletişim akışındaki kopuklukların tespit edilmesi ve elde edilen bulgularla planın somut biçimde iyileştirilmesidir.
Plan, denenmediği sürece varsayımdan ibarettir.Olay müdahale ve iş sürekliliği planları, tatbikatla denenmediği sürece eksiklikleri görünmez kalır. Kâğıt üstünde işleyen prosedür, gerçek baskı altında çoğu zaman çalışmaz.
Kriz, departmanlar arası iletişimin sınandığı andır.BT, hukuk, iletişim, insan kaynakları ve üst yönetim aynı anda hareket etmek zorundadır. Kim kime ne zaman bilgi verecek, hangi kararı kim alacak; bu sorular kriz anında sorulamaz, tatbikatta sorulur.
Teknik müdahale yetiyor sanılır, oysa karar yetmez.Saldırıyı durduran teknik ekibinizin başarısı, üst yönetimin hangi sistemin kapatılacağı, hangi müşteriye ne söyleneceği, savcılığa bildirim yapılıp yapılmayacağı kararlarını zamanında alamamasıyla anlamsızlaşabilir.
Mevzuat süre baskısı uygular, plan ona uymalıdır.KVKK Kurulu'na 72 saat içinde bildirim, BDDK'ya zaman aralıklı raporlama, müşteri sözleşmelerindeki bildirim yükümlülükleri saatler ile sayılı sürelerdir. Tatbikat, bu sürelerin gerçekten karşılanıp karşılanamayacağını gösterir.
FARKINDALIK EĞİTİMİ VE TATBİKAT

Bu egzersiz, klasik bilgi güvenliği farkındalık eğitimlerinin yerini almaz; üzerine pratik bir katman ekler.

Pek çok kurum klasik farkındalık eğitimini yıllık olarak tekrarlar. Bu eğitimler önemlidir ama tek başına bir krizi yönetmeye yetmez. Tatbikat, farkındalık ile gerçek kriz davranışı arasındaki köprüyü kurar.

Klasik Farkındalık Eğitimi Bilgi aktarımı odaklı, pasif format

  • Tek yönlü sunum ve bilgi aktarımı
  • Genel siber tehditler ve örnekler
  • Tüm çalışanlara aynı içerik
  • Karar alma pratiği yok
  • Departmanlar arası etkileşim yok
  • Mevcut planlar test edilmiyor
  • Sonuç: bilgi düzeyi raporu

Masabaşı Egzersizi Senaryo bazlı, aktif, departmanlar arası tatbikat

  • Gerçekçi kriz senaryosu üzerinden uygulama
  • Kuruma özel sektör ve tehdit haritası
  • Rol bazlı katılım: BT, hukuk, iletişim, üst yönetim
  • Anlık karar alma ve sorumluluk testi
  • Departmanlar arası iletişim akışı sınanır
  • Mevcut müdahale planı pratikte denenir
  • Sonuç: bulgu raporu ve iyileştirme yol haritası
EGZERSİZ KAZANIMLARI

Katılımcılar krizi mevzuat, koordinasyon ve iletişim ekseninde birlikte yönetmeyi öğrenir.

Egzersiz, tek bir markanın aracı veya tek bir tehdit türü etrafında dönmez. Her senaryo kurumun gerçek altyapısı, gerçek paydaşları, gerçek mevzuat yükümlülükleri ve gerçek müşteri profili üzerinden tasarlanır.

SENARYO

Kuruma özel kriz senaryosu üzerinden çalışır.

Fidye yazılımı, üçüncü taraf ihlali, veri sızıntısı, hizmet reddi saldırısı veya kötü niyetli içeriden tehdit gibi senaryolar; sektör, ölçek ve mevcut tehdit haritasına göre özelleştirilir.

  • Sektör temelli senaryo seçimi
  • Gerçek tehdit verisinden besleme
  • Kurumun varlık envanterine uyum
ROL DAĞILIMI

Her katılımcının net bir karar sorumluluğu olur.

BT yöneticisi, güvenlik analisti, hukuk müşaviri, iletişim direktörü, insan kaynakları ve üst yönetim için ayrı sorumluluk noktaları tanımlanır. Herkesin krizdeki yeri net olur.

  • Departmanlara göre rol kartları
  • Karar yetkisi haritası
  • Yedek ve devir senaryoları
ENJEKSİYON

Senaryoyu canlı tutan sürpriz gelişmeler.

Saldırının ikinci dalgası, basından gelen telefon, müşterinin avukat üzerinden başvurusu, KVKK bildirimi süresi, sigorta şirketi soruları gibi enjeksiyonlar tatbikatı pasiflikten çıkarır.

  • Beklenmedik basın baskısı
  • Mevzuat süre baskısı
  • Müşteri ve tedarikçi etkisi
KARAR HIZI

Kararın doğruluğu kadar zamanı da test edilir.

Saldırıyı durdurmak için sistemi kapatmak mı, izleme amaçlı açık tutmak mı; müşteriye bildirim hangi anda yapılır, basına ne zaman çıkılır gibi kararların gerçek baskı altında alınması.

  • Karar süre eşikleri
  • Kabul edilebilir risk pencereleri
  • Eskalasyon yolları
İLETİŞİM

İç ve dış iletişimi krizden ayrı bir disiplin olarak ele alır.

Çalışanlara mesaj, müşterilere bildirim, basına açıklama, regülatöre rapor, sosyal medya yanıtı; her birinin tonu, zamanı ve sorumlusu farklıdır. Tatbikat bunu pratikte gösterir.

  • İç iletişim mesaj şablonu
  • Müşteri bildirim metni
  • Basın açıklaması taslağı
BULGU VE RAPOR

Tatbikat sonrası ölçülebilir iyileştirme önerileri sunar.

Plan boşlukları, iletişim kopuklukları, karar gecikmeleri ve eksik dokümantasyon detaylı bir raporda kategorize edilir. Her bulgu için somut bir iyileştirme önerisi yer alır.

  • Bulgu kategorileri ve öncelik
  • Plan güncelleme önerileri
  • İyileştirme yol haritası
EGZERSİZ AKIŞI

Yarım günlük yoğun tatbikat; senaryo açılışından bulgu raporuna kadar tüm aşamalar.

Program; kurumun olgunluğuna ve katılımcı profiline göre 3 saatlik yönetici tatbikatı, 4-6 saatlik tam tatbikat veya 1 günlük çoklu senaryo formatında uyarlanabilir. Tüm akış canlı tartışma ve gözlemci notları ile yürütülür.

01Ön hazırlık görüşmeleriKurumun sektörü, varlık envanteri, mevcut planlar ve tehdit haritası incelenir; senaryo iskeleti çıkarılır.
02Senaryo tasarımıKuruma özel kriz senaryosu, enjeksiyonlar, zaman çizelgesi ve gözlem kriterleri detaylı şekilde hazırlanır.
03Brifing ve rol dağıtımıTatbikat günü açılış: katılımcılara format, beklentiler ve rol kartları teslim edilir; kurallar paylaşılır.
04Senaryo açılışıİlk olay enjeksiyonu yapılır: bir sızma alarmı, fidye notu, müşteri şikayeti veya basın çağrısı ile kriz başlar.
05Tartışma ve karar almaHer ekip kendi rolüne göre karar alır, başka ekiple iletişim kurar; eğitmen sürpriz enjeksiyonlarla baskıyı artırır.
06Eskalasyon ve iletişimÜst yönetim, hukuk, iletişim ve regülatör ile iletişim simüle edilir; sürelerin karşılanıp karşılanmadığı izlenir.
07Kapanış ve sıcak değerlendirmeSenaryo sonlandırılır; herkesin bulduğu eksiklikler, hisleri ve önerileri açık masa formatında paylaşılır.
08Bulgu raporu ve yol haritasıGözlem notları işlenir; bulgular kategorize edilir; iyileştirme önerileri ile detaylı rapor yönetime sunulur.
EGZERSİZ MODÜLLERİ

Senaryo tasarımı, rol dağılımı ve raporlama disiplini tek programda buluşur.

M1
Tatbikat öncesi hazırlıkKurumun mevcut olay müdahale planı, iş sürekliliği planı ve kriz iletişim planı incelenir; varlık envanteri ve tehdit haritası senaryoya beslenir.
M2
Senaryo seçimi ve tasarımFidye yazılımı, veri sızıntısı, üçüncü taraf ihlali, içeriden tehdit, hizmet reddi saldırısı gibi senaryolar arasından kuruma uygun olan seçilir ve özelleştirilir.
M3
Rol kartları ve kurallarıBT, güvenlik, hukuk, iletişim, insan kaynakları ve üst yönetim için ayrı rol kartları; karar yetkisi haritası ve eskalasyon yolları belirlenir.
M4
Senaryo yürütme ve enjeksiyonlarSenaryo zaman çizelgesine göre adım adım açılır; sürpriz enjeksiyonlar (basın baskısı, mevzuat süresi, müşteri şikayeti) ile baskı artırılır.
M5
Karar, koordinasyon ve iletişimEkipler arası karar alma akışı, süreyle yarış, iç iletişim, müşteri bildirimi ve basın açıklaması canlı olarak simüle edilir.
M6
Bulgu raporu ve iyileştirmeGözlem notları işlenir; plan boşlukları, iletişim kopuklukları ve karar gecikmeleri kategorize edilir; somut iyileştirme önerileri sunulur.
SENARYO TÜRLERİ

Tatbikat, kurumun gerçek tehdit haritasına uygun senaryolarla yürütülür.

Tek bir kalıp senaryo dayatmak yerine, kurumunuzun sektörüne, ölçeğine ve mevcut güvenlik olgunluğuna göre senaryo seçilir veya özelleştirilir. Aşağıda en sık çalışılan senaryo aileleri yer almaktadır.

FİDYE YAZILIMIŞifrelenmiş veri tabanıKritik veri tabanı şifrelenir, fidye notu bırakılır. Ödeme yapılmalı mı, yedekten geri yükleme ne kadar sürer, müşteri ne zaman bilgilendirilir kararları alınır.
VERİ SIZINTISIMüşteri verisi forumdaKurumun müşteri verisinin bir hacker forumunda satışa çıktığı haberi gelir. KVKK bildirimi, müşteri iletişimi, basın açıklaması ve hukuki adımlar tartışılır.
TEDARİKÇİ İHLALİÜçüncü taraf saldırısıBulut sağlayıcısı veya kritik bir tedarikçinin ihlal yaşadığı haberi düşer. Etkilenen sistemler hangileri, alternatif var mı, sorumluluk kimde gibi sorular ele alınır.
İÇERİDEN TEHDİTÇalışan veri kopyalamaİşten ayrılacak bir çalışanın yetkili olduğu sistemden büyük miktarda veri indirdiği tespit edilir. Hukuki süreç, dijital delil ve insan kaynakları aksiyonu birlikte tartışılır.
HİZMET KESİNTİSİDDoS ve site dışındaE-ticaret sitesi büyük bir DDoS saldırısı altında. Hizmet sağlayıcı ile iletişim, müşteri bilgilendirme, satış kaybı ve marka iletişimi yönetilir.
İŞ SÜREKLİLİĞİVeri merkezi yangınıBirincil veri merkezi devre dışı. İkincil sisteme geçiş, manuel süreçler, kritik müşteri taahhütleri ve geri dönüş planı canlandırılır.
KİMLER KATILMALI

Kriz anında masada olması gereken tüm kritik roller için tasarlanmış tatbikat.

Üst Yönetim ve Yönetim Kurulu
CISO ve Bilgi Güvenliği Ekipleri
BT Yöneticileri ve Sistem Sorumluları
SOC ve Olay Müdahale Ekipleri
Hukuk ve KVKK Sorumluları
Kurumsal İletişim ve Halkla İlişkiler
İnsan Kaynakları
İş Sürekliliği ve Risk Yöneticileri
ÇIKTILAR

Tatbikat sonunda kurumun kriz hazırlığı ölçülebilir ve iyileştirilebilir hale gelir.

Katılımcı kazanımları

  • Kendi rolündeki karar yetkisini ve sınırlarını netleştirme
  • Departmanlar arası iletişim akışını pratikte yaşama
  • Mevzuat süre baskısı altında karar alma deneyimi
  • Kriz iletişim mesajlarının yapısını öğrenme
  • Eskalasyon yollarını ve devir senaryolarını anlama
  • Olay müdahale planındaki kişisel rol farkındalığı
  • Ekipler arası güven ve uyum geliştirme

Kurum çıktıları

  • Kuruma özel hazırlanmış senaryo dokümanı
  • Rol kartları ve karar yetkisi haritası
  • Detaylı bulgu raporu ve önceliklendirme
  • Olay müdahale planı güncelleme önerileri
  • Kriz iletişim şablonları (iç, müşteri, basın)
  • Mevzuat süre çizelgesi ve sorumluluk matrisi
  • 90 günlük kriz hazırlığı yol haritası
EGZERSİZ KÜNYESİ

Tatbikat hakkında bilmek istediğiniz her şey tek bakışta.

Süre, format, katılımcı sayısı, sertifika, içerik kapsamı ve teslim edilen materyaller netleştirilmiştir. Kuruma özel programlarda parametreler ihtiyaca göre uyarlanır.

YARIM GÜN
Tatbikat Süresi 4 - 6 Saat 3 saatlik yönetici tatbikatı veya 1 günlük çoklu senaryo seçeneği.
FORMAT
Tatbikat Formatı Yüz Yüze veya Online Kurum lokasyonunda masa etrafında, online canlı oturum veya hibrit yapı.
SERTİFİKA
Belgelendirme Katılım Sertifikası Tüm katılımcılara Secure Fors imzalı dijital katılım sertifikası.
DİL
Tatbikat Dili Türkçe Talep durumunda İngilizce tatbikat ve materyal sunumu.
Tatbikat AdıMasabaşı Egzersizi (Tabletop Tatbikat)
Süre4 - 6 saat (yarım gün) tam tatbikat. Kurumun ihtiyacına göre 3 saatlik yönetici tatbikatı veya 1 günlük çoklu senaryo programı olarak uyarlanabilir.
Tatbikat Formatı Yüz Yüze (Kurum Lokasyonu) Online Canlı (Zoom / Teams) Hibrit
Senaryo TürleriFidye yazılımı saldırısı · Müşteri verisi sızıntısı · Üçüncü taraf / tedarikçi ihlali · İçeriden kötü niyetli tehdit · Hizmet reddi saldırısı (DDoS) · Veri merkezi kesintisi · İş sürekliliği krizi · KVKK bildirimi senaryosu · Sosyal mühendislik vakası.
Hedef KitleÜst yönetim ve yönetim kurulu, CISO ve bilgi güvenliği ekipleri, BT yöneticileri, SOC ve olay müdahale ekipleri, hukuk ve KVKK sorumluları, kurumsal iletişim ekipleri, insan kaynakları, iş sürekliliği yöneticileri.
Ön KoşulKurumda tanımlı bir olay müdahale planı veya iş sürekliliği planı bulunması tavsiye edilir; ancak zorunlu değildir. Plan yoksa tatbikat plan oluşturma ihtiyacının somut gerekçesini ortaya koyar.
Katılımcı SayısıOptimum verim için 8 - 15 kişi. Birden fazla departmanın eş zamanlı katılımı için en fazla 20 kişiye kadar grup açılabilir.
Sertifika Katılım Sertifikası Tatbikat tamamlandığında Secure Fors tarafından imzalı dijital katılım sertifikası verilir. Doğrulanabilir QR kod içerir.
Çıktı ve MateryallerKuruma özel senaryo dokümanı · Rol kartları ve karar yetkisi haritası · Detaylı bulgu raporu · Olay müdahale planı güncelleme önerileri · Kriz iletişim şablonları (iç, müşteri, basın) · Mevzuat süre çizelgesi ve sorumluluk matrisi · 90 günlük kriz hazırlığı yol haritası.
YöntemSenaryo bazlı, oyunlaştırılmış, tartışma odaklı format. Eğitmen senaryoyu adım adım açar; ekipler kendi rolünde karar alır; sürpriz enjeksiyonlarla baskı artırılır; gözlemciler not tutar.
Eğitmen / Tatbikat LideriISO 27001 Lead Auditor, CEH ve siber kriz yönetimi alanında deneyimli kıdemli danışman. Sahada gerçek olay müdahale deneyimi olan, oyunlaştırma ve grup dinamikleri konusunda yetkin profesyonel.
FiyatlandırmaKuruma özel teklif. Senaryo karmaşıklığı, katılımcı sayısı, format (yüz yüze / online), tatbikat süresi ve özelleştirme ihtiyacına göre fiyat oluşturulur.
SIKÇA SORULAN SORULAR

Tatbikat öncesinde aklınıza takılabilecek soruların yanıtları.

Tatbikatın klasik farkındalık eğitiminden farkı nedir?

Klasik farkındalık eğitimi tek yönlü bilgi aktarımıdır; tatbikat ise senaryo bazlı, ekiplerin gerçekçi bir kriz altında karar almasını sağlayan aktif bir formatdır. Eğitim "ne olduğunu" öğretir, tatbikat "ne yaptığınızı" gösterir.

Olay müdahale planımız yok, yine de tatbikat yapabilir miyiz?

Evet, hatta tatbikat sonucunda planınızın olmamasının somut maliyetini görürsünüz. Tatbikat raporu, olay müdahale planının nasıl olması gerektiğine dair somut bir taslak sunar. Pek çok kurum ilk olay müdahale planını ilk tatbikatın ardından yazar.

Üst yönetim katılmazsa tatbikat anlamlı olur mu?

Tatbikatın ana faydalarından biri üst yönetimin karar pozisyonunda olduğu rolü yaşamasıdır. Üst yönetim katılmadığı tatbikatlar yine teknik faydalı olur ancak kriz anında alınması gereken stratejik kararların simülasyonu yapılamaz. Mümkün olan en geniş yönetim katılımını öneririz.

Online formatta verim alınır mı?

Evet. Online tatbikat Zoom veya Teams üzerinden yürütülür; ana oturum, breakout odaları (her departman için ayrı) ve sanal beyaz tahta kullanılır. Bazı vakalarda departmanlar arası iletişimin uzaktan nasıl koptuğunu daha net gösterdiği için yüz yüze formattan bile öğretici olabilir.

Tatbikat sonrası ne olur?

2 hafta içinde detaylı bulgu raporu hazırlanır; gözlemler, eksiklikler ve önceliklendirilmiş iyileştirme önerileri yer alır. Talep durumunda bulgu raporu üst yönetime sunulan bir kapanış sunumu ile pekiştirilir. 90 günlük yol haritası kuruma özel olarak çıkarılır.

Hangi sıklıkla yapılmalı?

Standartlar (ISO 27001, ISO 22301, KVKK) yıllık tatbikat tavsiye eder. Olgun kurumlar yılda iki kez (farklı senaryolarla) tekrarlar. Yeni başlayan kurumlar için ilk yıl tek tatbikat, ikinci yıldan itibaren yıllık iki tatbikat ideal sıklıktır.

Olay müdahale planınızın gerçek krizde işe yarayıp yaramayacağını öğrenmenin tek yolu, onu denemektir.

Kurumunuzun sektörüne, ölçeğine ve mevcut güvenlik olgunluğuna özel olarak hazırlanan masabaşı egzersizi ile kriz hazırlığınızı ölçülebilir hale getirin.

Tatbikat Planı Talep Et

Referans çerçeveler: NIST SP 800-84 BT Sistemleri için Test, Eğitim ve Egzersiz Programları Rehberi · NIST SP 800-61 Bilgisayar Olayları Müdahale Rehberi · ISO/IEC 27035 Bilgi Güvenliği Olay Yönetimi · ISO 22301 İş Sürekliliği Yönetim Sistemi · ISO 22398 Tatbikat ve Egzersiz Rehberi · CISA Tabletop Exercise Packages.