- 0-30 gün: Tüm Critical bulgular kapatılır, sahiplenme atanır, kalıcı süreç kurulur.
- 31-60 gün: High bulgular + Critical kalıcı çözümler tamamlanır.
- 61-90 gün: Medium bulgular + re-test + kapanış raporu.
- Sahiplenmeyi belirsiz bırakmayın — her bulguya kişi adı ve deadline atayın.
- Re-test sonrası kapanış raporu mevzuat denetimleri için kritik delildir.
“Pentest yaptırdık, şimdi ne yapacağız?” — bu sorunun cevabı pentest’in gerçek değerini belirler. Çünkü iyi bir test bile aksiyon planı olmadan rafa kalkar. Bu yazıda saha pratiğinden damıtılmış 30/60/90 günlük yol haritasını anlatıyoruz.
Hafta 0: Rapor Teslim Günü
Rapor geldiği gün 30 dakika ayırın. Pentester ekibiyle online toplantı yapın. Yönetici özeti birlikte okuyun, ilk 5 Critical bulguyu sahiplenin. Toplantı sonunda elinizde şu olmalı:
- Critical+High bulgular için sahip kişi listesi
- Her bulgu için tahmini kapatma süresi
- Yöneticiye sunulacak 1 sayfalık özet
0-30 Gün: Critical Bulgular
- 1. hafta: Critical bulgular için geçici hafifletici (mitigation) önlemler. Tam çözüm beklenmeden saldırı yüzeyi kapatılır (örn. WAF kuralı, rate-limit, IP blok).
- 2. hafta: Critical bulguların kalıcı çözümü için sprint planı. Yazılım ekipleriyle hangi sprint hangi bulguyu alacak — netleşir.
- 3. hafta: Çözümler test ortamında uygulanır. Pentester’lar mümkünse kontrol toplantısı yapar.
- 4. hafta: Çözümler üretime alınır. İlk re-test başlar.
31-60 Gün: High Bulgular
High bulgular Critical kadar acil olmasa da iş etkisi yüksek olanlardır. Bu süreçte:
- High bulguların tamamı kalıcı olarak kapatılır
- Critical bulguların kalıcı çözümleri (geçici mitigation yerine) tamamlanır
- Yan etkiler için entegrasyon testleri yapılır
- Yönetim kuruluna 30. gün sonu raporu sunulur
TSE Onaylı Sızma Testi Düşünüyorsanız
Belgesert; 15+ yıl deneyim, TSE A Sınıfı sertifikası ve TS 13638 standardına uygun raporlama ile şirketinizin pentest sürecini titizlikle yürütür. Ön görüşme ücretsizdir.
Ücretsiz Keşif Görüşmesi Talep Et →61-90 Gün: Medium Bulgular + Re-test
- Medium bulgular kapatılır (genelde sürekli iyileştirme listesine eklenmiş olur)
- Pentest firması re-teste gelir; kapatıldığı söylenen tüm Critical+High bulgular yeniden denenir
- Re-test çıktısı kapanış raporu olarak yayınlanır
- Bu rapor ISO 27001, BDDK, KVKK denetimlerinde resmi delil olarak sunulur
Sonrası: Sürekli Süreç
90 günde bitmez. Pentest süreci yıllık döngüye girmeli:
- Aylık: Açıklık taraması, CVE feed takibi
- Sürüm sonrası: Hedefli kısmi pentest
- Yıllık: Tam kapsam pentest tekrar
- Olay sonrası: Hedefli pentest + iyileştirme
Yönetim Kuruluna Sunum İçin Şablon
| Süreç | Critical | High | Medium |
|---|---|---|---|
| Toplam tespit | 3 | 7 | 12 |
| 30. gün kapatılan | 3 (✓) | 2 | 0 |
| 60. gün kapatılan | 3 (✓) | 7 (✓) | 5 |
| 90. gün kapatılan | 3 (✓) | 7 (✓) | 10 (✓) |
Sıkça Sorulan Sorular
Rapor teslim edildikten kaç gün sonra çalışmaya başlamalıyım?
İdeal olarak aynı gün — pentester sunum toplantısının ardından sahiplenme atamaları yapılmalı. Geciktikçe sahiplenme zayıflar.
Re-test ne zaman yapılmalı?
Critical+High bulgular kapatıldıktan sonra, genelde 60-90 gün arası. Re-test sonrası kapanış raporu mevzuat için önemlidir.
Tüm bulguları kapatamadık, bu sorun mu?
Mevzuat açısından %100 kapanma şart değil; ama açıklamalı ‘kabul edilen risk’ kararı yazılı olmalı. ISO 27001 bunu kabul eder.
Pentest sonrası süreci kim yönetmeli?
CISO ya da bilgi güvenliği müdürü; teknik adımları yazılım/altyapı ekipleri uygular ama koordinasyon ve takip CISO’da.
Bizim Pratikten Notumuz
Müşterilerin %30’u rapor teslim edildikten sonra 2 ay sessiz kalıyor. Bu sürede ne sahiplenme oluyor, ne deadline atanıyor. Sonra “biz ne yapmalıyız?” diye geri dönüyorlar. Cevap her zaman aynı: raporun teslim günü 30 dakika ayırmak, ilk Critical bulgulara isim ve tarih atamak. Bu küçük adım pentest yatırımının %80 değerini açar. Geri kalan %20 disiplinli takip işidir.
Pentest sonrası iyileştirme sürecinde Belgesert hem teknik destek hem mevzuat raporlama desteği sağlar. İletişim formundan ulaşabilirsiniz.