Sızma Testi Raporu Nasıl Okunur? CISO İçin Pratik Rehber

Pentester ekibi e-posta atıyor: “Raporunuz hazır, ek’tedir.” 80 sayfalık PDF, ekran görüntüleri, CVE numaraları, CVSS skorları… Bir CISO ya da güvenlik yöneticisi olarak bu raporu nasıl okumalısınız? İşte 15 yıllık deneyimden damıtılmış pratik bir rehber.

Pentest Raporunun Tipik Yapısı

İyi yazılmış bir rapor şu bölümlerden oluşur:

1. Yönetici özeti (3-5 sayfa) — yönetim kuruluna sunum için
2. Test kapsamı & metodoloji (1-2 sayfa)
3. Bulgular özet tablosu (1-2 sayfa) — risk seviyesine göre sıralı
4. Detaylı bulgular (50-80 sayfa) — her bulgu için ayrı bölüm
5. Yeniden test (re-test) süreci (1 sayfa)
6. Ek: kullanılan araçlar, log özetleri

İlk 30 Dakikada Ne Yapmalı?

Tüm raporu okumayın — ilk geçişte zaten yapamazsınız. Bunun yerine şu 4 sayfaya odaklanın:

• Yönetici özetinin 2. sayfası: Genel risk skoru ve “kurum güvenlik düzeyi” değerlendirmesi.
• Bulgular özet tablosu: Critical kaç, High kaç, Medium kaç. Toplam sayıdan çok dağılım önemli.
• “Yöneticiye Tavsiye” bölümü: Pentester’ın 3-5 öncelikli eylem önerisi.
• İlk 3 Critical bulgu detayı: Ne, nasıl sömürülür, hangi etki?

CVSS Skoru: Neyi Anlatır, Neyi Anlatmaz?

CVSS (Common Vulnerability Scoring System) bir zaafiyetin teknik şiddetini 0-10 arası ölçer. Ama dikkat: CVSS yüksek olan bir bulgu, sizin iş etkiniz açısından mutlaka en kritik değildir.

CVSS Aralığı	Seviye	Tipik Tepki Süresi
9.0 – 10.0	Critical	24-72 saat
7.0 – 8.9	High	7-14 gün
4.0 – 6.9	Medium	30 gün
0.1 – 3.9	Low	90 gün

Önceliklendirme Formülü

Saha pratiği: bulguları sadece CVSS’e göre sıralarsanız hata yaparsınız. Onun yerine üç eksenli matriks kullanın:

Öncelik = CVSS Skoru × İş Etkisi × Sömürülebilirlik

• İş etkisi (1-3): Sömürüldüğünde ne kayıp? Müşteri verisi mi, finansal işlem mi, marka itibarı mı?
• Sömürülebilirlik (1-3): Bu zaafiyeti istismar etmek için ne gerekiyor? Anonim erişim mi, kimlik doğrulama mı, fiziksel erişim mi?

Örnek: CVSS 9.8 ama sadece iç ağdan istismar edilebilen bir bulgu, CVSS 8.5 ama internetten anonim istismar edilebilen bir bulgudan daha az acil olabilir.

Eylem Planı: 30/60/90 Gün

• 0-30 gün: Tüm Critical bulguları kapat. Geçici hafifletici (mitigation) önlemler bile olsa.
• 31-60 gün: High bulgular + Critical bulguların kalıcı çözümleri.
• 61-90 gün: Medium bulgular + sürecin yeniden test edilmesi.
• Sonrası: Low bulgular yıllık planın parçası, ama “süresiz” değil — sahibi belirli ve takip listesinde olmalı.

Sıkça Sorulan Sorular

Pentest raporunda ilk neye bakmalıyım?

Yönetici özeti — özellikle ‘Critical’ ve ‘High’ bulgu sayısı, kurum risk skoru ve önerilen aciliyet seviyesi.

CVSS skoru ne anlama gelir?

Common Vulnerability Scoring System; bir zaafiyetin teknik şiddetini 0-10 arası ölçer. 9+ kritik, 7-9 yüksek, 4-7 orta, 0-4 düşük.

Tüm bulguları aynı anda kapatmalı mıyım?

Hayır. Risk seviyesi ve iş etkisi yüksek olanları öncelendirin; 30/60/90 günlük plan hazırlayın.

Rapor 80 sayfa, hangi bölümleri sprint planına yedirsem?

Yönetici özeti + bulgular tablosu (Critical+High) + yeniden test bölümü. Geri kalan teknik ek olarak kalır.

Pentest raporunu auditörlere göstermeli miyim?

Evet, ISO 27001/BDDK denetiminde ilk istenen şey budur. Ama bulguların ‘kapanma kanıtı’ da hazır olmalı.

Bizim Pratikten Notumuz

Müşterilere her zaman şu öneriyi yaparız: rapor teslim edildiği gün 30 dakikalık bir toplantı ayırın. Yönetici özetini birlikte okuyun, ilk 5 Critical bulguyu konuşun, sahiplenmeyi karara bağlayın. Bu toplantı yapılmazsa, rapor genelde mail klasöründe kaybolur ve 6 ay sonra “bunu görmemiştim” diye uyandırır. Belgesert tüm raporlarını bu sunum toplantısıyla birlikte teslim eder.

Mevcut pentest raporunuzu birlikte değerlendirmek için bir görüşme istemek isterseniz, bize ulaşın.