Kurumsal Penetrasyon Testi Hizmeti Satın Alma RFP SLA ve Vendor Yönetimi

Kurumsal güvenlik bütçesinde önemli bir kalemi oluşturan penetrasyon testi hizmeti, doğru bir satın alma süreciyle yönetildiğinde maliyet kalemi değil, stratejik yatırım haline gelir. Bu yazı; RFP hazırlığından SLA tanımlarına, teklif değerlendirmesinden çok yıllı tedarikçi yönetimine kadar kurumsal hizmet alım sürecinin tüm kritik aşamalarını ele almaktadır.

Kurumsal Penetrasyon Testi Satın Alma Sürecinin Temelleri

Kurumsal penetrasyon testi hizmeti satın alma süreci yalnızca bir teknik tedarik kararı değildir; aynı zamanda regülasyon, denetim ve risk yönetimi süreçlerinin kesişiminde duran stratejik bir karardır. Sürecin yapılandırılması büyük kurumlarda satın alma birimi, hukuk ve bilgi güvenliği ekiplerinin ortak çalışmasıyla yürütülür.

Standart bir kurumsal satın alma sürecinin aşamaları:

1. Talep oluşumu: İç paydaşlardan gelen test ihtiyaçlarının konsolide edilmesi
2. Pazar araştırması: TSE A Sınıfı yetkili firmaların ve hizmet kapsamlarının haritalanması
3. RFP hazırlığı: Kapsam, gereksinim ve değerlendirme kriterlerinin doküman haline getirilmesi
4. Teklif çağrısı: Davet edilen firmalardan teknik ve mali tekliflerin alınması
5. Değerlendirme ve müzakere: Çapraz fonksiyonlu komite tarafından puanlama yapılması
6. Sözleşme imzası ve hizmet başlangıcı: Pre-engagement aşamasının başlatılması

RFP Hazırlığında Hangi Unsurlar Yer Almalıdır?

İyi yapılandırılmış bir RFP (Request for Proposal) dokümanı, hem aday firmaların doğru teklif vermesini hem de kurumun değerlendirme aşamasında objektif kalmasını sağlar. Eksik veya muğlak bir RFP, hem maliyet sapması hem de bulgu kalitesi düşüklüğü riski yaratır. Penetrasyon testi alanında özellikle teknik kapsam tarifleri kritik önemdedir.

Profesyonel bir RFP’de yer alması gereken unsurlar:

1. Test kapsamı: Sistem envanteri, IP listesi, uygulama URL’leri ve kapsam dışı sistemler
2. Metodoloji gereksinimi: OSSTMM, OWASP ve PTES referansları ile TSE TS 13638/T2 uyumu
3. Yetki belgesi şartı: TSE A Sınıfı yetki ve ISO 27001 sertifikası zorunluluğu
4. Ekip nitelikleri: Sertifikasyon (CEH, OSCP, CISSP), tecrübe yılı ve sektörel referanslar
5. Rapor formatı: TSE şablonu, CVSS skorlama ve yönetici özeti standartları
6. SLA gereksinimleri: Bulgu bildirim süresi, kritik destek ve retest süresi
7. Mali şartlar: Ödeme planı, ek hizmet birim fiyatları ve ceza maddeleri

Tekliflerin Karşılaştırılmasında Hangi Kriterler Kullanılır?

Kurumsal alımlarda yalnızca fiyat odaklı değerlendirme genellikle yanlış sonuca yol açar. En düşük teklifin sahibi firma, kapsam derinliği ve rapor kalitesi açısından beklentinin altında kalabilir.

Çapraz fonksiyonlu değerlendirme komitesinin kullandığı kriterler:

1. Teknik yetkinlik (yüzde 40): Kadro sertifikasyonu, geçmiş projeler ve metodoloji uyumu
2. Yetkilendirme statüsü (yüzde 20): TSE A Sınıfı, CREST ve ISO 27001 belgeleri
3. Sektörel tecrübe (yüzde 15): Aynı sektörde tamamlanmış proje sayısı ve referansları
4. SLA esnekliği (yüzde 10): Acil durum desteği, retest süresi ve ek kapsam imkanı
5. Mali rekabetçilik (yüzde 15): Toplam sahip olma maliyeti (TCO) bazında

Profesyonel bir kurumsal penetrasyon testi hizmeti alımında bu beş kriterin ağırlıklandırılmış skor toplamı, salt fiyat karşılaştırmasından çok daha sağlıklı sonuç verir. Fiyat tek başına asla yüzde 30’un üzerinde ağırlık almamalıdır.

SLA Tanımları ve Hizmet Seviyesi Beklentileri

SLA (Service Level Agreement) sözleşmenin teknik yan dokümanıdır. Penetrasyon testi hizmetinde SLA tanımları çoğu kurumda eksik bırakılır; bu durum hizmet süreksizlikliğine veya bulgu kapatma süreçlerinde gecikmelere yol açar.

Penetrasyon testi hizmet sözleşmelerinde standart SLA maddeleri:

1. Pre-engagement başlangıç süresi: Sözleşme imzasından itibaren maksimum 5 iş günü
2. Test süresi taahhüdü: Kapsama göre belirlenmiş saatlik veya günlük süre
3. Kritik bulgu bildirim süresi: Tespit anından itibaren 24 saat içinde
4. Rapor teslim süresi: Test bitişinden itibaren maksimum 10 iş günü
5. Retest süresi: Kapatma bildiriminden itibaren maksimum 15 iş günü
6. Acil destek erişimi: Kritik olaylarda 4 saat içinde uzman tahsisi

Çok Yıllı Sözleşmelerde Vendor Management Nasıl Yapılır?

Çok yıllı penetrasyon testi sözleşmeleri hem maliyet avantajı hem de tedarikçi tarafında saha tecrübesi birikimi sağlar. Ancak kötü yönetilen çok yıllı ilişkiler hizmet kalitesinde sürüklenme yaratır.

Çok yıllı tedarikçi yönetiminde dikkat edilmesi gereken unsurlar:

1. Yıllık hizmet kalite değerlendirmesi (QBR): Çeyreklik ve yıllık raporlama oturumları
2. KPI bazlı performans takibi: MTTR, bulgu doğruluğu ve rapor zamanında teslimi
3. Ekip rotasyon yönetimi: Aynı testçilerin tekrar atanmasının sürekli sorgulanması
4. Sözleşme yenileme öncesi bağımsız ikinci görüş alma seçeneğinin korunması
5. Çıkış stratejisi tanımı: Hizmet sonlandırma durumunda bilgi devir prosedürü

Hizmet Kalite Metrikleri ve KPI Ölçümü

Penetrasyon testi hizmetinin kalite ölçümü teklif aşamasında değil, yıllık döngüler içinde anlam kazanır. Aşağıdaki tablo standart KPI’ları ve hedef değerlerini özetlemektedir:

Bu KPI’lar yıllık QBR oturumlarında veriyle desteklenmiş şekilde tartışılır.

Sözleşme Sonrası Hizmet Sürekliliği ve Yenileme

Penetrasyon testi sözleşmelerinin yenileme süreci ilk satın alma kadar dikkat gerektirir. Otomatik yenileme veya rutinsel uzatma hizmet kalitesinin geriye gitmesine neden olur.

Sözleşme yenileme öncesinde değerlendirilmesi gereken konular:

1. Önceki dönemdeki KPI gerçekleşmeleri ve trend analizi
2. Pazar koşullarındaki fiyat değişiklikleri ve alternatif tekliflerin gözden geçirilmesi
3. Test kapsamının kurumun mevcut sistem envanteriyle güncel uyumu
4. Yeni regülasyon gereksinimlerinin sözleşmeye yansıtılması
5. Tedarikçi ekibinin sertifika güncelleme durumu

Sıkça Sorulan Sorular

Kurumsal RFP süreci ne kadar sürer?

Tipik bir RFP süreci 6-10 hafta içinde tamamlanır. Bu süre pazar araştırması, RFP hazırlığı, teklif alma penceresi, değerlendirme ve müzakere aşamalarını kapsar. Acil ihtiyaçlarda kısaltılmış RFP yapısıyla 3-4 haftada tamamlanabilir; ancak bu yapı genellikle uzun vadede maliyet sapması yaratır.

Tek tedarikçi mi çoklu tedarikçi mi tercih edilmelidir?

Tek tedarikçi yapısı saha tecrübesi birikimi ve ekip aşinalığı avantajı sağlar; ancak bağımsız bakış açısı kaybolabilir. Çoklu tedarikçi yapısı ise objektifliği yüksek tutar; ancak koordinasyon yükü artar. Olgunluk seviyesi yüksek kurumlar genellikle 2-3 tedarikçi rotasyonuyla bu dengeyi kurar.

Sözleşmede ceza maddeleri nasıl yapılandırılır?

Standart ceza yapısı SLA ihlal sürelerine bağlı oransal kesintidir. Örneğin rapor teslim süresinin yüzde 10 üzerinde gecikme için günlük yüzde 1 ceza, yüzde 20 üzerinde günlük yüzde 3 ceza tipiktir. Toplam ceza tavanı genellikle yıllık sözleşme bedelinin yüzde 15’i olarak sınırlandırılır.

Sözleşmede hangi gizlilik hükümleri zorunludur?

Standart NDA hükümlerinin yanı sıra; test ekibinin bulguları üçüncü taraflarla paylaşmama yükümlülüğü, sözleşme bittikten sonra 5-10 yıl süreli gizlilik devamı, fikri mülkiyet ve veri saklama prosedürleri sözleşmeye eklenir. KVKK uyumlu veri işleme maddeleri zorunludur.