NIST değerlendirmesi öncesi 30 günlük hazırlık planı
Değerlendirmeye bir ay kala panik yaşayan ekiplerin çoğu aynı hatayı yapar: önce belge üretir, sonra teknik doğrulama arar. Daha iyi yaklaşım, 30 günü karar kalitesi yüksek beş parçaya bölmektir.
1-5. gün: kapsamı ve sorumluları sabitle
Hangi sistemler, hangi kullanıcı grupları, hangi veri akışları kapsamda? Security, platform, uygulama ve operasyon tarafında kimin hangi kontrol ailesine baktığı ilk hafta netleşmelidir.
6-10. gün: envanter ve erişim modelini doğrula
Varlık görünürlüğü, hesap yaşam döngüsü, MFA, ayrıcalıklı erişim ve üçüncü parti bağımlılıkları bu aralıkta masaya yatırılır. Bu katman zayıfsa sonraki belgeler zaten eksik kalır.
11-15. gün: kanıt örneklerini test et
Her kontrol için her şeyi toplamak yerine önce örnek seç. Log, erişim kaydı, ticket akışı, konfigürasyon ekranı ve prosedür örneklerinin gerçekten savunulabilir olup olmadığına bak.
16-20. gün: yüksek riskli düzeltmeleri öne çek
Tüm bulgulara aynı anda saldırma. Erişim kontrolü, loglama, sistem sınırı, sorumlusu olmayan kontroller ve açıkça görünen teknik boşluklar önce ele alınmalı. Bu aşama, riski hızla azaltan kısa bir çalışma dönemi gibi düşünülmeli.
21-25. gün: açık kalan konuları gerçekçi planla bağla
Kapanmayacak maddeler için sorumlu kişi, tarih ve beklenen teknik çıktı net yazılmalı. Boş POA&M değil; takip edilebilir bir plan gerekir. Değerlendirmeye girmeden önce hangi eksiklerin savunulacağı belli olmalıdır.
26-30. gün: inceleme provası yap
Belge, ekran görüntüsü, log örneği ve sorumlu kişinin anlatımı aynı hikâyeyi destekliyor mu? Son hafta yapılacak en değerli iş, eksik evrak üretmek değil; çelişki temizlemektir.
Bu plan ne zaman dış destek gerektirir?
Sorumlular net değilse, kanıtlar ile teknik gerçeklik çelişiyorsa veya ekip neyin önce geleceğine karar veremiyorsa, 30 gün içeride çok hızlı tükenir. Dış destek en çok burada zaman kazandırır.