Elektronik Güvenlik Sistemleri Danışmanlığı
Kavramsal çerçeve ve danışmanlığın stratejik rolü
Elektronik Güvenlik Sistemleri Danışmanlığı, bir tesisin güvenlik ihtiyaçlarını yalnızca “hangi cihaz alınmalı?” sorusuna indirgemeden; risklerin tanımlanması, güvenlik hedeflerinin netleştirilmesi, bu hedefleri karşılayan mimarinin kurgulanması ve sistemin işletmede sürdürülebilir şekilde çalışmasının güvenceye alınması yaklaşımıyla ele alan uzmanlık disiplinidir.
Bu disiplinin omurgası “risk temelli” düşünmedir: Önce varlıklar (insan, bilgi, operasyon, itibar, kritik altyapı), sonra tehditler ve zafiyetler, ardından kabul edilebilir risk seviyesi belirlenir; teknoloji seçimi ve tasarım bu çerçevede şekillendirilir. Bu yaklaşım, risk yönetimi için prensipler ve kılavuzlar sunan ISO 31000’in tarif ettiği kapsamlı risk yönetimi döngüsüyle uyumludur.
Danışmanlığın stratejik değeri iki noktada belirginleşir. İlki, güvenlik yatırımlarının “görünürlük” yerine “etki” üretmesini sağlamasıdır: Kamera sayısı artabilir ama kör noktalar kalabilir; kartlı geçiş kurulabilir ama yetki matrisi yanlışsa iç tehdit büyüyebilir. İkincisi, güvenliğin artık siber güvenlikten ayrı düşünülememesidir.
Elektronik Güvenlik Sistemleri Nasıl Doğru Tasarlanır?
IP tabanlı kameralar, erişim kontrol panelleri ve yönetim yazılımları; ağ üzerinde çalışan, güncellenmesi gereken, kimlik doğrulama ve log üretimi olan sistemlerdir ve bu nedenle bilgi güvenliği yönetimi yaklaşımıyla ele alınmaları gerekir. ISO/IEC 27001, her sektörden kuruluş için bilgi güvenliği yönetim sistemi kurma/iyileştirme yönünde çerçeve sunar.
Bu danışmanlık çoğu zaman “uçtan uca yaşam döngüsü yönetimi” olarak yürütülür: keşif ve risk analizi → gereksinim/konsept → tasarım → şartname ve satın alma desteği → kurulum, test ve kabul → devreye alma sonrası işletme, bakım ve denetim. Özellikle kritik tesislerde, iş sürekliliği perspektifi de daha baştan ele alınır; ISO 22301 iş sürekliliği yönetim sistemi standardı bu tür dayanıklılık hedefleri için referans çerçeve sağlar.
Risk temelli ihtiyaç analizi ve güvenlik gereksinim mühendisliği
Başarılı bir elektronik güvenlik mimarisi, sahadan toplanan “ihtiyaç” ile yönetimin beklediği “güvenlik seviyesi” arasındaki boşluğu kapatan doğru bir gereksinim setiyle başlar. Bu aşamada danışmanın yaptığı iş, çoğu kurumun sezgisel olarak bildiğini yapılandırmak ve ölçülebilir hale getirmektir.
Kritik varlık envanteri, riskli alanlar, insan ve araç akışları, operasyonel süreçler, geçmiş olaylar, olası senaryolar (yetkisiz giriş, hırsızlık, sabotaj, iç tehdit, iş sürekliliğini bozan aksiyonlar) ve mevcut kontrollerin olgunluğu. ISO 31000’in vurguladığı gibi risk; tanımlama, analiz, değerlendirme, işleme (treatment), izleme ve iletişim adımlarıyla ele alınır ve kararlarla entegre yürütülür.
Elektronik Güvenlik Sistemleri Danışmanlık Hizmetleri
Kurumsal güvenlik uygulamalarında risk değerlendirmesinin “program” olarak tasarlanması da önemlidir. ASIS’in güvenlik risk değerlendirmesi standardı, iyi tanımlanmış bir risk değerlendirmesi programının ve tekil değerlendirmelerin risk yönetimi sürecine temel oluşturacağını vurgular. Bu, elektronik güvenlik danışmanlığında şu çıktılara dönüşür:
- “Güvenlik hedefleri” (örn. çevre ihlalini X saniye içinde tespit–doğrulama–müdahale akışına bağlamak)
- “Gereksinimler” (fonksiyonel ve performans gereksinimleri)
- “Kapsam ve entegrasyon sınırları” (VMS–ACS–alarm izleme–BMS–yangın senaryoları)
- “Kabul kriterleri” (test senaryoları, asgari görüntü kalitesi, alarm doğrulama süreleri, log ve raporlama gereksinimleri)
Bu aşamada en sık yapılan hata, teknoloji dilinin iş dili yerine geçmesidir: “4K kamera kuralım” demek bir gereksinim değildir; gereksinim “şu noktada yüz tanımaya elverişli delil kalitesi” veya “şu kapıda tailgating riskini azaltma” gibi ölçülebilir hedeflerdir.
Aynı şekilde “turnike koyalım” yerine, hangi rollerin hangi zaman aralığında hangi bölgelere erişeceği ve istisna/ziyaretçi süreçlerinin nasıl yönetileceği tanımlanmalıdır. Güvenliğin sürdürülebilirliği, bu gereksinimlerin operasyonel prosedürlere (vardiya, ziyaretçi, yükleme–boşaltma, taşeron yönetimi, acil durum) bağlanmasıyla sağlanır.
Güvenlik mimarisi ve sistem tasarımında kritik teknik kararlar.
Güvenlik mimarisi ve sistem tasarımında kritik teknik kararlar.Elektronik güvenlik mimarisi, “bileşen seçimi” kadar “bileşenlerin birlikte nasıl çalışacağı” problemidir. Danışmanın rolü, CCTV/VSS, geçiş kontrol, ihlal tespit/alarm, biyometri ve analitik katmanlarını; altyapı (enerji, ağ, zaman senkronizasyonu, depolama), işletme (izleme, olay yönetimi) ve mevzuat (veri koruma) ile uyumlu tek bir tasarım mantığında birleştirmektir.
Video gözetim tarafında uluslararası standartlar, sistem tasarım ve uygulamasını somutlaştırır. IEC 62676-4:2025, güvenlik uygulamalarında kullanılan video gözetim sistemleri için planlama, tasarım, kurulum, test, devreye alma ve bakım gibi uygulama adımlarını kapsayan bir “uygulama kılavuzu” yaklaşımı ortaya koyar. Bu standardın pratik yansıması şudur.
Neden Yangın Güvenlik Danışmanlığı Hizmeti Almalıyız?
Kamera yerleşimi yalnızca “görüş var mı?” sorusu değildir; sahnenin aydınlatma koşulları, hareket bulanıklığı, sıkıştırma artefaktları, lens seçimi ve depolama süreleri gibi etkenler delil kalitesini doğrudan etkiler. Birçok projede “kamera var ama görüntü delil değil” problemi bu yüzden yaşanır.
Delil üretme hedefi varsa, yalnızca kamera kurmak yetmez; kayıtların geri çağrımı, dışa aktarımı ve adli/kurumsal incelemeye uygunluğu da tasarıma dahil edilmelidir. Birleşik Krallık’taki kamu dokümanları, CCTV/VSS sistemlerinden görüntü/video/ses elde edilmesi ve geri kazanımına yönelik prosedür/guidance setlerinin kurumlara politika ve süreç tasarlamada yardımcı olduğunu, ayrıca adli düzenlemelerle uyumu desteklemek üzere kurgulandığını belirtir.
Bu yaklaşım, Türkiye’de de “olay sonrası kanıt yönetimi” hedeflenen tesislerde iyi bir referans pratiğe dönüşür: Kim görüntüyü alabilir, hangi formatta paylaşılır, paylaşım loglanır mı, görüntü bütünlüğü nasıl korunur?
Geçiş kontrol tarafında ise IEC 60839-11-1, binalar ve korunan alanlar için elektronik erişim kontrol sistemleri ve bileşenlerinin asgari fonksiyonellik, performans gereksinimleri ve test yöntemlerini tanımlar. Bu, danışman açısından iki kritik noktayı güçlendirir: (i) sistem seçimi “özellik listesi” değil, doğrulanabilir performans ve test edilebilir fonksiyon seti olmalıdır; (ii) kart/QR/telefon kimlik bilgisi, kapı donanımı, acil çıkış, kilit tipleri, geçiş senaryoları ve alarm entegrasyonu birlikte ele alınmalıdır.
Alarm/ihlal tespit (intrusion & hold-up) tarafında EN 50131 ailesi, binalarda kurulan intrusion ve hold-up alarm sistemlerinin gereksinimlerini tanımlayan Avrupa standardı serisidir. Bu tip standartlar, “detektör koyduk” seviyesinin ötesine geçip; sistem sınıflandırması, çevresel koşullar, sabotaj koruması, haberleşme güvenilirliği ve bakım gereksinimleri gibi başlıklara disiplin getirir.
Entegrasyon katmanı, modern elektronik güvenlik projelerinin çoğunda belirleyicidir. Çok markalı (multivendor) ortamlarda birlikte çalışabilirlik (interoperability) hem maliyeti hem de uzun vadeli sürdürülebilirliği etkiler. ONVIF, IP tabanlı fiziksel güvenlik ürünleri pazarındaki şirketleri bir araya getiren ve uyumlu ürün profilleriyle birlikte çalışabilirliği hedefleyen bir yapı olarak; kamera–VMS ve benzeri bileşenlerde ortak arayüz yaklaşımını destekler.
Danışmanlık açısından bu, entegrasyonun “tek üreticiye kilitlenmeden” yönetilmesi, API/SDK bağımlılıklarının baştan görünür kılınması ve kabul testlerinin entegrasyon senaryolarını içerecek şekilde kurgulanması anlamına gelir.
Şartname, satın alma ve proje yönetimi disiplinleri
Elektronik güvenlikte satın alma başarısı, çoğu zaman teknik şartnamenin kalitesi kadar “kabul kriterlerinin” netliğine bağlıdır. Danışmanın en kritik çıktılarından biri, gereksinimleri ölçeklenebilir ve denetlenebilir bir dokümana dönüştüren şartname paketidir: sistem mimarisi, performans hedefleri, entegrasyon kapsamı, siber gereksinimler, dokümantasyon ve eğitim yükümlülükleri, yedek parça/garanti, bakım SLA’ları ve kabul test planı.
Burada iki prensip öne çıkar. İlk prensip “tasarım–kabul–işletme” zincirinin kopmamasıdır. IEC 62676-4’ün kurulum, test, devreye alma ve bakım gibi yaşam döngüsü adımlarını kapsaması, video gözetim projelerinde şartnameye doğrudan yansıtılabilecek bir mantık sunar: her kamera için hedeflenen performans, test yöntemi ve teslimat dokümanı tanımlanır.
İkinci prensip “adli/kurumsal erişim” gibi operasyonel ihtiyaçların teknik kararlara yedirilmesidir. Örneğin “yetkili üçüncü taraflara (polis vb.) görüntü sağlama” süreçlerini zorlaştıracak kapalı/proprietary yaklaşımlar, olay sonrası süreçleri tıkayabilir; bazı güvenlik dokümanları bu tür elektronik koruma yöntemlerinin soruşturmayı zorlaştırabileceğine dikkat çeker.
Teklif değerlendirme aşamasında danışman, yalnızca fiyat/özellik kıyaslaması yapmaz; toplam sahip olma maliyetini ve sürdürülebilirliği tartar: lisans modeli (kanal/cihaz/kullanıcı), güncelleme politikası, yedeklilik seçenekleri, yedek parça bulunabilirliği, siber olgunluk ve bakım ekosistemi.
Ayrıca proje yönetimi açısından paydaş koordinasyonu kritik hale gelir: mimari (estetik ve kamera yerleşimi), elektrik (enerji–UPS), IT (VLAN, PoE, adresleme), İSG/operasyon (saha erişimleri, vardiya düzeni), hukuk/İK (kamera politikası, aydınlatma) aynı masada buluşturulmadan “optimum tasarım” oluşmaz.
Bu aşamada iyi uygulama, şartnameyi “ürün markası”na değil; standarda referans veren, test edilebilir gereksinimlere dayanan bir çerçevede kurgulamaktır. Örneğin erişim kontrol bileşenleri için IEC 60839-11-1’deki asgari fonksiyonellik ve test yaklaşımını, intrusion için EN 50131 standard ailesindeki tasarım–kurulum–bakım disiplinini referanslamak; ihalenin teknik kalitesini yükseltir.
Devreye alma, test, kabul ve işletmede sürdürülebilirlik
Elektronik güvenlik projelerinde “kurulum bitti” anı, güvenlik değerinin oluştuğu an değildir; değer, sistemin gerçek senaryolarda çalıştığının doğrulanması ve operasyonun bunu sürdürebilmesiyle oluşur. Dolayısıyla danışmanlık, sahada doğrulama/test disiplinini kurar.
Fonksiyon testleri (kapı açma, yetkisiz deneme, anti-passback, alarm üretimi), performans testleri (görüntü kalitesi, düşük ışık, hareketli sahne), entegrasyon testleri (ACS alarmı VMS’de otomatik görüntü çağırma, alarm doğrulama akışı), dayanıklılık testleri (enerji kesintisi, link kesintisi, failover), kullanıcı senaryoları (ziyaretçi, taşeron, acil durum kapı serbest bırakma).
Video sistemlerinde test ve kabulün önemi, yalnızca “görüntü geliyor mu?” ile sınırlı değildir. Dijital video kanıtının geri kazanımı ve elde edilmesine yönelik rehber/prosedürler, yerel politikaların oluşturulması ve görüntünün native biçimde alınması gibi konuların önemine işaret eder; bu da kabul kriterlerine “dışa aktarım, oynatma, bütünlük ve yetkilendirme” maddelerinin konmasını teşvik eder.
İşletme tarafında sürdürülebilirlik, üç katmanda yönetilir. Birincisi bakım: periyodik kontroller, kör nokta/kirlenme/odak bozulması, depolama doluluk yönetimi, firmware ve yazılım güncellemeleri. İkincisi operasyon: alarm yönetimi, olay sınıflandırma, müdahale eskalasyonu, vardiya düzeni ve raporlama.
Üçüncüsü yönetişim: yetki matrisi güncelliği, kullanıcı hesap yönetimi, log inceleme, tedarikçi erişimleri ve değişiklik yönetimi. Siber–fiziksel yakınsamanın arttığı dünyada, bu üç katmanın “tek bir işletim modeli” altında yönetilmesi giderek daha önemli hale gelir (özellikle SOC/NOC entegrasyonu olan yapılarda).
Siber güvenlik, veri koruma ve etik boyutu.
Modern elektronik güvenlik sistemleri (kamera ağları, VMS/ACS sunucuları, paneller, interkom/IoT sensörler) çoğu zaman “operasyonel teknoloji” (OT) karakteri taşır: 7/24 çalışır, sahayı etkiler, kesinti toleransı düşüktür ve güvenliğin kendisi iş sürekliliğinin parçasıdır.
NIST SP 800-82 Rev.3, OT sistemlerinin güvenliğini iyileştirmek için rehberlik sunarken; OT’nin performans, güvenilirlik ve güvenlik (safety) gibi kendine özgü gereksinimlerinin bulunduğunu vurgular. Bu perspektif, elektronik güvenlik danışmanlığında “IT standartlarını kopyala-yapıştır” yerine; sahaya uygun güvenlik mimarisi kurulması gerektiğini anlatır.
Bu noktada ISA/IEC 62443 ailesi de kritik referanstır: endüstriyel otomasyon ve kontrol sistemleri için siber güvenliğin yaşam döngüsü boyunca nasıl ele alınacağını tanımlayan, süreç ve gereksinim odaklı bir standartlar setidir. Kamera ağları ve erişim kontrol altyapıları endüstriyel tesislerde OT ağına temas ediyorsa, “zonlama–segmentasyon–iletim hatları” (zones & conduits) yaklaşımıyla ağ ayrıştırma, sadece iyi uygulama değil, risk azaltma zorunluluğu haline gelir.
Siber güvenlikte danışmanın tipik kontrol seti; kimlik ve yetki yönetimi, ağ segmentasyonu, güvenli uzaktan erişim, zafiyet ve yama yönetimi, loglama ve izleme, yedekleme ve olay müdahalesi başlıklarında toplanır. ISO/IEC 27001’in risk temelli ISMS yaklaşımı, elektronik güvenlik sistemlerinin de kurumsal risk yönetimi içinde ele alınmasını destekler.
Ayrıca devlet kurumlarının güncel siber güvenlik yayınları, yamalanmamış ve zayıf yapılandırılmış cihazların istismar edilmesine karşı görünürlük ve cihaz sertleştirme (hardening) ihtiyacını sürekli vurgular; NSA’nın duyuruları “patch/hardening” gibi temel hijyen adımlarının önemini açıkça öne çıkarır. CISA’nın görünürlük ve sertleştirme rehberleri de benzer şekilde ağ cihazlarının korunmasına dönük iyi uygulamaları derler.
Veri koruma (privacy) tarafında ise elektronik güvenlik danışmanlığı, yalnızca etik değil doğrudan uyum (compliance) problemidir. Türkiye’de KVKK’nın yayımladığı dokümanlar, 6698 sayılı Kanun’un amacının kişisel verilerin işlenmesinde temel hak ve özgürlükleri korumak olduğunu ve kapsamının belirli şartlarda otomatik/yarı otomatik işleme faaliyetlerine uzandığını açıklar.
Kamera ile izleme, çoğu zaman kişisel veri işleme anlamına gelir; bu nedenle aydınlatma yükümlülüğünün nasıl yerine getirileceğine dair “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” gibi düzenlemelerle uyumlu bir bilgilendirme/işleme modeli kurulmalıdır.
Özellikle biyometrik çözümler (parmak izi, yüz tanıma, iris vb.) devreye giriyorsa, risk ve uyum seviyesi artar. KVKK’nın terimler sayfası, biyometrik ve genetik verileri “özel nitelikli kişisel veri” kapsamı içinde tanımlar; bu da bu tür sistemlerin daha sıkı teknik-idari tedbirlerle ve güçlü bir hukuki dayanakla ele alınmasını gerektirir.
Benzer şekilde, ses kaydı yapan kameralar gibi uygulamalar farklı bir mahremiyet eşiği yaratır; KVKK Kurul kararlarında sesli kamera kaydının hukuka uygunluk değerlendirmesinde ölçülülük ve temel hakların sınırlanmasına dair ilkelere dikkat çekildiği görülür.
KVKK perspektifinde “veri güvenliği” de sadece IT’nin işi değildir. Kurumun veri güvenliğine ilişkin yükümlülükler sayfası, veri sorumlusunun uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorunda olduğunu vurgular.
Pratikte bu, VMS sunucusunun erişim loglarının korunması, yetkisiz erişimlerin engellenmesi, görüntülerin yetkisiz kopyalanmasının önlenmesi, saklama süresi ve erişim rollerinin netleştirilmesi gibi “elektronik güvenliğin bizzat ürettiği veriyi” güvenli hale getirmeyi de kapsar.
Yeni teknolojiler, eğilimler ve danışmanın katma değerini büyüten alanlar
Elektronik güvenlik hızla dönüşüyor: yapay zekâ tabanlı video analitik, edge (uç) işlem, bulut VMS, mobil kimlik, IoT sensör füzyonu ve “fiziksel güvenlik–siber güvenlik yakınsaması” artık birçok sektörde standart beklentiye dönüşmüş durumda. Bu dönüşüm, danışmanın rolünü daraltmaz; tersine büyütür—çünkü teknoloji seçenekleri arttıkça yanlış tasarımın ve yanlış entegrasyonun maliyeti yükselir.
Örneğin video tarafında IEC 62676-4’ün güncel sürümüne yönelik endüstri yayınları, piksel yoğunluğu/operasyonel ihtiyaç eşleştirmesi gibi konuların daha gerçekçi koşulları dikkate alacak şekilde ele alındığını tartışır; bu da “kamera çözünürlüğü” yerine “sahne performansı” odaklı tasarımı teşvik eder. Yine ONVIF ekosistemi, çok markalı ortamlarda birlikte çalışabilirliği kurumsallaştırma ihtiyacına cevap veren önemli bir referans olarak kalır.
Siber güvenlik cephesinde ise yönelim açıktır: sıfır güven (Zero Trust) yaklaşımı ve ağ mimarisi sertleştirme pratikleri, yalnızca ofis IT’sinde değil; IoT/OT karakterli sistemlerde de yol gösterici hale geliyor. NSA’nın ağ güvenliği rehberleri Zero Trust modelini desteklediğini ve rehberdeki yaklaşımın farklı sınır katmanlarında uygulanabileceğini belirtir.
Bu, sahaya şu şekilde tercüme edilir: kamera ağı “güvenli iç ağ” varsayımıyla değil, segmentlenmiş, izlenen, kimliği doğrulanmış ve en az ayrıcalık prensibiyle işletilen bir çevre olarak tasarlanır.
Sonuçta gelişmiş elektronik güvenlik danışmanlığı, kurumun güvenlik mimarisini üç boyutta olgunlaştırır:
- Risk boyutu: Riskleri görünür kılar, hedef güvenlik seviyesini tanımlar ve yatırımı önceliklendirir. (ISO 31000 ve ASIS’in risk değerlendirmesi yaklaşımı bu çerçeveyi destekler.)
- Mühendislik boyutu: Standartlara referansla (IEC 62676-4, IEC 60839-11-1, EN 50131 gibi) tasarım–test–kabul–bakım zincirini kurar.
- Yönetişim ve uyum boyutu: KVKK aydınlatma, veri güvenliği ve mahremiyet ilkelerini; sistem tasarımının “sonradan eklenen” parçası değil, başlangıç gereksinimi haline getirir.
Bu nedenle Elektronik Güvenlik Sistemleri Danışmanlığı; sadece teknik bir destek hizmeti değil, riskleri azaltan, yatırım verimliliğini artıran, operasyonu sürdürülebilir kılan ve aynı zamanda veri koruma–siber güvenlik ekseninde kurumu olgunlaştıran stratejik bir uzmanlık alanıdır.
