Copilot Öncesi Veri Güvenliği Kontrol Listesi – 10 Adımlık Hazırlık Planı

Copilot Neden Veri Güvenliği Gerektirir?

Microsoft 365 Copilot, Microsoft Graph üzerinden kullanıcının erişebildiği tüm verilere ulaşarak doğal dil sorguları ile içerik üretir, özetler ve yanıtlar oluşturur. Copilot kendi başına yeni bir güvenlik açığı yaratmaz; ancak mevcut izin yapılandırmalarındaki gevşeklikleri dramatik biçimde görünür hale getirir. Geleneksel bir ortamda bir kullanıcının farkında olmadığı aşırı paylaşılmış (overshared) dosyalar, Copilot sayesinde saniyeler içinde keşfedilebilir duruma gelir.

Microsoft'un kendi verilerine göre, kurumsal ortamlarda aşırı paylaşımın en yaygın nedenleri şunlardır:

• Hassasiyet etiketi atanmamış site ve dosyalar
• "Harici Kullanıcılar Hariç Herkes" (EEEU) grubuyla yapılmış geniş kapsamlı paylaşımlar
• Site ve dosya/klasör düzeyinde kırılmış izin kalıtımları
• Varsayılan paylaşım seçeneklerinin "Herkes" olarak ayarlanmış olması
• Kuruluş genelinde erişime açık site gizlilik ayarları

Bu nedenle Copilot dağıtımı, bir yapay zekâ projesi olduğu kadar bir veri yönetişimi projesidir. Aşağıdaki 10 adımlık kontrol listesi, organizasyonunuzu Copilot için güvenli bir şekilde hazırlamanızı sağlayacaktır.

Adım 1 – Mevcut İzin Durumunu Denetleme

Copilot hazırlığının ilk ve en kritik adımı, mevcut izin yapınızın kapsamlı bir fotoğrafını çekmektir. SharePoint Advanced Management (SAM) araçları bu süreçte temel veri kaynağınız olacaktır.

Yapılması gerekenler:

• Data Access Governance (DAG) raporlarını çalıştırın. Bu raporlar, geniş kapsamlı erişime sahip siteleri, "Herkes" veya "Harici Kullanıcılar Hariç Herkes" izinleri içeren siteleri ve paylaşım bağlantılarının yoğunluğunu ortaya koyar.
• Sahipsiz siteleri tespit edin. Sahipsiz (ownerless) sitelerin izinleri genellikle kontrol dışı kalır ve zaman içinde aşırı paylaşıma evrilir.
• Etkin olmayan siteleri belirleyin. Son 6–12 aydır hiç erişilmemiş siteler, güncel olmayan bilgi içerir ve Copilot yanıtlarının kalitesini düşürür.
• İzin kalıtımı kırılmalarını haritalayın. Bir sitenin genel izin yapısı kısıtlı olsa bile, alt klasör veya dosya düzeyinde kalıtımın kırılması güvenlik açıkları oluşturabilir.

SharePoint Admin Center üzerinden erişebileceğiniz DAG raporları, her site için izin riskini puanlayarak önceliklendirme yapmanıza olanak tanır. Bu raporu en az Copilot dağıtımından 8 hafta önce çalıştırmanız ve düzeltme sürecine yeterli zaman ayırmanız önerilir.

Adım 2 – EEEU ve Herkese Açık İçerik Temizliği

"Everyone Except External Users" (Harici Kullanıcılar Hariç Herkes – EEEU) grubu, Microsoft 365 ortamlarında en yaygın aşırı paylaşım kaynağıdır. Bu grup, Azure AD/Entra ID kiracınızdaki tüm dahili kullanıcıları kapsar; bu da stajyerden üst düzey yöneticiye kadar herkesin ilgili içeriğe erişebileceği anlamına gelir.

Temizlik stratejisi:

• EEEU izinlerini site bazında tarayın. SharePoint Advanced Management veya PowerShell betikleri aracılığıyla EEEU grubunun kullanıldığı tüm siteleri listeleyin.
• İş gereksinimi olan sitelerde EEEU'yu belirli güvenlik gruplarıyla değiştirin. Örneğin, İK portalındaki EEEU iznini "Tüm Tam Zamanlı Çalışanlar" güvenlik grubuyla değiştirmek, erişimi daraltırken iş sürekliliğini korur.
• "Herkes" paylaşım bağlantılarını tespit edin ve devre dışı bırakın. Anonim paylaşım bağlantıları, organizasyon dışından da erişime açıktır ve Copilot bağlamında ciddi risk oluşturur.
• Site varsayılan paylaşım türünü "Belirli kişiler" olarak güncelleyin.

Bu temizlik süreci zaman alıcı olabilir; ancak Copilot'un güvenli çalışması için en yüksek etkiye sahip adımdır. Detaylı bir EEEU güvenlik yaklaşımı için EEEU Güvenlik Rehberi kaynağımızı inceleyebilirsiniz.

Adım 3 – Hassasiyet Etiketleri Yapılandırma

Microsoft Purview hassasiyet etiketleri, Copilot'un veri sınıflandırma ve koruma mekanizmasının temelini oluşturur. Copilot, ürettiği içeriğe kaynak belgelerin en yüksek öncelikli hassasiyet etiketini otomatik olarak uygular. Bu nedenle etiketleme stratejinizin Copilot dağıtımından önce olgunlaşmış olması gerekir.

Kritik yapılandırma adımları:

Eylem	Açıklama	Öncelik
Temel etiket taksonomisi oluşturma	Genel, Dahili, Gizli, Çok Gizli gibi katmanlı bir yapı	Yüksek
Varsayılan etiket politikası tanımlama	Yeni oluşturulan belgelere otomatik "Dahili" etiketi atanması	Yüksek
Zorunlu etiketleme etkinleştirme	Kullanıcıların etiketsiz belge kaydetmesinin engellenmesi	Yüksek
Konteyner etiketleri dağıtma	Teams, SharePoint siteleri ve Microsoft 365 Grupları için site düzeyinde etiketler	Orta
Copilot'u engelleyen alt etiket oluşturma	"Çok Gizli – Copilot Engelli" gibi bir alt etiket ile Word/PowerPoint'te Copilot simgesinin devre dışı bırakılması	Orta
Otomatik etiketleme kuralları tanımlama	Kredi kartı numarası, TC kimlik numarası gibi hassas veri türlerini içeren belgelerin otomatik etiketlenmesi	Düşük (Phase 2)

Araştırmalara göre, zorunlu etiketleme politikası uygulamayan organizasyonlarda etiket kapsama oranı yüzde 10'un altında kalmaktadır. Bu düşük kapsam, Copilot'un etiket tabanlı koruma mekanizmalarını büyük ölçüde etkisiz hale getirir.

Konteyner etiketleri özellikle önemlidir: bir SharePoint sitesine veya Teams kanalına uygulanan konteyner etiketi, o konteyner içinde oluşturulan tüm dosyaların varsayılan etiketini belirler, gizlilik düzeyini kontrol eder ve misafir paylaşım politikalarını yönetir.

Adım 4 – DLP Politikalarını Güncelleme

Microsoft Purview Data Loss Prevention (DLP) politikaları, Copilot etkileşimlerini iki temel düzeyde korur: hassas bilgi türlerini içeren istemlerin (prompt) işlenmesinin engellenmesi ve hassasiyet etiketi taşıyan dosyaların özetlenmesinin kısıtlanması.

DLP politika yapılandırma öncelikleri:

• Microsoft 365 Copilot konumunu aktif edin. Purview DLP ayarlarında Copilot artık ayrı bir konum olarak tanımlanabilir; bu konum, Copilot etkileşimlerinde hangi hassas veri türlerinin engelleneceğini belirler.
• Temel hassas bilgi türleri için kurallar oluşturun. Kredi kartı numaraları, sosyal güvenlik numaraları, banka hesap bilgileri ve kişisel sağlık verileri gibi yaygın hassas veri türlerini kapsayan kurallar tanımlayın.
• Etiket tabanlı DLP kısıtlamaları tanımlayın. "Çok Gizli" etiketli dosyaların Copilot tarafından özetlenmesini veya yanıt üretiminde kullanılmasını engelleyen politikalar oluşturun.
• Politikaları önce simülasyon modunda test edin. DLP politikalarını üretim ortamında etkinleştirmeden önce simülasyon modunda çalıştırarak yanlış pozitif oranını ölçün ve iş akışları üzerindeki etkiyi değerlendirin.

DLP politikaları, hassasiyet etiketleriyle birlikte katmanlı bir savunma oluşturur. Etiketler verinin sınıflandırılmasını sağlarken, DLP bu sınıflandırmaya dayalı koruma eylemlerini otomatikleştirir.

Adım 5 – SharePoint Site Erişim İncelemesi

SharePoint siteleri, Copilot'un bilgi tabanının en büyük bölümünü oluşturur. Her sitenin erişim düzeyinin iş gereksinimiyle orantılı olup olmadığının doğrulanması kritik öneme sahiptir.

Site erişim incelemesi adımları:

• Tüm siteleri erişim düzeyine göre kategorize edin. Genel (herkese açık), dahili (tüm çalışanlara açık), kısıtlı (belirli gruplara açık) ve gizli (yalnızca onaylanmış kişilere açık) kategorileri kullanın.
• İş birimi sahiplerinden erişim doğrulaması alın. Her sitenin erişim düzeyinin uygun olup olmadığını ilgili iş birimi yöneticisine onaylatın.
• Hassas iş verileri içeren sitelere Restricted Content Discovery uygulayın. Bu özellik, ilgili sitelerin kuruluş genelinde aramada ve Copilot Business Chat'te görünmesini engeller. Ancak bu geçici bir önlemdir; uzun vadeli çözüm doğru izin yapılandırmasıdır.
• Etkin olmayan siteleri arşivleyin veya silin. Son 12 ayda erişilmemiş ve iş değeri taşımayan siteler, Copilot'un yanıt kalitesini düşüren gürültü oluşturur.

SharePoint Advanced Management'ın otomatik site politikaları özelliğini kullanarak, belirli kriterlere uymayan sitelere otomatik kısıtlamalar uygulayabilirsiniz. Örneğin, sahipsiz sitelerde harici paylaşımı otomatik olarak devre dışı bırakan bir politika tanımlayabilirsiniz.

Adım 6 – OneDrive Paylaşım Politikaları

OneDrive, çalışanların kişisel çalışma alanı olmakla birlikte, paylaşılan dosyalar Copilot tarafından erişilebilir durumdadır. Bireysel paylaşım alışkanlıkları genellikle kurumsal güvenlik standartlarının gerisinde kalır.

OneDrive politika düzenlemeleri:

• Kiracı düzeyinde varsayılan paylaşım türünü "Belirli kişiler" olarak ayarlayın. Bu, "Bağlantıyı olan herkes" gibi geniş kapsamlı paylaşım bağlantılarının oluşturulmasını varsayılan olmaktan çıkarır.
• Paylaşım bağlantısı süre sınırı belirleyin. Paylaşım bağlantılarının 30 veya 90 gün sonra otomatik olarak sona ermesini sağlayarak "sonsuza kadar paylaşılmış" dosya birikimini önleyin.
• Anonim paylaşım bağlantılarını devre dışı bırakın. OneDrive'dan dış erişim gerekiyorsa, kimlik doğrulaması gerektiren paylaşım yöntemlerini zorunlu kılın.
• OneDrive eşitleme istemcisinde bilinen klasör taşımayı (Known Folder Move) etkinleştirin. Masaüstü, Belgeler ve İndirilenler klasörlerinin OneDrive'a yönlendirilmesi, yerel dosyaların bulut güvenlik politikaları kapsamına alınmasını sağlar.
• Dosya isteme (file request) özelliğini denetleyin. Dosya isteme bağlantıları, harici kullanıcıların dosya yüklemesine olanak tanır; bu özelliğin kontrolsüz kullanımı veri sızıntısı riski oluşturabilir.

Adım 7 – Teams Kanal ve Dosya İzinleri

Microsoft Teams, arka planda SharePoint ve OneDrive altyapısını kullanır. Bir Teams kanalında paylaşılan her dosya, ilgili SharePoint sitesinde depolanır ve Copilot'un erişim kapsamına dahil olur.

Teams izin düzenlemeleri:

• Standart ve özel kanal yapısını gözden geçirin. Standart kanallardaki dosyalar tüm takım üyeleri tarafından erişilebilir; hassas projeler için özel (private) kanallar kullanılmalıdır.
• Paylaşılan kanalların dış erişim durumunu kontrol edin. Paylaşılan kanallar, farklı kiracılardaki kullanıcılarla iş birliğine olanak tanır; bu kanalların veri hassasiyetine uygunluğunu doğrulayın.
• Teams toplantı kayıtlarının depolama konumunu ve erişimini denetleyin. Toplantı kayıtları OneDrive veya SharePoint'e kaydedilir ve Copilot tarafından erişilebilir durumdadır. Gizli toplantı kayıtlarının erişim izinlerinin uygun olduğundan emin olun.
• Teams sohbet dosyalarının paylaşım kapsamını kontrol edin. Bire bir ve grup sohbetlerinde paylaşılan dosyalar, OneDrive üzerinden paylaşılır ve ilgili kişilerin erişim listesine eklenir.
• Takım sahipliği ve üyelik yapısını denetleyin. Sahipsiz takımlar, tıpkı sahipsiz SharePoint siteleri gibi, izin kontrolünün gevşemesine yol açar.

Teams yönetişimi ile SharePoint izin yönetimi birbirinden bağımsız düşünülmemelidir. Bir Teams kanalındaki izin değişikliği, doğrudan ilgili SharePoint sitesini etkiler.

Adım 8 – Entra Koşullu Erişim Doğrulaması

Microsoft Entra ID (eski adıyla Azure AD) koşullu erişim politikaları, Copilot hizmetlerine erişimi Zero Trust prensipleriyle kontrol etmenizi sağlar. Copilot artık koşullu erişim politikalarında hedeflenebilir bir uygulama olarak tanımlanmaktadır.

Yapılması gereken koşullu erişim yapılandırmaları:

• Copilot için hizmet sorumlusu (service principal) oluşturun. Microsoft 365 Copilot uygulama kimliği (fb8d773d-7ef8-4ec0-a117-179f88add510) ile PowerShell veya Microsoft Graph SDK üzerinden hizmet sorumlusu oluşturun.
• Kimlik avına dayanıklı MFA zorunlu kılın. Copilot'a erişim için FIDO2 güvenlik anahtarları veya Microsoft Authenticator gibi güçlü kimlik doğrulama yöntemlerini zorunlu tutun.
• Uyumlu cihaz şartı tanımlayın. Copilot erişimini yalnızca Intune ile yönetilen ve uyumluluk politikalarını karşılayan cihazlarla sınırlayın.
• Riskli oturum açma ve riskli kullanıcı engellemeleri oluşturun. Entra Identity Protection sinyallerini kullanarak yüksek riskli oturum açma girişimlerinde ve yüksek riskli kullanıcılarda Copilot erişimini engelleyin.
• İçeriden tehdit (insider risk) koşullarını entegre edin. Microsoft Purview Insider Risk Management verileriyle entegre edilen koşullu erişim politikaları, yüksek risk puanına sahip kullanıcıların Copilot erişimini otomatik olarak kısıtlayabilir.
• Politikaları önce raporlama modunda dağıtın. Üretim ortamına geçmeden önce politikaların kullanıcı deneyimi üzerindeki etkisini değerlendirin.

Acil erişim (break-glass) hesaplarını koşullu erişim politikalarından hariç tutmayı unutmayın; aksi takdirde tüm yönetici hesaplarının kilitleneceği senaryolarla karşılaşabilirsiniz. Kimlik güvenliği stratejisi hakkında detaylı bilgi için Kimlik Güvenlik Rehberi kaynağımızı inceleyebilirsiniz.

Adım 9 – Pilot Grup ile Test

Tüm güvenlik yapılandırmalarını tamamladıktan sonra Copilot'u doğrudan organizasyon genelinde dağıtmak yerine, kontrollü bir pilot programla başlamak kritik öneme sahiptir. Pilot aşaması, güvenlik açıklarını üretim ortamında keşfetme fırsatı sunar.

Pilot programı tasarlama ilkeleri:

• Pilot grubu stratejik olarak seçin. 20–50 kişilik bir başlangıç grubu oluşturun; bu grupta farklı departmanlardan, farklı yetki düzeylerinden ve farklı veri erişim profillerinden kullanıcılar yer almalıdır.
• Güvenlik testi senaryoları tanımlayın. Pilot kullanıcıların Copilot aracılığıyla erişememeleri gereken bilgilere ulaşıp ulaşamadığını sistematik olarak test edin. Örneğin, bir pazarlama çalışanının İK departmanının gizli belgelerine Copilot üzerinden erişim sağlayıp sağlayamadığını doğrulayın.
• Microsoft Purview denetim günlüklerini izleyin. Copilot etkileşimlerinin denetim günlüklerini inceleyerek beklenmeyen veri erişim kalıplarını tespit edin.
• Kullanıcı geri bildirimlerini yapılandırılmış olarak toplayın. Güvenlik kısıtlamalarının iş verimliliğini olumsuz etkileyip etkilemediğini, Copilot'un beklenmedik içerikler sunup sunmadığını ve hassas bilgilerin yanıtlarda görünüp görünmediğini sorgulayın.
• Pilot sonuçlarına göre politikaları ince ayarlayın. Pilot sırasında tespit edilen boşlukları kapatın; DLP kurallarının yanlış pozitif oranını optimize edin ve kullanıcı deneyimini iyileştirin.

Pilot sürecinin minimum 4 hafta sürmesi ve sonuçların belgelenmesi önerilir. Copilot benimseme stratejisi hakkında daha fazla bilgi için Copilot Benimseme Rehberi kaynağımızı inceleyebilirsiniz.

Adım 10 – İzleme ve Sürekli Denetim

Copilot dağıtımı, tek seferlik bir güvenlik projesi değil, sürekli izleme gerektiren bir süreçtir. Organizasyonlar sürekli olarak yeni siteler oluşturur, yeni dosyalar paylaşır ve izin yapıları evrilir. Bu dinamik yapı, düzenli denetim mekanizmaları gerektirir.

Sürekli izleme çerçevesi:

• Haftalık DAG raporları planlayın. SharePoint Advanced Management üzerinden haftalık otomatik raporlar oluşturarak aşırı paylaşım riskini sürekli izleyin.
• Microsoft Purview DSPM for AI (Data Security Posture Management) panelini kullanın. Bu pano, Copilot etkileşimlerinin güvenlik durumunu bütünsel olarak görselleştirir; etiket kapsamı, DLP tetiklenmeleri ve erişim anomalilerini tek bir noktadan izlemenizi sağlar.
• Otomatik iyileştirme politikaları tanımlayın. SAM üzerinden, belirli koşullar sağlandığında otomatik olarak tetiklenen politikalar oluşturun. Örneğin, bir site EEEU izni aldığında otomatik olarak site sahibine bildirim gönderen ve 14 gün içinde düzeltilmezse harici paylaşımı kapatan bir politika tanımlayabilirsiniz.
• Üç aylık kapsamlı erişim incelemeleri gerçekleştirin. Site sahiplerinin üç ayda bir erişim listelerini gözden geçirmesini ve gereksiz izinleri kaldırmasını zorunlu tutan bir süreç oluşturun.
• Copilot kullanım analitiği ile güvenlik verilerini çapraz referanslayın. Copilot'un en çok hangi veri kaynaklarından beslediğini analiz ederek, bu kaynakların güvenlik düzeyini önceliklendirin.
• Yeni site oluşturma sürecine güvenlik kapısı ekleyin. Yeni SharePoint siteleri ve Teams takımları oluşturulurken hassasiyet etiketi, sahiplik ve erişim düzeyi tanımlanmasını zorunlu kılan bir provizyon süreci implementasyonu yapın.

İndirilebilir Kontrol Listesi

Aşağıdaki tablo, 10 adımın tamamını özetleyerek dağıtım öncesi hazırlık durumunuzu takip etmenize yardımcı olacaktır.

#	Adım	Sorumlu Rol	Araçlar	Tamamlandı
1	Mevcut izin durumunu denetleme	SharePoint Yöneticisi	SAM, DAG Raporları, PowerShell	☐
2	EEEU ve herkese açık içerik temizliği	SharePoint Yöneticisi, Site Sahipleri	SAM, SharePoint Admin Center	☐
3	Hassasiyet etiketleri yapılandırma	Uyumluluk Yöneticisi	Microsoft Purview	☐
4	DLP politikalarını güncelleme	Uyumluluk Yöneticisi	Microsoft Purview DLP	☐
5	SharePoint site erişim incelemesi	SharePoint Yöneticisi, İş Birimi Yöneticileri	SAM, Restricted Content Discovery	☐
6	OneDrive paylaşım politikaları	SharePoint/OneDrive Yöneticisi	SharePoint Admin Center	☐
7	Teams kanal ve dosya izinleri	Teams Yöneticisi	Teams Admin Center	☐
8	Entra koşullu erişim doğrulaması	Kimlik Yöneticisi	Entra Admin Center, PowerShell	☐
9	Pilot grup ile test	Proje Yöneticisi, Güvenlik Ekibi	Purview Denetim Günlükleri	☐
10	İzleme ve sürekli denetim	Güvenlik Operasyonları	DSPM for AI, SAM, Purview	☐

Önerilen zaman çizelgesi:

Aşama	Süre	Kapsam
Keşif ve denetim (Adım 1–2)	2–4 hafta	İzin taraması, EEEU temizliği
Politika yapılandırma (Adım 3–6)	3–4 hafta	Etiketler, DLP, paylaşım politikaları
Erişim doğrulama (Adım 7–8)	2–3 hafta	Teams izinleri, koşullu erişim
Pilot ve iyileştirme (Adım 9)	4–6 hafta	Kontrollü dağıtım ve test
Tam dağıtım ve izleme (Adım 10)	Sürekli	Organizasyon geneli dağıtım

Bu zaman çizelgesine göre, uçtan uca hazırlık süreci ortalama 11–17 hafta sürmektedir. Organizasyonunuzun büyüklüğüne ve mevcut olgunluk düzeyine göre bu süre değişebilir; ancak kestirme yollar aramak yerine her adımı titizlikle tamamlamak, Copilot'un güvenli ve etkili bir şekilde değer üretmesinin ön koşuludur.

Copilot dağıtımı, doğru veri yönetişimi ile birleştiğinde organizasyonun üretkenliğini dönüştürebilir. Ancak güvenlik temellerini atlamak, yapay zekânın mevcut güvenlik açıklarını kurumsal ölçekte görünür hale getirmesine yol açar. Bu 10 adımlık kontrol listesini sistematik olarak uygulayarak hem güvenliğinizi sağlamlaştırabilir hem de Copilot yatırımınızdan maksimum değer elde edebilirsiniz.