AI Bilgi Grafikleri ile Güvenlik Anket Çalışma Akışlarını Otomatikleştirme

Güvenlik anketleri, her B2B SaaS anlaşmasının giriş noktalarıdır. SOC 2 ve ISO 27001 onaylarından GDPR ve CCPA uyumluluk kontrollerine kadar, her anket aynı az sayıdaki kontrol, politika ve kanıtı ister—sadece farklı bir şekilde ifade edilir. Şirketler belgeleri manuel olarak bulmak, metin kopyalamak ve yanıtları temizlemek için sayısız saat harcar. Sonuç, satış döngülerini yavaşlatan, denetçileri hayal kırıklığına uğratan ve insan hatası riskini artıran bir darboğazdır.

Enter AI‑driven knowledge graphs: a structured, relational representation of everything a security team knows about its organization—policies, technical controls, audit artifacts, regulatory mappings, and even the provenance of each piece of evidence. When combined with generative AI, a knowledge graph becomes a living compliance engine that can:

Anket alanlarını en ilgili politika alıntıları veya kontrol yapılandırmalarıyla otomatik doldurur.
Cevaplanmamış kontrolleri veya eksik kanıtları işaretleyerek boşlukları tespit eder.
Birden fazla paydaşın yorum yapabildiği, onaylayabildiği veya AI önerili yanıtları geçersiz kılabildiği gerçek zamanlı işbirliği sağlar.
Her yanıtı kaynak belge, sürüm ve inceleyen kişiye bağlayan denetlenebilir bir iz sürer.

In this article we dissect the architecture of an AI knowledge‑graph‑powered questionnaire platform, walk through a practical implementation scenario, and highlight the measurable benefits for security, legal, and product teams.

1. Neden Bir Bilgi Grafiği Geleneksel Doküman Depolarını Yeniyor

Geleneksel Doküman Deposu	AI Bilgi Grafiği
Lineer dosya hiyerarşisi, etiketler ve serbest‑metin arama.	Düğümler (varlıklar) + kenarlar (ilişkiler) bir anlamsal ağ oluşturan.
Arama, dosya listesini döndürür; bağlamın manuel olarak çıkarılması gerekir.	Sorgular bağlantılı bilgi döndürür, örn., “ISO 27001 A.12.1’i karşılayan kontroller nelerdir?”
Sürüm kontrolü genellikle bölünmüş durumdadır; kaynağın izini sürmek zordur.	Her düğüm meta verileri (sürüm, sahibi, son incelenme) ve değiştirilemez bir soyu taşır.
Güncellemeler manuel yeniden etiketleme veya yeniden indeksleme gerektirir.	Bir düğümün güncellenmesi, tüm bağımlı yanıtları otomatik olarak yayar.
Otomatik akıl yürütme desteği sınırlıdır.	Grafik algoritmaları ve LLM’ler eksik bağlantıları çıkarabilir, kanıt önerebilir veya tutarsızlıkları işaretleyebilir.

The graph model mirrors the natural way compliance professionals think: “Our Encryption‑At‑Rest control (CIS‑16.1) satisfies the Data‑In‑Transit requirement of ISO 27001 A.10.1, and the evidence is stored in the Key Management vault logs.” Capturing this relational knowledge enables machines to reason about compliance just as a human would—only faster and at scale.

2. Temel Grafik Varlıkları ve İlişkileri

A robust compliance knowledge graph typically contains the following node types:

Varlık Türü	Örnek	Anahtar Nitelikler
Regulation	“ISO 27001”, “SOC 2‑CC6”	kimlik, sürüm, yargı bölgesi
Control	“Access Control – Least Privilege”	control_id, açıklama, ilişkili standartlar
Policy	“Password Policy v2.3”	document_id, içerik, geçerlilik_tarihi
Evidence	“AWS CloudTrail logs (2024‑09)”, “Pen‑test report”	artifact_id, konum, format, incelenme_durumu
Product Feature	“Multi‑Factor Authentication”	feature_id, açıklama, dağıtım_durumu
Stakeholder	“Security Engineer – Alice”, “Legal Counsel – Bob”	rol, departman, izinler

Relationships (edges) define how these entities are linked:

COMPLIES_WITH – Control → Regulation
ENFORCED_BY – Policy → Control
SUPPORTED_BY – Feature → Control
EVIDENCE_FOR – Evidence → Control
OWNED_BY – Policy/Evidence → Stakeholder
VERSION_OF – Policy → Policy (historical chain)

These edges allow the system to answer complex queries such as:

“Show all controls that map to SOC 2‑CC6 and have at least one piece of evidence reviewed within the last 90 days.”

3. Grafiği Oluşturma: Veri Alım Boru Hattı

3.1. Kaynak Çıkarma

Policy Repository – Markdown, PDF veya Confluence sayfalarını API aracılığıyla çek.
Control Catalogs – CIS, NIST, ISO veya dahili kontrol haritalarını (CSV/JSON) içe aktar.
Evidence Store – S3, Azure Blob veya Git‑LFS’ten log, tarama raporu ve test sonuçlarını indeksle.
Product Metadata – Özellik bayrakları veya Terraform durumu üzerinden dağıtılmış güvenlik kontrollerini sorgula.

3.2. Normalizasyon ve Varlık Çözümleme

Politika kimlikleri, düzenleme referansları ve sürüm numaralarını çıkarmak için uyumluluk kelime dağarcığına ince ayar yapılmış named entity recognition (NER) modelleri kullan.
Benzer politikaları (örn., “Password Policy v2.3” vs “Password Policy – v2.3”) ayırt etmek için bulanık eşleşme ve graf tabanlı kümeleme uygula.
Referans bütünlüğünü sağlamak için kanonik kimlikler (örn., ISO-27001-A10-1) kullan.

3.3. Grafik Popülasyonu

Neo4j, Amazon Neptune veya TigerGraph gibi bir property graph veritabanı kullan. Örnek Cypher snippet:

MERGE (c:Control {id: "CIS-16.6", name: "Encryption At Rest"})
MERGE (r:Regulation {id: "ISO-27001", name: "ISO 27001"})
MERGE (c)-[:COMPLIES_WITH {framework: "ISO"}]->(r);

3.4. Sürekli Senkronizasyon

Yeni kanıt ve politika güncellemelerini almak için artımlı ETL işleri (ör. her 6 saatte bir) zamanla. GitHub veya Azure DevOps’tan gelen webhook’ları kullanarak bir uyumluluk dokümanı birleştirildiğinde grafik anında güncellenir.

4. Üretken AI Katmanı: Grafikten Cevaplara

4.1. Prompt Mühendisliği

Tipik bir prompt formatı:

You are a compliance assistant. Using the provided knowledge graph data, answer the following questionnaire item in less than 200 words. Include citations in the format [SourceID].

Question: "Describe how you enforce least‑privilege access for privileged accounts."
Graph Data:
- Control: "Privileged Access Management" (CIS-16.4) complies with ISO-27001-A9-2.
- Policy: "Privileged Account SOP v3" (PolicyID: PA‑SOP‑003) owned by Alice.
- Evidence: "Privileged Access Review Log 2024‑09" (EvidenceID: LOG‑PA‑202409) verified 2024‑10‑01.

The LLM returns:

We enforce least‑privilege access for privileged accounts through a Privileged Access Management (PAM) solution that restricts each account to the minimal set of permissions required for its role. The process is documented in Privileged Account SOP v3【PA‑SOP‑003】 and aligns with ISO 27001 A.9.2. Access reviews are performed monthly; the most recent review log (2024‑09) confirms compliance【LOG‑PA‑202409】.

4.2. Retrieval‑Augmented Generation (RAG)

Sistem, grafik düğüm metinlerinin vektör gömmelerini kullanarak hızlı benzerlik araması yapar. En iyi k‑k yakın düğüm, LLM’ye bağlam olarak beslenir; böylece çıktı gerçek belgelerle köklenir.

4.3. Doğrulama Döngüsü

Kural‑Tabanlı Kontroller – Her cevabın en az bir atıf içerdiği doğrulanır.
İnsan İncelemesi – UI’da ilgili paydaş için AI‑önerili metni onaylama veya düzenleme görevi oluşturulur.
Geri Bildirim Depolama – Reddedilen veya düzenlenen cevaplar, model için pekiştirme sinyali olarak saklanır; böylece zamanla cevap kalitesi artar.

5. Gerçek Zamanlı İşbirlikçi UI

Canlı Cevap Önerileri – Kullanıcı bir anket alanına tıkladığında, AI en uygun taslak cevabı alıntılarla birlikte gösterir.
Bağlam Paneli – Yan sekmede, mevcut soruya ait alt‑grafik görselleştirilir (aşağıdaki Mermaid diyagramına bakınız).
Yorum Zincirleri – Birden fazla paydaş, herhangi bir düğüme yorum ekleyebilir, örn., “Bu kontrol için güncellenmiş penetrasyon testi gerekiyor.”
Sürümlü Onaylar – Her cevap sürümü, ilgili grafik anlık görüntüsüyle ilişkilendirilir; bu sayede denetçiler tam olarak o anki durumu doğrulayabilir.

Mermaid Diyagramı: Cevap Bağlamı Alt‑Grafiği

  graph TD
    Q["Soru: Veri Saklama Politikası"]
    C["Kontrol: Saklama Yönetimi (CIS‑16‑7)"]
    P["Politika: Veri Saklama SOP v1.2"]
    E["Kanıt: Saklama Konfigürasyonu Ekran Görüntüsü"]
    R["Düzenleme: GDPR Madde 5"]
    S["Paydaş: Hukuk Lideri - Bob"]
    Q -->|haritalar| C
    C -->|uygulanır| P
    P -->|destekler| E
    C -->|uyumludur| R
    P -->|sahibi| S

Bu diyagram, tek bir anket öğesinin nasıl bir kontrol, politika, kanıt, düzenleme ve paydaşa bağlandığını göstererek tam bir denetim izi sağlar.

6. Ölçülen Yararlar

Metrik	Manuel Süreç	AI Bilgi Grafiği Süreci
Ortalama cevap taslağı süresi	12 dakika / soru	2 dakika / soru
Kanıt keşif gecikmesi	3–5 gün (arama + alma)	<30 saniye (grafik sorgusu)
Tam anket dönüş süresi	2–3 hafta	2–4 gün
İnsan hatası oranı (yanlış atıf)	%8	<1 %
Denetlenebilir iz skoru (dahili denetim)	%70	%95

Orta ölçekli bir SaaS sağlayıcısının, bilgi‑grafiği‑güdümlü platforma geçtikten sonra %73 oranında anket dönüş süresi azalması ve %90 oranında gönderim sonrası değişiklik taleplerinde azalma yaşadığı rapor edilmiştir.

7. Uygulama Kontrol Listesi

Mevcut Varlıkları Haritalayın – Tüm politikaları, kontrolleri, kanıtları ve ürün özelliklerini listeleyin.
Bir Grafik Veritabanı Seçin – Maliyet, ölçeklenebilirlik ve entegrasyon açısından Neo4j vs. Amazon Neptune karşılaştırın.
ETL Boru Hatlarını Kurun – Zamanlanmış alım için Apache Airflow veya AWS Step Functions kullanın.
LLM’yi İnce Ayar Yapın – Kuruluşunuzun uyumluluk dilinde (ör. OpenAI ince ayarı veya Hugging Face adaptörleri) model eğitin.
UI Entegre Edin – Alt‑grafik sorgulamalarını anlık getiren GraphQL tabanlı React dashboard oluşturun.
İnceleme İş Akışlarını Tanımlayın – Jira, Asana veya Teams’te insan onayı için görev otomasyonu oluşturun.
İzle & İterasyon Yapın – Cevap süresi, hata oranı gibi metrikleri takip edin ve denetçi düzeltmelerini modele geri besleyin.

8. Gelecek Yönlendirmeler

8.1. Federated Bilgi Grafikleri

Büyük ölçekli kuruluşlar, farklı iş birimlerinin kendi uyumluluk depolarına sahip olurlar. Federated grafikler, birimler arasında özerkliği korurken kontrol, düzenleme ve kanıtların küresel görünümünü sağlar. Sorgular, hassas veriyi merkezileştirmeden bir federasyon üzerinden çalıştırılabilir.

8.2. AI‑Driven Boşluk Tahmini

Geçmiş anket sonuçları üzerinde bir grafik sinir ağı (GNN) eğitilerek, gelecekteki denetimlerde eksik kanıt olma olasılığı yüksek kontroller önceden tahmin edilebilir. Sistem, proaktif iyileştirme önerileri sunarak boşlukları kapatmayı mümkün kılar.

8.3. Sürekli Düzenleme Beslemesi

Regülasyon API’leri (ENISA, NIST vb.) ile entegrasyon sağlanarak yeni ya da güncellenen standartlar gerçek zamanlı olarak grafiğe alınabilir. Böylece sistem, etkilenen kontrolleri otomatik işaretler ve politika güncellemeleri önerir; uyumluluk sürekli bir süreç haline gelir.

9. Sonuç

Güvenlik anketleri, B2B SaaS işlemlerinin kritik bir kapısı olmaya devam edecek, fakat yanıt verme şeklimiz manuel, hata‑eğilimli bir görevden veri‑odaklı, AI‑takviyeli bir iş akışına dönüşebilir. AI bilgi grafiği oluşturarak politika, kontrol, kanıt ve paydaş sorumluluklarının tam anlamıyla semantik ilişkilerini yakaladığınızda, organizasyonlar şu avantajları elde eder:

Hız – Anlık, doğru cevap üretimi.
Şeffaflık – Her yanıtın kaynağa, sürüme ve inceleyene bağlanan denetlenebilir izi.
İşbirliği – Gerçek zamanlı, rol‑tabanlı yorum ve onay süreci.
Ölçeklenebilirlik – Tek bir grafik, çoklu standartlar ve bölgeler arasında sınırsız anketi besler.

Bu yaklaşım, güvenlik anketlerini kaçınılmaz bir zorunluluk olmaktan dinamik, ölçeklenebilir bir uyumluluk zekâsına dönüştürür. AI çağında, bilgi grafiği, izole dokümanları canlı bir uyumluluk istihbarat motoruna dönüştüren bağlayıcı dokudur.