Açıklanabilir AI Koçu Gerçek Zamanlı Güvenlik Anketleri İçin

TL;DR – Gerçek zamanlı güvenlik anketlerine cevapları taslak halinde hazırlayan ve ayrıca her cevabın neden doğru olduğunu gösteren, güven puanları, kanıt izlenebilirliği ve insan‑arada‑döngü doğrulaması sağlayan bir sohbet tabanlı AI asistanı. Sonuç olarak %30‑70 yanıt süresi azalması ve denetim güveninde önemli bir artış elde edilir.

Mevcut Çözümler Neden Hâlâ Yetersiz

Çoğu otomasyon platformu (bizim önceki sürümlerimiz dahil) hız konusunda mükemmeldir – şablonları çeker, politikaları eşleştirir veya ön‑yazı metin üretir. Ancak, denetçiler ve güvenlik sorumluları sürekli şunu sorar:

“Bu cevaba nasıl ulaştınız?”
“Bu iddiayı destekleyen kesin kanıtı görebilir miyiz?”
“AI‑tarafından üretilen yanıtın güven düzeyi nedir?”

Geleneksel “kara kutu” LLM boru hatları, yanıtları kaynak göstermeden sunar ve uyumluluk ekiplerinin her satırı iki kez kontrol etmesine neden olur. Bu manuel yeniden doğrulama, zaman tasarrufunu ortadan kaldırır ve hata riskini yeniden getirir.

Açıklanabilir AI Koçunu Tanıtan

Explainable AI Coach (E‑Coach), Procurize’in mevcut anket merkezinin üzerine inşa edilmiş bir sohbet katmanıdır. Üç temel yeteneği birleştirir:

Yeteneği	Ne Yapar	Neden Önemlidir
Conversational LLM	Kullanıcıları soru‑soru diyalogları boyunca yönlendirir, doğal dilde yanıt önerir.	Bilişsel yükü azaltır; kullanıcılar istediği zaman “Neden?” sorusunu sorabilir.
Evidence Retrieval Engine	Bilgi grafiğinden en ilgili politika maddelerini, denetim kayıtlarını ve artefakt linklerini gerçek zamanlı çeker.	Her iddia için izlenebilir kanıt garantiler.
Explainability & Confidence Dashboard	Adım‑adım bir mantık zinciri, güven puanları ve alternatif öneriler gösterir.	Denetçiler şeffaf mantığı görür; ekipler kabul, reddet veya düzenleyebilir.

Sonuç, AI’nın sessiz bir yazar yerine bilgili bir ortak‑yazar olduğu AI‑destekli insan‑arada‑döngü iş akışıdır.

Mimari Genel Bakış

  graph LR
    A["User (Security Analyst)"] --> B["Conversational UI"]
    B --> C["Intent Parser"]
    C --> D["LLM Answer Generator"]
    D --> E["Evidence Retrieval Engine"]
    E --> F["Knowledge Graph (Policies, Artifacts)"]
    D --> G["Explainability Engine"]
    G --> H["Reasoning Tree + Confidence Score"]
    H --> I["Dashboard (Live View)"]
    I --> A
    F --> D

Tüm düğüm etiketleri Mermaid için gerektiği gibi tırnak içinde.

Conversational UI – Analistlerin yazdığı veya sesli komut verdiği Web veya Slack entegrasyonu.
Intent Parser – Gelen soruyu sınıflandırır (ör. “dinlenmedeki şifreleme?”).
LLM Answer Generator – Retrieval‑Augmented Generation (RAG) kullanarak bir yanıt taslağı üretir.
Evidence Retrieval Engine – Merkezi bilgi grafiğini politika alıntıları, kanıt ID’leri ve sürüm geçmişi için sorgular.
Explainability Engine – Reasoning Tree oluşturur:
- Adım 1: Standart maddeyi belirler (ör. ISO 27001 A.10.1).
- Adım 2: En son denetim artefaktını çeker (ör. encryption‑key‑inventory‑v3.pdf).
- Adım 3: Soru ile kanıt arasındaki benzerlik skorunu hesaplar.
Dashboard – Yanıtı, bağlanmış kanıtı, güven yüzdesini ve mantık ağacını genişleten “Neden?” düğmesini gösterir.

Adım‑Adım Kullanıcı Yolculuğu

1️⃣ Diyaloğu Başlat

Analist koçu açar ve sorar:

“SaaS platformumuzda dinlenmedeki verileri şifreliyoruz mu?”

UI anında bir taslak yanıt gösterir:

“Evet. Birincil veritabanlarımızda saklanan tüm müşteri verileri, AWS KMS tarafından yönetilen AES‑256 GCM ile şifrelenir. Şifreleme anahtarları her 90 günde bir döndürülür.”

2️⃣ Kanıtı İncele

Taslağın altında koç bağlı artefaktları listeler:

Politika: “Veri‑Dinlenme Şifreleme Politikası (v2.4)”
Artefakt: aws-kms-rotation‑log‑2024-09.pdf (link)
Denetim İzleme: “Şifreleme‑Anahtar‑Envanteri (son doğrulama 2025‑03‑15)”

Her link bir ön izleme bölmesi açar, analistin belgeyi anketten çıkmadan doğrulamasını sağlar.

3️⃣ Güveni ve Mantığı İncele

Güven göstergesi %92 gösterir. “Neden?” düğmesine tıklamak bir çökebilir ağaç açar:

Neden? → 1. Politika eşleşmesi ([ISO 27001](https://www.iso.org/isoiec-27001-information-security.html) A.10.1) – 0.98 similarity
          → 2. En son KMS döndürme kaydı – 0.95 similarity
          → 3. İç denetim bayrağı – 0.90 similarity

Her bir düğüm, konfigüre edilebilir bir eşik (ör. 0.85) altında ise UI vurgular ve analisti eksik kanıt eklemeye yönlendirir.

4️⃣ İnsan‑Arada‑Döngü Doğrulaması

Analist şunları yapabilir:

Kabul Et – cevap ve kanıt anket içinde kilitlenir.
Düzenle – metni düzeltebilir veya ek belgeler ekleyebilir.
Reddet – uyumluluk ekibi için bir bilet oluşturur, eksik kanıt toplar.

Tüm eylemler değiştirilemez denetim olayları (aşağıdaki “Uyumluluk Defteri” bölümüne bakınız) olarak kaydedilir.

5️⃣ Kaydet & Senkronize

Kabul edildikten sonra yanıt, mantık ağacı ve ilişkili kanıtlar Procurize’in uyumluluk deposunda kalıcı şekilde saklanır. Platform otomatik olarak tüm alt panoları, risk skorlarını ve uyumluluk raporlarını günceller.

Açıklanabilirlik: Kara Kutudan Şeffaf Asistan’a

Geleneksel LLM’ler tek bir metin çıktısı verir. E‑Coach üç şeffaflık katmanı ekler:

Katman	Açığa Çıkarılan Veri	Örnek
Politika Eşlemesi	Yanıt üretiminde kullanılan kesin politika madde kimlikleri.	`ISO27001:A.10.1`
Artefakt Kaynağı	Versiyon‑kontrol edilen kanıt dosyalarına doğrudan link.	`s3://compliance/evidence/kms-rotation-2024-09.pdf`
Güven Skoru	Geri getirme benzerliği, model kendi güveni ve ağırlıklı toplam.	`0.92 overall confidence`

Bu veriler RESTful Açıklanabilirlik API üzerinden sunularak dış denetim araçlarına veya otomatik uyumluluk PDF’lerine entegre edilebilir.

Uyumluluk Defteri: Değiştirilemez Denetim İzleme

Koçla her etkileşim eklemeli bir deftere (hafif bir blok‑zincir yapısı üzerine) yazar. Bir kayıt şunları içerir:

Zaman Damgası (2025‑11‑26T08:42:10Z)
Analist ID
Soru ID
Taslak cevap hash’i
Kanıt ID’leri
Güven skoru
Alınan eylem (kabul / düzenle / reddet)

Defter değiştirilemez olduğundan denetçiler, onaylandıktan sonra bir değişiklik yapılmadığını kanıtlayabilir. Bu, SOC 2, ISO 27001 ve yeni AI‑denetim standartları gibi katı gereksinimleri karşılar.

Entegrasyon Noktaları ve Genişletilebilirlik

Entegrasyon	Sağladığı
CI/CD Boru Hatları	Yeni sürümler için anket yanıtlarını otomatik doldurur; güven eşiği altında ise dağıtımı engeller.
Ticketing Sistemleri (Jira, ServiceNow)	Düşük‑güven yanıtlar için otomatik iyileştirme biletleri oluşturur.
Üçüncü‑Taraf Risk Platformları	Onaylı yanıtları ve kanıt linklerini standartlaştırılmış JSON‑API üzerinden gönderir.
Özel Bilgi Grafikleri	HIPAA, PCI‑DSS gibi alan‑özel politika depoları kod değişikliği olmadan bağlanır.

Mimari mikro‑servis dostu, kurumların sıfır‑güven ağları içinde ya da gizli‑bilgi işlem ortamlarında barındırılabilir.

Gerçek Dünya Etkisi: Erken Benimseyenlerden Ölçümler

Ölçüt	Koç Öncesi	Koç Sonrası	İyileşme
Ortalama yanıt süresi (gün)	5.8 gün	1.9 gün	%67 Azalma
Manuel kanıt‑arama süresi (saat)	12 saat	3 saat	%75 Azalma
Denetim‑bulunma oranı (yanlış cevap)	%8	%2	%75 Azalma
Analist memnuniyeti (NPS)	32	71	+39 puan

Bu rakamlar, orta ölçekli bir SaaS firması (≈300 çalışan) tarafından SOC 2 ve ISO 27001 denetim döngülerine entegrasyonla elde edilmiştir.

Açıklanabilir AI Koçunu Dağıtmak İçin En İyi Uygulamalar

Yüksek Kaliteli Bir Kanıt Deposu Oluşturun – Daha ayrıntılı ve sürüm‑kontrolü yapılan artefaktlar, güven skorlarını artırır.
Güven Eşiklerini Tanımlayın – Eşikleri risk toleransınızla eşleştirin (ör. halka açık yanıtlar için > 90 %).
Düşük Skorlu Cevaplar İçin İnsan İncelemesini Etkinleştirin – Otomatik bilet oluşturma ile darboğazları önleyin.
Defteri Periyodik Olarak Denetleyin – Defter girdilerini SIEM’ınıza aktararak sürekli uyumluluk izleme yapın.
LLM’yi Politika Dilinizle Eğitin – İç politika belgeleriyle ince ayar yaparak alaka düzeyini ve halüsinasyon riskini azaltın.

Yol Haritasındaki Gelecek Geliştirmeler

Çok‑modlu Kanıt Çıkarma – Görüntü işleyebilen LLM’ler ile ekran görüntüleri, mimari diyagramlar ve Terraform durum dosyalarını doğrudan alın.
Kiracılar Arası Federated Learning – Özellikle gizli verileri ifşa etmeden anonimleştirilmiş mantık desenlerini paylaşarak yanıt kalitesini artırın.
Sıfır‑Bilgi Kanıtı Entegrasyonu – Yanıt doğruluğunu kanıtlamadan dış denetçilere ortaya koyun.
Dinamik Regülasyon Radar – Yeni düzenlemeler (ör. EU AI Act Compliance) mevcut kanıtları etkilediğinde güven skorlarını otomatik ayarlar.

Eylem Çağrısı

Güvenlik veya hukuk ekibiniz her hafta saatler harcayarak doğru maddeyi buluyorsa, onlara şeffaf, AI‑destekli bir ortak‑pilot sunma zamanı gelmiştir. Açıklanabilir AI Koçunun demo talebinde bulunun ve anket dönüş süresini nasıl çarpıcı biçimde kısaltıp denetim hazırlığını her zaman hazır tutabileceğinizi görün.