CIO’lar siber güvenlikte yetenek avında!

CIO’lar siber güvenlikte yetenek avında!

Yeni nesil siber ataklar için bir formülünüz var mı? Şekil değiştiren ataklara karşı şekil değiştiren güvenlik önlemleri bir yol olabilir… İkinci bir yol ise yetişmiş siber güvenlik uzmanına sahip olmak… Peki, CIO’lar da aynı fikirde mi?

Derya COŞKUN SAYIN

Siber suçlar her geçen gün artıyor, dahası şekil değiştiriyor. Sofistike yöntemler kullanmaya başlayan hacker’lar, şirketleri güvenlik noktasında yeni yollar aramaya yönlendiriyor. Bu aşamada, söz konusu hıza ayak uydurmak işletmeler için büyük önem taşırken, geleneksel yöntemlerin yetersiz kaldığı ise aşikâr görünüyor.
Kurumlar için güvenlik her geçen gün daha büyük risk teşkil ediyor. Zira gelişen teknoloji ile birlikte şekil değiştiren siber ataklar, güvenlik yatırımlarının da değişimine neden oluyor. Hem eğitim stratejilerinin hem de iş süreçlerinin yeniden gözden geçirilmesi gereken bir dönemde, siber güvenlikte yetişmiş uzmanlar elbette oldukça kritik rol oynuyor.

Güvenlikte uzman sayısının artırılması üniversitelerde ilgili bölümlerin açılmasına bağlı bir süreç

Yücel Grup Bilgi Teknolojileri Direktörü Köksal Küçükada konuyla ilgili olarak, yeni nesil ataklar özelinde; bugünlerde eşi görülmemiş, büyük ölçekli, çok yönlü, daha yeni teknoloji ve araçlarla yapılan beşinci jenerasyon ataklar ile karşı karşıya olunduğunu belirtirken, bu yeni nesil ataklara eski nesil güvenlik anlayışı ve eski nesil koruma sağlamanın imkansız olduğunu belirtiyor.
Bu tür atakların sonuçlarının iş sürecinde majör etkileri olduğu gibi, şirketlerin repütasyonu açısından da çok etkili olduğunu ifade eden Küçükada, “Bu hepimizin konuya daha çok önem vermemiz gerektiğini de ortaya koymuş durumda” diyor.
Kendilerinin de bu farkındalıkla, gelen atağa karşı önlem alabilen çözümlerle proaktif bir korumayı hedeflediklerini belirten Köksal Küçükada, “Hacker’lar her zaman bir adım önde ve bu noktada daha akıllı çözümlerin devreye girmesi gerekiyor. Elimizdeki araçları daha önce karşılaşılmamış atakları da sistemlerdeki anomaliliklerden anlayacak araçlar ile destekliyoruz. Düzenli penetrasyon testleri yaparak açık noktalarımızı belirlemeye ve kapatmaya çalışıyoruz. Bu konuda uzman şirketlerden aldığımız dış kaynak hizmetleri artırıyoruz. Ayrıca en önemlisi de kullanıcılarımızın bu konulardaki farkındalığını artırarak bu atakların en zayıf halkası olan insan etkisini de azaltmayı hedefliyoruz” diye konuşuyor.
Yeni nesil ataklara karşı mevcut IT personellerine çeşitli eğitimler vererek, geliştirmeye çalıştıklarını anlatan Küçükada, “Bu konuda yaptığımız projelerde de arkadaşlarımız etkin rol aldıklarından en etkin öğrenme yöntemi olan iş başı eğitim ile de bilgi ve tecrübelerini her geçen gün artırmaktalar” diyor.
Küçükada’ya göre; siber güvenlik noktasında dünyadaki kaynak açığı giderek artmakta… Zira bu durum Türkiye için de geçerli. Bu kaynağın mutlaka artırılması gerektiğinin altını çizen Köksal Küçükada sözlerini şöyle sürdürüyor: “Bunun için önce bu konuyu ilgi çekici hale getirip, açığın olduğunu göstermek gerekiyor diye düşünüyorum. Türkiye’de siber güvenlikte CIO’ların farkındalığı yüksek olsa dahi diğer iş birimlerinde aynı farkındalığın olmadığını görüyoruz. Sektörde de bu konuda yeteri kadar bilgilendirme, etkinlik yapılmamakta. Bu farkındalığı tüm birimlerde artırırsak konunun önemi anlaşılacak ve gençler, öğrenciler bu alanda kendilerini geliştirmek için hevesli olacaklardır. Bu konudaki şirketlerin kaliteleri de geliştikçe bu konunun uzmanları daha yetkin hale gelecekler. Bununla birlikte sektörde uzman sayısının artırılması için konunun özellikle ilgili bölümler olmak üzere üniversitelerde başlayan bir süreç olması çok faydalı olacak.”

Üç senedir IT organizasyonu içinde bilgi güvenliğinden sorumlu ayrı bir yöneticimiz var

Yeni nesil siber tehditlerin ve bunlardan kaynaklanan risklerin kullanılan teknolojilerin de en son nesil olmasını mecbur kıldığını belirten İpragaz IT Direktörü Yaman Acar, “Neredeyse her hafta yeni bir saldırı veya global seviyeye yayılmış bir tehdit haberini alıyoruz. İpragaz IT stratejilerimiz dâhilinde kullandığımız yazılımların ve teknoloji bileşenlerinin son sürümlerini kullanmak yer almaktadır; ancak bunun siber tehditlere karşı yeterli olmadığını biliyoruz. Her ne kadar risklerin çoğu IT sistemleri ve yazılımlardaki açıklardan kaynaklanmakta olsa da, asıl zafiyetin kullanıcılardan dolayısıyla insan nedenli olduğunu görüyoruz. Üst ve orta yöneticilerin de katıldığı periyodik toplantılarımızda, internet üzerinden yapılan saldırılar, karantinaya alınan e-postalar, spam mesajlar, engellenen virüsler gibi sayısal bilgiler aktarıp hem bilgi güvenliği alanındaki faaliyetlerimizi özetleyip aynı zamanda bu konuda kullanıcılarımızı bilinçlendiriyoruz. Şirketimizinkine benzer alan adlarının satın alınması ve buralardan gelebilecek oltalama mesajlarına karşı sürekli sistemlerimizi güncelliyoruz. Güvenlik açığı değerlendirmeleri, sızma testleri, tehdit değerlendirmeleri sürekli yapılarak gizli riskler araştırılıyor. İç ve dış firewall’larımızı yakın zamanda yeniledik. 20’nin üzerinde güvenlik ürünü kullanıyoruz, yine de kullanıcılarımızın mağduriyete uğramamaları için, örneğin kişisel e-posta hesaplarını da kapsayacak bilgilendirme ve kullanım önerileriyle duyurular yayınlıyoruz. Yeni ürünlere yatırımlarımız devam ediyor, sanıyorum artık yapan zeka içeren çözümlere yöneleceğiz” diyor.
Bu konu özelinde, kendi ekipleri içerisinde uzman yetiştirerek gerekli yerlerde dış kaynak kullandıklarını ifade eden Acar, siber güvenlik uzmanlığının sadece teori ile değil, zaman ve deneyimle kazanılan bir yetkinlik olduğundan dolayı kısa sürede tecrübeye ulaşılamadığını vurguluyor. Yaman Acar sözlerini şöyle sürdürüyor: “Bu nedenle dünyadaki gelişmeleri yakından takip eden ve anlık bildirimlerle bizi önceden uyaran, destek aldığımız iş ortaklarımız mevcut. Üyesi olduğumuz global firma bünyesinde de ciddi bir Bilgi Güvenliği ekibi var; aynı zamanda diğer ülkelerle birlikte karşılaştığımız olayları kısa sürede paylaşıp, belki de daha internete bile düşmeden muhtemel tehditleri birbirimize aktarıyoruz. Son 3 senedir IT organizasyonu içinde bilgi güvenliğinden sorumlu ayrı bir yöneticimiz var (ISO), dolayısıyla teknik altyapı yönetiminden ayrı şekilde tutuyoruz.”
Türkiye’nin sadece güvenlik konusunda değil genel olarak bilişim konusunda dünya ortalamalarının üzerinde olduğunu kaydeden Acar, Türkiye’de nüfus artışının 3-4 kat hızı, internet ve bilgisayar kullanıcı sayısının artışına dikkat çekiyor. Yaman Acar şöyle konuşuyor: “Dijital cihazlardaki artış, risk yönetimi ve bu alandaki kaynak ihtiyacına da şekil veriyor. Ancak verinin değerini daha yeni anlamaya başladık, kişisel kullanımda da henüz tam anlaşıldığını düşünmüyorum. Yeni dünyada büyümek için teknolojinin önemini anlamak, bu teknolojileri kullanarak rekabetçi olmak ve beraberinde siber risklere karşı korunabilmek gerekiyor. Şirketlerin bu alandaki riskleri idrak etmeleri bazen kötü bir tecrübe sonrası oluyor. Çoğu zaman ve mecbur kalınmadıkça bu kötü tecrübeler dışarıya duyurulmuyor, genelde sonrasında yeterli bütçe ve efor bilgi güvenliği alanına yönlendiriliyor. Yakın zamanda üniversitelerimizde inovasyon yönetimi gibi teknolojiyle birlikte yaratıcılığı ve yenilikçiliği destekleyen yeni programlar devreye alındı. Siber güvenlik gelecekte geçerli bir meslek olarak hayatımızda bulunacak. Henüz öneminin yeterince anlaşılmadığını ve bu alanın daha cazip hale getirilmesi gerektiğini düşünüyorum.”

İş arayanlara Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı gibi ileri düzey sertifikalar almalarını öneriyoruz

Doğtaş Kelebek Mobilya Bilgi Teknolojileri Direktörü Fatih Özengin ise, ekonomik olarak zorlu periyodlarda siber saldırıların da gözle görülür şekilde artış gösterebildiğini belirtiyor. Özengin, “Bu sebeple bu alanda yaptığımız yatırımların yeniden değerlendirilmesi, teknolojik etkinliğinin artırılması ve yatırımın daha verimli kullanılması gündemimizde olacak. Bu gibi durumlarda duygusal değerlendirmeler de olabiliyor. Bizim esas önceliğimiz gereksinimlerimizi karşılayacak düzeyde çözüm ve insan kaynağı planlaması şekliden oluyor” diyor.
Ayrıca artık makine öğrenimi ve derin öğrenme konularının güvenlik için de önemli olduğundan dolayı sıkça değerlendirdiklerini ve proje noktasında bu konulara eğilen tedarikçilerle çalışmayı tercih ettiklerini söyleyen Özengin, “Anlık hareketleri inceleyerek, sınıflandıran ve güvenlik skoru üreterek aksiyon planı çıkaran yazılımlar ile ilgili yatırımlar yapıyoruz” diye konuşuyor.
Yapılan araştırmalar neticesinde 2020 yılı için siber güvenlik hizmetleri piyasasının 170 milyar dolara çıkacağına işaret eden Fatih Özengin sözlerini şöyle sürdürüyor: “Hem küçük hem de büyük şirketler ağlarını, müşterilerini ve iş ortaklarını korumaya yardımcı olabilecek nitelikli BT güvenlik uzmanlarına ihtiyaçları olduğunu fark etmeye başladı. Ayrıca geçen yıl şirketlerin üçte biri kurum içi güvenlik uzmanlıklarını geliştirmeyi BT güvenlik yatırımları konusundaki ilk üç önceliğinin arasına aldığını biliyoruz. Bu şirketlerin neredeyse yarısı bu konuda yetenekli personel sıkıntısı yaşadıklarını belirtiyorlardı. Ancak burada asıl sıkıntı gelişmekte olan bu fırsatların gerekliliklerini karşılayabilecek doğru kişileri bulmak konusunda yaşanıyor. Bunun için bazı hizmetleri Outsourcing metodu ile alıyoruz. Kendi içimizde ise staj ve sertifikalandırma ile ihtiyaca göre ekibimizi daha tecrübeli ve hazırlıklı hale getirmeyi hedefliyoruz. İş arayanlara özellikle CISSP (Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı) gibi ileri düzey sertifikalar almalarını öneriyoruz.”
Siber güvenlik sorunlarının anında tespit edilememesi durumunda işletmelere maliyetinin çok fazla olduğunu kaydeden Özengin, “Makine öğrenme ve tehdit istihbarat teknolojisi sayesinde kurumlar, gizliliği ifşa edilmiş sistemlerin, hedefli saldırıların ve APT’lerin zamanında tespit edilmesinde nasıl yardımcı olacağını artık öğrenebiliyorlar. Siber saldırılar artık daha anlaşılması zor ve planlı saldırılar halinde geliyor. Bu saldırılara karşı sistemlerimizi etkin koruma sağlayabilmek için için siber güvenlik sürecini bir süreç olarak düşünmek gerekiyor. Konu ile ilgili zayıf yönlerin teşhisini iyi değerlendirmek gerekiyor. Sadece yeni teknolojik yazılım ve çözümlerle bilgi güvenliğini sağlayamayacağımız bilmemiz gerekir. Siber güvenlikte en zayıf halka insan. İnsan kaynağı bu süreçte en kritik olan ve dikkate alınması gereken unsur ancak bunun halen çok farkında değiliz. Güvenlik ile ilgili seviyemizi yükseltmek için problemleri çok iyi değerlendirip, teşhis koyup, gerekli aksiyonları almamız lazım, aksi halde çok fazla yol kat edemeyiz. Ayrıca Siber güvenlik farkındalığı eğitimleri planlama ve düzenlemenin de pozitif yönde çok etkilerinin olacağını düşünüyorum. Bu eğitimler önemli ölçüde güvenlik risklerini azaltıyor ve en tehlikeli ve riskli yazılımların dahi zarar vermesini engellemede büyük destek sağlıyor.”

Uzman siber güvenlik personeli eksikliği lisans derslerinden başlayarak giderilebilir

Aktif Bank CIO’su Gökhan Özdinç de yeni nesil siber saldırıların sayılarının ve çeşitliliğinin önemli ölçüde arttığını söylüyor. Özdinç, “Artık birçok saldırı geleneksel siber güvenlik çözümlerinin ortalama seviyede yapılandırılması ile yakalanabilecek türden değil. Günümüz gelişmiş siber saldırılarından zarar görmemek için firmanız içinde geliştirmeniz gereken alanlar var. Başlıca geliştirilmesi gereken alanları teknoloji, süreçler ve yetkin bir güvenlik ekibine sahip olma ile çalışanların bilinçlendirilmesi olarak sayabiliriz. Teknoloji alanında siber güvenlik teknolojilerini yakından takip ederek, sistemlerimizi geleneksel çözümlerden, yeni nesil güvenlik sistemlerine çevirmek için gerekli yatırımları ve çalışmaları yaptık ve yapmaya devam ediyoruz. Bu teknolojileri kullanarak yeni nesil saldırıları proaktif olarak engelliyoruz” diyor.
Süreçlerle ilgili yaptıkları çalışmalardan da bahseden Gökhan Özdinç, siber saldırıların sistemlerine zarar vermemesi için altyapı ve uygulama süreçlerinin merkezine de güvenliği koyduklarını anlatıyor. “Mevcutta bulunan altyapı cihazlarımız ve uygulamalarımız sürekli olarak güvenlik taramalarından geçirilerek, tüm aşamalarda zafiyetlerden arındırılıyor” diyen Özdinç, altyapı ve uygulama güvenlik süreçlerini güncel tutarak, periyodik olarak sistemlerinin standartlarına uygunluğunun test edildiğini belirtiyor. Özdinç bu şekilde risklerin de minimize edildiğini kaydediyor.
Gökhan Özdinç sözlerini şöyle sürdürüyor: “Bunun dışında bilindiği üzere siber saldırılarda en zayıf halka insan. Sistemleriniz yeni nesil saldırılara karşı gerekli koruma altında olsa bile çalışanlarınızın siber saldırılar hakkında bilinçli olmaları gerekmekte. Bu sebeple sık periyodlarda çalışan bilinçlenmesi için gerekli eğitimler, bilgilendirmeler hazırlanmakta ve çalışanlarımız olası siber saldırılara karşı testlere tabi tutuyoruz. Ayrıca yine sık sık ‘Temiz Masa’ çalışması yaparak, çalışanlarımızı gizli bilgilerini, herkesin görebileceği noktalara koymamaları konusunda bilinçlendiriyoruz.”
Bilgi güvenliğinin bir bütün olarak ele alınması gerektiğini söyleyen Özdinç, risk oluşturabilecek tün etkileşim alanlarının güvenliğinin sağlanmasının önemine dikkat çekiyor. Gökhan Özdinç, “Kurumumuzda başta altyapı güvenliği, uygulama güvenliği ile tehdit ve olay yönetimi konusunda uzmanlaşmış personellerimiz çalışmaktadır. Özellikle tehdit ve olay yönetiminin hem süreçleri hem de bu alanda çalışan personellerin niteliği ve niceliği, yeni nesil saldırılar karşısında çok önemlidir. Kurumumuz, tehdit ve olay yönetimi konusunda özel bir çalışma içerisinde olup, yeni nesil saldırılar karşısında, hem güncel güvenlik teknolojilerini kullanarak hem de oluşturulan süreçleri etkili bir şekilde uygulayarak çalışmalarını yürütebilmek amacıyla bu konuda uzman personelleri barındırmakta ve bu konuda istihdam ile uzmanlaşmayı daha da arttırmayı hedeflemektedir.”
Türkiye’nin siber güvenlik yeteneği noktasında geçmişe oranla iyi bir yerde olduğunu belirten Özdinç şöyle devam ediyor: “Siber güvenlik için özel ve yetkin ekipler oluşturulmakta ve gerekli süreçler ve yeni teknolojilerle beslenerek etkinliği artmaktadır. Artan önemi ile birlikte siber güvenlik alanının özellikle yeni mezun adayların da hedefleri arasına daha fazlaca girdiğini söylemek mümkün. Bununla birlikte, Türkiye’nin siber güvenlik yeteneği konusunda geliştirmesi gereken alanlar mevcut. Bunlara örnek olarak uzman siber güvenlik personelinin sayıca eksikliğini ve uzmanlaşmanın yeterli seviyede yaygınlaşmamasını verebiliriz. Uzman siber güvenlik personeli eksikliğinin giderilmesi için gerekli eğitimlerin, lisans derslerinden başlayarak oluşturulması ve bilgi teknolojileri personellerinden önemli bir kaynağın bu alana genç yaşlarda daha fazla rağbet göstermesi önemli. Ayrıca üniversitelerin, devlet kurumlarının ve özel sektörün kurslar, lisans ve yüksek lisans programları ve benzeri eğitim programları ile siber güvenlik alanında hem uzman personel hem de uzmanlaşma konusunda yatırımlarını artırması bu eksik yönlerin kapatılması konusunda fayda sağlayacaktır kanaatindeyim.”

Tek bir çerçeve milli bir güvenlik politikası oluşturulmalıdır

Kalyon Grup IT Direktörü Koray Kurt, son yıllarda siber tehditlerin sayıca artmaya ve sofistike hale gelerek, tehdidin etki alanını genişletmeye devam ettiğini söylüyor. Bunun sonucunda güvenlik katmanının CIO’lar için öncelik sıralamasında ilk basamakta yer aldığını belirten Kurt, “Evet dijital ortamlar veriye çok hızlı ve kolay erişmemizi sağladı ama buna bağlı olarak güvenlik ihtiyacı ve alınması gereken önlemlerin de mimarisini değiştirdi. AI, dijitalleşme, makine öğrenimi, Endüstri 4.0 ve IoT teknolojilerinde yaşanan değişim, şirketlerin güvenlik konusunda aldıkları kararları tekrar gözden geçirmelerine neden oldu. Aynı şekilde bulut mimarileri ve bununla beraber büyüyen yapılar veri güvenliği konusunda bakışı yepyeni yönlere doğru kaydırmaya başladı. Verinin hibrit şekilde saklanması ile kontrol edilmesi gereken verinin ve bilginin giderek artacak oluşu, bu alanda yetişmiş personel ihtiyacını daha da artıracak ve yeni nesil siber saldırılara karşı oluşturulacak siber güvenlik yol haritası gündemin üst maddelerinde sürekli kalacağa benziyor” diyor.
Aynı şekilde dijitalleşmeyi kurum kültürlerine adapte ederken, siber saldırıların yeni konsantrasyon alanlarının büyümeye devam edecek olması, şirketler ve kurumların güvenlik konusunda kurum içi farkındalık seviyesinin artırılması ve bir güvenlik kültürünün oluşturmasını gerektirdiğinin altını çiziyor.
Şirketlerin yeni nesil siber tehditlere karşı ihtiyacı karşılayabilecek bilgi teknolojileri personelindeki eksikliğe dikkat çeken Kurt sözlerine şöyle devam ediyor: “Yine araştırma şirketlerinin risk haritalarına baktığımızda güvenlik alanında sadece ülkemiz için değil küresel çapta da büyük bir personel açığı göstermektedir. Siber güvenlik alanında saldırıların hızla arttığı günümüzde, kalifiye siber güvenlik personeli eksikliğinin, dünya genelinde 1 milyonun üstünde olduğu, Türkiye özelinde güvenlik alanında 30 bin kalifiye personel açığı olduğu söylenmektedir.”
Türkiye’nin siber güvenlik yeteneği noktasında nerede olduğunu sorduğumuz Koray Kurt şöyle konuşuyor: “Türkiye’nin 1866’dan beri kurucu üyesi olduğu Uluslararası Telekom Birliği- ITU, 2017 Küresel Siber Güvenlik İndeksi’ni yayınladı. Buna göre Türkiye Siber Güvenlik konusunda dünya ülkeleri sıralamasında 58 puanla 195 ülke arasından 43’üncü sırada. İlk üç sırada Singapur – 92,5 puan ikinci sırada Amerika 91,9 puan – 0.919, üçüncü sırada Malezya – 89,3 puan almıştır. ITU ülkeleri “Hukuki, Teknik, Organizasyonel, Kapasite Artırımı ve İşbirliği” olarak belirlenen 5 alandan, hangisinde eksikleri olduğunu anlatmaya çalışıyor. Bu raporun detayına çok girmeden bir özet yapacak olursam; Hukuki, Kapasite Geliştirme konularında değerlendirme orta seviyelerde görünürken, işbirliği konusunda ise zayıf olarak not almış durumda. Global bakış açışına karşılık yapılacak adımlar konusunda da ciddi adımlar atılmaya başlandı. Siber güvenlik konusunda eksiklerimizi doğru analiz etmeliyiz. Sadece yeni nesil teknolojilere yatırım yaparak güvenliği sağlayamayacağımızı bilmeliyiz. Bu konuda çok çarpıcı örnekler var. Yapılması gereken adımlardan bence en önemlisi Dijital Dönüşüm Ofisi gibi Siber Güvenlik Ofisinin de kurulması ve özel sektör tecrübesi ve kamu deneyimi ile tek bir çerçeve milli bir güvenlik politikası oluşturulmalıdır.”

Üniversite ve güvenlik konusunda hizmet veren firmalara büyük görev düşüyor

Koçtaş IT Direktörü Uğur Serkan Taşkın da dijital dönüşümle birlikte çoklu kanal, internet-mobil pazarlama kanallarının artması ve son dönemlerde daha sık yaşanan atakların, siber güvenlik stratejilerini ve yol haritalarını değiştirdiğini belirtiyor. Taşkın, “Güvenlik teknolojilerindeki gelişmeleri, siber güvenlikle ilgili saldırı ve tehditleri mümkün olduğunca yakından takip ediyoruz. Belirlediğimiz ve takip ettiğimiz güvenlik regülasyonlarına uyum sağlamak için düzenli olarak yapımızı gözden geçiriyor ve gerekli güncellemeleri yapıyoruz. Siber sızma ve zafiyet testleri yaparak eksik noktalarımızı belirleyip ona göre aksiyonlarımızı alıyoruz. Güvenliğin sağlanması ile ilgili son teknolojilerin kullanılması, sorunun çözümünü sadece kısıtlı olarak kapsıyor. Pek çok farklı katmanda birbirinden farklı güvenlik ürünleri kullanılıyor. Fakat bu güvenlik çözümlerinin birbirleriyle entegre çalışması ve var olan yeteneklerinin etkin bir şekilde kullanılması kritik. Güvenlik olaylarının 7/24 takibi, güvenlik çözümleriyle engellenemeyen güvenlik olaylarına anında müdahale edilmesi ve kurum içi iletişim çok önemli. Biz de güvenlik altyapımızda bu ilkeleri mümkün olduğunca uygulamaya çalışıyoruz” diyor.
Kullanıcı farkındalığının güvenlik ile ilgili diğer bir kritik konu olduğuna dikkat çeken Uğur Serkan Taşkın, tüm çalışanları için, bilgi güvenliği konusunda farkındalığın artırılması ve risklerin en aza indirilebilmesi ile ilgili eğitim çalışmaları planladıklarını kaydediyor.
Yeni nesil ataklarla birlikte, şirketlerinde uzman personel noktasında ne tür değişikliklere gittiklerini sorduğumuz Taşkın şöyle konuşuyor: “Uzman personel noktasında ekibimizde özel olarak Bilgi Güvenliği konusunda çalışan arkadaşlarımız bulunuyor. Ancak biliyoruz ki, bilgi güvenliği, kurumumuzda sadece bir bölümün ya da departmanın değil tüm şirketin ana görevlerinden biri. Her çalışan kendi sorumluluk alanındaki bilgi güvenliğinden de aynı şekilde sorumlu. Bilgi Güvenliği departmanımızın amacı ise bilgi güvenliği ile ilgili yönlendirmelerin yapılması ve şirket içi koordinasyonun sağlanması. Şirket genelinde sürdürülen tüm süreçlerin ve geliştirilen projelerin bilgi güvenliği bakış açısı ile değerlendirilmesi ve gerekli desteğin verilmesi de bu bölümümüzün sorumluluğunda. Bunun dışında güvenlik alanında, konusunda uzman çözüm ve hizmet sunan firmalar ile de mümkün olan en üst seviyede işbirliği yapıyoruz. Güvenlik konusu birçok farklı uzmanlıkla birlikte 7/24 destek gerektiren bir konu. O nedenle tüm yetkinliği içeride oluşturmak yerine, uzmanlığı olan iş ortaklarımızdan destek almayı tercih ediyoruz. Bu şekilde hem iş kalitesi hem de maliyet açısından daha uygun bir hale geliyor. Örneğin SOC – Security Operations Center kurmak yerine, bu konuda uzman ekipleri olan ve 7/24 hizmet aldığımız Koç Sistem ile çalışıyoruz.”
Bilgi güvenliğinin sadece Türkiye’de değil, dünyada önemli bir sorun olduğunu söyleyen Taşkın, “Kişisel veriler başta olmak üzere günlük hayatımızda her alanda bilgi akışı oluyor ve bunun sonucunda veri güvenliği giderek önem kazanıyor. Bir kuruma yapılan saldırı ile ilgili diğer kurumların bu saldırıdan etkilenmemesi için kurumlar arası koordinasyon çok önemli. Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nın hazırlanmış olması ve Ulusal Siber Olaylara Müdahale Merkezi’nin kurulması önemli adımlar. Finans sektöründe örneklerini gördüğümüz siber olaylara müdahale ekiplerinin tüm sektörlere yayılması ve işbirliklerinin geliştirilmesi gerektiğini düşünüyorum. Bunun dışında Bilgi Güvenliği alanında yetişmiş uzman ihtiyacının karşılanması için üniversite ve güvenlik konusunda hizmet veren firmalara büyük görev düşüyor” diye konuşuyor.

Categories: DOSYA KONULARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*