Enerjisa, Bilgi Güvenliği, Risk ve Uyumluluk Grup Müdürü Pelin Pehlivan 13 şubatta İstanbul’da gerçekleştirilecek olan IT Security Etkinliği öncesinde sorularımızı cevapladı.
IDC Türkiye, IT Security Roadshow etkinliklerine ne kadar zamandır katılıyorsunuz, sizin ve sektör için değeri hakkında görüşlerinizi alabilir miyiz?
Pelin Pehlivan : IT Security Roadshow etkinliklerine düzenli olarak 7 yıldır katılıyorum. Uzun süredir göremediğim meslektaşlarımla görüşüp, fikir alışverişinde bulunuyorum, yeni meslektaşlarla tanışıyorum ve de günlerin yoğunluğu nedeniyle atlayabildiğim BT güvenliğindeki yeni yaklaşımları ve teknolojileri dinleme fırsatı bulabiliyorum. Dolayısıyla içtenlikle benim için de, sektör için de çok değerli bir etkinlik olduğunu söyleyebilirim.
Kaç yıldır BT sektöründe yönetici olarak görev yapıyorsunuz ve son 3 yılda görev kapsamınızda, iş yapış şeklinizde neler değişti?
Pelin Pehlivan : 2000 yılından beri çeşitli sektörlerde bilgi teknolojileri denetimi ve güvenliği alanlarında çalışıyorum. Yaklaşık 9 senedir de yönetici olarak görev yapıyorum. Çalışma hayatımda finans, telekom ve enerji olmak üzere, en kritik 3 sektörde, sektöründe lider firmalarda çalışma fırsatı buldum. Aynı zamanda ISACA ve IIA’in Türkiye’deki temsilcileri olan ISACA İstanbul (Bilgi Sistemleri Denetim ve Kontrol Derneği) ile TİDE (Türkiye İç Denetim Enstitüsü) yönetim kurullarında mesleğimizi geliştirmek ve yaygınlaştırmak için çalışıyorum. Fırsat buldukça da üniversitelerde veya çeşitli etkinlerde siber güvenlikle ilgili eğitim veriyorum.
Ben BT denetiminden, BT güvenliği alanına 3 sene önce geçiş yaptım. Hep yapılması beklenen şeyleri söylüyor, mevcut durumdaki riskleri ortaya çıkarıp üst yönetime raporluyordum, en sonunda “masanın bu tarafına geç de kendin yap” dediler. Güvenliğe geçişim, Avea, TTnet ve Türk Telekom’dan sorumlu Güvenlik Güvence ekibinin başına geçmemle oldu. Kendi alanlarında 3 dev şirket, 3 farklı ekip, farklı altyapılar, farklı sistemler ve en önemlisi farklı kültürler. 2 sene, üç şirketteki iş yapış şekillerini, politikaları ve prosedürleri tekilleştirmek, ortak güvenlik altyapılarını ve kurallarını düzenlemekle geçti. Bu noktada bir kez daha gördüm ki, sektör veya şirket bağımsız, bir işi gerçekleyebilmek için insanların size inanması, yaptıkları işe inanması ve desteklemesi gerekiyor. 2 senenin sonunda yasal tüm gereksinimlerimizi tamamlamış ve ortak bir yaklaşım oluşturmuş şekilde Enerjisa’ya geçtim.
Firmanızdaki diğer iş birimleri ile nasıl çalışıyorsunuz?
Pelin Pehlivan : Son yıllarda iş birimleri teknolojinin gelişimi, global seviyede rekabetin gelmesi gibi etmenler nedeniyle iş yapış şekillerini değiştirmek, daha fazla mobillik, daha fazla serbestlik ve daha hızlı projeler üretilmesini talep ediyorlar. Bu noktada da güvenlik ekiplerinden projelerini engellemeden, sürelerini uzatmadan güvenliği sağlamalarını bekliyorlar. İş birimleri her zaman teknolojilerdeki güvenlik risklerinin bizler kadar farkında olmayabildiklerinden, bazen çok riskli olabilecek istekler de gelebiliyor. Ancak, oluşabilecek kötü bir senaryoda, çözümün içerdiği veriyi ve işin kritikliğini baz alarak, riskin etkisini şirketin imajı, finansal kayıplar ve verilerin çalınması gibi daha elle tutulur hale getirebildiğimizde, iş birimleri riski anlıyor ve riski azaltmak için proje süresinin uzamasını göze alıp gerekli aksiyonların alınmasını talep ediyorlar.
Bunun yanı sıra, tüm üretilen çözümlere, bilgi güvenliği ekibi olarak dahil olmamız kaynak açısından mümkün olmadığı için, beklentilerimizi herkesin anlayabileceği dilde güvenlik politika ve prosedürlerinde tanımlamaya ve bilgi güvenliğinin ortak sorumluluğumuz olduğu farkındalığını vermeye çalışıyoruz. Daha net olması için şöyle bir benzetme yapabilirim: Bütün kapı ve camlara alarm taktırdığınızı düşünün, içimizden biri kasıtlı olarak ya da farkında olmadan camı açık unutuyorsa, burada güvenlik ekibinin yapabileceği çok az şey kalıyor.
Çalışan profilinizin bilgi teknolojileri alanındaki değişimlere adaptasyon süreçleri nasıl yürütülüyor? Çalışanlarınıza bu süreçlerdeki önerileriniz nelerdir?
Pelin Pehlivan : Çoğu şirkette bilgi güvenliği ekiplerinden yanlış beklentilerin olduğunu görüyorum. Zannediliyor ki, bilgi güvenliği ekibini kurduk, içine 2-3-5 personel koyduk, gerekli cihazları aldık, sızma testlerini yaptırıyoruz ve artık güvendeyiz. Halbuki teknoloji çok hızlı gelişiyor, saldırı teknikleri ise ondan da daha hızlı değişiyor. Dijitalleşme ile beraber atak yüzeyi o kadar artıyor ki, güvenlik ekipleri 7/24 çalışıp sistemleri korumaya çalışsalar bile, diğer personellerde bilgi güvenliği farkındalığı yok ise, sisteme sızılıyor. Bu sebeple BT alanındaki değişimlere adaptasyon için sistem/servis/süreç/veri sahiplerinin, kendi varlıklarının güvenliğinden 1. derece sorumlu olduğunu kabul etmesi ve bu sorumlulukla aksiyon alması gerekiyor.
Artık operasyon yok, güvenli operasyon var; yazılım geliştirme yok, güvenli yazılım geliştirme var. Bilgi güvenliği ekipleri onlara yol göstermek, risklerin farkında olmalarını sağlamak, yaptıkları testlerle eksik kalan/etkin çalışmayan güvenlik kontrollerini ortaya çıkarmaktan ve risk yönetim mekanizmasını çalıştırarak kontrollerin etkin çalışmasını sağlamaktan sorumludur.
Bu nedenle ben ekibimden, teknolojik bilginin yanı sıra ilişki yönetimini iyi yapmalarını bekliyorum. Neyi neden istediklerini her fırsatta diğer ekiplere anlatsınlar ve onların gönüllü olarak kendi sistemlerini, varlıklarını korumasını sağlasınlar. Bilgi paylaşıldıkça çoğalır ilkesiyle, ilgili sistem sahipleri ile riskleri ve çözüm önerilerini beraber tartıştıkça, problemleri aşmak için ellerini taşın altına ortak koydukça hem ekibimin, hem de diğer şirket çalışanlarımızın değişerek gelişmesi kendiliğinden gerçekleşecektir.
BT Güvenliği alanında hızlı değişimler gözlemleniyor, bu değişimi nasıl takip ediyorsunuz?
Pelin Pehlivan : BT güvenliği alanındaki değişimleri çeşitli web sitelerinden, araştırma raporlarından ve konferanslardan takip ediyorum. Ayrıca düzenli olarak ayda 1-2 hizmet sağlayıcıyı şirketimize yeni çözümlerini anlatmak için çağırmaya gayret ediyorum. Bu toplantılar bilgilerimizi tazelemek için de çok faydalı oluyor.
Gelecek 5 yıl içinde; yapay zeka, bilişsel sistemler, SIEM çözümleri, bulut hizmetler ve bunların siber güvenlikte getireceği değişiklikler konularında öngörüleriniz nelerdir?
Pelin Pehlivan : Bence SIEM çözümleri artık şirketlerin olmazsa olmazlarından. Finans ve Telekom sektörlerinde SIEM yatırımları zaten yıllar önce yapılmıştı, şimdi diğer sektörlerde de bu yatırımların hızla yapıldığını görüyorum. Buna paralel olarak da birçok firma Güvenlik Operasyon Merkezi kurma çabasına girişti. Bulut çözümler konusunda dünyada çok hızlı ilerlenmesine rağmen, Türkiye’de kritik sektörlerin halen buluta tereddüt ile yaklaştığını ve kritik verilerini/iş kritik uygulamalarını buluta taşımadığını görüyorum. Türkiye ile sınırlandırılmış bulut çözümleri ve bulut çözümlerdeki kontrol alanları arttıkça bu hizmetler yavaş yavaş artacaktır.
Yapay zeka ve bilişsel sistemlerden ise ben de birçoğumuz gibi biraz korkuyorum, ama sağlayacakları fayda ve maliyet avantajı nedeniyle birçok şirketin bunlara hızla yatırım yapacağını ve çabuk yaygınlaşacağını düşünüyorum. Umarım iyi insanların elinde, iyi amaçlarla kullanılırlar. Nesnelerin interneti, akıllı şehirler, akıllı arabalar gibi yeni nesil teknolojiler yaşantımızın içine iyice işlediğinde, bu sistemlerin güvenlik açıklarından daha da çok etkileneceğiz. Şu an sistemler ele geçirildiğinde finansal ya da imajsal kayıpları daha çok düşünürken, bu teknolojilerin yaygınlaşmasıyla beraber özel hayatın gizliliğinin ihlali, kaçırılma, teröre neden olma gibi farklı riskleri daha çok değerlendirir olacağız. Dolayısıyla riskler korkutucu boyutlara çıkacak ama bu gelişmeler de bilgi güvenliği sektörünün daha da büyümesine neden olacak diyebilirim.
2000 yılından beri çeşitli sektörlerde bilgi teknolojileri denetimi ve güvenliği alanlarında çalışıyorum. Yaklaşık 9 senedir de yönetici olarak görev yapıyorum. Çalışma hayatımda finans, telekom ve enerji olmak üzere, en kritik 3 sektörde, sektöründe lider firmalarda çalışma fırsatı buldum. Aynı zamanda ISACA ve IIA’in Türkiye’deki temsilcileri olan ISACA İstanbul (Bilgi Sistemleri Denetim ve Kontrol Derneği) ile TİDE (Türkiye İç Denetim Enstitüsü) yönetim kurullarında mesleğimizi geliştirmek ve yaygınlaştırmak için çalışıyorum. Fırsat buldukça da üniversitelerde veya çeşitli etkinlerde siber güvenlikle ilgili eğitim veriyorum.
Ben BT denetiminden, BT güvenliği alanına 3 sene önce geçiş yaptım. Hep yapılması beklenen şeyleri söylüyor, mevcut durumdaki riskleri ortaya çıkarıp üst yönetime raporluyordum, en sonunda “masanın bu tarafına geç de kendin yap” dediler. Güvenliğe geçişim, Avea, TTnet ve Türk Telekom’dan sorumlu Güvenlik Güvence ekibinin başına geçmemle oldu. Kendi alanlarında 3 dev şirket, 3 farklı ekip, farklı altyapılar, farklı sistemler ve en önemlisi farklı kültürler. 2 sene, üç şirketteki iş yapış şekillerini, politikaları ve prosedürleri tekilleştirmek, ortak güvenlik altyapılarını ve kurallarını düzenlemekle geçti. Bu noktada bir kez daha gördüm ki, sektör veya şirket bağımsız, bir işi gerçekleyebilmek için insanların size inanması, yaptıkları işe inanması ve desteklemesi gerekiyor. 2 senenin sonunda yasal tüm gereksinimlerimizi tamamlamış ve ortak bir yaklaşım oluşturmuş şekilde Enerjisa’ya geçtim.
Son yıllarda iş birimleri teknolojinin gelişimi, global seviyede rekabetin gelmesi gibi etmenler nedeniyle iş yapış şekillerini değiştirmek, daha fazla mobillik, daha fazla serbestlik ve daha hızlı projeler üretilmesini talep ediyorlar. Bu noktada da güvenlik ekiplerinden projelerini engellemeden, sürelerini uzatmadan güvenliği sağlamalarını bekliyorlar. İş birimleri her zaman teknolojilerdeki güvenlik risklerinin bizler kadar farkında olmayabildiklerinden, bazen çok riskli olabilecek istekler de gelebiliyor. Ancak, oluşabilecek kötü bir senaryoda, çözümün içerdiği veriyi ve işin kritikliğini baz alarak, riskin etkisini şirketin imajı, finansal kayıplar ve verilerin çalınması gibi daha elle tutulur hale getirebildiğimizde, iş birimleri riski anlıyor ve riski azaltmak için proje süresinin uzamasını göze alıp gerekli aksiyonların alınmasını talep ediyorlar.
Bunun yanı sıra, tüm üretilen çözümlere, bilgi güvenliği ekibi olarak dahil olmamız kaynak açısından mümkün olmadığı için, beklentilerimizi herkesin anlayabileceği dilde güvenlik politika ve prosedürlerinde tanımlamaya ve bilgi güvenliğinin ortak sorumluluğumuz olduğu farkındalığını vermeye çalışıyoruz. Daha net olması için şöyle bir benzetme yapabilirim: Bütün kapı ve camlara alarm taktırdığınızı düşünün, içimizden biri kasıtlı olarak ya da farkında olmadan camı açık unutuyorsa, burada güvenlik ekibinin yapabileceği çok az şey kalıyor.
Bilgi güvenliği ekiplerinden yanlış beklentilerin olduğunu görüyorum. Zannediliyor ki, bilgi güvenliği ekibini kurduk, içine 2-3-5 personel koyduk, gerekli cihazları aldık, sızma testlerini yaptırıyoruz ve artık güvendeyiz. Halbuki teknoloji çok hızlı gelişiyor, saldırı teknikleri ise ondan da daha hızlı değişiyor. Dijitalleşme ile beraber atak yüzeyi o kadar artıyor ki, güvenlik ekipleri 7/24 çalışıp sistemleri korumaya çalışsalar bile, diğer personellerde bilgi güvenliği farkındalığı yok ise, sisteme sızılıyor. Bu sebeple BT alanındaki değişimlere adaptasyon için sistem/servis/süreç/veri sahiplerinin, kendi varlıklarının güvenliğinden 1. derece sorumlu olduğunu kabul etmesi ve bu sorumlulukla aksiyon alması gerekiyor. Artık operasyon yok, güvenli operasyon var; yazılım geliştirme yok, güvenli yazılım geliştirme var. Bilgi güvenliği ekipleri onlara yol göstermek, risklerin farkında olmalarını sağlamak, yaptıkları testlerle eksik kalan/etkin çalışmayan güvenlik kontrollerini ortaya çıkarmaktan ve risk yönetim mekanizmasını çalıştırarak kontrollerin etkin çalışmasını sağlamaktan sorumludur.