IDC’nin Wyndham Otel’de düzenlediği “IDC IT Security Roadshow 2015” İstanbul etkinliğinde, Halk Bankaası Bilgi Güvenliği Sorumlu Yöneticisi Ayşim Niksarlı ile karşılaştık. Bilgi Güvenliği gibi zor bir alanda çalışan kadın yönetici olması ile de ilgimizi çeken Niksarlı ile güleryüzlü bir söyleşi gerçekleştirdik (2 banka güvenlik yöneticisi kadın ile söyleşimizi de önümüzdeki günlerde yayınlayacağız). Aşağıda videosunu da izleyeceksiniz (arka plandaki etkinlik gürültüsü için özür dileriz).
turk-internet.com : Ayşim Hanım, IDC toplantısında karşılaştık. Kendinizi tanıtarak başlayabilir miyiz?
Ayşim Niksarlı : Tabii başlayabiliriz. İsmim, Ayşim Niksarlı. Halk Bankası’nda bilgi güvenliğinden sorumlu yönetici olarak çalışıyorum. Sektördeki 21.senem bu sene. Daha önce Pamukbank kökenliyim. Halk Bankası ile birleşme sonucu Halk Bank’ta görev yapmaya başladım. 2000 yılından beri de bilgi güvenliği yöneticisi olarak çalışıyorum.
turk-internet.com : İlk sorumuz, “bir kadın için güvenlikçi olmak nasıl bir şey, zor mu?” olsun.
Ayşim Niksarlı : Aslında güvenlik alanında kadınların çok başarılı olduğunu düşünüyorum ki, örneklerimiz var çünkü bayanlar sahip oldukları çeşitli rolleri dolayısıyla – bir anne, bir eş, işte ailenin zorlukları, gibi her şeylerini çok planlı ve organize yapmak zorundalar ki, hepsini bir arada en iyi şekilde gerçekleştirebilsinler. Güvenlik de bu anlamda organizasyon gerektiren, plan, program gerektiren, sürekli ayakta ve açık olmak gerektiren bir konu. O sebeple, bayanların başarı ile var olduğuna inanıyorum, kendim de dahil olmak üzere.
turk-internet.com : Son zamanlarda bir banka için en önemli güvenlik tehdidi nedir sizce?
Ayşim Niksarlı : Son zamanlarda siber ataklar çok yoğun. Siber ataklar da genelde uzun süreli ataklar, yani “advanced persistent threats” diye geçiyor. Bir atağın başlayıp da bir süre boyunca bu atak ile bilgili bilgilerin toplanıp sonra o bilgiler ile bir saldırıya gidilmesi.
Bu tabii başlangıç ve bitişi boyunca, bütün sistemlerin bu tür ipuçlarına açık olması gerekiyor ki, değerlendirilip bir yorum yapılabilsin, bu tehditin farkında olunabilsin. Bu tür ataklarda da en çok kullanılan yöntemler, “Sıfırıncı gün” açıkları dediğimiz yani birçok güvenlik açıkları.
Her şirket çeşitli teknolojiler kullanıyor. Fakat bunlar genellikle imza tabanlı sistemler olduğu için sıfırıncı gün ataklarına karşı önlemler çok zayıf olabiliyor. O yüzden de çeşitli anormal davranışları gözlemleyen log korelasyonlarına, farklı farklı sistemlerden aldığı sayıları bir araya getirip onları bir akıl çerçevesinde, bir mantık algoritması çerçevesinde yorumlayarak, bunun olası bir şüpheli durum olduğunu, alarmını sağlayan sistemler çok önemli bu noktada. Bu tür sistemler ile, yarattığınız alarmlar ile biraz daha derin baktığınızda varlığını keşfedebiliyorsunuz. Ciddi tehdit, bence bu tarz ciddi tehditler.
turk-internet.com : Peki, ne tür katmanlar yer alıyor sizin sisteminizde?
Ayşim Niksarlı : Şimdi tabii ki, dış dünyadan içeriye doğru çok farklı noktalarda, çok farklı katmanlarda çözümler kullanıyoruz bilgi güvenliği teknolojileri anlamında. En başta, operatörlerden yani internet, dış dünyadan gelen bütün bilgilerin bize ulaşmasını sağlayan telekom operatörlerinde güvenlik bilgileri alıyoruz ki, daha bankamıza doğru gelmeden zararlı trafikler, operatör seviyesinde durdurulmuş oluyor.
Bankaya geldiği noktalarda da çeşitli güvenlik duvarı çözümlerimiz, atak önleme sistemlerimiz, içeriden çalışan kullanıcılarımızın internet erişimlerinde herhangi bir zararlı koda maruz kalmalarını engellemek üzere ağ geçidi seviyesinde zararlı içerikleri filtreleyen çözümlerimiz var.
Uç noktalarda tabii yine uç nokta güvenliği ile ilgili yazılımlarımız var. Pek çok katmanda bir soğan gibi, katman katman, soğanın katları gibi – yine bayan olarak mutfaktan bir örnek verecek olur isek ve bu analoji çok kullanılıyor– farklı farklı katmanlarda önlemler almak, bilgi güvenliği stratejisi kullanmak önemli ama her şey tabiî ki de teknolojik değil, teknolojide siz ne kadar önlem alırsanız alın, onun dışında insan ve proses tarafı da çok önemli.
Süreçleri nasıl yönettiğiniz ve insanların farkındalığı, bu tür teknolojilerin yanı sıra biz de ekibimizde bilgi güvenliği teknolojilerinin yanı sıra bir de bilgi güvenliği süreçleri ekibimiz var, bu tür süreçleri daha düzgün işletebilmek adına çünkü bir şey gerçekleşmeden daha, olası zafiyetlerinizi düzenli olarak tarayıp bulmak, bunları sürekli güncel hale getirmek ve sonra bu yapılacak çalışmaları bir süreç dahilinde devam ettirmek, politikalarınızın kurum çapında bilinirliğini sağlamak, farkındalığını sağlamak, çeşitli duyurular hazırlamak gibi farkındalığa uzanan danışmanlık, bilgi güvenliği danışmanlığı gibi süreç ekibimiz içerisinde de verdiğimiz süreç bazlı hizmetler ile bütünleştiriyoruz.
turk-internet.com : Peki Ayşim Hanım, demin siz de söylediniz. Bu işin personel, çalışan tarafı çok önemli çalışanlar ile ilgili katlı bir soruyu soracağım, öncelikle; bilgi güvenliği konusunda insan bulmakta zorlanıyor musunuz? İkincisi, nasıl eğitiyorsunuz? Üçüncüsü de, bu insanların organizasyona yerleştirilmesi nasıl oluyor?
Ayşim Niksarlı : Bizim birlikte çalıştığımız bir firma var; insan kaynağı sağlayan. Orada çeşitli aşamalardan geçerek eleniyor başvuran kaynaklar. Biz belli bir profil tanımı yapıyoruz ve bu profile uygun adaylar toplanıyor.
Bu elemelerden sonra bir ikinci eleme olarak biz görüşüyoruz kendileriyle. Daha önce yaptıkları çalışmalar, eğitimleri, deneyimler, o konularda değerlendiriyoruz. Tabii bütün bu bilgilerin yanı sıra, aslında kişinin takım çalışmasına uygunluğu önemli. Çünkü bilgi güvenliği, bütün organizasyona yayılması gereken bir konu. O yüzden bütün birimler ile çok kooperatif bir çalışma yapmamız gerekiyor.
Bir hassas denge var: Güvenliği çok fazla arttırdığınızda bu sefer iş yapamaz hale getirmemelisiniz kişileri. Ya da bir şeye hayır derken, onun çözümünü de sağlamanız gerekir. Hayır, ama bu şekilde olur ise, evet gibi. Dolayısıyla, bu kişinin özellikleri de bizim için, yaklaşımı, bir takım anlayışı, yapıcı konular da…
Bunun yanı sıra biraz cinlik de arıyoruz tabii çünkü düşünülmeyeni düşünmemiz gerekiyor bazı ipuçlarından doğru şekilde yararlanmamız için.
Ve bizim tabii ki bu kaynak sağlayan şirketin dışında, kendi insan kaynakları ekiplerimizin de birtakım ön soruşturmaları oluyor. Her çalışanımız için yaptığımız bir bilgi güvenliği soruşturması var. Özellikle tüm BT’ye alınan kaynaklar için bir taahhütnamemiz var bilgi güvenliği için. Onun dışında da mutlaka oryantasyon eğitimlerinde bizim de 2 saatlik farklı farklı konularda bilgi güvenliğine yönelik anlattığımız konular oluyor dikkat edilmesi geren ve kurumsal anlamda yapılması gereken bilgiler olarak biz de onları paylaşıyoruz kendileriyle.
turk-internet.com : Peki, benim sorularım bu kadar. Sizin eklemek istediğiniz, sormadığımı düşündüğünüz bir konu var mı?
Ayşim Niksarlı : Aslında birçok konudan geçmiş olduk özetle. Çok teşekkür ediyorum bu fırsatı verdiğiniz için.
Kaynak : 