Pazar, Şubat 28, 2021
No Result
View All Result
Türk İnternet
  • Ana Sayfa
  • Araştırma
  • Etkinlik
  • Kim Nerede?
  • Şirket Haberleri
  • Ürün Tanıtımı
  • Hakkımızda
No Result
View All Result
  • Ana Sayfa
  • Araştırma
  • Etkinlik
  • Kim Nerede?
  • Şirket Haberleri
  • Ürün Tanıtımı
  • Hakkımızda
No Result
View All Result
Türk İnternet
No Result
View All Result
Ana Sayfa *İNSAN KAYNAKLARI BT Merkez ve Yöneticileri

Pelin Pehlivan : Son Yıllarda İş Birimleri Daha Mobil, Daha Hızlı Projeler Talep Ediyorlar

Türk-İnternet Haber Merkezi - Türk-İnternet Haber Merkezi
5 Şubat 2018
- BT Merkez ve Yöneticileri
0
Pelin Pehlivan : Son Yıllarda İş Birimleri Daha Mobil, Daha Hızlı Projeler Talep Ediyorlar
Facebook'ta PaylaşTwitter'da Paylaş

Enerjisa, Bilgi Güvenliği, Risk ve Uyumluluk Grup Müdürü Pelin Pehlivan 13 şubatta İstanbul’da gerçekleştirilecek olan IT Security Etkinliği öncesinde sorularımızı cevapladı.

IDC Türkiye, IT Security Roadshow etkinliklerine ne kadar zamandır katılıyorsunuz, sizin ve sektör için değeri hakkında görüşlerinizi alabilir miyiz?

Pelin Pehlivan : IT Security Roadshow etkinliklerine düzenli olarak 7 yıldır katılıyorum. Uzun süredir göremediğim meslektaşlarımla görüşüp, fikir alışverişinde bulunuyorum, yeni meslektaşlarla tanışıyorum ve de günlerin yoğunluğu nedeniyle atlayabildiğim BT güvenliğindeki yeni yaklaşımları ve teknolojileri dinleme fırsatı bulabiliyorum. Dolayısıyla içtenlikle benim için de, sektör için de çok değerli bir etkinlik olduğunu söyleyebilirim.

Kaç yıldır BT sektöründe yönetici olarak görev yapıyorsunuz ve son 3 yılda görev kapsamınızda, iş yapış şeklinizde neler değişti?

Pelin Pehlivan : 2000 yılından beri çeşitli sektörlerde bilgi teknolojileri denetimi ve güvenliği alanlarında çalışıyorum. Yaklaşık 9 senedir de yönetici olarak görev yapıyorum. Çalışma hayatımda finans, telekom ve enerji olmak üzere, en kritik 3 sektörde, sektöründe lider firmalarda çalışma fırsatı buldum. Aynı zamanda ISACA ve IIA’in Türkiye’deki temsilcileri olan ISACA İstanbul (Bilgi Sistemleri Denetim ve Kontrol Derneği) ile TİDE (Türkiye İç Denetim Enstitüsü) yönetim kurullarında mesleğimizi geliştirmek ve yaygınlaştırmak için çalışıyorum. Fırsat buldukça da üniversitelerde veya çeşitli etkinlerde siber güvenlikle ilgili eğitim veriyorum.

Ben BT denetiminden, BT güvenliği alanına 3 sene önce geçiş yaptım. Hep yapılması beklenen şeyleri söylüyor, mevcut durumdaki riskleri ortaya çıkarıp üst yönetime raporluyordum, en sonunda “masanın bu tarafına geç de kendin yap” dediler. Güvenliğe geçişim, Avea, TTnet ve Türk Telekom’dan sorumlu Güvenlik Güvence ekibinin başına geçmemle oldu. Kendi alanlarında 3 dev şirket, 3 farklı ekip, farklı altyapılar, farklı sistemler ve en önemlisi farklı kültürler. 2 sene, üç şirketteki iş yapış şekillerini, politikaları ve prosedürleri tekilleştirmek, ortak güvenlik altyapılarını ve kurallarını düzenlemekle geçti. Bu noktada bir kez daha gördüm ki, sektör veya şirket bağımsız, bir işi gerçekleyebilmek için insanların size inanması, yaptıkları işe inanması ve desteklemesi gerekiyor. 2 senenin sonunda yasal tüm gereksinimlerimizi tamamlamış ve ortak bir yaklaşım oluşturmuş şekilde Enerjisa’ya geçtim.

Firmanızdaki diğer iş birimleri ile nasıl çalışıyorsunuz?

Pelin Pehlivan : Son yıllarda iş birimleri teknolojinin gelişimi, global seviyede rekabetin gelmesi gibi etmenler nedeniyle iş yapış şekillerini değiştirmek, daha fazla mobillik, daha fazla serbestlik ve daha hızlı projeler üretilmesini talep ediyorlar. Bu noktada da güvenlik ekiplerinden projelerini engellemeden, sürelerini uzatmadan güvenliği sağlamalarını bekliyorlar. İş birimleri her zaman teknolojilerdeki güvenlik risklerinin bizler kadar farkında olmayabildiklerinden, bazen çok riskli olabilecek istekler de gelebiliyor. Ancak, oluşabilecek kötü bir senaryoda, çözümün içerdiği veriyi ve işin kritikliğini baz alarak, riskin etkisini şirketin imajı, finansal kayıplar ve verilerin çalınması gibi daha elle tutulur hale getirebildiğimizde, iş birimleri riski anlıyor ve riski azaltmak için proje süresinin uzamasını göze alıp gerekli aksiyonların alınmasını talep ediyorlar.

Bunun yanı sıra, tüm üretilen çözümlere, bilgi güvenliği ekibi olarak dahil olmamız kaynak açısından mümkün olmadığı için, beklentilerimizi herkesin anlayabileceği dilde güvenlik politika ve prosedürlerinde tanımlamaya ve bilgi güvenliğinin ortak sorumluluğumuz olduğu farkındalığını vermeye çalışıyoruz. Daha net olması için şöyle bir benzetme yapabilirim: Bütün kapı ve camlara alarm taktırdığınızı düşünün, içimizden biri kasıtlı olarak ya da farkında olmadan camı açık unutuyorsa, burada güvenlik ekibinin yapabileceği çok az şey kalıyor.

Çalışan profilinizin bilgi teknolojileri alanındaki değişimlere adaptasyon süreçleri nasıl yürütülüyor? Çalışanlarınıza bu süreçlerdeki önerileriniz nelerdir?

Pelin Pehlivan : Çoğu şirkette bilgi güvenliği ekiplerinden yanlış beklentilerin olduğunu görüyorum. Zannediliyor ki, bilgi güvenliği ekibini kurduk, içine 2-3-5 personel koyduk, gerekli cihazları aldık, sızma testlerini yaptırıyoruz ve artık güvendeyiz. Halbuki teknoloji çok hızlı gelişiyor, saldırı teknikleri ise ondan da daha hızlı değişiyor. Dijitalleşme ile beraber atak yüzeyi o kadar artıyor ki, güvenlik ekipleri 7/24 çalışıp sistemleri korumaya çalışsalar bile, diğer personellerde bilgi güvenliği farkındalığı yok ise, sisteme sızılıyor. Bu sebeple BT alanındaki değişimlere adaptasyon için sistem/servis/süreç/veri sahiplerinin, kendi varlıklarının güvenliğinden 1. derece sorumlu olduğunu kabul etmesi ve bu sorumlulukla aksiyon alması gerekiyor.

Artık operasyon yok, güvenli operasyon var; yazılım geliştirme yok, güvenli yazılım geliştirme var. Bilgi güvenliği ekipleri onlara yol göstermek, risklerin farkında olmalarını sağlamak, yaptıkları testlerle eksik kalan/etkin çalışmayan güvenlik kontrollerini ortaya çıkarmaktan ve risk yönetim mekanizmasını çalıştırarak kontrollerin etkin çalışmasını sağlamaktan sorumludur.

Bu nedenle ben ekibimden, teknolojik bilginin yanı sıra ilişki yönetimini iyi yapmalarını bekliyorum. Neyi neden istediklerini her fırsatta diğer ekiplere anlatsınlar ve onların gönüllü olarak kendi sistemlerini, varlıklarını korumasını sağlasınlar. Bilgi paylaşıldıkça çoğalır ilkesiyle, ilgili sistem sahipleri ile riskleri ve çözüm önerilerini beraber tartıştıkça, problemleri aşmak için ellerini taşın altına ortak koydukça hem ekibimin, hem de diğer şirket çalışanlarımızın değişerek gelişmesi kendiliğinden gerçekleşecektir.

BT Güvenliği alanında hızlı değişimler gözlemleniyor, bu değişimi nasıl takip ediyorsunuz?

Pelin Pehlivan : BT güvenliği alanındaki değişimleri çeşitli web sitelerinden, araştırma raporlarından ve konferanslardan takip ediyorum. Ayrıca düzenli olarak ayda 1-2 hizmet sağlayıcıyı şirketimize yeni çözümlerini anlatmak için çağırmaya gayret ediyorum. Bu toplantılar bilgilerimizi tazelemek için de çok faydalı oluyor.

Gelecek 5 yıl içinde; yapay zeka, bilişsel sistemler, SIEM çözümleri, bulut hizmetler ve bunların siber güvenlikte getireceği değişiklikler konularında öngörüleriniz nelerdir?

Pelin Pehlivan : Bence SIEM çözümleri artık şirketlerin olmazsa olmazlarından. Finans ve Telekom sektörlerinde SIEM yatırımları zaten yıllar önce yapılmıştı, şimdi diğer sektörlerde de bu yatırımların hızla yapıldığını görüyorum. Buna paralel olarak da birçok firma Güvenlik Operasyon Merkezi kurma çabasına girişti. Bulut çözümler konusunda dünyada çok hızlı ilerlenmesine rağmen, Türkiye’de kritik sektörlerin halen buluta tereddüt ile yaklaştığını ve kritik verilerini/iş kritik uygulamalarını buluta taşımadığını görüyorum. Türkiye ile sınırlandırılmış bulut çözümleri ve bulut çözümlerdeki kontrol alanları arttıkça bu hizmetler yavaş yavaş artacaktır.

Yapay zeka ve bilişsel sistemlerden ise ben de birçoğumuz gibi biraz korkuyorum, ama sağlayacakları fayda ve maliyet avantajı nedeniyle birçok şirketin bunlara hızla yatırım yapacağını ve çabuk yaygınlaşacağını düşünüyorum. Umarım iyi insanların elinde, iyi amaçlarla kullanılırlar. Nesnelerin interneti, akıllı şehirler, akıllı arabalar gibi yeni nesil teknolojiler yaşantımızın içine iyice işlediğinde, bu sistemlerin güvenlik açıklarından daha da çok etkileneceğiz. Şu an sistemler ele geçirildiğinde finansal ya da imajsal kayıpları daha çok düşünürken, bu teknolojilerin yaygınlaşmasıyla beraber özel hayatın gizliliğinin ihlali, kaçırılma, teröre neden olma gibi farklı riskleri daha çok değerlendirir olacağız. Dolayısıyla riskler korkutucu boyutlara çıkacak ama bu gelişmeler de bilgi güvenliği sektörünün daha da büyümesine neden olacak diyebilirim.

2000 yılından beri çeşitli sektörlerde bilgi teknolojileri denetimi ve güvenliği alanlarında çalışıyorum. Yaklaşık 9 senedir de yönetici olarak görev yapıyorum. Çalışma hayatımda finans, telekom ve enerji olmak üzere, en kritik 3 sektörde, sektöründe lider firmalarda çalışma fırsatı buldum. Aynı zamanda ISACA ve IIA’in Türkiye’deki temsilcileri olan ISACA İstanbul (Bilgi Sistemleri Denetim ve Kontrol Derneği) ile TİDE (Türkiye İç Denetim Enstitüsü) yönetim kurullarında mesleğimizi geliştirmek ve yaygınlaştırmak için çalışıyorum. Fırsat buldukça da üniversitelerde veya çeşitli etkinlerde siber güvenlikle ilgili eğitim veriyorum.

Ben BT denetiminden, BT güvenliği alanına 3 sene önce geçiş yaptım. Hep yapılması beklenen şeyleri söylüyor, mevcut durumdaki riskleri ortaya çıkarıp üst yönetime raporluyordum, en sonunda “masanın bu tarafına geç de kendin yap” dediler. Güvenliğe geçişim, Avea, TTnet ve Türk Telekom’dan sorumlu Güvenlik Güvence ekibinin başına geçmemle oldu. Kendi alanlarında 3 dev şirket, 3 farklı ekip, farklı altyapılar, farklı sistemler ve en önemlisi farklı kültürler. 2 sene, üç şirketteki iş yapış şekillerini, politikaları ve prosedürleri tekilleştirmek, ortak güvenlik altyapılarını ve kurallarını düzenlemekle geçti. Bu noktada bir kez daha gördüm ki, sektör veya şirket bağımsız, bir işi gerçekleyebilmek için insanların size inanması, yaptıkları işe inanması ve desteklemesi gerekiyor. 2 senenin sonunda yasal tüm gereksinimlerimizi tamamlamış ve ortak bir yaklaşım oluşturmuş şekilde Enerjisa’ya geçtim.

Son yıllarda iş birimleri teknolojinin gelişimi, global seviyede rekabetin gelmesi gibi etmenler nedeniyle iş yapış şekillerini değiştirmek, daha fazla mobillik, daha fazla serbestlik ve daha hızlı projeler üretilmesini talep ediyorlar. Bu noktada da güvenlik ekiplerinden projelerini engellemeden, sürelerini uzatmadan güvenliği sağlamalarını bekliyorlar. İş birimleri her zaman teknolojilerdeki güvenlik risklerinin bizler kadar farkında olmayabildiklerinden, bazen çok riskli olabilecek istekler de gelebiliyor. Ancak, oluşabilecek kötü bir senaryoda, çözümün içerdiği veriyi ve işin kritikliğini baz alarak, riskin etkisini şirketin imajı, finansal kayıplar ve verilerin çalınması gibi daha elle tutulur hale getirebildiğimizde, iş birimleri riski anlıyor ve riski azaltmak için proje süresinin uzamasını göze alıp gerekli aksiyonların alınmasını talep ediyorlar.

Bunun yanı sıra, tüm üretilen çözümlere, bilgi güvenliği ekibi olarak dahil olmamız kaynak açısından mümkün olmadığı için, beklentilerimizi herkesin anlayabileceği dilde güvenlik politika ve prosedürlerinde tanımlamaya ve bilgi güvenliğinin ortak sorumluluğumuz olduğu farkındalığını vermeye çalışıyoruz. Daha net olması için şöyle bir benzetme yapabilirim: Bütün kapı ve camlara alarm taktırdığınızı düşünün, içimizden biri kasıtlı olarak ya da farkında olmadan camı açık unutuyorsa, burada güvenlik ekibinin yapabileceği çok az şey kalıyor.

Bilgi güvenliği ekiplerinden yanlış beklentilerin olduğunu görüyorum. Zannediliyor ki, bilgi güvenliği ekibini kurduk, içine 2-3-5 personel koyduk, gerekli cihazları aldık, sızma testlerini yaptırıyoruz ve artık güvendeyiz. Halbuki teknoloji çok hızlı gelişiyor, saldırı teknikleri ise ondan da daha hızlı değişiyor. Dijitalleşme ile beraber atak yüzeyi o kadar artıyor ki, güvenlik ekipleri 7/24 çalışıp sistemleri korumaya çalışsalar bile, diğer personellerde bilgi güvenliği farkındalığı yok ise, sisteme sızılıyor. Bu sebeple BT alanındaki değişimlere adaptasyon için sistem/servis/süreç/veri sahiplerinin, kendi varlıklarının güvenliğinden 1. derece sorumlu olduğunu kabul etmesi ve bu sorumlulukla aksiyon alması gerekiyor. Artık operasyon yok, güvenli operasyon var; yazılım geliştirme yok, güvenli yazılım geliştirme var. Bilgi güvenliği ekipleri onlara yol göstermek, risklerin farkında olmalarını sağlamak, yaptıkları testlerle eksik kalan/etkin çalışmayan güvenlik kontrollerini ortaya çıkarmaktan ve risk yönetim mekanizmasını çalıştırarak kontrollerin etkin çalışmasını sağlamaktan sorumludur.

Etiketler: EnerjiSaISACAPelin PehlivanSöyleşi - RöportajTİDE

Türk İnternet'ten buna benzer yazılar için bildirim almak ister misiniz?

ABONELİKTEN ÇIK
Türk-İnternet Haber Merkezi

Türk-İnternet Haber Merkezi

Turk-internet.com Haber MerkeziTürk Internet Endüstrisi Portalı, turk-internet.com, 1 Eylül 2000’de resmi yayına geçerek, iş ve Internet dünyası profesyonelleriyle buluşmuştur. Editör icin [email protected] ya da [email protected]

Lütfen yorum yapmak için giriş yapın.

GÜNLÜK BÜLTEN ABONELİĞİ

Aboneliğinizi onaylamak için gelen veya istenmeyen posta kutunuzu kontrol edin.

YAZARLARIMIZ

Can Türe
  • “Mobilya Dosyası’nın Sonuçları, Türkiye’de İşlenen Benzeri Suçların Cezasız Kalmayacağının Göstergesi Oldu”
Fusun S.Nebil
  • ABD, Sayısal (Dijital) Vergi Konusunu Engellemekten Vazgeçmiş Gözüküyor
Innocenzo Genna* / EU telecom regulation expert
  • Yeni Avrupa Dolaşım Yönetmeliği: Gizli Sorunlar
Mehmet Taşnikli
  • Akamai, Komuta/Kontrol Sunucusuna Blok Zincirden Ulaşan bir Botnet Buldu
Melike Beykoz
  • Nesnelerin İnterneti 5G’siz Olmuyor
Soykan Özçelik
  • WhatsApp’ı Bırakma Zamanı Geldi

BU HAFTA EN ÇOK OKUNAN HABERLERİMİZ

  • Nesnelerin İnterneti 5G’siz Olmuyor
  • Facebook Engelledi, Avustralya Haber Siteleri Rekor Sayıda Yüklendi
  • IBM, Watson Health’i Satmayı Düşünüyor
  • Whatsapp Rekabet Kurulu Kararı Sonrası Yeniden Aynı Veri Aktarımını Yapacağını Açıkladı
  • Hint Telekom Şirketi Jio Nasıl 72 Milyar $’lık Değere Ulaştı?

DOSYALAR

  • 2020/09 Dosyası : İleti Yönetim Sistemi
  • 2020/08 Dosyası : Trump’ın Çinli Uygulamalarla Savaşı
  • 20/07 Dosyası : AKP’nin 2020 Sosyal Medya Düzenlemeleri
  • 20/06 Dosyası : ABD’de Protestolar – Sosyal Medya – Trump Çekişmesi
  • 2020/05 Dosyası : Yeniden Düşünmek ; Korona Salgını ve Türkiye

TEKNOPOLİTİK – YOUTUBE

SON YAYIN

BİZİ TAKİP EDİN

  • 6.2k Takipçis
  • 387.4M Takipçis

TWITTER

Facebook Twitter LinkedIn
Türk İnternet

Turk-internet.com 25 Ekim 2000'den beri Hizmetinizde

TURK-İNTERNET

  • Haber İndeksi
  • Hakkımızda
  • Gizlilik Bildirimi
  • Firmaların turk-internet.com ile Çalışabilirlik Yöntemleri
  • Destek
  • Bize Yazın

Türk İnternet'ten ilginize çekecek yazılar için bildirim almak ister misiniz?

Abone Ol

© Copyrights 2000-2021 - Bu sitede yayınlanan haber/söyleşi/makale ve bilgilerin tüm hakkı turk-internet.com'a aittir.

No Result
View All Result
  • Ana Sayfa
  • Araştırma
  • Etkinlik
  • Kim Nerede?
  • Şirket Haberleri
  • Ürün Tanıtımı
  • Hakkımızda

© Copyrights 2000-2021 - Bu sitede yayınlanan haber/söyleşi/makale ve bilgilerin tüm hakkı turk-internet.com'a aittir.

Aşağıdan hesabınıza giriş yapınız

Şifremi unuttum? Kayıt Ol

Kayıt olmak için aşağıdaki formu doldurunuz

Tüm alanların doldurulması gerekiyor. Giriş yap

Şifrenizi geri alın

Lütfen şifrenizi resetlemek için kullanıcı adı veya email adresinizi girin.

Giriş yap
Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Kabul Ediyorum
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non-necessary

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.