1. Ana Sayfa
  3. Bankamız
  5. Haberler
  7. Siber Güvenlik ve Yeni Nesil Savunma Stratejileri

Siber Güvenlik ve Yeni Nesil Savunma Stratejileri

Türk Ticaret Bankası Bilgi Güvenliği Bölüm Başkanımız Fuat Demir, CIO Update Dergisi ile siber güvenlik ve yeni nesil savunma stratejilerine ilişkin bir röportaj gerçekleştirdi. Pınar Yağmur Çelik’in röportajını aşağıda okuyabilirsiniz.

Dünya genelinde siber tehditler artık sadece sistemleri değil, iş sürekliliğini doğrudan hedef alıyor. Globaldeki bu sert rüzgarlar Türkiye’de özellikle finans sektörüne nasıl yansıyor?

Son yıllarda siber tehditlerin doğasında önemli bir değişim yaşanıyor. Eskiden saldırıların amacı veri çalmak veya sistemlere erişim sağlamaktı. Günümüzde ise saldırganlar verilen hizmetleri durdurmayı ve kuruma duyulan güveni zedelemeyi hedefliyor. Küresel ölçekteki fidye yazılımı grupları ve organize siber suç yapıları kurumların iş sürekliliğini hedef alıyor. Bu durum finans sektörü için ise çok daha kritik bir hale geliyor.

Türkiye’de bankacılık sektörü, güçlü regülasyonlar ve yıllardır yapılan yatırımlar sayesinde yüksek bir güvenlik olgunluğuna sahip. Ancak bu durum ülkemizi, bölgesel ve küresel yapıdaki rolümüz nedeniyle görünür bir hedef haline getiriyor. Bunlara ek olarak, özellikle dijital kanallar ve ödeme sistemlerinin yaygınlaşması saldırı yüzeyini genişletiyor. Bu nedenle CISO’ların odağı artık yalnızca sistemlerin güvenliğini sağlamak değil, iş sürekliliği ve müşteri güvenini de birlikte yönetmek haline gelmiş durumda.

Sizce bir CISO ile CIO/CTO arasında ideal denge nasıl olmalı? CIO/CTO ile olan iş birliğiniz, projelerin tasarım aşamasında nasıl bir sinerji yaratıyor?

CISO ile CIO/CTO arasındaki ilişki bir kontrol mekanizmasından çok, bir tasarım ortaklığı olarak ele alınmalıdır. CIO/CTO inovasyon ve hızdan sorumluyken, CISO risklerin yönetilmesine odaklanır. Doğru yaklaşımda bu iki hedef birbiriyle çatışmaz, aksine birbirini tamamlar. Bu dengenin temelinde güvenliğin tasarım aşamasından itibaren sürece dahil edilmesi yer alır.

“Security by Design” yaklaşımıyla güvenlik, proje tamamlandıktan sonra değil, en başında ele alınır. Bu yaklaşım yalnızca riskleri azaltmakla kalmaz, aynı zamanda süreçleri hızlandırır. Çünkü son aşamada ortaya çıkan güvenlik gereksinimleri gecikmelere neden olurken, erken aşamada alınan kararlar bu durumu ortadan kaldırır. Güvenlik ekiplerinin rolünün projeleri durdurmak değil, “bunu nasıl güvenli şekilde hayata geçirebiliriz?” sorusuna birlikte cevap aramak olduğunu unutmamak gerekir. Sonuç olarak güçlü bir CIO-CISO iş birliği; kurumların hem hızlı hem de güvenli hareket edebilmesinin temel şartlarından biridir.

“Görünmez ekosistem” risklerini yönetirken, iş ortaklarınızın güvenlik seviyesini nasıl denetliyor ve standardize ediyorsunuz?

Günümüzde kurumların risk yüzeyinin önemli bir kısmı artık kendi sistemlerinden değil, iş ortaklarından kaynaklanıyor. Yazılım tedarikçileri ve fintech şirketleri operasyonların ayrılmaz bir parçası haline gelmiş durumda. Bu nedenle üçüncü taraf risk yönetimi kritik bir disiplin haline geldi. Bu alanda en önemli noktalardan biri, tüm iş ortaklarını aynı şekilde değerlendirmek yerine, risk seviyelerine göre farklılaştırılmış bir yaklaşım benimsemek.

Kritik sistemlerle çalışan iş ortakları daha sıkı kontrollerden geçiyor. Başlangıç değerlendirmeleri önemli olsa da sürekli izleme artık vazgeçilmez. Olası bir zafiyet veya ifşa durumunda hızlı şekilde haberdar olmak büyük önem taşıyor. Sözleşmelerde güvenlik standartları ve bildirim yükümlülükleri de bu sürecin temel parçaları haline gelmiş durumda. Ayrıca, en güvenilir iş ortaklarının bile risk barındırabileceği gerçeği göz önünde bulundurularak güvenlik açısından doğru mimarili yapılar ile entegre olduğumuza emin olmamız gerekiyor. Bugün kurumların güvenliği, yalnızca kendi sistemlerinin değil, birlikte çalıştıkları tüm ekosistemlerin güvenliği kadar güçlü.

Eskiden CISO ofisleri genellikle “engelleyici” olarak görülürdü. Departmanlar arası iletişimin bu noktadan “iş birliği odaklı” bir yapıya evrilme sürecini nasıl değerlendirirsiniz?

Geçmişte güvenlik ekipleri çoğu zaman projeleri yavaşlatan bir yapı olarak algılanıyordu. Bunun temel nedeni, güvenliğin sürecin en sonunda devreye giren bir kontrol mekanizması olmasıydı. Bugün bu yaklaşım önemli ölçüde değişti. Güvenlik artık inovasyonun önünde bir engel değil, sürdürülebilir dijital dönüşümün temel bir parçası olarak görülüyor. Bu yeni yaklaşıma geçişin en önemli noktası, güvenliğin tasarım aşamasından itibaren sürece dahil edilmesi ve ekipler arasında güvenlik farkındalığının yaygınlaştırılması oluyor. Modern organizasyonlarda güvenlik ekipleri, projelerin sonunda kontrol yapan bir yapıdan ziyade, güvenli inovasyonu mümkün kılan stratejik bir iş ortağı olarak konumlanıyor.

Teknik bir riski, yönetim kuruluna ve iş birimi liderlerine “finansal bir risk” veya “itibar kaybı” olarak tercüme etme sanatını bir CISO sizce nasıl icra etmeli? Siber güvenliğin bir “maliyet merkezi” değil, bir “rekabet avantajı” olduğunu onlara siz nasıl anlatıyorsunuz?

Bir CISO’nun en önemli görevlerinden biri, teknik riskleri iş dünyasının anlayabileceği bir dile çevirmektir. Yönetim kurulları teknik detaylardan ziyade bu risklerin kuruma etkisini görmek ister. Bu

nedenle siber riskler genellikle finansal etki, operasyonel kesinti ve itibar riski üzerinden anlatılır. Bu yaklaşım, karar süreçlerini daha somut ve anlaşılır hale getirir. Somut örnekler ve benzer kurumlarda yaşanan olaylar da riskin daha net anlaşılmasını sağlar.

Finans sektöründe güven en kritik unsurlardan biri olduğundan siber güvenlik yatırımları yalnızca bir maliyet kalemi olarak değerlendirilmemelidir. Güçlü bir güvenlik yaklaşımı müşteri güvenini artırır, marka itibarını korur ve kurumların dijital rekabette daha güçlü bir konum elde etmesini sağlar. Bu açıdan bakıldığında siber güvenlik, yalnızca riskleri azaltan bir yapı değil, aynı zamanda kurumların güven inşa etmesini sağlayan bir rekabet avantajıdır.

Bir CISO olarak, siber güvenlik dünyasında sizi heyecanlandıran en büyük yenilik/teknoloji nedir?

Son yıllarda siber güvenlik alanında en dikkat çeken gelişme, yapay zekanın güvenlik operasyonlarına entegre edilmesi oldu. Bu gelişme yalnızca teknolojik bir ilerleme değil, güvenliğin nasıl yönetildiğini kökten değiştiren bir dönüşüm anlamına da geliyor. Geleneksel güvenlik operasyonlarında ekiplerin çok yüksek sayıda uyarı ile karşı karşıya kalması önemli logların gözden kaçmasına neden olabiliyordu. Yapay zeka, büyük veri setlerinin çok kısa sürede analiz edilmesine, anomali tespitinin hızla yapılabilmesine ve tehditlerin çok daha erken tespitine olanak sağlıyor. Bununla birlikte bu dönüşümün tek taraflı olmadığını da biliyoruz. Yapay zeka kullanılarak daha hedefli saldırılar geliştirilmeye başlandı. Bu da bizi, savunma ve saldırı tarafında yapay zeka destekli bir yarışın içine sokuyor. Önümüzdeki günlerde siber güvenlikte farkı, yapay zekayı sadece kullanan değil, onu iş yapış şeklinin merkezine yerleştiren kurumlar yaratacak.

Gelecekte siber güvenliğin iş birimlerinde “embedded security” gibi bir yapıya dönüşeceğini öngörüyor musunuz? Türk Ticaret Bankası’nın bu vizyondaki yeri ne olacak?

Siber güvenliğin geleceği “embedded security” yaklaşımına doğru ilerliyor. Bu modelde güvenlik, merkezi bir ekipten çıkarak tüm iş süreçlerinin doğal bir parçası haline geliyor. Yazılım geliştirme, ürün yönetimi ve iş birimleri, güvenliği tasarımın bir parçası olarak ele alıyor. Böylece güvenlik sonradan eklenen bir katman değil, sistemin temel bir bileşeni oluyor. Bu yaklaşım aynı zamanda sorumluluğun da paylaşılmasını sağlıyor. Güvenlik yalnızca CISO’nun değil, tüm organizasyonun ortak sorumluluğu haline geliyor.

Türk Ticaret Bankası olarak bizim de yaklaşımımız bu yönde. Güvenliği yalnızca koruma mekanizması olarak değil, dijital büyümeyi destekleyen bir unsur olarak konumlandırıyoruz. Bu bakış açısı hem güvenliği güçlendiriyor hem de iş süreçlerimizi hızlandırıyor. Böylece güvenlik, destekleyici bir fonksiyon olmaktan çıkıp, bizzat iş yapış modelinin merkezi bir parçası haline geliyor.

Röportajın tamamınabu linkten ulaşabilirsiniz.