Sovos olarak yürüttüğümüz tüm e-Dönüşüm projelerinde ekibimizde mutlaka bir ‘Bilgi Güvenliği Uzmanı’ yer alıyor. Bilgi güvenliği uzmanının projelerde neden mutlaka bulunması gerektiğini sizlere daha iyi açıklamak için sorularımızı Bilgi Güvenliği Müdürü Cemile Yıldız’a yönelttik…
Rolünüzden ve Sorumluluklarınızdan Bahseder Misiniz?
EMEA bölgesi Bilgi Güvenliği Müdürü olarak Sovos’un bilgi güvenliği stratejilerinin oluşturulması, uygulanması ve yönetilmesinin yanında; müşterilerimizin verilerinin doğru, güvenli ve erişilebilir olması için fiziksel ve siber güvenlik stratejilerinin geliştirilmesinden ve uygulanmasından sorumluyum.
Sovos, küresel alanda bir CISO (Baş Bilgi Güvenliği Sorumlusu Başkanı) tarafından yönetilen, rolleri ve sorumlulukları açıkça tanımlanmış özel bir ‘Bilgi Güvenliği’ departmanına sahip. Bu departman Kuzey Amerika, Güney Amerika ve EMEA’yı kapsayan üç kıtada bulunan liderler tarafından yönetiliyor. İçerisinde Bilgi Güvenliği Mühendisleri, Bilgi Güvenliği Analistleri ve Risk Analistleri olarak üç farklı rolü barındıran, yaklaşık 23 kişilik bir ekipten oluşuyor.
Bilgi Güvenliği departmanı olarak öncelikli sorumluluklarımızı şöyle sıralayabilirim:
- Şirket içi ve harici güvenlik tehditlerini izlemek ve değerlendirmek,
- Çalışanların güvenlik politikalarına ve en iyi uygulamalara uymalarını teşvik etmek için eğitim ve farkındalık programları düzenlemek,
- Şirket içi güvenlik ihlallerini soruşturmak ve önlemek için prosedürler ve politikalar geliştirmek,
- Veri koruma ve gizliliğe yönelik uyumluluğu sağlamak için gereken adımları koordine etmek,
- Ağ güvenliği, veri tabanı güvenliği ve uygulama güvenliği gibi farklı alanlarda günlük güvenlik kontrollerini denetlemek,
- Güvenlik olaylarına hızlı ve etkili bir şekilde yanıt vermek ve olası durumlarda kriz yönetimini gerçekleştirmek.
Bunların yanında Sovos’un bilgi güvenliği stratejisinin oluşturulması ve geliştirilmesine liderlik etmek, Sovos’un güvenlik hedeflerini ve önceliklerini belirlemek, güvenlik ve risk yönetimi stratejileri oluşturmak/uygulamak, yeni teknolojilerin güvenli entegrasyonunu sağlamak, yeni güvenlik tehditleriyle başa çıkmak için yöntemler geliştirmek ve üst düzey yöneticilere raporlar sunarak güvenlik stratejilerini ve başarılarını paylaşmak da görevlerimiz arasında.
Firmaların Siber Güvenlik ve Veri Koruma Konusundaki Gereklilikleri Hakkında Bilgi Verebilir Misiniz? Firmaların Ölçeğine Göre Farklılıklar Söz Konusu Mu?
Öncelikle firmaların hizmet verdikleri sektör gereği siber güvenlik ve veri koruma konusundaki gereklilikleri farklı olabilir. Sektörel düzenlemelere uygun olacak şekilde güvenlik politikaları, prosedürler ve kontroller geliştirmek ve uygulamak önemlidir.
Büyük Ölçekli Firmalar karmaşık ve geniş BT altyapılarına sahip olabilirler. Bu altyapının güvenliği için, ağ güvenliği, sunucu güvenliği, veri tabanı güvenliği gibi çeşitli katmanlarda güvenlik önlemleri almak önemlidir. Bunun yanında büyük ölçekli firmalar genellikle daha fazla personel ve kaynağa sahiptir. Bu, siber güvenlik ekiplerini güçlendirmek, güvenlik operasyonlarını izlemek ve olaylara yanıt vermek için daha fazla imkan sağlayacaktır.
Küçük Ölçekli Firmalar ise genellikle daha sınırlı kaynaklara sahip olabilir. Ancak temel güvenlik önlemlerini almak çok önemlidir. Güçlü parolalar kullanmak, güncel yazılımlar ve sistemler kullanmak, temel ağ güvenliği önlemlerini uygulamak ve verilerin yedeklenmesi gibi…
Küçük ölçekli firmalar, siber güvenlik yeteneklerini geliştirmek için dış kaynaklardan (outsourcing) yararlanabilir, güvenlik danışmanlık/yönetim hizmetleri sağlayıcıları ile çalışabilirler. Küçük ölçekli firmalarda, tüm personelin güvenlik konusunda bilinçli olması ve güvenlik politikalarına uyması önemlidir. Çalışanlara güvenlik eğitimleri ve farkındalık programları sunarak, sosyal mühendislik saldırılarına karşı korunmalarını sağlamak önemlidir.
Büyük ölçekli firmalar, siber saldırılara karşı daha büyük bir hedef olabilir. Bu nedenle, gelişmiş güvenlik çözümleri, güvenlik testleri ve saldırı tespit sistemleri gibi ileri düzey koruma önlemlerine yatırım yapmak önemlidir. Küçük ölçekli firmalar müşteri verisi işliyorlar ise, verilerin doğru şekilde korunması ve gizlilik gereksinimlerine uyulması büyük önem taşır. Veri şifrelemesi, erişim kontrolleri, veri yedeklemeleri gibi önlemler, verilerin korunmasında yardımcı olabilir.
Firmaların Doğru Siber Güvenlik ve Veri Koruma Prosedürlerine Sahip Olmasının Önemini Açıklayabilir Misiniz?
Doğru siber güvenlik ve veri koruma prosedürlerine sahip olmak, bir şirketin başarısı ve sürdürülebilirliği açısından hayati öneme sahip. Bunlar şirketlerin müşteri bilgileri, finansal veriler, ticari sırlar veya stratejik bilgiler gibi önemli varlıklarını içeren hassas ve değerli verilerini korumalarını sağlar. Yanlış yapılandırılmış veya yetersiz güvenlik önlemleri, bu tip verilerin yetkisiz erişime, veri sızıntılarına veya saldırılara maruz kalma riskini artırabilir.
Doğru yapılandırılmış bir güvenlik çerçevesi, bir şirketin faaliyetlerini durdurabilecek veya olumsuz etkileyebilecek siber saldırı veya veri kaybı durumunda; veri kaybını önleme, saldırıları tespit etme ve iş sürekliliğini sağlama yeteneğini artırır.
Birçok sektör, veri koruma ve gizlilik konusunda çeşitli yasal düzenlemelere tabidir. Doğru güvenlik prosedürleri, şirketin bu düzenlemelere uymasını sağlar. Uyumluluk gerekliliklerini yerine getirmemek, yasal yaptırımlara ve itibar kaybına neden olabilir. e-Dönüşüm ile birlikte şirketler belge süreçlerini dijital ortamlara taşıyorlar fakat ilk aşamada bu belgelerin güvenliğini hesaba katmayanlar olabiliyor. Oysa hem kendileri hem de birlikte iş yaptıkları her kurum için bu bilgilerin güvenliği önem taşıyor, verilerin iyi korunamaması itibarda onarılması güç zararlar oluşturabiliyor.
Siber Güvenlik ve Veri Koruma Hakkında Şirketlere Herhangi Bir Tavsiyeniz Var Mı?
Siber güvenlik sürekli bir çaba gerektirir, tek bir çözüm veya adım yeterli olmayabilir, bu nedenle bütünsel bir yaklaşımla güvenlik programlarının uygulanması önemlidir. Şirket içi farkındalığın artırılması, eğitimler düzenlenmesi, güvenlik politika ve prosedürlerinin oluşturulması, bunların uygulanması, güçlü parolaların ve kimlik doğrulama sistemlerinin kullanılması çok önemli. Ayrıca yazılım ve sistemlerin güncelliğinin korunması, veri sınıflandırması ve veri şifrelemesi yapılması, zayıf nokta taramaları ve sızma testlerinin periyodik olarak uygulanması gerekiyor. İş sürekliliği planlarının oluşturulması, üçüncü taraflarla ilişkilerin değerlendirilmesi, güvenlik olaylarının izlenmesi ve yanıtlanması önemli çalışmalar. Tüm bunların en iyi şekilde yapılabilmesi için ise üst düzey yönetimin siber güvenlik konusundaki taahhüdü ve desteğinin kritik olduğunu özellikle belirtmek isterim.
Bunların yanında güvenlik programları, işletmelerin veri güvenliğini sağlamak ve tehditlere karşı koruma sağlamak için önemlidir, ancak aynı zamanda iş operasyonlarına zarar vermemelidir. İşletmeler için en etkili güvenlik stratejisi, iş ihtiyaçlarına ve sektörel gereksinimlere uyum sağlamak için özelleştirilebilir ve esnek bir yaklaşımı içermelidir. Sovos hem veri güvenliği hem de iş sürekliliği açısından dengeyi sağlamak amacıyla güvenlik programının iş ihtiyaçlarını karşılayan ve operasyonu hantallaştırmayan bir yaklaşımı benimsemektedir.
Siber Güvenlik ve Veri Korumanın Geleceği Hakkındaki Düşünceleriniz Neler?
Teknolojinin hızla ilerlemesi ve dijital dönüşümün yaygınlaşmasıyla; siber tehditlerin çeşitliliği ve sofistikasyonu da artıyor, siber güvenlik ve veri koruma gün geçtikçe daha karmaşık hale geliyor. Teknolojinin hızına paralel olarak bu konuların da önemini artırarak korumaya devam edeceğini düşünüyorum. Şirketlerin sürekli olarak güvenlik önlemlerini güncellemeleri, yenilikçi teknolojileri ve tehditleri izlemeleri gerekecek. Siber saldırganlarla mücadele için iş birliğinin önemi artacak. Buna ek olarak yapay zeka ve makine öğrenmesi teknolojilerinin saldırıları tespit etmek, zararlı yazılımları engellemek ve güvenlik olaylarını otomatik olarak analiz etmek için daha yaygın olarak kullanılmasını bekliyoruz.
Gelecekte küresel düzenleyici kurumların veri koruma ve gizlilik konusunda daha sıkı düzenlemeler getirmesi bekleniyor. Bu nedenle, şirketlerin veri koruma politikalarını güncellemeleri ve uyumlu olmaları önem kazanıyor. Her ne kadar pek çok teknolojik güvenlik önlemleri alınsa da insan faktörü siber güvenlik açısından hala büyük bir zayıf nokta olarak kalacak. Bu nedenle sosyal mühendislik saldırıları, dolandırıcılık amacıyla gönderilen e-postalar ve güvenlik politikalarına uyumsuzluk gibi sorunların; çalışanların eğitimi ve farkındalığıyla ele alınması, insan faktörünü göz ardı etmeden güvenlik kültürünün geliştirilmesi önemini korumaya devam edecek.
Sovos, Firmaların e-Dönüşüm Süreç Yönetiminde Siber Güvenlik ve Veri Koruma Konusunda Nasıl Yardımcı Oluyor?
Bu soruyu yanıtlamaya önemli bir bilgiyi paylaşarak başlamak isterim: Sovos olarak 2008’den beri ISO 27001 sertifikalı bir güvenlik programına sahibiz. ISO standartlarına aşina olan firmalar, ISO standardına uygunluğun yanı sıra belirli bir olgunluk seviyesini koruma ve her yıl üstüne katarak daha fazla hassasiyet ve uyumluluk konusunda çaba gösterirler. Güvenlik programımızın olgunluk seviyesini korumadan, büyüme göstermeden Bu kadar uzun zamandır sertifikanın sürekliliğini sağlamak mümkün olmazdı. Sektörde farklılaşmamızda, bilgi güvenliği konusunda öncü olmamız ve olgunluk seviyemizin yüksek olmasının payı büyük. Bilgi güvenliği konusunda en son teknolojileri kullanarak, müşterilerimizin ve çalışanlarımızın verilerini koruyoruz. Ayrıca, bu konuda üst düzey sertifikalara sahip olan personelimizle de farklılaşıyoruz. Böylece, müşterilerimize en yüksek seviyede güvenli bir hizmet sunmayı taahhüt ediyoruz.
Bilgi güvenliği programımız, farklı sektörlerden ihtiyaçları karşılayacak şekilde tüm alanları kapsıyor, en kısıtlayıcı kontrollerin uygulayan bir yaklaşımla sürekli iyileşme ve gelişme gösteriyor. Bu sürekli iyileşme, bir düzenleme veya gereklilik söz konusu olduğunda değişikliğe uyum sağlama konusundaki duyarlılığımız ve hızımızı olumlu etkiliyor.
Siber tehditlerin sürekli olarak evrim geçirmesi sebebiyle Sovos olarak tüm güvenlik politikalarının ve kontrollerinin gözden geçirilmesi ve güncellenmesi ile düzenli olarak ilgileniyoruz. Bu da hem iş sürekliliğini hem de güvenlik programımızın sürekliliğini sağlıyor. Birlikte çalıştığımız müşterilerimiz de bu sayede gönül rahatlığıyla kendi işlerine odaklanabiliyorlar.
Harekete Geçin
Firmanızın ihtiyaçlarına uygun bulut tabanlı ortama geçiş projesi için e-Dönüşüm danışmanlarımızla hemen iletişime geçin.