Fenerbahçe Spor Kulübü Bilgi Güvenliği Müdürü Nurdoğan Aydoğdu: “Bilgi Teknolojileri ve Bilgi Güvenliği Dirsek Temasıyla Çalışmalı”

“Fenerbahçe Spor Kulübü bünyesinde, Dijital Dönüşüm Direktörlüğü’ne bağlı Bilgi Teknolojileri Departmanı’nda Bilgi Güvenliği Müdürü olarak 4 aydır görev alıyorum. Şirketlerin bilgi güvenliğini sağlayarak büyümesindeki ana temel rolleri üçe bölüyorum. Günümüzde pandeminin getirdiği bir etkiyle daha çok dijitalleştik. Daha çok teknolojiye bağımlı olduk. Bu nedenle güvenlik daha ön plana çıktı. Burada çok karmaşık, çok fonksiyonel çözümler var ama benim bakış açıma göre bunlar üç temel alana ayrılıyor. Birincisi temel hatlarıyla envanterdeki bütün yapınızı önünüze koyarak dijitalde neyiniz var, cihazları ve sinyal alan her şeyi envantere ekleyerek kayda almak ve burada bir güvenlik projesi nasıl oluşturabilirim diyerek en temelden bilgi güvenliği çatısını kurgulamak. Birinci koşulda bunu sağlayınca zaten ürünlerin güvenliği ne durumda, uygulamaların zafiyetleri nedir, buralarda nasıl kendimi korumaya alırım, güvenliğimi nasıl artırırım gibi sonuçlara varabiliyoruz.

İkinci konu, bilgi teknolojileri ve bilgi güvenliği dirsek temasıyla çalışan iki ekiptir. Bir uygulama satın alındığında, bir sistem entegre olduğunda bilgi işlemin paralelinde güvenlik de gelmeli. Çünkü bilgi işlem daha çok kendi işine ve operasyonun çıktılarına odaklanıyor ve sürecin paralelinde ise güvenlik olarak biz devreye giriyoruz. Bir projenin en başından başlayarak şekillenmesini, neyin nasıl olacağını planlayarak, bilgi işlem operasyonunun paralelinde çepeçevre güvenlik sağlayarak nasıl daha sağlam bir yapı kurabiliriz, mevzuatların gereklerini nasıl karşılarız, güvenliği işimizle nasıl bütünleştiririz konusunu ele alıyoruz. Ben bunu yumurtayla açıklıyorum. Bilgi teknolojileri ekibiyle çalışırken mevzuat olsun ya da kural veya güvenlik olsun, ekibi çok sıkarsanız yumurtayı kırarsınız. Gevşek bırakırsanız bu sefer yumurta düşer yine kırılır.

Üçüncü konu, iç güvenliği sağladık, yapımızı biliyoruz. Ama bir de çalıştığımız hizmet sağlayıcıların, tedarikçilerin güvenliği çok sıkı kontrol etmemiz lazım. Bizim itibarımızın belirli bir kısmı da dış tedarikçiyle korunuyor. Onların ne kadar güvenli olduğu bizi de etkiliyor. Hatta bir adım öteye giderek tedarikçimizin de tedarikçisi olan dördüncü partilerin güvenliği de bir şekilde kontrol etmemiz lazım. Çepeçevre güvenlik sağlamak lazım.

Mevzuatlarla ilgili herkesin baktığı taraftan daha farklı bakacağım. Mevzuat normalde çok sıkılaştırır, çok fazla yorar, çok fazla kural getirir, çalışmayı zorlaştırır. Benim bakış açımla kolaylaştıran tarafı da var. Şirketler genelinde bilindiği üzere güvenlik konuları ile ilgili üst yönetimden bütçe almak, bir şeylerin hakikaten gerekli olduğunu anlatmak önem arz ediyor. Ama mevzuat bu konuların önemini anlatmamızı kolaylaştırıyor. Çünkü kural esnek değil. Diyor ki bunu yaparsanız böyle olur, yapmazsanız ihlal olduğu için ceza ödersiniz. Hatalarınız şeffaflık ilkesi gereği her yerde yayınlanıyor, itibarınız zedeleniyor. Şirketler bunu istemez. Bu nedenle artık üst yönetim bu konularda bizi daha da fazla destekliyor.

Bilgi güvenliği hizmet sağlayıcılarımızdan beklentimiz de şu; coğrafyamızın gereği dışa bağımlı bir ürün alırken yabancı para birimi etkisiyle oluşan yüksek fiyatlardan ötürü birçok kez düşünüyoruz. Yerli ve milli ürünlerimizin güvenliği sağladığı takdirde ve yerli para birimimizle hatta uygun bir maliyetle hizmetimize sunulur ise benim de yüzüm gülüyor, gurur duyuyorum. Bu gibi servis ve hizmetler dışa bağımlı değil de içerde geliştirilse bizi daha da gururlandıracak.”