Fibabanka Bilgi Güvenliği, Yönetişim ve Uyum Direktörü Rıfat Deregözü: “ÖNLEYİCİ OLMAK BAŞARI DEMEK”

“Özellikle banka gibi dijital ortamda işlem yapan, müşterilerine dijital şekilde ulaşmaya çalışan kurumlar için veri çok daha önemli. Veri üzerinde yaşıyoruz. Veri varsa üretkeniz, bir şeyleri ortaya koyuyoruz. Artık dijital banka lisansları da veriliyor. Verilmese bile klasik anlamda bankacılık yapan kuruluşlar da dijital kanalları çok etkin kullanmak durumundalar. Veri bizim bilgi güvenliği olarak çok kıymetli varlığımız. Biz de onları korumaya çalışıyor, belli bir çerçeveyi çiziyor ve bunu da kaldıraç olarak kullanmaya çalışıyoruz. Bu noktada mevzuatın bize getirdiği önemli yükümlülükler var. Ama mevzuat olmasa dahi yapılması gereken çok şey var. Riskleri yönetirken nasıl uyumlu oluruz diyerek bunu belirlemeye çalışıyoruz. Bunu yaparken önce sahip olduğumuz varlıkları, veriyi ortaya koymak, arkasından sınıflandırmak ve korumak gerekiyor. En çok zorlandığımız konu , kullanılabilirlikle güvenli olma arasındaki  dengeyi sağlamak. Bir yandan kısıtlayıp ‘Kullanmayın’ diyoruz. Bir yandan da bunlar bize en büyük faydayı sağlayacak unsur ve kıstıkça bunlardan faydalanamıyoruz. Diğer yandan serbest bıraktıkça da risk alıyoruz. Doğru noktadaki dengeyi oluşturmak gerçekten zor. Güvenlik ekipleri olarak veriye erişimi ne kadar kolaylaştırıp aynı zamanda da yetkisiz kişilerin bunlara ulaşmasını engelleyebilirsek o kadar başarılıyız. Bunu yaparken teknolojinin bize sunduğu araçlardan yararlanmaya çalışıyoruz. Özellikle IT ekiplerimizle kaçınılmaz şekilde sürtünme yaşıyoruz bu konularda ve araçlarımızın bize sunduğu imkanlarla bunları aşmaya çalışıyoruz. Verilerin keşfi, bunların etkin ama güvenli kullanıma sunulması konusunda son dönemlerde çok ciddi çalışmalarımız oldu. Çok veri var ve mevcut araçlarla hepsini etkin bir şekilde ortaya koyabilmeniz her zaman kolay değil. Diğer yandan ulaştığınız veriler için kontrolleri işletmek istediğinizde, ‘False Positive’ çıktıların olumsuz etkisiyle karşılaşıyorsunuz. Öncelikle o konuda bir ayıklama ihtiyacı oluyor. Bu süreçte de “bloklayıcı” modda olmak yerine “Gözetleyici” modda olmayı tercih ediyoruz mecburen. Ancak işin sonunda güvenlik bakış açısıyla ne kadar gözetim modunda değil de önleyici modda olursak o kadar doğru noktadayız demektir. Tüm bu çalışmalarda yararlanılabilecek çok farklı araçlar var. Bunları konsolide etmek gerekiyor. Bu biraz bize düşüyor. Üreticilerimiz bunları üretiyor ve bunları entegre etmemiz gerekiyor. Ama bu her zaman kolay olmuyor. Veri keşfi, verinin sınıflandırılması, arkasından bunu kullanacak, engelleyecek olan bir DLP aracına besliyor olmak ve o kurallar üzerinden önceki ürünlerden aldığınız çıktıları güvenerek ve ‘False Positive’ olmadığına inanarak önleyici kurallar koymak her zaman kolay olmuyor. Ne kadarında gözetleyiciyiz, ne kadarında önleyiciyiz. Önleyici olduğumuz anda o kadar başarılıyız. O zaman elimiz daha rahat, yetkili olanların daha rahat ulaşıp kullanabileceği bir ortama sahibiz. Bunun için de biraz önce belirttiğim gibi bir biri ile entegre edilmiş, çıktıları bir birini besleyen ve ekosistemi tamamlayan araçlar bizim için anahtar unsur haline geliyor. Üreticilerimizin buna yönelik her türlü katkısı bizim için son derece kıymetli.”