Albaraka Türk Katılım Bankası Bilgi Güvenliği Müdürü Mehtap Kılıç: “BİLGİ GÜVENLİĞİ SÜREÇLERİ SÜREKLİ YENİLENMEKTE VE GELİŞMEKTE”

“Bankalarda, bilgi güvenliği fonksiyonları son yıllarda yasal süreçlerin detaylandırılması ve zorunlukların artması ile birlikte daha güçlü ve öncelikli duruma geldi. Çeşitli ulusal kaynaklarda, standart ve iyi uygulamalarda yer alan bilgi güvenliği sorumlulukları BDDK’nın Bilgi Sistemleri ve Elektronik Bankacılık Yönetmeliğinin de yayınlanması ile birlikte ülkemizde bankalar için tek bir çatı altında toplanmış oldu. Bilgi güvenliği fonksiyonu ve sorumlulukları, organizasyondaki yeri ve görevleri daha net bir şekilde yönetmelikte adreslendi.

Bankalar için BDDK yasaları 2020’li yıllarda değişirken ve bankalar bilgi güvenliği süreçlerini yeniden gözden geçirip yenilerken bir taraftan da güvenlik alanındaki riskler, son beş yılda çalışanların Covid dönemi ile birlikte çalışma ortam ve çalışma alışkanlıklarının değişmesi ve özgürleşmesi ile birlikte arttı. Bilgi güvenliği ekipleri önceden şirket binasında korumaya çalıştıkları bilgileri artık şirket dışı çalışabilen tüm ortamlardan korunabilmesi ve olabilecek risklerin değerlendirilmesi, önlemlerin arttırılması için planlar yapıp, kontroller artırdılar. Ancak değişen çalışma alışkanlıkları, kontroller ne kadar arttırılırsa arttırılsın, çalışanın bilgiye her ortamdan erişebilir olması nedeniyle bazı durumlarda kabul edilebilir risk seviyelerinde bırakılıp sürecin doğal bir riski olarak düşünülmesini de sağladı.

Bilgi güvenliği çerçevesi oluşturulurken, süreçlerin tasarlanması ve yazılı hale getirilmesi, varlıkların envanterinin oluşturulması, risklerin değerlendirilmesi, olay yönetim sürecinin işletilmesi, siber olay yönetim sürecinin tasarlanması, log yönetim süreci ve SOC izleme ekiplerinin oluşturulması, ayrıcalıklı admin yetkilerinin yönetilmesi, güvenlik testlerinin gerçekleştirilmesi gibi pekçok süreç yeniden daha detaylı tasarlanırken, veri üzerinde her zamankinden daha çok durularak verilerin sınıflandırılması ve korunması gibi alanlarda yeni yatırımlar gerçekleştirildi. Oluşturulan süreçlerin başarılı olup olmadığı ve yeterliliğinin ölçümlenebilmesi için kontrol noktaları belirlenip denetim ve kontrol çalışmaları gerçekleştirilirken bir taraftan da istihbarat, atak denemeleri ve ölçümleri gibi çalışmalarla da kurulan güvenlik yapıları test edilmekte.

İzleme, kontrol, loglama, olay müdahale ve güvenlik testleri gibi süreçlerde gelişen riskler ve gelişen teknolojilerle birlikte, ürün sayıları arttırıldı ve ürünlerin yetenekleri doğrultusunda izleme yapılan senaryolar genişletildi. İsithbarat kanalları da beraberinde arttırılıp şirket veya çalışana ait verilerin ifşa olup olmadığı daha yakından izlenmeye başlandı. Her zaman önemli olan çalışan farkındalığını arttırmaya yönelik çalışmalara daha çok önem kazandı ve çalışanların yeni gelişen riskler, teknoloji ve çalışma alışkanlıklarına göre sosyal mühendislik senaryoları genişletildi.

Sonuç olarak, bilgi güvenliği süreçleri sürekli gelişmekte, genişlemekte ve daha da önemli hale gelmekte. Bu nedenle bilgi güvenliği alanında çalışan insan kaynağı ve kullanılan uygulama ve teknoloji kaynaklarınında yetenek ve yetkinliklerinin bu doğrultuda artması, gelişmesi ve sürekli yenilenmesi ihtiyacı doğmakta. Olabilecek riskler ve siber olaylara karşı hem bilgi güvenliği insan kaynağı hem de kullanılan uygulamalar daha hızlı, daha doğru şekilde cevap vermesi beklenmekte. Bu da doğru kaynakları seçmek, doğru şekilde konumlandırmak, gelişen teknolojilerle birlikte kaynakları güncellemek ve sürekliliğini sağlamaktan geçmekte.”