Bilgi Güvenliği Tüm Paydaşların Ortak Sorumluluğu

Bilgi Güvenliği, Pegasus’un faaliyetlerinin sağlıklı ve mevzuatlara uygun bir şekilde devam edebilmesinin en kritik noktalarından birini oluşturuyor. Pegasus’ta bilgi güvenliği, sadece şirketin kendisini değil, şirketin çalışanlarını, misafirlerini ve birlikte çalıştığı tüm paydaşları korumayı hedefliyor.

Bilgi güvenliği, her yıl 30 milyondan fazla yolcuya hizmet veren Pegasus için önemli bir kavram. Üstelik ekipler bu konuda sadece Pegasus’un değil, tüm paydaşların da katılımı ve katkısının çok kritik olduğunu söylüyorlar. Pegasus Bilgi Güvenliği Müdürü Murat Zaralı, “Bizim için bilgi güvenliği, Pegasus Hava Yolları içinde tüm süreçlerin bir parçası ve herkesin ortak sorumluluğu” diyor. “Pegasus’ta bir noktada güvenliği tabana yayamadığımız zaman onu gerçekten sağlayamayacağımızı anladık ve çalışanlarımızı ve tedarikçilerimizi zayıf halka olarak görmeyi bırakıp onların bizim en güçlü güvenlik ortaklarımız olması için çalışmaya başladık.” Örneğin veri güvenliğini ele alalım. Günümüzde şirketlerin en kıymetli varlıkları, sahip oldukları verileri.

Veri güvenliği denildiğinde bilgi güvenliği ekibi olarak her sürecin içinde olmanız gerekiyor. Ama ben bu konunun teknik bir perspektife sıkıştırılmaması gerektiğini savunuyorum, zira verinin sahibinin siz değil iş birimleri olduğunu anlamanız ve bir şeyi sahibinden daha iyi kimsenin koruyup kollayamayacağını önce sizin kabul etmeniz ve sonra onlara bunu anlatmanız gerekiyor ve en önemlisi bu süreçte onlara yardımcı olmak için ekipleriniz ve tüm imkanlarınızla her zaman yanlarında olacağınızı bilmelerini sağlamanız gerekiyor.

Artık veri o kadar kıymetli ki, sadece sunucularınızdan ya da bilgisayarlarınızdan çalınacağı korkusuyla aldığınız teknik önlemler yeterli olmuyor, asansörde bir projenin kritik bir bilgisini paylaşırken birinin kulak misafiri olması veya henüz duyurulmamış bir özellik üzerinde çalıştığınızın bir çalışanınız tarafından sosyal medyada paylaşılmasına kadar veri güvenliği risklerinizi düşünmeniz ve önlemler almanız gerekiyor.” Pegasus, bünyesinde, birçoğu alanında lider çözümler barındıran bir güvenlik mimarisine sahip. “10 yıl önce bu mimariyi inşa etmeye başladığımızda dışarıdan içeriye doğru odaklandık, ama artık dünyada gerçekleşen olaylar hakkında detaylar ortaya çıktıkça görüyoruz ki dış tehditler iç öngörüler ya da içeriden alınan yardımlar ile gerçekleşiyor.” diyor Zaralı. “Ana yapısı itibariyle Türkiye’nin en büyük e-ticaret sitelerinden birisiyiz. Gelirlerimizin büyük bir kısmı kendi kanallarımızdan yaptığımız satışlardan geliyor.

Bu nedenle ilk etapta web, mobil ve alternatif kanalların güvenliğine odaklandık. Bunu söylediğimde peki uçuş güvenliğini etkileyebilecek konular diye soruyor birçok meslektaşım. Her ne kadar son zamanlarda bazı kişiler uçuş güvenliğini etkileyebilecek güvenlik açıkları olduğunu iddia etse de şu ana kadar dünyada gerçekleşen ve herhangi bir siber saldırı ile ilişkilendirilen bir uçuş güvenliği olayı bulunmuyor. Bu alanda ciddi regülasyonlar ve iyi uygulamalar mevcut.”

İyi Yetişmiş Doğal Zekaya, Yapay Zekadan Daha Fazla İhtiyacımız Var

Her yerde bahsi geçen kullanıcıların zayıf halka olması konusuna da değiniyor Zaralı. “Biz kullanıcılarımıza siz zayıf halkasınız demiyoruz” diyor. “Bence bizim kullanıcılarımız veri koruma anlamında en güçlü, en sağlam halkamız. Çünkü hiçbir teknolojik yatırım, aldığınız hiçbir önlem çalışanlarınızın farkındalığı kadar sizi koruyamaz. Ne kadar önlem alırsak alalım, günün birinde mutlaka bütün kurduğumuz sistemleri geçip basit bir e-posta içinde bir zararlı bağlantı ya da bir dosya kullanıcının posta kutusuna kadar gelebiliyor.

Burada önemli olan, o kullanıcının ‘hayır ben böyle bir e-posta beklemiyorum’, ‘bu e-posta benim beklediğim şekilde ve beklediğim kişiden gelmiyor’ deyip dosyayı açmayıp, bağlantıya tıklamaması hatta daha da mükemmeli bu epostayı size bildirmesi, çalışanın bu bilince sahip olması. Doğal zekayı iyi yetiştirebilirsek, insanlar bu farkındalığa sahip olurlarsa yapay zekaya yaptığımız yatırımla bile engelleyemediğimiz şeyleri doğal zekayla engelleyebiliriz.” “Bizim yaptığımız şeylerden biri de yeni teknolojilerle ilgili güvenlik risklerini ve o güvenlik risklerine karşı alınabilecek önlemleri öğrenip teknik ekiplerimizle paylaşmak” diyor Zaralı. “Görgümüzü, bilgimizi yetkinliğimizi artırmak için çalışıyoruz.

Benim ekiplerim bu konularda bilgi sahibi olacak ki onlar da diğer ekipleri bilgilendirecekler. Şirketin tüm projelerinde mutlaka bir güvenlik kaynağımız bulunuyor. İnsana yapılan yatırım en önemli bilgi güvenliği yatırımı, çalışan olsun, tedarikçi olsun, teknik olsun, iş birimi olsun farkındalığı ne kadar arttırabilirsek o kadar güvenli ürünler geliştirilecek, o kadar güvenli ortamlar kurulacak ve o kadar etkin güvenlik önlemleri alınacaktır.