KVKK İhlali Korkusu CISO’ların Yüzde 63’ünü Uykusuz Bırakıyor

 

International Data Corporation (IDC) Türkiye’nin 11.sini düzenlediği IDC Security Roadshow; 28 Şubat tarihinde Wyndham Grand Levent Otel’de gerçekleşti.

 

IDC Türkiye Ülke Direktörü Nevin Çizmecioğulları: “Siber güvenlik, yönetim kurullarının ajandalarındaki önemini korurken; yatırım planlarında da üst sıralarda yer almaya devam ediyor. 2019 yılının ekonomik olarak zorlayıcı bir yıl olması beklenirken, yaptığımız görüşmeler ve analizler doğrultusunda güvenlik yatırımlarının hız kesmeden devam edeceğini öngörüyoruz. Bu yıl IDC Türkiye olarak gerçekleştirdiğimiz CISO Zirvesi 2018 anketimizde CISO’ları uykusuz bırakan konuların başında Kişisel Verileri Koruma Kanunu (KVKK) ihlalinin %63 ile ilk sırada geldiğini gördük. Nitekim 2018 yılının en çok konuşulan konularından biri olan KVKK, 2019 yılında da sıkça konuşuluyor olacak. Kurumlar regülasyonlardan kaynaklı endişelerini gidermek amacıyla çeşitli yatırımlar yapmaya ve uyumluluk konusunda danışmanlıklar almaya devam edecekler. Gerçek zamanlı tehdit istihbaratı ve güvenlik operasyon merkezi yatırımları, yönetilebilir güvenlik servisleri CISO’ların 2019 yılında önceliklendirdiği yatırımların başında geliyor.”

 

IDC Türkiye’de Yazılım Pazarından Sorumlu Araştırma Müdürü Yeşim Öztürk’e göre, “İş dünyası ve BT liderleri, dijital dönüşümün getirdiği fırsatlardan faydalanırken, daha karmaşık, dağıtık teknik ortamları oluşturma ve yönetme zorluğuyla karşı karşıya kalıyorlar. Şirketler, kritik bilgileri kullanarak karmaşık iş süreçlerini desteklemek için veya dönüşüm sürecinin bir parçası olarak yeni teknolojilere yatırım yapıyorlar. Aynı zamanda dijital dönüşüm, kuruluşların yeni zorlukları ve gereksinimleri karşılamak için siber güvenlik uygulamalarını iyileştirmelerini ve entegre etmelerini de gerektiriyor. Şirketler ise gizlilik, bütünlük ve sistemlerin sürekliliği ile ilgili riskleri dengelemek için BT ortamlarında bir dizi kontrol uygulamak zorunda kalıyor. Günümüzde birçok büyük kuruluş siber güvenlik programını güçlendirmek için bir plan ve bütçe belirlemiştir. Belirlenen stratejiler doğrultusunda yatırımlar gerçekleştirilse de süregelen olaylar ve regülasyonel değişiklikler planlanmamış yatırımları beraberinde getirmektedir. 2019 yılının ana konusu olan risk ise güvenlik stratejilerinin ve planlarının merkezine konumlandırılmalıdır.”

IDC’nin Avrupa Güvenlik Çözümlerinden Sorumlu Araştırma Müdürü Mark Child ise konuşmasında şirketlerin risk değerlendirmelerini detaylı bir şekilde yapmaları gerektiğine değinirken, proaktif güvenlik yaklaşımını benimsemek amacıyla “stratejik”, kurumlardaki her iş birimini ve süreci kapsamak amacıyla “bütünsel”, riski kademeli olarak değerlendirebilmek için “nüanslı” ve tutarlı bir risk analizi için ise farklı iş birimlerinin dahil edildiği “odaklı” ekipler ile risk bazlı bir yaklaşım benimsenmesi gerektiğini paylaştı. Risk yönetiminin siber güvenlik strateji planlarına mutlaka dahil edilmesi gerektiğinin altını çizdi.

“IDC CIO Zirvesi 2018 Anketi” sonuçlarına göre önümüzdeki yıllarda da güvenlik, ortak bir endişe olarak yine birinci sırada yer alıyor. Günümüzde siber güvenlik tehdit ortamı, gelişen tehditler ve tekrarlayan siber saldırılardan oluşmaktadır. Bu nedenle, CIO’lar dijital dönüşüm inisiyatiflerinin bu tehditlerden etkilenebileceğini anlamalı ve gerekli önemlerin alınması konusunda güvenlik ekiplerini hem strateji hem de teknoloji yatırım planları açısından desteklemelidir.

50’den fazla teknoloji sağlayıcısı ve 40’tan fazla CISO’nun konuşmacı olarak yer aldığı etkinlikte; yeni nesil teknojilerin güvenliğinden, operasyonel teknolojilerin güvenliğine, yönetilen güvenlik hizmetlerine, tehdit istihbaratından, yeni güvenlik yaklaşımları öne çıkan konulardan bazılarıdır.

Daha fazla bilgi için IDC Security Roadshow 2019 https://idcitsecurity.com/istanbul/ web sitesini ziyaret edebilirsiniz.

Etkinlik katılımıcıları olan Güvenlik Yöneticilerinden bazılarının mesajları:

Vakıfbank BT Güvenlik ve Bilgi Uyum Müdürü Akif Mert Avcı, güvenlik stratejisi belirlenirken, iş hedeflerinin, mevcut risklerin ve regülasyonların göz önünde bulundurulması son derece önem taşıması gerektiğinden bahsetti.

Gün geçtikçe artan hedefli siber saldırılara karşı şirketleri her zamanki gibi ayakta tutmak güvenlik ekipleri için en önemli ve zorlu yeteneklerden biri haline geldi. Tehditler daha karmaşık hale geldikçe ve kurumsal ihtiyaçlar geliştikçe, şirketlerin siber saldırıların olası yıkımını en aza indirmek için güvenlik stratejilerini tekrar gözden geçirmeleri gerekmektedir.

Avivasa CISO’su Aytekin Güzeliş, “Siber Saldırıların Yeni Çağı” panelinde “Riskler ve tehditler her geçen gün değişse de birçok tehdit arka planda bilinen ortak zafiyetleri kullanıyor. Bu sebeple yeni metodlar ve teknolojileri uygularken, temel hijyen kuralları hala önemini koruyor ve gözardı etmemek lazım. İşletim sistemi ve uygulama yamaları, uygulama whitelisting, ayrıcalıklı hesap yönetimi, çok faktörlü kimlik doğrulama, uygulama ve tarayıcıların sıkılaştırılması ve yedekleme bu hijyen kurallarından bazıları” dedi.

Yine aynı panelde, Sabancı’da Operasyon Direktörü olarak görev yapan Bektaş Özkan, “2019’da Ransomware vb. saldırıların artacağı bir yıl olacak. Bu saldırıların etkinliklerini en aza indirebilmek için teknolojik çözümlerden ziyade kullanıcı farkındalığının artırılması gerekiyor. Bunun için de kozmetik eğitimler yerine kullanıcı davranışlarını değiştirecek bir çözüm oluşturmak ve kullanımını zorunlu hale getirmek olduğunu düşünüyorum.” diyerek sözlerini tamamladı.

Boğaziçi Üniversitesi Öğretim Üyesi Doç.Dr. Bilgin Metin, “Siber kamplarımızda üçüncü yılımıza girmenin mutluluğu içindeyiz. Yaz ve kış kampları düzenliyoruz. Bu zamana kadar 6 adet siber kamp yaptık. Üniversite ayrımı yapmadan tüm Türkiye’den öğrenci kabul ediyoruz. Kamplarımıza binlerce başvuru oluyor. Online bir sınav yapıyoruz. Sınavı geçenleri laboratuvar ortamında sınav yapıp en başarılı öğrencileri seçiyoruz. 2019 kış kampımızda üç paralel sınıf açtık. Ofansif siber güvenlik, defansif siber güvenlik ve BT yönetişimi ile KVKK. Ülkemizde ilk defa KVKK ve BT Yönetişimi kampı düzenlemenin mutluluğu içindeyiz. Bir sonraki hedefimiz ise Güvenlik Operasyon Merkezleri için yetişmiş insan gücü geliştirmek” dedi.

Türkiye Finans Katılım Bankası Kurumsal Proje Yönetimi ve Gelişim Müdürü Burak Uluocak, “Güvenlik İşinin Sürdürülmesi” panelinde, “Hazırlıkları devam eden yeni Bankalar Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği’nde, Bilgi Güvenliği Yönetimi ile ilgili düzenlemeler önce çıkıyor” dedi.

Turkcell Siber Savunma Merkezi Müdürü Cihan Yüceer, “MITRE ATT&CK atak teknik ve taktiklerinin sonucu eksik olan taraflarımız yeni kurallar ile alarm üretilerek kapatılmaktadır” dedi.

ASAŞ Ağ ve Siber Güvenlik Müdürü İbrahim Aslanbakan, “Üretim sektöründeki en yaygın güvenlik açığı üretim otomasyon kontrol sistemlerinde kullanılan uygulamaların güncellenmemiş ve teknolojisinin eskimiş olmasıdır. Gelişmiş yeni nesil tehditlere karşı gerekli güvenlik uygulamalarının bu sistemlere yüklenmesinde uyumluluk sorunu yaşanmaktadır” dedi.

BSH Bölge Bilgi Güvenliği Müdürü Müge Şanoğlu, “Bugünkü konumumuzdan belirlediğimiz güvenlik stratejisine giden yol dik veya düzlemsel olmamalıdır, zira çağımızın etkenleri doğrultusunda esnek ve değişime uygun olarak tasarlandığı taktirde başarıyla uygulanabilecektir” dedi.

CK Enerji Altyapı ve Operasyonlar Direktörü Savaş Ergen, “Endüstriyel kontrol sistemlerinin kritik ve stratejik önemi nedeniyle gelişmiş ve hedefli saldırılara maruz kaldığı düşünüldüğünde, BT olarak güvenlik stratejilerimizi yeniden gözden geçirmemize ve OT tarafını da dahil ederek geliştirmemize etkisi olmuştur” dedi.

Migros Bilgi Güvenliği Müdürü Selda Aydoğmuşoğlu “Dijital iş yaşam döngüsünde risk yönetimini merkeze alarak sürdürülebilir bir program oluşturulabilir” dedi.

“Güvenlik Çağında BT/OT Yakınsaması” panelinin moderasyonunu gerçekleştiren Enerjisa Bilgi Güvenliği Risk ve Uyumluluk Grup Müdürü Pelin Pehlivan, BT ve OT yakınmasının kaçınılmaz noktaya geldiği günümüzde, güvenlik stratejilerinin ve planlarının bütünsel olarak oluşturulmasının önemli olduğunu belirtti.

Alternatif Bank Bilgi Güvenliği ve Yönetişim Müdürü Özer Gülce, “KVKK ve SOC süreçlerinde bilgi güvenliği yönetişiminde yol haritaları nasıl belirlenmelidir, ölçüm nasıl yapılmalıdır?” konuları üzerinde durdu.

“Modern Güvenlik Sorunlarına Karşı Nasıl Mücadele Etmeliyiz?” paneli moderatörü Boyner Grup Bilgi Güvenliği Müdürü Tuğba Öztürk, “2018’de güvenlik ihlalleri rüzgâr gibi geçti. 2019 fırtınalı olmasın?” ifadesiyle sözlerini tamamladı.

Halkbank CISO’su Mehmet Hakan Tercan, “IoT, bulut bilişim, yapay zekâ gibi dönüştürücü teknolojilerin bilgi güvenliği alanındaki olumsuz etkilerini azaltmak, bilgi güvenliğini en üst seviyeye yükseltmek için, bazen kolayına da kaçarak güvenlikte en zayıf halka olarak değerlendirdiğimiz insan faktörünü bu etiketten kurtararak en güçlü halka haline getirmemiz gerekiyor” dedi.

Şişecam BT Güvenliği, Risk & Uyum Müdürü Sibel Merey, “Cryptojacking hem ev hem kurumsal kullanıcıların kaynaklarını sömürebilir” ifadelerini kullandı.

“Güvenlik İşinin Sürdürülmesi” paneli panelistlerinden Kayserigaz CISO’su İlmiye Nur Ayyıldız, “Güvenlik bakış açısının şirketlerde sadece Bilgi Güvenliği ekiplerinde değil tüm çalışanlarda olması sağlanmalıdır. Herkes tarafından benimsenen güvenlik stratejisi ile başarılı ve güvenli yapılar oluşturulabilir” diyerek sözlerini tamamladı.

ICBC Bilgi Güvenliği ve Risk Müdürü Mehmet Karabıyık, “Bilgi güvenliğini, dijital dönüşümün tam ortasına yerleştirmeyen organizasyonlar için yarın çok geç olabilir!” dedi.

ADM Elektrik BT Müdürü Mehmet Karadeniz ise, “Endüstri 4.0 ile beraber firmaların yeni teknolojileri anlamaya çalışmadaki başarıları gelecekte ayakta kalıp kalmayacaklarını gösterecek. Bunu başarmalarındaki en önemli etken ise BT/OT yakınlaşmasını hangi düzeyde dönüştürdükleri ile ilgili olacak” dedi.

Turkish Bank CISO’su Mert Çakar, “Finasal piyasalar güven üzerine kurulu oldukları için geminin en ufak bir çatlaktan su almasının dönülemez sonuçlara varılabileceği düşünülerek karar alınmalıdır” dedi.

Meram EDAŞ Teknoloji Projeleri Danışmanı Murat Yılmaz, “Henüz kapatamadığımız zafiyetleri emsal göstererek uygulayabileceğimiz siber güvenlik önlemlerini yok sayamayız.” ifadelerini kullandı.