By 
“Saldırganlar kamu-özel sektörden çok daha hızlı dönüşse de ülkemizin insanı ve kurumları da çok çabuk adaptasyon sağlayıp çok iyi işler çıkartabiliyor.” diyen Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yavuz S. Selim Yüksel, dijitalleşirken gerekli tedbirleri, politikaları ve standartları da unutmamak gerektiğini belirtiyor.
27 yıldır dijital dünyanın içerisinde yer alan Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yavuz S. Selim Yüksel iş hayatına başladığında, Türkiye’de henüz yeni olan internete ilgi duymaya başladı. Bu merak duygusu ve öğrenme isteğiyle çeşitli alanlarda da profesyonel hayatı devam etti. İlk olarak yazılımcı daha sonra da sistem yöneticisi olarak devam eden kariyerinde, dijital alandaki iş kollarının çoğunda profesyonel düzeyde sorumluluklar üstlendi. “Bilgi güvenliği, son 10 yıldır yoğun bir şekilde ilgilendiğim ve içerisinde olduğum bir alan.” diyen Yavuz S. Selim Yüksel, sosyal yapısı gereği işin STK tarafına da yöneldiğini belirtiyor. Yavuz S. Selim Yüksel ile Bilişim Teknolojileri ve Siber Güvenlik Derneği ve siber güvenlik hakkında keyifli bir sohbet gerçekleştirdik…
Bilişim Teknolojileri ve Siber Güvenlik Derneği’nin amaçları ve faaliyetlerinden biraz bahseder misiniz?
Son 5 yıldır teknik olarak bir şeyler yapabildiğimi, başarabildiğimi ama ülkeme faydalı olmak için tek başıma olmamın bir şey ifade etmediğini fark ettim. Bunun üzerine, bilişim sektörüne yönelik bir sivil toplum kuruluşu kurduk. Derneğin yönetiminde aslında kurucu başkandım fakat sonrasında biraz daha özel bir alana geçmek istedim; çünkü siber güvenlik halihazırda araştırmalar yaptığım, güvenlik açıklarını tespit ettiğim ve danışmanlık verdiğim bir alan.
Dernek olarak, beyaz yaka diyebileceğimiz teknik işler yapıyoruz. Temiz bilgi kaynağı olma amacı güdüyoruz. Örneğin, kripto paraların faydalarını, zararlarını en doğru şekilde kamuoyuyla paylaşmak ve işletmelere fayda sağlayabilmek için doğru kaynak olmayı hedefliyoruz. Danışmanlık tarafında da Derneğimize gelen taleplere destek veriyoruz. Özellikle KVKK (Kişisel Verilerin Korunması Kanunu) konusunda çalışmalar yapıyoruz. Daha çok siber güvenliğe odaklandığımız için güvenliğin bireyde başladığını düşünüyoruz. Bu konuda, geçtiğimiz yıl birçok online konferansta, seminerde bireyler için içerikler ürettik. Okullara gidip gençleri, çocukları hem kariyer anlamında hem de karşılaşacakları risklerle ilgili bilgilendirdik, makaleler yazdık. Ülkemizde özellikle dijital dönüşümle beraber karşılaştığımız dijital riskler de çok arttı çünkü siber saldırganlar bilgilerimizi çalmak ve bunlardan fayda elde etmek için her türlü yöntemi geliştiriyor. Bu konuda erken uyarı sistemi diyebileceğimiz makaleler yazıp insanları bilgilendiriyoruz.
Türkiye’de teknoloji için yeterli sermaye var fakat yetişmiş insan gücü henüz istenilen seviyede değil. Biz de bunun erken yaşlarda başlayıp oluşması için bir misyon belirledik. Derneğimizde bu konuya dair ücretsiz eğitimler veriyoruz. Bir hacker gibi saldırganların kullandığı araçları ve yöntemleri kullanarak işletmelerin, kurumların güvenliğini sağlaması için gençlerimiz yetiştiriyoruz. Özetle, Derneğimizin genel amacı; topluma temiz bilgi sunmak ve bu ekosistemin oluşmasında insan yetiştirilmesine destek olmak diyebiliriz.
“Şirketlerin oturmuş bir bilgi güvenliği politikasına ihtiyacı var”
Erken yaşanmış bir dijital dönüşüme şahit olduk. Birçok kurum ise bu dönüşüme henüz hazır değildi. Dijital dönüşümün güvenlik unsurlarını değerlendiren Yavuz S. Selim Yüksel, şunları kaydetti:
“Şirketler çalışanlarına dizüstü bilgisayarlar tahsis ederek onları evden çalışmaya yönlendirdi fakat erişim konusuna yeterli hassasiyet gösterilmedi. Türkiye’de bir piramit var. Bu piramidin en üst kısmında büyük ölçekli işletmeler, organizasyonlar bulunuyor. Onlar dijital dönüşüm süreçlerini çoktan tamamladığı için bu süreci çok daha kolay yönetti, işlerine kaldıkları yerden devam ettiler. Ama piramidin orta ve alt kısmındaki küçük ölçekli işletmeler, pandemide birçok sorunla karşı karşıya kaldı. Fidye yazılımı gibi saldırılar pandemi döneminde, Türkiye’de hem bireyler hem kurumlar açısından çok arttı. Bilişim Teknolojileri ve Siber Güvenlik Derneği olarak, bu konuda özellikle de siber güvenlik eylem planı hazırlanmasına katkı sağladık.
Siber güvenlik istihbaratı da çok önemli bir konu. Kurumların kendi verileriyle ilgili bir sızıntı olup olmadığını tespit etmesi için tehdit istihbarat mekanizması oluşturması gerekiyor. Temelde ihtiyaç olan şey; bir şirketteki bilgi güvenliği politikasının oturmuş olması. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının da toplumda yaygınlaştırılması gerekiyor. Güvenlik politikaları bu gibi ulusal ve uluslararası standartlara, kanunlara göre geliştirilmeli. Örneğin, ‘shadow IT’ denilen bir kavram var. Bu kavram özellikle çok büyük kurumsal organizasyonlarda karşımıza çıkıyor. Yazılım ya da teknik ekiplerin yerine başka bir ekip geliyor. Buradaki usulsüzlük ya da güvenlikle ilgili sorunlar ortaya çıkarılıyor. Kısacası, uluslararası standartlar çerçevesinde işletmelerin gerekli tedbirleri alması gerekiyor.
Saldırganlar kamudan, özel sektörden çok daha hızlı dönüşüyor fakat ülkemizin insanı, kurumları da çok çabuk adaptasyon sağlayıp çok iyi işler çıkartabiliyor. Dijitalin gücüne inanmak lazım ama gerekli tedbirleri alıp buna göre politikalar ve standartlar oluşturmak gerekiyor.”
Comments