Burgan Bank için güvenlik kapsamında temel amaç, en önemli varlık olan veriyi ve veriyi işleyen süreçleri korumaktadır. Bu kapsamda dijital veri ile sınırlı olmayan ve tüm veriyi içeren yaklaşımla bilgi güvenliği, Burgan Bank için verilen hizmetin ayrılmaz bir parçasıdır. Dolayısıyla hizmetin ya da ürünün oluşturulma aşamasında bilgi güvenliği/siber güvenlik gereklilikleri dikkate alınarak tasarım yapılmaktadır. Dolayısı ile hem tasarım hem de işletilen süreçlerde bilgi güvenliğinin üç temel ilkesi; gizlilik, bütünlük ve erişilebilirlik dikkate alınarak kararlar verilmektedir.
Burgan Bank, CISO Turan Mola
- Burgan Bank için ‘güvenlik’ ne anlama geliyor? Bankanızın bilgi güvenliği ve siber güvenlik politikalarından kısaca bahseder misiniz?
Kritik altyapı olarak değerlendirilen bankacılık sektörü içinde yer alan Burgan Bank olarak bilgi güvenliğine; teknoloji, süreç ve insan boyutlarını ve bu boyutlar arasındaki uyumu dikkate alarak bütüncül bir şekilde yaklaşmaktayız. Siber güvenliğin; ağ güvenliğinden sistem güvenliğine, uygulama güvenliğinden uç nokta ve veri güvenliğine kadar katmanlarında sıfır güven (zero trust) yaklaşımını uygulamaktayız.
Gelişen ve yaygınlaşan yapay zeka gibi teknolojilerde öngörülü (proaktif) davranarak bilgi güvenliğine yönelik önlemlerimizin planlamasını yapmaktayız ve bu önlemleri hayata geçirmekteyiz.
Burgan Bank için güvenlik kapsamında temel amaç, en önemli varlık olan veriyi ve veriyi işleyen süreçleri korumaktadır. Bu kapsamda dijital veri ile sınırlı olmayan ve tüm veriyi içeren yaklaşımla bilgi güvenliği, Burgan Bank için verilen hizmetin ayrılmaz bir parçasıdır. Dolayısıyla hizmetin ya da ürünün oluşturulma aşamasında bilgi güvenliği/siber güvenlik gereklilikleri dikkate alınarak tasarım yapılmaktadır. Dolayısı ile hem tasarım hem de işletilen süreçlerde bilgi güvenliğinin üç temel ilkesi; gizlilik, bütünlük ve erişilebilirlik dikkate alınarak kararlar verilmektedir.
Bilgi güvenliği politikamız; müşterilerimizin güvenliğinden başlayarak banka varlıklarına kadar tüm süreci kapsayan, bilgi güvenliğinin tüm boyutlarını içeren ve ilgili BDDK mevzuatı ve standartları karşılayacak şekilde oluşturulmuş olup güncel değişiklik ve gerekliliklere göre düzenli olarak güncellenmektedir.
- Dijital bankacılık anlayışıyla hizmet veren ON Dijital ile geliştirdiğiniz ürün ve çözümlerde, müşterilerinizin bilgi ve işlem güvenliğini sağlarken öne çıkan konu başlıkları/hizmetler neler?
Bu konuda ekosistemdeki tüm bileşenleri dikkate alarak bütüncül bir yaklaşım uygulamaktayız. Farklı katmanlarda süreçlerin çalışmasını ve verinin gizlilik, bütünlük ve erişilebilirliğinin sağlanmasını gözetmekteyiz. Bu kapsamda bilgi güvenliği süreçlerimizi, müşteri cihazından başlayarak banka sistemlerine ulaştığı ve işlendiği tüm aşamalarda aktif olarak işletmekteyiz.
Müşteri cihazında uygulamamız aracılığı ile çalıştırdığımız güvenlik önlemleri ile birlikte, verinin (şifreli olarak) iletildiği ağ katmanından başlayarak, sistem, uygulama, uç nokta ve veri depolama katmanlarına kadar birbirini bütünleyen güvenlik süreçleri uygulanmaktadır. Bu güvenlik süreçlerinin tasarımı ise sıfır güven (zero trust) yaklaşımı ile yapılmaktadır.
Sıfır Güven (zero trust) yaklaşımı; güvenlik durumunun sürekli kontrolü (never trust, always verify) işin yapılması için gerekli olan en az yetkinin verilmesi (least privilege) ve uygulamaların servis düzeyinde ayrılmasını (micro segmentation) içermektedir.
Güvenlik ekosistemimiz, savunma perspektifinden çalıştığı gibi aynı zamanda değişik katmanlarda geçen veriyi analiz edip buradan saldırıya yanıt olacak aksiyonları gerçekleştiren sistemleri de kapsamaktadır. Bu kapsamda EDR, NDR, SIEM, SOAR gibi teknolojiler kullanılmaktadır.
Teknolojik altyapı; yeni trendler, yeni teknolojiler, gelişen tehditler ve saldırı vektörleri dikkate alınarak güncelleniyor
- Bankacılık sektöründe “güvenlik” kavramının en önemli bileşeni güçlü bir teknolojik altyapı. Burgan Bank’ın teknolojik altyapısı ve son yıllarda gerçekleştirdiğiniz altyapı yatırımları hakkında bize neler söylemek istersiniz?
Burgan Bank olarak bilgi güvenliğine; teknoloji, süreç ve insan boyutlarını ve bu boyutlar arasındaki uyumu dikkate alarak bütüncül olarak bakmaktayız. Bu üçlü içinde yer alan teknoloji boyutu siber güvenlik alanındaki hızlı gelişmeler, değişimler ve artan tehditlere etkin yanıt vermek için vazgeçilmez bir bileşendir. Bankamız; dijital alanda büyümesi, ürün ve hizmet çeşitliliğinin artması, BDDK mevzuatının getirdiği gereklilikler ve bütün bunlara bağlı bilgi güvenliği bilincinin yüksek olması dolayısıyla bilgi teknolojileri ve bilgi güvenliği alanında olgun bir teknolojik altyapıya sahiptir. Belirtilen teknolojik altyapı; yeni trendler, yeni teknolojiler, gelişen tehditler ve saldırı vektörleri dikkate alınarak güncellenmekte ve bu konulardaki çalışma ve yatırımlar öncelikli olarak yapılmaktadır.
Yeni teknoloji olarak yapay zekayı örnek olarak verebiliriz. Yapay zekayı hem kullanılacak bir teknolojik gelişme olarak hem de getirdiği tehdit ve riskler açısından değerlendirerek yol haritamızı belirliyoruz. Yapay zeka konusundaki siber güvenlik kapsamımız üç boyuttan oluşmaktadır.
Birincisi, banka içinde geliştirilen yapay zeka uygulamalarının olası tehdit ve risklere karşı korunmasıdır. Bu uygulamalara yönelik saldırıların belirlenmesi, analiz edilmesi ve önlenmesi ile bu sistemlerin güvenlik açıklarının anlık takibi ve bu güvenlik açıklarının giderilmesi için gerekli aksiyonların hızla alınması önem kazanmaktadır.
İkincisi, yapay zeka araçlarının kullanılmasıyla oluşabilecek bilgi güvenliği risklerinin önlenmesidir. Bu konuda örnek olarak yapay zeka kullanılarak hedefe yönelik oltalama saldırılarını (spear phishing) algılayan ve önleyen güvenlik sistemleri verilebilir.
Üçüncüsü ise kullanılan siber güvenlik çözümlerinin etkinliğini arttırmak için yapay zeka teknolojisinin kullanılmasıdır. Üçüncü boyuta örnek olarak; SIEM çözümlerinde kullanılan yapay zeka teknolojileri ile siber güvenlik analistlerinin daha verimli çalışmasının sağlanmasını ve SIEM’in güvenlik olaylarını algılama (detection) ve bu olaylara yanıt verme kapasitesinin önemli ölçüde arttırılmasını verebiliriz.
- Eklemek istedikleriniz…
Bilgi güvenliği açısından önemli olduğunu düşündüğüm ve bu kapsamda öncelik ve titizlikle uyguladığımız iki konu bulunmaktadır.
Birincisi, günümüzde gelişen yeni teknolojiler, özellikle yapay zekanın kullanılması ve iş modellerinin dijital ortama taşınması ile birlikte güvenlik açıklarının sayısı ve niteliği önemli ölçüde artmıştır. Güvenlik açığının ortaya çıkması ile bunun nasıl istismar edileceğini gösteren kod ya da yöntemin yayınlanması arasındaki süre oldukça kısalmıştır. Bu kapsamda bilgi güvenliği zafiyetlerinin etkin yönetimi ve hızlı aksiyon alınması siber güvenlikte en önemli süreçlerden biri haline gelmiştir.
İkinci konu ise bütün güvenlik ekosisteminin sıfır güven (zero trust) yaklaşımıyla yapılandırılması ile siber güvenlik dayanıklılığının önemli ölçüde artırılmasıdır.
