Yapı Kredi CIO’su Cengiz Arslan, gittikçe artan güvenlik tehditlerine karşı yalnızca teknolojinin yeterli gelmeyeceğini söylüyor. Ona göre güvenlik bir disiplin içerisinde ele alınıp kullanıcıların eğitiminden ve daha proaktif yaklaşımlardan oluşuyor. Organize suçlara karşı CIO’ların da daha geniş çerçevede düşünüp hem çalışanları eğitmesi hem de saldırganlardan daima bir adım önde olması gerekiyor. Kendisi ile hem güvenlik stratejilerini hem de 2015 planlarını konuştuk.
CIO perspektifinden değerlendirdiğinizde 2014 yılı nasıl geçti? Yaptığınız projeleri ve gündem başlıklarınızı aktarabilir misiniz?
Yapı Kredi olarak biz 2010 yılında büyük bir BT transformasyon sürecine başladık. Bu süreç içerisinde hem BT içerisindeki bilişim departmanı olarak süreçlerimizi elden geçirip yeniledik hem de bunların verimliliğini sağlayıp oturttuk. Yaptığımız projenin diğer bir bacağı da BT altyapısının yenilenmesi idi. Yapılan değişim içerisinde hem donanımsal altyapıda değişiklikler yaptık hem de uygulama katmanında bir takım modernizasyonlarımız oldu. 2014 bizler için bu değişimleri tamamladığımız ve transformasyon projelerini kapattığımız bir yıl oldu. Bunların en önemlileri arasında sayabileceklerim; şubelerdeki temel bankacılık programlarımızın hedef mimariye taşınması ve önyüzlerimizin değiştirilmesi, kredi kartı uygulamamızın mainframe üzerinden açık sistemlere alınması ve altyapı tarafında yaptığımız gerek sanallaştırma ile konsolidasyonlar gerekse veri tabanlarımızın birleştirilerek sadeleştirilmesi var. 2014 aynı zamanda regülasyonlar ile bankacılık sektöründe değişikliklerin getirildiği bir yıl oldu. Dolayısıyla regülasyonların getirdiği değişiklikleri de uyum sağlamak adına önemli çalışmalar yaptık. Aynı zamanda dijital kanallarda önemli yatırımlarımız oldu. 2014 yılı içerisinde yapikredi.com.tr’yi ve internet şubemizi yeniledik ve yeni bir önyüzle daha kullanışlı hale getirdik. Direkt bankacılık ürünümüz NUVO’yu çıkarttık. Gerek yenilediğimiz internet şubemizde gerekse mobil uygulamamızda fonksiyonel geliştirmeler ve ilaveler oldu. O anlamda dijital kanallara da önemli yatırımlar yaptık ve yapmaya devam ediyoruz. 2014 yılında müşterilerimizi daha iyi tanımak, onlara daha doğru ürün ve fiyatlarla gidebilmek için bir takım analitik CRM uygulamalarımız oldu.
Bankacılık yazılımınızı değiştirmenizdeki temel motivasyon neydi?
BT transformasyon’a başladığımızda kullanılan bankacılık yazılımımız aslında KoçBank – Yapı Kredi birleşmesi esnasında seçilen KoçBank’ın bankacılık uygulamasıydı. Buradaki değişim ihtiyacını biz daha çok daha modern teknolojilere geçiş, daha ölçeklenebilir yapılara geçiş için öngördük. Yeni yazılımımızı ölçeklenebilir ve daha esnek güncel mimarilerde yazmak istedik. 
Başlangıç noktamız da şube önyüzleri oldu. Bir motivasyonumuz da şuydu; birleşmeden sonra birleşmenin getirdiği belki de kısıtların birisi şube kullanıcılarının önünde farklı teknolojilerde yazılmış, farklı karakteristikte uygulamalarımız, ekranlarımız vardı. Bunları tek bir önyüz altında birleştirmek istedik. Ve yine bu önyüzleri yenileme projesiyle hedeflediğimiz yapılardan biri de eskiden ekran bazlı olan bankacılık platformu daha süreç bazlı bir yapıya dönüştürülmesiydi. Onu hedefledik.
Bu omni-channel için daha uyumlu bir yapıya kavuştuğunuz söylenebilir mi peki?
Yeni altyapımız için bunu diyebiliriz ve elbette Omni-Channel bizim gündem maddelerimizden birisi. Vizyon olarak dijital kanallara yatırım yaparken Omni-Channel odaklı düşünüyoruz. Omni-Channel’dan anladığımız müşterimiz bir bankacılık ürün ve hizmetine her kanaldan – ki şubede bizim için bir kanal – aynı fonksiyonalitelere ulaşabilsindir. Ve herhangi bir kanalda başlattığı uygulamayı başka bir kanalda devam ettirebilsin. Bu bağlamda şube uygulamalarımızı yenilerken de bu özellikler de şubeden birisinin başlattığı işi diğer kanallarda devam ettirebilmesi ya da diğer kanallarda başlattığı bir işi şubede görüntüleyip devam ettirebilmesi yönünde de önemli bakış açısı değişikliklerimiz oldu.
2014 yalnızca finans sektörü için değil perakende de sağlığa ve sigortaya kadar her sektör için güvenlik zafiyetlerinin yoğun yaşandığı bir yıl olarak geçti. Tüm bu yaşananlardan sonra CIO perspektifinden baktığınızda güvenlik algınızda neler değişti?
Bankacılık sektöründe güvenlik konusu her zaman CIO’ların en öncelikli konularından birisi olmuştur. Çünkü işin ucunda para olduğu için en çok saldırı alan sektörlerden birisi. Standart prosedürlerimiz arasında yer alan antivirüs yazılımları, yama yönetim yazılımları, sistem yazılımlarındaki güvenlik zafiyetleri sebebiyle oluşabilecek saldırılara karşı cihaz tabanlı yetkisiz erişim denetimleri ve ihlalleri erken tespit edebilmek için dış kaynak servis sağlayıcılardan aldığımız hizmetler hep gündemimizde var. Öte yandan artık olabildiğince saldırganların önünde yer almaya ve daha proaktif olmaya çalışıyoruz. Dijitalleşmeye başlayınca ve karmaşıklık artmaya başlayınca tabi ki bu güvenlik gittikçe daha fazla önem kazanmaya başladı. Daha fazla yatırım gerektiren daha karmaşık güvenlik çözümlerine doğru yönelmeye başladık. Yapı Kredi olarak biz de devamlı güvenlik çözümlerindeki gelişmeleri takip ediyoruz. Yatırımlarımızı devamlı olarak güncellenen güvenlik teknolojileriyle yenileyip ilerliyoruz.
Hedefli saldırıları ile beraber işin rengi biraz daha değişmiş oldu. Standart güvenlik prosedürlerini atlatmak için çok daha organize suç örgütlerinin 6 aylık 1 yıllık çalışmalar yaptığını görüyoruz. Saldırganların bu kadar organize olduğu bir dünyada CIO neler yapıyor?
Güvenlik zafiyetlerine baktığımızda teknik eksiklerin yanı sıra bir de insan faktörü var. Mesela geçen sene dünyanın farklı yerlerinde yaşanan olaylara baktığımızda, e-posta üzerinden phishing saldırılarının oldukça yaygın olarak kullanıldığını görüyoruz. Burada kullanıcıların dikkatsizliği veya güvenlik konusunda bilinçsizliği üzerine kurgulanmış bir saldırı türü var. Elbette IT olarak biz bunları proaktif olarak takip ediyor, tespit ettiklerimizi engelliyor ve kullanıcılarımıza duyuru yapıyoruz. bunun yanı sıra bilinçlendirmeye yönelik eğitimlerimizi de artırmış durumdayız. Bunun yanı sıra biraz evvel sözleriniz arasında bahsettiğiniz şey var; saldırganların bir takım uygulama katmanlarındaki güvenlik zafiyetlerinden yararlanarak yetkisiz bilgiye erişim çabaları var. Şunu biliyoruz ki bu tip çabalar bir günde olmuyor. Bir hırsızın mahalleyi kolaçan etmesi gibi, aylar süren çalışmalar var. Ancak bu tip saldırıya kalkacak kişiler öncesinde de bazı izler bırakıyorlar. Gidip orayı ziyaret ediyor oralarda daha sık görünüyorlar. Bizde buna yönelik kayıtları toplayan sonra bunları birbiriyle korelasyonunu gerçekleştiren ürünlerle güvenlik önlemlerimizi almaya çalışıyoruz. Bu bağlamda da çok yakında yeni bir SIEM ürününü kuracağız. Bu araç sayesinde de olabildiğince eş zamanlı güvenlik alarmları almayı, çeşitli cihaz ve sistemlerden topladığımız kayıtları tek bir noktadan birleştirip tek bir durum ya da tehditle ilişkilendirip bu sayede proaktif olarak önlem alabilmeyi hedefliyoruz.
SIEM çözümü tercihinde öncelikleriniz neydi?
Aslında bu konuda daha önceden kullandığımız, kayıtları toplayan ve farklı alarmlar üreten bir aracımız vardı. Ancak saldırganların ya da kötü niyetli kişilerin gelişen çabalarına karşı bu yazılımlar ve çözümler de birkaç adım önde gelişiyorlar. Bu yüzden bu çözümlerle ilgili bir yenileme projemiz var. Biz elimizdeki araçları ve çözümleri bir kenara bırakıp, neye ihtiyacımız olduğunu ve altyapımızda nasıl bir fonksiyonaliteye ihtiyaç duyduğumuzu belirleyerek kendi dokümanlarımızı oluşturduk. Daha sonra uzman arkadaşlarımız hem bu dokümanları kullanıp hem de bazı uluslararası tarafsız kuruluşların raporlarını araştırdılar. Bu kaynakları kullanarak bir liste oluşturduk. Bu shortlist’ten de belirlediğimiz iki firmayla bir süreç projesi çalışması yaptık. Onun sonucunda da IBM’in QRadar ürününü tercih ettik. Gerek sunduğu fonksiyonlar gerekse esnek mimarisi açısından bu bahsettiğimiz kural eşleştirmelerini istediğimiz ölçüde başarılı bir şekilde yapabiliyor olmasından dolayı bu ürünü seçtik. Geçen sene sonu itibariyle bitirdiğimiz bu seçim sürecinden sonra bu sene projeyi başlatmış bulunuyoruz. Burada çözüm ortağı olarak Platin Bilişim ile birlikte ilerleyeceğiz. Platin Bilişim ile daha önceden farklı projeleri birlikte geliştirmiştik, bu yüzden tanıdığımız bir kurum. Onların ürün üzerindeki tecrübelerini, etkinliklerini de görünce de projeyi beraber yapma konusunda daha emin adımlarla ilerleyebildik. Projenin tamamlanması için yaklaşık 4 ay gibi bir süre öngörüyoruz. Ve böylece güvenlik konusunda aldığımız önlemleri bir adım daha öne taşımış olmayı planlıyoruz.
2015 yılı ajandasında güvenlik ile ilgili başka başlıklarınız da olacak mı?
Güvenlikle ilgili bu tip önlem alıcı faaliyetlerimiz bir taraftan devam edecek. Yine DDoS saldırılarına karşı dış kurumlardan aldığımız bir takım hizmetler var. Ama kendi içimizde de ikinci seviye saldırı önleyici yapılar kuruyoruz. Keza sürekli dışa açık uygulamalardaki olası güvenlik açıklarına karşı penetrasyon testi yapıyoruz. Zaten BDDK biliyorsunuz bunları bankalar için yılda en az 1 kez zorunlu tutuyor. Biz sık değişimler gören kurumlar olduğumuz için BDDK’nın isteğinin daha da üzerinde yılda iki üç kere yapıyoruz. IPsec ve firewall cihazlarının da sürekli yenileme ve gözden geçirme çalışmalarımız devam ediyor. Bunun için geçen sene büyüttüğümüz ve organizasyonunu daha farklı böldüğümüz bir güvenlik operasyonumuz var. Bu operasyon ekibi içerisinde olay inceleme bölümü de var. Olay incelemeleri yapıp bunlarla ilgili aksiyonlar da öneriyorlar. Bankanın kendi içerisinde ayrıca çalışan bir güvenlik izleme birimi var, onlarla da ortaklaşa çalışarak olası güvenlik sorunlarına karşı önlemlerimizi almaya devam ediyoruz.
Güvenlik kısmı bir kenarda bırakacak olursak, 2015 ajandanızda başka neler var? Bu değişimlerden müşterilere yansıyan kısımlar neler olacak?
Dünya teknolojik olarak bu kadar hızlı bir şekilde gelişirken biz vizyon olarak dijital kanalların gittikçe daha önemli olacağını düşünüyoruz. Artık herkes cebinde bir bilgisayar taşıyor, dolayısıyla mobilite çok önemli hale geldi. Bu yüzden dijital kanallarda yatırımlarımız sürekli ve artarak devam edecek. Ve bu yatırımlarımız az evvel konuştuğumuz gibi omni-channel mantığında devam ediyor olacak. Yani biz kanallarımızı eşitlemeyi ve birbiriyle entegre etmeyi istiyoruz. Böyle bir vizyonla hareket ediyoruz. Bu anlamda önümüzdeki dönemde mobil uygulamalarımızdaki fonksiyonalitenin arttığını ve farklı bir takım mobil uygulamalarımızın çıktığını göreceğiz. Muhtemelen aynen bireyselde olduğu gibi kurumsal internet bankacılığımızın da yenilendiğini göreceğiz. ATM sayımız hızla artıyor ve o alanda da yatırımlarımız devam ediyor. Yapı Kredi olarak veri analitiğini çok iyi kullanarak müşterilerimizi tanımayı ve onların ihtiyaç duyduğu ürünü ihtiyaç duyduğu anda sunabilmeyi hedefleyen bir takım yapılar kurmayı istiyoruz. 2014’te alt yapısını kurduğumuz çapraz satış altyapısının tüm kanallara ve olabildiğince geniş ürün yelpazesine yaygınlaşmasını planlıyoruz.