Finans sektörü belki bütün sektörlerden çok daha yoğun bir şekilde sürekli güncel, yenilikçi ve dikkatli olmak zorunda. Yoğun rekabetin getirdiği müşteri tabanlı inovasyon ihtiyacı, her gün artan siber tehditlere karşı hazırlıklı olma zorunluluğu, göz ardı edilemez ve yönetilmesi gereken dijital dönüşüm süreçleri ve lokal ve uluslararası regülasyonlarla uyum…
Tüm bunlar için sihirli tek bir reçete yok. Her kurum kendi rotasını çiziyor, bilgisini biriktiriyor ve farklılaşmak için hassas bir şekilde bunların hepsini teknoloji ile harmanlayarak yönetiyor. Finans kurumlarının teknoloji liderleri ise tüm bu süreçte kritik bir rol üstleniyor.
İşte tüm bu hassas dengeler ve vazgeçilmez gereksinimler içinde nasıl ayakta kalınıyor? Destekleyen teknoloji şirketi olarak Palo Alto Networks’ün katkılarıyla gerçekleştirilen üçüncü Fortune Dijital Gelecek Buluşmaları Toplantısı’nda bankaların teknoloji liderleri görüşlerini, yaklaşımlarını ve tecrübelerini paylaştılar.
Toplantının konuk konuşmacısı olan Palo Alto Networks CSO’su (Chief Security Officer) VP. Greg Day de finans dünyasına, küresel dijital ekosisteminde nasıl güvenli iş yapabileceğimiz ve yaşayabileceğimiz konusunda önemli ipuçları verdi.
KATILIMCILAR: Greg Day, Palo Alto Networks CSO ve VP.; Vedat Tüfekçi, Palo Alto Networks Türkiye Ülke Müdürü; Ercan Aydın, Palo Alto Networks Gelişmekte Olan Ülkelerden Sorumlu Başkan Yardımcısı; Esra Beyzadeoğlu, Akbank Bilgi Teknolojileri Proje Yönetimi Bölüm Başkanı; Ali Topuz, Akbank BT Güvenliği ve Uyum Yönetimi Bölümü Başkan Yardımcısı; Sinan Erdem Özer, Yapı Kredi Bankası BT Altyapı ve İletişim Grup Direktörü; Ayşegül Sayın, Halkbank Teknolojik Mimari Yönetimi Daire Başkanlığı BT Daire Başkanı; Bahadır Şamlı, ING Bank Bilişim Teknolojileri Genel Müdür Yardımcısı; Ahmet Onur Mirasoğlu, Türkiye İş Bankası Veri Yönetimi Birim Müdürü.
Dijital çağda güvenlik kavramı çeşitli sektörlerde çok farklı şekillerde değerlendirilebiliyor. Sizce dünyada güvenlik konsepti nasıl anlaşılıyor ve güvenliğe bakış açısı nasıl?
GREG DAY: İngiltere’de yayımlanan bir rapor var. ASA – Annual Security Assesment (Yıllık Güvenlik Değerlendirmesi) adında, 37 sayfalık bir rapor. Benim en çok dikkatimi çeken konu şu: Bu bir kurum seviyesinde, bir ülke seviyesinde ya da Dünya Ekonomik Forumu gibi uluslararası seviyede olsun; siber güvenlik şu anda en öncelikli endişe konusu. Global riskler değerlendirildiğinde, siber güvenlik bilinirlik ve etkileri açısından ilk beş içerisinde yer alıyor.
Şu anda özellikle “ransomware” tüm dünyada en büyük siber güvenlik sorunu olarak değerlendiriliyor. Bir diğer önemli siber güvenlik sorunu olarak ise birey veya kurumların tüm iletişimini kontrol altında tutmak için yapılan siber dinleme saldırı ve operasyonları var. Bu tip saldırıların hangi tekniklerin kullanarak gerçekleştirildiğinden daha önemli olan noktası, nasıl bir etkileri olduğu kısmı.
Avrupa Birliği’nde oluşturulmakta olan yeni bir regülasyon var. Temel olarak iki bölümden oluşuyor. Birinci bölüm, kurum ve devletlerin en iyi, güncel ve standart güvenlik önlemlerini almalarını kapsıyor. İkinci bölüm ise olası güvenlik sızıntı ve gediklerinin (breach) nasıl duyurulması ve paylaşılması gerektiği ile ilgili. Çünkü böyle bir durumda zaman en önemli konu haline gelebili yor. Yeni düzenleme ile birlikte kurumlar olası bir saldırıyı 72 saat içinde ülkelerinin milli otoritesine bildirmekle yükümlü hale geliyorlar. Böylece olası bir zarar görme ihtimali olan tüm kullanıcıların en kısa sürede durumdan haberdar edilmeleri hedefleniyor.
AHMET ONUR MİRASOĞLU: Son yıllarda şunu görüyoruz ki, datacenter’lardaki doğu-batı güvenliği, kuzey-güney güvenliğinden daha zayıf. Şu anda konsantrasyonumuz çoğunlukla olası vakalara nasıl yanıt verileceği konusunda yoğunlaşıyor. Çünkü hepimiz biliyoruz ki, bütün vakaları oluşmadan engellemek mümkün değil. Dolayısıyla önemli olan, olası bir vaka gerçekleştiğinde buna nasıl yanıt veriyor olacağınızı kestirmek.
Finans sektörü üzerinden değerlendirdiğimizde, ne tip operasyon yapılanmalarının tercih edildiğini görüyoruz?
GREG DAY: Özellikle bölgeye baktığımda, yakın zamana kadar eğilimin bir SOC (Security Operations Center – Güvenlik Operasyon Merkezi) oluşturarak tüm güvenliği buradan yönetmek olduğunu görüyordum. Ancak son zamanda kurumların operasyon merkezlerini kapatıp güvenlik konusunu outsource (dış kaynak kullanımı) etmeye başladıklarını gözlemliyorum. Özellikle büyük verinin ilk elenmesi ve analizi için bulut tabanlı ya da alternatif outsource hizmetlerinde artış var.
Milyarlarca veri dışarıda analiz edildikten ve anlamlı hale geldikten sonra kurumun kendi güvenlik ekipleri devreye giriyor. Elenerek gelen ve üzerinde dikkatle çalışılması gereken yüzlerce veri ele alınıyor ve bunlar kurumun gerekleri üzerinden analiz edilmeye başlanıyor. Bu benim ana işimi nasıl etkiler, zafiyet noktalarımız neresi, süreçleri nasıl daha iyi hale getirebiliriz gibi sorular soruluyor. Burada tek bir ideal yöntem yok. Her kurum kendi gereksinim ve koşullarına göre nasıl bir yöntem uygulaması gerektiğine ince eleyip sık dokuyarak karar vermeli.
Genel olarak değerlendirmek gerekirse, dijital dönüşüm kavramı kurumlarda nasıl ilerliyor?
SİNAN ÖZER: Dijital dönüşüm net bir tanımı olmayan, herkes tarafından farklı yorumlanan bir konu. Geçenlerde bu konuda yapılan bir ankete rastladım. Katılanların yüzde 54’ü dijital dönüşümü teknolojik inovasyon içeren her şey, yüzde 42’si ise BT ile ilgili her şey olarak tanımlıyordu. Biz Türkiye’deki bankalar olarak kendimizi şanslı sayabiliriz çünkü uzun zamandır dijital müşteri deneyimleri sunuyor, çözümler üretiyoruz.
Benim için dijital dönüşüm, tüm kurumun dijital dönüşümü anlamına geliyor, sadece bir bölümünün değil. Bu yüzden Yapı Kredi içerisinde BT, müşteri deneyimi, ürün geliştirme gibi farklı birimlerden kişilerin yer aldığı ekiplerimizden oluşan komiteler ile dijital dönüşümü takip ediyoruz.
Bankamızın ana hissedarları olan Koç Holding ve UniCredit tarafından da geniş kapsamlı dijital dönüşüm inisiyatifleri başlatılmış durumda. Bu noktada her ikisi ile de tecrübe paylaşımı, ortak aksiyon belirleme ve yeni işbirliği imkanlarının araştırılması amacı ile çalışmalar da yürütüyoruz.
Diğer yandan dijital dönüşüm başlayıp biten bir proje değil, zamanın ruhuna uygun olarak süreklilik arz etmesi gerekiyor. Artık bu konuda daha farklı yani mevcut iş yapış şekillerini kökünden değiştirecek çalışmaların yürütülmesi gerektiğini düşünüyorum. Buradan dijital dönüşüm konusuyla çok yakından ilgili ve son birkaç yıl-dır zamanımın önemli bir kısmını ayırdığım siber güvenlik konusuna geçmek istiyorum. Siber güvenlik içinde çok fazla konu barındıran, kendine has süreçleri, ürünleri olan bir alan. Örneğin Güvenlik Operasyon Merkezi kurulması ve sürdürülmesi önemli olan alanlardan bir tanesi. Güvenlik Operasyon Merkezi konusuyla ilgili geçmişte iki tecrübemiz oldu. Bu tecrübelerden önemli dersler çıkardık ve son iki yıldır sürdürmekte olduğumuz MSS (Managed Security Services – Yönetilen Güvenlik Servisleri) hizmetini çok daha kapsamlı bir Güvenlik Operasyon Merkezi hizmetine dönüştürmek için yoğun bir çalışma içindeyiz.
BAHADIR ŞAMLI: Biz de diğer bankalar gibi tüm bu adımlardan geçtik. ING’nin uluslararası yapılanması içerisindeki ülkelerden birinde bir Güvenlik Operasyon Merkezi (SOC) var. Burada 100’ün üzerinde son derece yetenekli ve tecrübeli güvenlik uzmanı çalışıyor. Biz de kendi güvenlik operasyonumuzu bu yapıyla entegre etmek istedik. Ancak regülasyonlar gereği yapamadık. Şimdi kendi SOC yapımızı kurduk. Uygulamalarımızın tamamını bu yapıya entegre ettik. Güvenlik bir kez kuralları yazdığınız ve sonsuza kadar bu kuralların işlediği bir alan değil. Tabii ki kurallar var ama hiçbir şekilde bu kuralların bir süre sonra da geçerli olacağını söyleyemezsiniz. Güvenlik ekibimiz 7/24 çalışıyor. Gelen binlerce alarmı inceliyorlar. Kimi doğru kimi yanlış (false positive) oluyor. Ancak tüm karar ve mekanizmayı kişilere bırakmamanız gerekiyor. Bir tür yapay zeka gibi tecrübelerden öğrenen ve buna göre aksiyon alan güvenlik sistemlerine ihtiyaç var.
Bence en önemli konu yönetişim. ING’de finansal ürünler de dahil olmak üzere güvenlik her zaman en öncelikli konulardan biri. Güvenlikle ilgili sağlam bir iskeletimiz var: Öncelikle önlemek için uğraş, önleyemediysen tespit et, tespit edemediysen hemen tepki ver ve tüm süreçten ders çıkar. ING faaliyet gösterdiği tüm ülkelerdeki tecrübelerini ve öğrendiklerini birbirleri ile paylaşıp diğer ülkelerin de benzer sorunları yaşamamasını sağlamaya çalışıyor. Tüm bilgiler global güvenlik ekibimizde toplanıyor ve ülkeler ile paylaşılıyor. Biz Türkiye’deki bankalar olarak güvenlik konusunda işbirliği yapmak durumundayız.
AYŞEGÜL SAYIN: Gartner’ın bir araştırmasına göre dünyadaki dijital dönüşüm projelerinin yüzde 50’si başarısız oluyor. 2017’de bu oranın yüzde 70’ler seviyesine gelmesi bekleniyor. Evet, dijital dönüşüm bir zorunluluk ama gerçekleştirilmesi hiç de kolay değil.
Dijital dönüşüm zor olduğu kadar, yeni olanaklarla birlikte yeni tehditler de getirdiği için büyük riskler içeriyor. Gartner kişilerin sağlık parametrelerinin anlık izlenmesi ve analiz edilmesi sayesinde 2020 yılında ortalama insan ömrünün gelişmiş ülkelerde altı ay uzayacağı gibi dijitalleşmenin direkt insan ömrü üzerindeki katkısını gösteren bir tahminde bulunurken, Stephan Hawking ve Elon Musk gibi bilim insanlarından ve işadamlarından oluşan bir grup, yapay zeka araştırmalarının insanlık için büyük tehditler oluşturabileceği konusunda uyarı niteliğinde ortak bildiri yayımlayarak olası risklere dikkat çekiyor. İlk bakışta bu tehdit bilim kurgu gibi gelsede küçük örnekleri bugün bile yaşamaya başladık. Yakın zamanda sosyal medya platformlarında insanlarla iletişim kurarak öğrenmesi ve zekasının geliştirilmesi hedeflenen bir yapay zeka uygulaması, online duruma geldikten 24 saat geçmeden ırkçı ve nefret dolu tweet’ler atmaya başladığı için zorunlu olarak kapatıldı. Biz Halkbank’ta, zor ve riskli olduğunu bildiğimiz dijital dönüşümün başarı faktörlerinin neler olduğunu anlamak için öncelikle bu alanda yayımlanmış araştırmaları ve vaka çalışmalarını inceleyip danışmanlarla görüşmeler gerçekleştirdikten sonra, BT açısından bankamızı bu zorlu yola hazırlamak üzere, teknolojik altyapımızı ve yönetişim modelimizi yenileyecek büyük dönüşüm projeleri başlattık. 2015 yılında Türkiye’nin ilk yeni nesil veri merkezini hayata geçirdik.
Tam yedekli ve kesintisiz hizmet sunacak şekilde tasarlanan veri merkezimiz Tier3 Tasarım Sertifikasını ve Türkiye’nin ilk Leed Gold Sertifikası’nı alan proje oldu. Veri merkezimiz sahip olduğu özellikleri açısından Türkiye’de olduğu kadar yurtdışında da ilgi görüyor. Merkezimiz, veri merkezi Oscarları olarak kabul edilen Data Center Dynamics Veri Merkezi ödüllerinde iki ayrı kategoride finale kalarak EMEA Bölgesi’nin en iyi dört veri merkezinden biri oldu.
Dijital dönüşümün en temel başarı faktörlerinden biri, sunulan ürün ve hizmetlerde müşteri deneyimini ön planda tutmak. Üç yıl önce biz de BT olarak sunduğumuz hizmetlerde müşteri deneyimini ön planda tutmak üzere, bu alanda eğitim almış ve tecrübe sahibi uzmanlardan oluşan bir UX (User Experience) ekibi kurduk. Yeni tasarım trendleri ve prensipleri doğrultusunda bu ekibimiz tarafından hazırlanan uygulamalarda müşteri deneyimi açısından önemli kazanımlar sağladığımızı gözlemliyoruz.
Yönetişim yolculuğumuz 2005 yılında Halkbank-Pamukbank birleşmesi sonrasında yaptırdığımız sektördeki ilk COBIT denetimi ile başladı. Yönetişim açısından ger-çekleştirdiğimiz çalışmaları konuşmamın ikinci bölümünde aktaracağım.
Veri merkezimizi, yönetişim modelimizi ve müşteri deneyim yaklaşımımızı yenilerken dijitalleşme açısından kurumlara büyük kazanım sağlayan teknoloji alanlarında da yatırımlarımız devam ediyor. İki yıl önce çağrı merkezimizi, geçen yıl da mobil bankacılık uygulamamızı yeniledik. Yeni web sitemizi ise mayıs ayında müşterilerimizin kullanımına sunduk. Müşterilerimiz için dijital kanallarımızı yenilerken, hizmetlerimizin etkinliğini ve hızını artırmak üzere de çok sayıda proje üzerinde çalışıyor, biyometrik, artırılmış gerçeklik, nesnelerin interneti gibi teknolojileri ve fintech’lerle işbirliklerini hizmetlerimizde nasıl konumlandıracağımızın planlamalarını yapıyoruz. Yine sektörde en popüler konulardan olan büyük veri ve gerçekzamanlı analitik uygulamalar konusunda da projelerimiz devam ediyor. Sektörde veri ambarı ve iş zekası uygulamalarını kuran ilk bankalardan biri olarak verinin gücünün ve öneminin farkındayız.
BAHADIR ŞAMLI: İster dijital olsun ister olmasın, bir şeyi dönüştür-mek istiyorsanız her şey tek bir soru ile başlıyor: Neyi dönüştürmek istiyorsunuz? Ondan sonra bu dönüşümü gerçekleştirmek için yapılması gerekenleri alt alta yazıyorsunuz. Dönüşüm öncelikle bu dönüşümün içinde olacak insanlar tarafından gerçekleştirilmeli. Dolayısıyla ilk sıraya insanı yazıyor ve insanların dönüşümü kucaklamasını hedefliyorsunuz. Teknoloji işin en kolay yanı. Ürünlere karar verirsiniz, parasını ödeyip kurarsınız. Hepsi bu. İnsan faktörü ise işin en önemli yanı.
Dönüşümü desteklemek için bakmanız gereken bir diğer konu ise organizasyon yapısı. Biz kendi dijital dönüşümümüzü yaparken eski tipteki organizasyon ile bunu gerçekleştiremeyeceğimizi anla-dık. Çevik bir organizasyon yapısı oluşturmamız gerektiğine karar verdik. Sonuç odaklı ve özgür bir çalışma ortamı yarattık. İkinci olarak da her şey veri ile yönetiliyor olmalı. Bazen bir çalışma arkadaşım arıyor ve “Şu konuda ne yapalım” diye soruyor. İlk söylediğim, “Bana verileri göster” oluyor. Böylece tüm karar sürecini veri ile yönetir hale getirdik.
Dijital dönüşümün içinde güvenliğin çok önemli bir rol oynadığı anlaşılıyor. Bu iç içe geçiş nasıl bir süreçte işliyor?
ALİ TOPUZ: Teknolojideki değişimler, gelişim ve yenilenme ihtiyacını da beraberinde getiriyor. Bu değişime ayak uydurmak için Akbank olarak, tüm iş süreçlerimizde entegre çözüm ve hizmetler kullanıyoruz. İş ortaklarımız ve geliştirilen çözümlerin sorunsuz ve uyum içerisinde çalışması uzman bir ekip ve güçlü bir teknolojik altyapı gerektiriyor. Bu senkronizasyonu sağlayarak, dijital dönüşüm süreçleriyle birlikte her gün daha çok sayıda uygulamayı müşterilerimize güvenli ve kaliteli hizmet sunabilmek için hayata geçiriyoruz. Bu çalışmalarımızda güvenliğin de ürünlerin bir parçası olduğunun bilincindeyiz. Dolayısıyla; teknoloji ve süreçler konusunda gereken tüm yatırımları yapıyoruz. Süreçleri tekrar tekrar denetimden geçirerek iyileştirme ve optimizasyon çalışmaları yapıyoruz.
GREG DAY: Gerçekleştirilen saldırıların tipleri her gün, her an değişiyor. Ancak düşünürseniz sonuçlar ve tehlikeler çok da değişmiyor. Özellikle müşteri tarafı gerçekten çok önemli bir mücadele. Öncelikle zihinlerde değişiklik olması gerekiyor. Bu tabii ki zaman alan bir süreç. Çok fazla medya deste ği ve devlet politikası gerekiyor. Ben Avrupa Birliği Siber Güvenlik Komisyonu’nda da yer alıyorum. Orada konuştuğumuz bir konu var. Birincisi finansal risk ve tehditler var. İkincisi bunlara karşı hepimiz bir rol üstlenmeliyiz. Sadece devletler ya da kurumlar değil; herkes. Tabii ki bu, daha önce de söylediğim gibi ciddi bir düşünce yapısı değişikliği gerektiriyor. Belki yıllar alacak. Bir-iki yıl önce İngiltere’de bir kampanya yaptık. Dijital güvenlikle ilgili alınması gereken en basit 10 önlemi tespit ettik ve bunlarla ilgili posterler hazırlayıp dağıttık.
İkinci soruya bakacak olursak, tüm önemli raporlar daha kritik olan konunun saldırının kendisinden ziyade devamında yarattığı etki olduğunu ortaya koyuyor. Peki bu etki nasıl yönetilebilir? Bence burada öncelikle eksik olan birikim. Medyadaki saldırı haberlerine bakın. Bir bankaya saldırı olduğu haber oluyor ama o saldırıda gerçekten hangi bilgiler ele geçti ya da bu saldırının gerçek sonuçları neydi diye kimse yazmıyor. Mesela saldırı oldu ama tüm veriler şifreliydi o yüzden hiçbir zarar oluşmadı diye kimse yazmıyor. Yine burada da konu öncelikle eğitime geliyor. Medyanın ve ilgili tarafların eğitilmesi çok önemli. Ancak aynı zamanda biz de kendi mesajımızı doğru şekilde iletmeliyiz. Böyle bir saldırıya uğradığımızı söylemenin doğru zaman nedir? Açıkçası çok iyi planlamak lazım ama birileri sizden önce duyurmadan sizin doğru ve açık bilgilerle kendi iletişiminizi yapmanız kritik önemde.
Genellikle şu ana kadar dış tehditlerden bahsettik. Ancak iç tehditler de çok önemli güvenlik sorunları doğurabiliyor. İnsan kaynağının güvenlik konusunda yeterli bilgi ve eğitime sahip olmaması risk oluşturuyor. Bu konuda ne düşünüyorsunuz?
ESRA BEYZADEOĞLU: Dışarıdan gelecek tehditlere karşı her tür teknolojik önlemi alıyoruz. Yaklaşık 14 bin Akbanklı’yı göz önüne aldığınızda, her bir çalışanın bilgi güvenliği konusunda bir farkındalığa sahip olması da önemli hale geliyor. Verinin sınıflandırılması, verinin sahipliği ya da yönetimi kadar çalışanlarınızı sosyal mühendislik, bilgi sızıntıları gibi yeni tehdit ve saldırı trendlerine karşı nasıl eğiteceğiniz ve farkında kılacağınız da büyük önem taşıyor.
Bu yüzden sürekli e-öğrenme ile uyumlu eğitimlerle bu farkındalığı yüksek tutuyoruz. Aynı zamanda sınıf içi eğitimler de düzenliyoruz. Bunların yanı sıra çalışanlarımızın bilgi güvenliği ile ilgili yeni gelişmelerden haberdar olmaları için periyodik olarak bilgilendirme e-postaları da gönderiyoruz. Ayrıca oyunlaştırma tabanlı eğitimleri de günlük yaşamımızın parçası haline getirerek, çalışanlarımızın eğlenerek bilgiye erişimlerini sağlamaya çalışıyoruz. Konuya dijital dönüşüm üzerinden bakarsak, bu alanda sınırlarınızı bilmek de önem taşıyor. Biz Akbank olarak üç yıllık stratejik yol haritası oluşturuyoruz. Şu anda ikinci üç yıllık stratejik yol haritamızın içindeyiz ve tüm başlıklar dijitalleşmenin altında toplanıyor. Bu başlıklardan birisi de güvenlik. Banka olarak güvenliğin, bizim, müşterilerimizin ve çalışanlarımızın daha dijital olabilmesi için önemli ve kolaylaştırıcı bir unsur olduğunu düşünüyoruz.
AHMET ONUR MİRASOĞLU: İnsan doğasında bir bilgi güvenliği algısı olduğunu düşünmüyorum. Kurumların bilgi güvenliği ile ilgili yapılması/yapılmaması gerekenleri direkt olarak çalışanların performans değerlendirmelerinin içine yerleştirmeleri gerekiyor. Böylece güvenlik konusu günlük iş yaşamlarının ana parçalarından birisi haline gelebilir.
VEDAT TÜFEKÇİ: Birlikte çalıştığımız bütün sektörlerde BT güvenliği personelinde bir açık olduğunu görüyoruz. Bu sadece Türkiye’de değil, dünyada da benzeri bir durum var. Biz devlet kurumları ile de görüşüyoruz. Onlar da aynı soruna işaret ediyor. Güvenlik, “kötü adamlarla” onlara karşı savunma yapanlar arasında devam eden bir savaş. Daha çok insanı bilgi güvenliği konusunda bilgilendirmek ve bu konuda bir farkındalığa sahip olmalarını sağlamak kesinlikle çok önemli.
Tüm sektörler için kanunların oluşturulması ve regülasyonlar olmazsa olmaz bir öneme sahip. Regülasyonlar bazen bir şeyler yapabilmenin önünü açıyorken bazen de bir engelmiş gibi karşımıza çıkabiliyor.
GREG DAY: Avrupa Birliği’nde verinin korunması ile ilgili yeni bir regülasyon geliyor. Bugüne kadar her bir ülkenin kendi içinde oluşturduğu regülasyonlar vardı. Ancak bu durum, özellikle birçok ülkede faaliyet gösteren kuruluşlar, örneğin bankalar için ciddi bir problem oluşturuyordu. Çünkü her ülkenin düzenlemesi bir diğerinden farklıydı. Bu düzenleme ile birlikte hem ülkelerde eskimiş veri korunması düzenlemeleri günün şartlarına uygun hale geliyor hem de tüm Avrupa çapında ortak bir yapıya kavuşuluyor. Regülasyonların değişime uğradığını görüyorum. Eskiden uyulması gereken bir maddeler listesi olarak görülen regülasyonlar artık sadece ana kuralları belirleyici ve günün hızına uygun şekilde tasarlanmaya başlıyor.
AYŞEGÜL SAYIN: BDDK regülasyonları doğrultusunda bankaların bilgi sistemleri hem bağımsız dış denetim firmaları hem de iç denetim ekipleri tarafından düzenli denetime tabi tutularak iyi pratikler ve regülasyonlar uyumu açısından değerlendiriliyor. Halkbank olarak 2015 yılında geçirdiğimiz bağımsız denetim çalışması, COBIT olgunluk seviyemizin Türkiye ve dünya ortalamasının oldukça üzerine çıktığını gösterdi. Bu başarıda, gerçekleştirdiğimiz yönetişim dönüşüm programımızın payı çok büyük.
BT olarak bizi etkileyen çok sayıda iyi pratik var ama hiçbiri tek başına BT için yeterli değil. Biz tüm bu iyi pratikleri inceleyerek Halkbank için bir çerçeve modeli oluşturduk. Modelimizde, yönetişim süreçlerini, rotayı çizen ve tüm süreçlere kılavuzluk eden bir yapıda konumlandırdık. Süreçlerimizi hizmet bakış açısıyla yeniden şekillendirerek ISO 20000’de öngörülen sürekli iyileştirme mekanizmasını tesis ettik.
Süreçleri iyi pratiklere uyumlu olacak şekilde tasarlamak kadar, süreçleri tasarlandığı şekilde işletebilmek de zor. Hatta bizim büyüklüğümüzdeki kurumlarda entegre bir otomasyon sistemi olmadan mümkün değil. Bütünleşik yönetişim yaklaşımımızı destekleyecek şekilde bir GRC ürünü satın alarak hayata geçirdik ve mevcut tüm diğer uygulamalarımızla gerekli entegrasyonları sağladık. Bu platform ile birlikte politikalarımız, süreç dokümanlarımız, stratejilerimiz, süreklilik, risk, regülasyon uyumu, performans, değer ve sürekli iyileştirme gibi pek çok alandaki çalışmalarımızı otomasyon sağlayarak etkin ve çok daha verimli şekilde yönetmeye başladık.
AHMET ONUR MİRASOĞLU: Regülasyonlarla uyumluluk sağlamak ile ilgili şikayetçi olabileceğim tek şey, bu konunun sadece BT ekiplerinin sorumluluğu olarak algılanıyor olması. İş birimleri projelerini geliştiriyor ve kağıt üzerinde uyumlu hale getirdiklerini düşündükleri anda işleri bitiyor. Oysa henüz uyumluluk süreçleri orada başlıyor.
Öte yandan, rekabet açısından değerlendirirsek bu adil bir oyun. Çünkü tüm regülasyonlar herkes için aynı. Bazen de regülasyonlar bir bahane olarak kullanılıyor. Örneğin bulut konusu. Verilerin regülasyonlar nedeni ile yurtdışına taşınamadığı dolayısıyla buluttan yararlanılamadığı söyleniyor. Oysa bu eksik bir bilgi. Türkiye’de kurulacak bir bulut yapısı kullanılabilir. Üstelik çoğu bankanın altyapısı bulut ile uyumlu değil. Ancak kimse bunu itiraf etmek istemiyor. Onun yerine “Regülasyonlar yüzünden kullanamıyoruz” söylemi tercih ediliyor.
SİNAN ÖZER: Regülasyonların ana amacı tüketicinin haklarını korumak ve sektörün sağlıklı devam etmesini sağlamak. Bilişim teknolojileri birçok sektörde tüketicinin hayatını kolaylaştırmak için proje-ler üretiyor ve bunu yaparken de öngörülen riskleri bertaraf etmek için gerekli tüm tedbirleri alıyor. Ancak üçüncü bir göz olarak regülatörlerin ve bağımsız denetim organizasyonlarının tüketicinin ve sektörün haklarının korunmasını sağlaması da çok önemli. Ancak bu regülasyonlar bazen bilişim teknolojileri dünyası olarak bizlere engeller oluşturabiliyor. Geçtiğimiz aylarda bunun bir örneğini yaşadık. Son dönemde sektördeki bazı oyuncular parmak izi ile biyometrik tanıma yöntemlerini mobil bankacılık uygulamalarına yerleştirdiler ve çok kısa bir süre sonra bu yöntemlerin bir kimlik doğrulamayöntemi olarak kullanılamayacağını hatırlatan bir resmi yazı geldi. Dolayısıyla birçok banka bu özellikleri kapatmak ve uygulamalarını değiştirmek zorunda kaldı. Sonuçta finans sektörü birçok inovasyonu gerçekleştirecek deneyim, beceri ve kapasiteye sahip sektörlerin başında geliyor. Doğal olarak bazı düzenlemeler ile uyumluluk adına hızlı ilerleyemediğimiz durumlar olabiliyor. Tabii ki tüm bunlar, regülasyonlarla ilgili geribildirim yapmamız, yanlış veya eksik bulduğumuz yönlerle ilgili olarak görüş, tavsiye bildiremeyeceğimiz anlamına gelmiyor. Bu geribildirimleri farklı platformlarda yapıyoruz. Günümüzde Yapı Kredi dahil birçok kurumun yabancı hissedarı var. Dolayısıyla uymak durumunda olduğumuz regülasyonlar artık birden çok ülkenin regülasyonlarını kapsıyor. Ayrıca sektörel regülasyonları da unutmamak gerekir; örneğin PCI/ DSS, COBIT vb.
