İşletmeler dijital dönüşümde hızlanırken, operasyonlarını da proaktif olarak farklı bir boyuta taşıyorlar. Fortune Türkiye’nin 13 Ekim’de, Cyberwise ve Check Point Türkiye’nin destekleriyle gerçekleştirdiği Dijital Masa Toplantıları’nda bu kez “Dijital Dönüşüm Yolculuğunda Bulut Güvenliği” konusunu gündeme getirdik. Teknoloji ve iş dünyasının önemli isimleri, bulut güvenliği konusunu tartıştı. Önce güvenlik kavramına yakından bakarken, teknoloji ve dijitalleşme ile birlikte hayatımızın büyük bir alanını kaplayan bulut bilişimin gücü öne çıktı.
ŞULE LALELİ
“Zorlu pandemi koşullarında da yatırımların hız kesmeden devam ettiğini söyleyen FLO , ERP, Ağ ve Bilgi Güvenliği Direktörü Batuhan Aysoysal, “FLO Mağazacılık olarak vizyonumuz Türk ayakkabı sektörünün lider markası olarak teknolojik alt yapımızı güçlendirecek projelere imza atmak” diyor. Bu projelerden birinin de FLO-Run projesi olduğuna dikkat çeken Aysoysal, projenin önemini şöyle dile getiriyor:
“FLO adına küresel ERP altyapımızla, globalde mağaza açılışlarını hızlandırırken, stok ve proje yönetimlerinde verim artışı sağlayacak projelerden birini hayata geçirmiş olacağız.”
Dijital dönüşüm sürecini yüksek verim ile yönetebilmek için bütünleşik çözümleriniz neler üzerine? ERP, Yapay Zeka, BI, geliştirme araçları, veritabanı ve bulut çözümlerinde nasıl bir iş planınız var?
“Pandeminin etkisiyle dünyada üretim, tedarik ve pazarlama ağlarının yeniden şekillendiği, dijital dönüşümün baş döndürücü hızla yaşandığı bir döneme girdik. Her şirket bu sürece hızla uyum sağlamak zorunda kaldı. Biz de sektörün öncüsü olarak bu alanda yatırımlarımızı sürdürdük. Öyle bir dönemden geçiyoruz ki, daha yolculuk sürerken, varış noktası sürekli değişiyor. Bu süreçte en önemli konulardan biri de çalışanlar oldu. Dijital dönüşümün en önemli hedefleri üretim, verimlilik, müşteri memnuniyeti, ciro, kârlılık gibi konularda yoğunlaşmış durumda.
Çalışanların verimliliğini korumak da dijital dönüşümün olmazsa olmazı. FLO olarak çalışanlarımızla beraber büyük
bir aileyiz. On binden fazla çalışanımız var. Üç farklı kıtada, 21 ülkede hizmet veriyoruz. Tedarikçilerimiz için önemli bir firmayız. Ayakkabı sektörüde hem ülkemiz hem de bölgemiz için çok önemli bir konuma ve anlama sahibiz. Lojistik sektöründe Türkiye’deki en gelişmiş lojistik ağa sahip firmalardan biriyiz. FLO olarak perakende de en büyük ERP projelerinden birini hayata geçiriyoruz. Projedeki aktif üyelerin sayısı 500’e yakın. Bu projenin adı, bizi geleceğe taşıyacağı için FLO-Run. Merkezi satın almadan kârlılık analizine, kalite kontrolden sezon öncesi planlamaya, tedarikçi kapasite planlamadan yurtdışı, marketplace ve son tüketici satışına kadar tüm süreçleri kapsayan FLO-
Run ile en ileri perakende teknolojilerini ve altyapısını gündeme getirdik.
FLO-Run ile öncelikle küresel FLO operasyonlarının tek ERP çatısı altında konsolide şekilde yönetilmesini hedefledik. Sezon öncesi planlamadan, son müşteri satışına kadar uçtan uca bütün ERP süreçlerinin birbiri ile bütünleşik ve takip edilebilir olmasına önem verdik. Kurumsal çevikliği ve omnichannel süreçlerini gündeme getirdik. FLO-Run ile gelişmekte olan yeni iş modellerine uyum sağlayabilecek esnek bir ERP altyapısına ulaşmak ve mevcut ana veri
yapısının ileri uygulamalar seviyesine çıkarılması için gerekli sistemsel ve süreçsel geliştirmeleri yaptık. Böylece en modern entegrasyon mimarisi ile ERP’ye dokunan tüm entegrasyonların güvenli, hızlı ve sürdürülebilir şekilde yönetilmesini sağlayacağız. İş zekâsı veri ambarı teknolojisinde de böylece en modern, stabil ve ölçeklenebilir altyapıya geçmeyi hedefliyoruz. Bilgi güvenliğinde veri çok önemli. Yüzlerce farklı nokta ile entegreyiz ve bunu
çok hızlı yapıyoruz. FLO olarak orta katman mimarisine yatırımlarımız sürüyor. Şu anda, lojistik depolarımızı ve 200’den fazla entegrasyonumuzu tek bir sistemden yönetiyoruz. Dijital dönüşüm sürecinde bir diğer projemiz de FLO-Wise yapay zeka projesi. Bu program iki bacaktan oluşuyor. İlkinde yapay zeka, eğer müşteri bir üründe sorun olduğunu düşünürse, bu ürünü mağazaya getirdiğinde, iade ve değişim süreçlerini hızlandırıyor. Bu işin tedarikçisini, kullanılan malzemeyi, iklim koşullarını, mağaza coğrafi konumunu ve pek çok parametreye bakıyor ve karar veriyor.
Bir diğer konu ise sadece ayakkabı sektörünü yakından ilgilendiriyor.
‘Tekleme’ dediğimiz sorun. Mağazalarda genelde ayakkabı denenirken, ürünün belirli bir teki kullanılıyor. Diğer teki kutusunda kalıyor. Yılda 50 milyon çift ürün satan bir firma için gerçekten bu büyük bir sorun ve kayıp. Aynı ürünün
sol teki bir mağazada varken, sağ teki Erzurum’daki mağazada var mesela. Bu iki ürünün kavuşması lazım. Kış ayında, İzmir’de kar botu satamazsınız. Ya da Erzurum’da plaj terliği. İşin bu kısmını da yapay zekaya bırakıyoruz. FLO-Wise programı, bu birleştirme işleminini hayata geçirmeye aday. İşin bulut sistemleri ve hizmetleri tarafında ise sektördeki öncü bulut hizmet alıcılardan biriyiz. Çünkü bulut yelpazemiz çok geniş. Beş farklı ortamda bulut kullanıyoruz. Multicloud yönetimi üzerinde çalışıyoruz. FLO olarak ayakkabı kategorisinde mağazacılıkta, e-ticarette, toptan satışta, yani çok kanallı bir yapıyla lideriz. Müşterilerimize hızlı hizmet verirken aynı zamanda güvenli bir
altyapı da oluşturmak istiyoruz.
“sahibinden.com kurulduğu günden beri dijital düşünmeye odaklı bir kurum. Pandemi döneminde teknoloji ve ürün stratejimizde ciddi bir değişiklik olmadı. Ancak ürün yol haritamızı geliştirdik. Yeni normale daha iyi hizmet edeceğini
düşündüğümüz ürünlere odaklandık” diyen sahibinden.com CTO’su Gökhan Ergül, teknoloji tarafındaki izdüşüme
de dikkat çekiyor. Ergül, yakın dönemde micro servis ve konteyner teknolojilerinin daha fazla öne çıkacağını ve
sahibinden.com olarak kendi sistem mimarilerini bu konu özelinde geliştireceklerinin bilgisini paylaşıyor.
Teknoloji yönetimi olarak sahibinden.com site ve mobil uygulamaları üzerinden kullanıcılarınıza verdiğiniz
hizmetin devamlılığını ve kalitesini sürekli olarak artırmak üzere verimlilik ve iş yapış şekillerinde hangi
konulara destek veriyorsunuz?
“İçinde bulunduğumuz sektör çok dinamik ve rekabetin yoğun olduğu bir sektör. Dijital dönüşümde çevikliğe sahip
değilseniz, uzun vadede zaten bir yere gitmemiz mümkün olmuyor, biz de tüm iş yapış biçimlerimizi, yazılım ve ürün geliştirme süreçlerimizi olabildiğince çevik hale getirmeye çalışıyoruz. Pandemiyle beraber 750 kişinin evlerden çalışmasını sağlayan bir altyapıyı hayata geçirdik. sahibinden.com, Türkiye’de en yüksek trafik alan platformlardan biri. Dünyada da kendi alanında ilk beşe giriyor, dolayısıyla ölçeklenme bizim için çok önemli ve kendi altyapımızda her bir bileşeni ki -yaklaşık 150 farklı bileşenyanyana gelmesiyle hizmet veriyoruz. Her bir bileşen özelinde, o bileşenin doğasına uygun çoklama (redundancy) teknikleri kullanıyoruz. Onların en tepesinde de veri merkezi modelimiz var. Şu anda ikisi fiziksel, biri bulut olmak üzere üç lokasyondan aktif hizmet veriyoruz. Veri merkezini de
gerektiğinde tüm trafiğimizi kaldırabilecek şekilde ölçeklendiriyoruz. Bunun dışında işin bir de organizasyonel tarafı
var. Biz de ekibimizin ismini 2015’te, Site Reliability Engineering yani Site Güvenirliliği Mühendisliği olarak değiştirdik. Bu ekip sistemleri kontrol etmek, olası riskleri tespit edip, hizmet kesintisine sebep olmadan önce adresleme üzerine çalışıyor. Çok katmanlı izleme stratejisi kullanıyoruz. En alt seviyede, yani makinenin temel metrikleri seviyesinde ölçümleri toplayıp analiz ediyoruz. Mobil uygulamalarımız ve web platformumuzun üzerinde son kullanıcı için anlamlı olan hizmetleri ölçüp, herhangi bir terslik olup olmadığını çok yakından takip ediyoruz. Teknoloji ilerliyor, gelişiyor. Çevikliğin yazılım geliştirme dünyasına olan izdüşümünü, mühendislik ve ürün geliştirme takımlarını paralel şekilde çalıştırmak gerekiyor. Bunun da izdüşümü, konteyner teknolojileri. Biz de olabildiğince bu alana yatırım yapıp, kaslarımızı güçlendirip, kendi sistem mimarimizi de oraya doğru evriltiyoruz.”
Mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri envanteri ile veri güvenliği politika ve prosedürlerin belirlenmesi konusunda gündeminizde neler var?
“Kişisel veri envanteri ve veri güvenliğiyle ilgili KVKK Kanunu, Mart 2016’da çıktı. sahibinden.com olarak bu sürecin en başından itibaren içinde olduk ve tüm sistemlerimizi uyumlu hale getirecek aksiyonları aldık. Teknolojinin ilerlemesiyle beraber bilgi güvenliği açısından tehdit oluşturabilecek nitelikteki sofistike saldırılar arttı. Çok katmanlı bilgi güvenliği mimarisini oluşturmak gerekiyor. Güvenlik özellikle kendi yazılımını geliştiren şirketler için çok önemli, bu nitelikteki şirketler kendi geliştirdikleri ve sürekli güncelledikleri yazılımın güvenliğini sağlamak için en azından Open Web Application Security Project (OWASP) tarafından yayınlanan web aplikasyonlarının Top 10 güvenlik zafiyetlerinin kendi yazılımlarında olmadığını sürekli kontrol eden test otomasyonu geliştirmeliler. Artık eski usul bilgi güvenliği önlemleri yetmiyor. Dolayısıyla bizim gibi senede 750 yeni sürüm yayınlayan bir şirketin bu 750 sürüme karşılık penetrasyon testini yılda bir-iki kere yapmak ve güvenlik açığımız yok demek imkansız. Kod olarak altyapı metodolojisini yaygınlaştırmak ve yama yönetimi konularını otomatize etmek gerekiyor. Kod olarak altyapı yaklaşımları, otomasyon konusunda masif değişiklikler gerektiriyor. Özellikle büyük altyapılarda bunu elle yapmaya kalkarsanız yetişemeyeceğinizden olabildiğince konteyner teknolojilere yaklaşmak gerekiyor. Efektif log’lama ve bu log’lamanın üzerinde proaktif şekilde yapay zeka ve makine öğrenmesiyle log’ları anlamlandırıp, erken hareket etmek gerekiyor. Kod olarak altyapı metodolojisi ve bunun en kapsamlı uygulaması olan Bulut’un önemi de burada öne çıkıyor. En büyük temennimiz ilerleyen dönemde regülasyon ikliminin de bulutun yaygınlaşmasına izin verecek şekilde evrilmesi.”
“Tehditlerin önüne geçmek, karmaşık, hedefli saldırıların bir sonraki kurbanı olmamak için kurumların,
kuruluşların pro-aktif olması, tüm bölümlerini korumaları gerekiyor” diyen Check Point, TR & GCC Güvenlik Danışmanlığı Direktörü Gökhan Hasköylü, Check Point’in gelecek dönemde güvenlik servislerini
daha da geliştirerek, farklı bir noktaya taşıyacaklarına işaret ediyor.”
Kurumların ve işletmelerin ana gündemlerinin başında dijital dönüşüm geliyor. Bu çerçevede bulut dönüşümde güncel tehditlerden korunabilmek için güvenlik gereksinimleri nelerdir?
“Check Point olarak bulut güvenliğini en kritik, en stratejik noktalardan biri olarak ele alıyoruz. Çünkü gelecek vaadeden bir teknolojiden bahsediyoruz. Şüphesiz bulut güvenliğinde ilk akla gelen soru, bulut adaptasyonu.
Türkiye’de bulut adaptasyonu, globalle karşılaştırdığımızda geride kalsa da, yıllar içinde daha da ilerleyecektir ve
iyi bir noktaya gelecektir diye düşünüyoruz. Her yıl bulut güvenliği üzerine raporlar yayınlıyoruz. Konuyla ilgili
olarak 2020 raporundan bir alıntı yapmak isterim. Raporda katılımcılara şöyle bir soru sorulmuştu; ‘Fiziksel veri
merkezindeki güvenlik riskleriyle, genel bulut ortamlarındaki güvenlik risklerini karşılaştırır mısınız?’ Katılımcıların
yüzde 52’si, ‘Genel bulut ortamlarında daha risk var’ diye cevap vermişti. Buradan hareketle asıl konunun, bulut
sağlayıcısının sorumlulukları nerede başlıyor, nerede bitiyor? Kullanıcı kurumun sorumlulukları nerede başlıyor ve nerede bitiyor? ile ilgili olması gerektiğine dikkat çekmek isterim. Bir diğer önemli konu da bulut sağlayıcılarının önerdikleri güvenlik çözümleri. Her bulut sağlayıcısı belirli noktaya kadar güvenlik çözümü sunuyor. Tekli bulut ortamında işler biraz daha farklı ilerlerken, çoklu bulut ortamında daha da karmaşıklaşıyor. Zorluk çıkıyor, verim düşüyor. Bulut güvenliğinde dört temel bileşen var. İlki, hangi platformu kullanırsanız kullanın, AWS, Azure, GCP olsun, Alibaba Cloud olsun ya da On-Prem’de bir konteyner noktanız varsa, özel bulut hizmetiniz varsa bile güvenliği tek noktadan yönetebilmeniz gerekiyor. Güvenlik politikanızı etkin şekilde yönetin ve anlamlı şekilde analiz edin.
Herhangi bir aksiyon almanız gerekiyorsa otomatik olarak aksiyonları alın. İkinci bileşen, güvenliğin kendisi.
Güvenliği de kendi içinde dört ana başlık altında topluyoruz. Birincisi standart, On-Prem veri merkezinde yaptığımız tehdit engellemenin bulut ortamına adapte edilmesi. İkincisi, posture management. Yani altyapının görünürlüğü,
zafiyet varsa zafiyetin tespiti, kullanıcıyla ilgili, kullanıcıdan kaynaklanan bir sorun varsa bu sorunun tespit edilip
anında düzeltilmesi. Üçüncü olarak, web uygulamasına yönelik güvenlik korumalarının sağlanması ve iştiraklara
karşı API sağlanıyorsa, bu API’ın da bir güvenliğinin olması. Dördüncü ve son olarak, ölçeklenebilirlik ve hız konusu bir diğer önemli bileşen. Güvenlikte yazılım geliştiricilerin güvenlik önlemleri var mı, yok mu? Ya da güvenlik önlemleri alınmış mı, alınmamış mı diye kontrol edilmesi gerekir. Kısaca herşeyin otomatize olarak planlanması gerekir.’’<
Bulut ortamlarda kullanıcı hatalarını önleme ve izleme konusunda stratejik çözümler nelerdir?
“Bulutun kendisi güvenli ama bulutun yanlış yapılandırılması tehditlerin çok büyük bir kısmını oluşturuyor. Bununla ilgili istatistiksel çalışmalar var. Mesela Gartner’ın bir araştırmasına göre, 2025’e kadar buluttaki güvenlik ihlallerinin yüzde 95’i kullanıcı hatasından kaynaklanacak. Az önce ölçeklenebilirlik ve hız demiştik. Hız konusunda, CloudFormation, Terraform gibi CI/CD araçlarını kullansanız da insan hatası, zaman zaman yanlış konfigürasyon yapabiliyorsunuz. Siz bu yanlış konfigürasyon sonucunda internete açık olmaması gereken bir veriyi kullanıcı hatası sonucu internete açık hale getiriyorsunuz ve örneğin müşteri veriniz zaafiyete açık hale geliyor. İşte tam da burada otomatik botlar hatayı kontrol etmeli. Kurumların bulut ortamlarında hazır kuralları olmalı. Ya da kurum kendi iyi
örneklerini oluşturmalı. Bir diğer önemli konu regülasyon konusu. Tabii olduğumuz regülasyonlar var. KVKK, GPDR ya da PCI DSS gibi. Bulut ortamının sürekli izlenmesi gerekiyor. Raporlanmalı ve otomatik aksiyon alınmalı. Buluttaki herşey otomatize ediliyorsa, güvenlik de otomatize edilmeli. Kurumlar bulut güvenlik politikalarını planlarken mutlaka bu sorunları göz önünde bulundurulması gerekiyor. Check Point olarak gelecek dönemde; müşterilerimize bugüne kadar olduğu gibi fiziksel veri merkezleri, genel ya da özel bulut ortamları olmak üzere her ortamda ve her platformda, ölçeklenebilir ve en etkin güvenliği sağlamayı hedefliyoruz.”
Son zamanlarda Cyberwise ismini, yurt içi satın almalar ve yurt dışı açılımları tarafında çokça duymaya başladık. Müşterilerinize sağladığınız katma değerleri aktarabilir misiniz?
“Siber güvenlik sektörünün iki öncü firması Biznet ve Securrent’in birleşmesiyle doğan ve sektörün önemli oyuncularından Innovera’yı da bünyesine katan Türkiye’nin lider siber güvenlik markası Cyberwise olarak çok geniş yelpazede ürün portföyümüzle, siber güvenlik hizmeti ve danışmanlık hizmeti veriyoruz. Şu an Cyberwise, 250 çalışanıyla Türkiye’nin en büyük siber güvenlik şirketi. İstanbul, Ankara, İzmir, Dubai ve Amsterdam’da ofislerimiz
var. Hedefimiz, Türkiye’nin en büyük, en yetkin ve bu topraklardan çıkmış, Avrupa, Orta Doğu ve Afrika’nın en
büyük siber güvenlik şirketi olmak. Bugün telekomünikasyondan e-ticarete birçok sektörde 750’nin üzerinde müşteriye hizmet veriyoruz. Müşterilerimize Bilgi Teknolojilerinden (IT) Otomasyon Teknolojilerine (OT), Otomasyon
Teknolojilerinden Nesnelerin İnternetine (IoT) kadar 360 derece siber güvenlik bakış açısıyla hizmet sağlıyoruz. Ağ, mobil, veri, uygulama ve bulut güvenliğinden Endüstriyel Kontrol Sistemleri’nin (EKS) güvenliğine kadar birçok alanda çözümler sunuyoruz. Bu çözümlerimizi, projelendirme, teknik destek, entegrasyon desteği sağlanması ve danışmanlık hizmetlerinin geliştirilmesi gibi birçok farklı kanalda büyütüyoruz. Bunun yanında Siber Güvenlik Operasyon Merkezi (SOC) tarafında çok önemli yatırımlar yaptık. Bulut güvenliği konusunda ise iki ana başlıkta ilerliyoruz. Birincisi konvansiyonel olarak yıllardır siber güvenliğe sağladığımız hizmetler. Yeni nesil son kullanıcı çözümlerimizle bulut ortamlarında hizmet veriyoruz. İkincisi ise oldukça kritik. Altyapının, platformun, yazılımın servis olarak verilmesi konusunda çalışıyoruz. Bu noktada, müşterimizin buluta olan yolculuğunda danışmanlık yapıyoruz.
Her gün hızla artan ve daha karmaşık hale gelen siber güvenlik problemleri karşısında kuruluşlar; güvenebilecekleri, geniş yelpazede hizmet alabilecekleri çözüm ortakları arayışındalar. Cyberwise olarak kuruluşların her türlü siber güvenlik ihtiyaçlarını ürün, hizmet, danışmanlık ya da Yönetilen
Güvenlik Hizmetleri (MSS) kapsamında, “Tek Adres”ten karşılayabilecekleri bir yapı oluşturduk. Müşterilerimizin
her aşamada yanlarında olma mottosuyla hareket ediyoruz.”
Şirketler on premise altyapılarını ve bunlar üzerinde çalışan çözümlerini belli bir yol haritası doğrultusunda
Public-Private-Hybrid Cloud ortamlarına taşıma planlarını hızlandırdılar. Bu dönüşümde ortaya çıkan temel riskler
konusunda bilgi verebilir misiniz?
“Bulut hizmeti almak noktasında; kurumların motivasyonu nedir? Ya da bariyerler nelerdir? diye baktığımızda,
bulut ortamlarının çok daha çevik ve esnek yapıda olmasının en önemli motivasyonlardan biri olduğunu söylemek mümkün. Siber güvenlik üreticileri çok hızlı sonuç almak zorunda. Bu nedenle makine öğrenimi ve yapay zeka gibi
yeni teknolojiler de artık siber güvenliğin bir parçası. Yeni teknolojiler çok daha işlevsel güç gerektiriyor. O yüzden
bulut ortamlarında yeni teknolojilerle bezenmiş siber güvenlik çözümlerinin etkinliğinin daha fazla olduğunu görüyoruz. Diğer taraftan bu konuda üç önemli bariyer görüyoruz. Bunlar; güvenlik, gizlilik kaygıları ve regülasyon.
Güvenlik tarafına hizmet edecek yetkin uzman eksikliği çok önemli bir sorun olarak karşımıza çıkıyor. Cyberwise olarak bu konuya yatırım yapıyoruz. Yeni mezunları kadromuza dahil ederek yetiştiriyoruz. Dahası bu çerçevede akademi kurma çalışmalarımız da devam ediyor. Öte yandan, izlenebilirlik yani görünebilirlik konusu bulut hizmeti alma noktasında bir diğer bariyer olarak karşımıza çıkıyor. Güvenliğin ABC’si nedir diye baktığımızda, görünür olmayan şeyi korumak mümkün değil. Öncelikle görünürlülüğü sağlamak gerekiyor. Son olarak erişim güvenliğini kuruluşları düşündüren bariyerler arasında sayabiliriz. Buluta Kim, ne zaman, nerede ve nasıl erişecek? En önemli sorun buluttaki bilginin güvenliği olarak öne çıkıyor. Zaman zaman şöyle bir yanlış algı oluyor. Bir takım çözümlerin,
uygulamaların bilgilerini, belirli bulut ortamlarına taşıdığımızı ve güvenlik kısmını da biz sağlayıcıların yaptığı
düşünülüyor. Oysa bütün güvenlik sistemi ve politikalarını, şirketler kendileri yönetiyorlar. Birçok güvenlik saldırısı aslında bulut ortamındaki altyapının ve uygulamaların yanlış konfigüre edilmesi yüzünden meydana geliyor. Bu da yine yetkin uzman eksikliğini gündeme getiriyor. Cyberwise olarak bulut konusunda yatırımlarımızı hızlandırıyoruz. Gelecek dönemde Türkiye’deki açığı gidermek üzere daha fazla inisiyatif alan şirketlerden biri olacağız.”
“Siber savunma merkezi olarak THY iki önemli noktada ilerliyor. Biri SOC- (Security Operations Center- Güvenlik Operasyonları) merkezimiz, diğeri de siber test merkezimiz. Burada çalışan arkadaşlarımız 7/24 hem izleme, hem
test faaliyetlerini devam ettiriyorlar” diyen THY Bilgi Teknolojileri Güvenlik Başkanı Kadir Yıldız, THY’nin siber olaylara müdahale çözümlerinde hızlı ve etkin müdahale ettiğini söylüyor. Yıldız; bulut teknolojilere geçişte her adıma çok dikkat etmek gerektiğine ve siber saldırılara çok daha hızlı tepki verebilmek için çevik olmaya odaklanmak gerektiğine dikkat çekiyor.
Operasyonlarınızı optimize ederken, ürünlerinizi, hizmetlerinizi ve işletim modellerinizi dijital dönüşüme nasıl
adapte ettiniz? THY adına faaliyetlerinizi dijital kanaldan yürütürken, siber güvenlik risklerinin tespit edilip yönetilmesi konusunda hangi hizmetleri etkin hale getirdiniz?
“Dönüşümün kendisi sancılı bir süreç. Yaşadığımız tecrübeler bize, dönüşümü, kazanımlarla, fayda üretecek, nokta atışı fayda sağlayacak daha küçük projelerle başlatıp, ilerletmek gerektiğini gösterdi. Bunu yaptığınız zaman öncelikle maliyet avantajı sağlıyorsunuz. Bütünün parçası olan küçük dönüşümler, kendi içinde fayda üretiyor. Tüm paydaşları da dönüşümün gönüllüsü haline kolaylıkla getiriyor ve motive ediyorsunuz. İnovasyon tarafında THY olarak farklı bir organizasyona sahibiz. Dijital dönüşüm, teknoloji inovasyonu THY içinde sadece veriye dayalı olarak
gelişmedi. Veriden değer üretmeye de odaklandık. Sadece veriye dayalı dijital dönüşüm projeleri planladığınızda, bu
her zaman kurum için fayda sağlamayabilir. Bu nedenle biz planlarımızı, terazinin iki kefesi gibi hem veriye dayalı
olarak hem de gerçekten değer üretecek noktada yaptık. Temel prensibimiz, müşteri deneyimine dayalı maksimum
müşteri memnuniyetidir. Sonuçta dönüşümün sadece hedef değil, dijitalleştirmek, dijital dönüşümü sağlamak
için de araç olduğunu düşünüyoruz. Bu dönüşümün getirileri olduğu gibi riskleri de var. Siber güvenlik riskleri doğal
olarak bu işle birlikte daha da büyüdü. ‘Sıfır güven’ kavramı ortaya çıktı. Tüm süreçlerimizi başından sonuna kontrol
ederek ilerliyoruz. 128 ülkede 328 şehirde 333 uçuş noktamızla hizmet veriyoruz. Kompleks bir süreç işletiyoruz.
Dijital platformlara ilk girişinizden, çıkışınıza kadar tüm izler anlık olarak takip ediliyor. Aslında kurum olarak
baktığınızda iki temel birimimiz var. Biri Siber Savunma Merkezimiz, diğeri de Siber Test Merkezimiz. Bu merkezlerimizde 7/24 hem izleme, hem test faaliyetleri gerçekleştiriliyor. IT departmanlarını ve iş birimlerindeki arkadaşlarımızı buradan çıkan sonuçlara göre yönlendiriyoruz. Beş sene önce ve sonrasını kıyasladığımızda; IT’nin ve iş birimlerinde beş sene önce Siber Güvenlik ekiplerinin yaptırdığı birçok şeyi, şu anda o birimler kendileri talep ediyor durumda, bu ciddi bir farkındalık seviyesini gösteriyor. Bulut teknolojilerinden bahsederken, bireysel olarak tercihte bulunmak gibi bir lüksümüz yok. Buradaki soru, kurumların bunları kullanması ya da ne ölçüde kullanacağıyla ilgili. Kısaca risk arttıkça, bulut teknolojilerine geçişe de çok dikkat etmek gerekiyor.”
THY olarak bulut stratejiniz hakkında bilgi verebilir misiniz? Kamu tarafında bulut altyapılarına geçişte
karşılaşılan regülasyonlar sizler için de geçerli midir?
“Bulut teknolojisi stratejik olarak kullanmaya çalıştığımız bir teknoloji. Maalesef zorlukları da var. Bağlı olduğumuz regülasyonlarda bizi temelde bağlayan bazı detaylar var. Başta KVKK (Kişisel Verilerin Korunması Kanunu) ve GPDR (EU General Data Protection Regulation) ile Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi bize bu sistemleri kullanma konusunda sınırlama getirdi. Ayrıca operasyon hizmeti verdiğimiz ülkelerde bizim için bağlayıcı çok farklı
regülasyonlar var. İstanbul havacılık açısından bir hub noktasıdır. Bu stratejik olarak da önemli ve esasen bize güç katan bir konu. GDPR’a sadece uyumlu olmak yada KVKK uyumlu olmak ya da sadece Çin’in, ya da Rusya’nın kişisel veri mevzuatına uyumlu olmak yeterli olmuyor. Birçok parametre işin içine giriyor. Yeni bir denetim ekosisteminde operasyon yürütüyoruz. Sadece bize özel değil, havacılık sektöründe tüm oyuncuların konusu bu. Peki THY nasıl ilerliyor? Regülasyonlara uyum sağlamaya çalışarak ilerliyoruz. Maalesef buluta rahatlıkla çıkamıyoruz, regülasyonların sınırlamaları var. THY olarak inşa ettiğimiz strateji hibrit bulut sistemini kullanmak. Türkiye’de bulutun çok hızlı yaygınlaşması ve kullanılabilmesi için ülke içinde bulut servis sağlayıcıların olması lazım. Yunanistan ya da Dubai’de Data Center’lar kuran bulut servis sağlayıcılar, Türkiye’de kurmuyorlar. Türkiye’de de bulut servis sağlayıcı Data Center’ların kurulması için gereken çalışmaların yapılması lazım. Öncelikli konulardan biri ve en önemlisi bu. Kamu ve özel sektör olarak hepimiz bu konuda baskı kurmalıyız.”
“Birbirinden farklı kültür ve regülasyonları aynı çatı altında uyumlu şekilde yönetmek ve rekabette söz sahibi olmak için teknolojiyi doğru kullanmanız ve en hızlı şekilde iş süreçlerinize dahil etmeniz gerekiyor. Bu geçiş Arkas Holding olarak bize pek çok faydanın yanında, uluslararası standartizasyon ve disiplin getirdi” diyen Arkas Holding CIO’su Mert Oruz, Türkiye’nin en kapsamlı bulut dönüşümü projelerini yerelde ve globalde hayata geçirdiklerinin altını çiziyor.
Arkas Holding dijital dönüşüm ekosisteminde ağ güvenliği, bulut platformları, IoT ve diğer yeni veri güvenliği
ürünlerinde nelere odaklanıyor?
“Arkas Holding uluslararası bir şirket. Sekiz bini aşkın çalışanıyla 29 ülkede faaliyet gösteren, kendi limanı, gemileri, tırları, depoları olan, uluslararası bir lojistik şirketi. Bulut teknolojilerine pandemiden iki yıl önce geçtik ve bu süreci çalışanlarımızla çok iyi yönettik. Arkas, çalışanlarına sanki ofisteymişcesine, ilk günden itibaren teknolojik altyapı ve hizmeti sağladı. Pandemi öncesinde yaptığımız yatırımlar ve olaya bakış şeklimizle, pandeminin bize öğrettiklerinden sonra yaptığımız yatırımlar ve aldığımız/ verdiğimiz hizmetler, daha da çeşitlendi. Maliyet avantajlarını gündeme
taşıdık. Ekiplerimizi büyüttük ve eğitimler verdik. Saldırılara karşı koruma önlemi aldık. Sektörel değişimlerle ilgili işlemler yaptık. Kanuni zorunluluklardan dolayı, KVKK hayatımıza girdi. 20’yi aşkın ülkede Kişisel Verileri Koruma Kanunu çerçevesinde iş yapan bir grubuz. Ağ güvenliği bizim için çok önemli. SOC (Security Operations Center) hizmetini ciddi anlamda uyguluyoruz ve daha akıllandırılabilir bir SOC hizmeti için çalışmalarımızı sürdürüyoruz. Herkes gibi biz de her yıl sızma testlerini yaptırıyoruz. Dijital dönüşüm sürecinde üzerine yoğunlaştığımız belli başlı konular oldu. Birincisi; doğru, güncel ve tam bir iş envanterine sahip olmak. Çünkü envanter güncel ve doğru değilse, maalesef her taraftan açık veriyorsunuz.
İkincisi; bizde yaklaşık dört ana sektör ve 30’un üzerinde şirket var. İş birimlerinde dört ana sektör temsilcileriyle belirlediğimiz kriterlerde, iş gereksinimleri konusunda çalıştık. Sadece gereksinimleri değil, aynı zamanda iyileştireceğimiz konuları da belirledik..
Anlık bilgileri toplayıp, analiz ettik. Üçüncüsü; bu bilgiyi aldıktan sonra pazar analizleriyle birlikte, sektörün nereye gittiğini, bu sektörel rekabetin içinde Arkas’ta şirketimizi lider konuma nasıl getiririzi planladık. Bugün topladığımız veriler, veri havuzuna akıyor. Bunları akıllandırmaya ve avantaj sağlamaya çalışıyoruz. Daha sonra da tüm bu veri ve süreci işletebileceğimiz uygun bir mimari seçiyoruz. Ardından da tasarımını yapıyoruz. Son olarak da dönüşümü belirleyerek, bunu verimli hale getirmek ve sonrasında da çevik hale getirmeye çalışıyoruz. Bunu bir döngüye sokup,
devamlı denetlenebilir, şeffaf hale getirmek için çaba sarf ediyoruz.”
Operasyonel verimlilik, esneklik ve hız kazandıran dijital atılımlarınızda, global piyasalardaki genel iş planlarınız nasıl şekilleniyor?
“Global bir şirket olduğumuz için, önemli noktalardan biri de verdiğimiz hizmetleri ilgili ülkelerde nasıl hayata
geçireceğimiz ile ilgili konulardır. Bu hizmetleri verirken, örneğin kendi geliştirdiğimiz kurumsal yazılımlarımızın
50’den fazla ülkede sayısız limanla entegre çalışması gerekiyor. Çevik olmak gerekiyor. İşte tam da bu noktada bulut
sistemlerinin faydası öne çıktı. Bu alana geçtikten sonra daha fazla detayı kontrol etmek zorunda kaldık. Arkas olarak
Türkiye’nin en büyük bulut projesini hayata geçirdik. Altyapımızı, yazılım teknolojilerimizi, yazılım geliştirme platformlarımızın tamamını buluta taşıdık. Şimdi yazılımı bulutta daha çevik olarak geliştiriyor, güvenliği bulutta sağlıyoruz. Bütün altyapıyı buradan yönetiyoruz. Çok büyük uluslarası şirketlerin lojistik taşımasını yapıyoruz.
Bu şirketlerin bu işlerini yapabilmek için sadece verdiğiniz hizmetler yeterli olmuyor. Artık sizin hangi sistemlere
nasıl yatırım yaptığınız, verinizi nasıl koruduğunuz, ne kadar çevik olduğunuz ve sürdürülebilirliği nasıl sağladığınız da çok önemli oluyor. Yapılan büyük sözleşmelerde artık sadece ön koşul olarak iş maddeleri değil bu konularda
olmazsa olmaz olarak karşımıza çıkıyor.
Buluta geçmemizin bu konularda da büyük avantajını yaşamış durumdayız. Bulut teknolojilerine baktığımızda
IFT kullanıyoruz. İş planında malın nerede olduğunu, konteynerin nerede olduğunu biliyoruz. Örneğin gemi filomuzu takip ediyoruz. Hızını biliyoruz. Maliyetini hesaplıyoruz. Aklınıza gelebilecek big data teknolojilerini, robotik yazılımlarla otomatize ediyoruz. Günün sonunda hızlı hizmet vermek, müşteri memnuniyetini maksimum seviyeye
yükseltmek ve rekabette avantaj sağlamak için bütün bunları yapıyoruz.”
“Migros olarak son teknolojik uygulamaları hayata geçiriyor ve iş birlikleri yoluyla sürdürülebilir iş modelleri yaratıyoruz” diyen Migros, Ağ, Sistem ve Bilgi Güvenliği Altyapı Direktörü Ömer Lütfi Karagöz, Migros’un teknoloji
tabanlı yeniliklerini hayata geçirmek üzere çalıştıklarını söylüyor. Karagöz, modern perakendenin gelişimine katkı
sağlamak adına ilkleri gerçekleştirmeye devam ettiklerini söylüyor.
Bulut bilişimden robotiğe, yapay zekâdan otomasyona, yeni dijital dönüştürücü teknolojiler iş yapma şekillerini
değiştirirken, etkili iletişim kurmak ve işe değer katacak iş birlikleri için hangi fırsatlara odaklandınız?
“Dijital dönüşümü yaşadığımız bu dönemde en önemli soru bence şu olmalı. ‘Değişim ne zaman gerekli?’ Cevabı; ‘Gerekli hale geldiğinde.’ Çünkü bir ihtiyaç olması lazım. Migros, pandemide çok hızlı bir IT dönüşümü gerçekleştirdi.
Birçok konuda sektöre öncü olduk, bu nedenle Migros’un vizyonu her zaman ilklerin adresi olmak. Bu da bize ekstra
sorumluluklar getirdi. E-ticaretten gelen siparişleri mağazada otomatik robotlarla topladık.Migros olarak son 1,5 senede dağıtım merkezlerinde robotlarla mağazadan gelen siparişleri toplayıp, kamyonlara aktardık. Meyve sebze
reyonlarımızda yapay zeka destekli görüntü işleme teknolojisi kullanarak kasalardaki doluluğu izledik. Blockchain
teknolojilerini kullanarak meyvenin, sebzenin tarladan rafa kadar nasıl geldiğini takip ediyor ve bunu müşterilerimizle paylaşıyoruz. Pandemide Migros bir fintech şirketi kurdu; MoneyPay. Pazarlama, reklam ve data pazarlaması
yapacak platform Mimeda’yı kurduk. Büyük start-up işbirlikleri başlatan organizasyonu yapılandırdık. Genel olarak baktığımızda Migros olarak, 2 bin 600’ün üzerinde mağazamız, 20’nin üzerinde dağıtım merkezimiz, altı şube müdürlüğümüz ve 50 bin çalışanımız var. Türkiye’nin en büyük IT altyapılarından birine sahibiz. İstanbul Ataşehir’de veri merkezimiz, İzmir’de ODM merkezimiz ve bulut veri merkezlerimizle yaklaşık 50 bin kullanıcıya IT hizmeti veriyoruz. Güçlü yapımızı sürdürürken aynı zamanda Türkiye’de ilk bulut açılımı yapan şirketlerden biri olduk. Dijitalleşme serüvenimiz 10 sene önce başladı. Bütün e-ticaret platformlarımız bulutta. 20-25 bin civarı eş zamanlı
kullanıcımız var. Migros’un bulut üzerindeki veri merkezini ana veri merkezimizin bir uzantısı gibi yapılandırdık.
Her yönüyle ele aldık ve uç noktadaki kasanın buluttaki noktasıyla, uçtan uca nasıl kesintisiz görüşmesi gerektiğine kadar planladık. Bulut yapılandırmasının yedeğini planladık. Bütün tasarımı yaparken son derece detaylı düşünüp, planlamamızı yaptık ve doğru uygulamalarımızı buluta yönlendirdik.”
Dijital dönüşüm dönemini Migros nasıl geçirdi? Ürünlerinizi, hizmetlerinizi dijital dönüşüme nasıl adapte ettiniz?
Otonom ve akıllı geleceğe yönelik dönüşüm yolculuğunuzda teknolojide nasıl bir dijital dönüşüm programını
hayata geçirdiniz?
“Bulut güvenliği Türkiye’de hem ülke hem de sektörler açısından önemli konulardan biri. Bulut servis sağlayacılarının mutlaka Türkiye lokasyonunda ve ulusal sınırlar içinde yapılanması gerekiyor. Sadece bu yapılanma da yeterl değil. Gerektiğinde denetleme, verileri Türkiye içindeki başka veri merkezine aktarma, şifrelenmiş verilerin alınabilmesi için yöntemler geliştirme ve bunun için de izinlerin olması gerekiyor. Türkiye’nin iş dünyasına ait bulut servisleri ve güvenliği yurtdışındaki Data Center’larda olmamalı. Zamanında bir DDos atağı (Dağıtılmış Ağ Saldırıları) ile Türkiye’nin yurtdışı çıkışlarının sistematik olarak durduğunu gördük. İnternet altyapısı, deniz altı fiberlerin arızalanması nedeniyle yavaşladı. Yedeklemeyi mutlaka düşünmek gerek. Servis sağlayıcılar, şirketlerle işletim sistemi ve uygulama seviyesinde tek taraflı sözleşme yapıyor. Yani size ben bunları yaparım diyor biz de tamam
diyoruz. Bu da adil ve demokratik değil. Bir başka durum da şu. Bulut hizmetini aldığımız günden itibaren buluttaki
maliyetleri yönetecek yapı kuruluyor. Kullandığınızı ödemek zorundasınız. Buluta çıkarken uygulamaları ve datayı
nasıl aktaracağınızı çok iyi tasarlamanız gerekiyor. Yoksa bütçeyi yönetmek mümkün değil. Bir diğer konu da bulutun güvenliği. Güvenlik sistemini ve çözümünü yöneten biziz. Ancak çok fazla komplikasyon var güvenlikle ilgili. Ekosistemimizde yer alan firmalarla çalıştığımız ürünlerin, soft versiyonlarını bulut sistemi üzerinde tedarik etmeye çalışıyoruz. Bu işi yönetirken, hiyerarşi, doğru İK yönetimi ve izleme sistemlerini yapılandırmak gerek. İzleme sistemlerinde bulutun eksikleri var. Bulut güvenliğini sağlarken birçok konuya dikkat etmek gerekiyor. İyi tasarlamak gerekiyor. Bunlara dikkat edip kullanırsak, buluttan daha daha fazla verim alırız. Maliyet yönünden de avantajlı bir yapıya geçmiş oluruz.”
“Teknoloji ihracatına katkıda bulunacağımız inovasyon merkezimizde tamamen uzaktan çalışma fırsatı sunarak, ilk aşamada 1000 kişilik bir ekip istihdam edeceğiz” diyen Yemeksepeti / Delivery Hero Global Teknoloji ve İnovasyon Merkezi CTO’su Umut Gökbayrak, Global Teknoloji ve İnovasyon Merkezi’nde sadece Türkiye’de Yemeksepeti için değil, Delivery Hero bünyesindeki 40’a yakın ülkedeki operasyonlar için de yazılım ve teknoloji altyapısı geliştireceklerini söylüyor.
Dijital dönüşümde bulut teknolojilerine adaptasyon ve buluttaki güvenlik gündeminizde neler var? Genel veya özel bulutta güvenlik zorluklarında gelinen noktayı değerlendirir misiniz?
“Bulut teknolojilerinde güvenlik konusunda birtakım modeller öne çıkıyor. IaaS, PaaS, SaaS ve Hybrid sistemler, güvenlik konusunu farklı ele alıyorlar. Yemeksepeti ve Delivery Hero’da bu sistemler, her paradigmaya göre uygun noktalarda kullanılıyor. IaaSInfrastructure as a Service mimarisinde sunucular mevcut. Bu modelin avantajları, sanal ortamdaki kolaylıklar olarak karşımıza çıkıyor. PaaS- Platform as a Service’de ise bulut disk hizmetinde önemli farklılıklar öne çıkıyor. Pandemi dönemiyle beraber Yemeksepeti olarak biz de uzaktan çalışmaya başladık. Her bir yazılımı servis olarak kullandık. Örneğin Delivery Hero ve Yemeksepeti’nde e-postaları bulut sağlayıcılarda
muhafaza ediyoruz. Makinelerimizde ofis yazılımları yok. Servis olarak bulut ofis hizmeti kullanıyoruz. Burada da güvenlik riski, şifre, mobil cihaz ve terminal güvenliği gibi konulara daha fazla önem veriyoruz. Delivery Hero ile micro
servis mimarisini uyguluyoruz. Programlama dili olarak öncelikle Go, Python, Kotlin ve Java tercih ediyoruz. Bulut sağlayıcı olarak da tek bir bulut sağlayıcı değil, birden fazla sağlayıcı ile çalışıyoruz. Ağırlıklı olarak AWS ve GCP üzerindeyiz. Önemli bir diğer konu ise konteyner güvenliği. Genelde göz ardı edilen ama çok yakında daha sık duyacağımız bir konu. Uygulamalarımızı data konteynerlar üzerinde geliştiriyoruz. Bulut sistemlerin kullanılması güvenlik konusunu çeşitlendirdi. Makinelerden aldığımız loglama, monitörleme, operasyonu takip etme işlerine artık yazılım becerileri de eklendi. İş hayatında sadece sistem uzmanlarının değil, yazılım uzmanlarının olacağı
bir sürece girdik. Yemeksepeti olarak teknolojileri yakından takip ediyoruz. Bir yandan da güvenlik süreçlerine
yönelik tedbirleri alıyoruz.”
Kısa bir süre sonra Delivery Hero ile birlikte Türkiye’de bir Teknoloji ve İnovasyon Merkezi kuracaksınız.
Bu merkezden biraz bahseder misiniz? Ne gibi çalışmalar yapılacak ve ne gibi yeni nesil teknolojiler
kullanılacak? Ayrıca teknoloji merkezinde sağlayacağınız proaktif yöntemlerde, bulut bilişimin gücünü,
donanım ve yazılım teknolojisini nasıl kullanacaksınız?<
“Yemeksepeti, 20 yıllık tecrübesiyle girişim ekosistemi ve ülke ekonomisine katkı sağlayan güçlü bir platform.
Global Teknoloji ve İnovasyon Merkezi’nde geliştireceğimiz yazılımlar ve teknoloji altyapısının 40’a yakın farklı ülkenin operasyonlarını besleyecek olması ciddi bir sorumluluk. Teknoloji ihracatına katkıda bulunacağımız inovasyon merkezinde, uzaktan çalışma fırsatı sunacağız. İlk aşamada 1000 kişilik bir ekip kurmaya başladık. Bilgi teknolojileri ekibimiz, inovatif ruhla Yemeksepeti’nin çalışanlarına fırsatlar sunacak. Teknoloji merkezi ayrıcalığını öne çıkaracağız. Kadromuz daha da büyüyecek. En çok çalışılmak istenen teknoloji merkezleri arasında ilk sıralarda yer almayı hedefliyoruz. 2015’te Yemeksepeti, Delivery Hero bünyesine katıldı. Joker gibi uygulamalarla kendini lanse etti.
Bugün Joker’i servis olarak 33 ülkeye sunuyoruz. Teknoloji inovasyon merkezimize kısaca Tech HUB diyoruz. Çok yakında altyapımızı Delivery Hero’nun tüm ülkelerde kullandığı sistemle uyumlu hale getirip, yazdığımız her kodun globalde kullanılabilmesini sağlayacağız. Biz de onlardan bilgi alabildiğimiz yapıyı hayata geçireceğiz. İnovasyon merkezi, Delivery Hero bünyesinde çalışan üçüncü teknoloji merkezi olacak. 40’a yakın ülkeye de teknolojik
destek sağlayacak. Diğer iki teknoloji merkezimiz Berlin ve Singapur’da. Gelecek dönem en büyük hayalimiz,
Yemeksepeti’nin Türkiye’de çalışılacak en iyi şirketlerden biri olması. Ayrıca, Türkiye’deki beyin göçünü durduran
ve ülke sınırları içinde yurt dışındaki avantajlara sahip organizasyonlardan biri olmak istiyoruz.”