7 Temmuz, 2025
Iskro Mollov, GEA Bilgi Güvenliği Direktörü (Resim: GEA)
Iskro Mollov
Bilgi Güvenliği Direktörü, GEA
Iskro Mollov (IM): Genel olarak bilgi güvenliği, elbette dijital veriler de dahil olmak üzere şirket bilgilerinin korunmasıyla alakalıdır. Bu bilgiler, hassas müşteri, tedarikçi ve iş ortağı bilgilerinin yanı sıra fikri mülkiyet, finansal ve stratejik konumumuz ve çalışanlarımızın kişisel bilgileri gibi kendimize ait bilgileri de içerebilir. Bu bilgilerin korunması, her şeyden önce ve en önemlisi bir bütüncül yönetişim görevidir. Hedefimiz, bilgisayar korsanlığı saldırılarını önlemek, casusluğun önüne geçmek, yasal ve sözleşmesel uygunluğu sağlamak, kritik sistemleri korumak ve her türlü iş kesintilerini önlemektir. Paydaşlarımız, bilgilerinin sadece normal faaliyetlerin bir parçası olarak değil, özellikle siber saldırı veya doğal afetler gibi olağanüstü durumlarda da güvende olduğundan emin olmak istemektedirler.
IM: GEA olarak, şirketin güvenlik risklerini anlamak için, tüm alanları ve işlevleri bir bütün olarak ele alıyoruz. Bundan hareketle, etkili ve verimli güvenlik önlemleri uyguluyoruz. Bilgi güvenliği, özellikle bilişim teknolojileri (BT), operasyon teknolojisi (OT), ürünlerimiz ve ürün geliştirme süreçlerimiz, internet mevcudiyetimiz, fiziksel varlıklarımız ve tesislerimiz, tedarikçilerimiz ve İK açısından önem arz etmektedir. En önemlisi, güvenliğin büyük bir kültürel bileşeni de vardır: Gerçekten güvenli bir organizasyon, güvenliğin sadece güvenlik uzmanlarının bir sorumluluğu olarak görülmediği, görevleri ne olursa olsun her çalışan için köklü bir alışkanlık/huy olduğu bir kültürü aşılamalıdır.
IM: Kapsayıcı ve birbiriyle ilintili üç sorumluluğum var. Birincisi, GEA’da bilgi güvenliği yönetişimini sürekli gözden geçirmek ve iyileştirmek. Ekip olarak, bunu başarmak için birden fazla önlem alıyoruz. Bu, dünya genelindeki bilgi güvenliği yönetim sistemlerimizi (ISMS) yönetmeyi, güvenlik sertifikasyonları ve uygunluk elde etmeyi, güvenlik riski yönetimini, çalışan eğitimini, kimlik ve erişim yönetimini, güvenlik olaylarına tepkiyi, performans ölçümünü, denetimleri ve penetrasyon testlerini yönetmeyi içermektedir. Ayrıca, dijital sistemlerimizi ve ürünlerimizi simüle edilmiş bilgisayar korsanlığı saldırılarıyla düzenli olarak test etmekteyiz.
İkincisi, iş sürekliliğini sağlamaktır. Yani, olağanüstü durumlarda bile GEA’nın sorunsuz çalışmasını sağlamaktır. Bu da, fidye yazılımları, üretim ve tedarik zincirinde kesintiler, doğal afetler, kamu hizmetlerinden faydalanamama, toplumsal huzursuzluk, pandemi veya hukuki sorunlar gibi faaliyetlerimizde meydana gelebilecek farklı türlerde olası kesintilere hazırlıklı olmayı içermektedir.
Üçüncüsü de kriz yönetimidir. Kurumsal krizler birçok farklı şekillerde ortaya çıkabilir; Covid pandemisi ve uluslararası (askeri) çatışmalar nedeniyle geçmişte bir takım krizler de yaşanmıştır. Özenli ve dikkatli bir şekilde hazırlandığımız ilgili senaryolardan birisi de elbette küresel etkisi olabilecek bir fidye yazılımı saldırısıdır. Sonuç olarak, kriz yönetimi birçok farklı kurumsal işlevi içerebilen, muazzam bir koordinasyon gerektiren kompleks ve yoğun bir görevdir.
IM: Oldukça kapsamlı diyebilirim! Bilgi Güvenliği, İş Sürekliliği ve Kriz Yönetimi ekibimiz, dünyanın dört bir yanından ve birçok farklı mesleki geçmişi olan profesyonellerden oluşmaktadır. İş sürekliliği yönetimi, genel güvenlik yönetişimi ve risk yönetiminin yanı sıra fiziksel, BT, OT ve ürün güvenliği gibi çeşitli güvenlik konularında uzmanlarımız bulunmakta. Mühendislik, BT ve işletme yönetimi alanlarındaki dereceleri de dahil, eğitim geçmişleri oldukça heterojendir.
IM: Bilgi güvenliği, bir destek rolünden sektörümüzde bir rekabet avantajı sağlayan özel bir işleve dönüşmüş durumdadır. Eğer doğru yapılırsa, üstün bilgi güvenliği yönetişimi, yeni işler kazanmada belirleyici bir faktör olabilir. Ne yazıktır ki, siber olaylar ve casusluk olayları artışta. Örneğin, dünya genelinde 10 kuruluşun 9’u 2024 yılında en az bir fidye yazılımı saldırısına maruz kaldı. Ve hizmet-olarak-fidye-yazılımı gibi olaylar, yıkıcı potansiyele sahip bir saldırı için sadece birkaç dolar ve minimum çaba gerektiriyor. Makine ve proses mühendisliği alanında ve diğer birçok alanda faaliyet gösteren şirketlerin neredeyse tamamı haklı olarak, dijitalleşmenin avantajlarından yararlanmak için bağlanabilirlik, yapay zeka ve bulut tabanlı çözümler benimsemektedir. Olumsuz tarafı: Bu, saldırı yüzeyinin genişlemesini de beraberinde getirir. Nitekiğm son birkaç yıldır, küresel tedarik zincirleri daha savunmasız hale geldi ve hepimiz jeopolitik koşulların daha istikrarsız hale geldiğine tanık olduk.
Buna ek olarak, yasal düzenleyici ortam da daha kompleks bir hal almakta: AB’deki Siber Dayanıklılık Yasası ve NIS2 gibi kapsamlı yasal düzenlemeler, doğrudan tesis işletmecilerini ve tesis üreticilerini işaret etmektedir. GEA, her ikisinin de kapsamına girmektedir. Sadece kendi tesislerimizi işletmiyoruz, aynı zamanda müşterilerimiz için de tesis ve makineler inşa ediyoruz. Bu, bilgi güvenliği perspektifinden bizim için avantajlı bir kombinasyon: Birçok endüstride geniş bir gereksinimler, olasılıklar ve potansiyel zorluklar yelpazesi bakımından bizlere kapsamlı bir gerçek dünya deneyimi de sağlıyor. En güncel yasal gerekliliklere uygun, öncü ve çoğu zaman oldukça özelleştirilmiş ve benzersiz deneyimimize ve bilgi birikimimize dayalı bilgi güvenliği çözümleri sunabilmekteyiz.
IM: Kesinlikle, bu konu gittikçe önem kazanıyor. Bu durum, bölümlerimizdeki ve bölgelerimizdeki satış ekiplerimizden aldığımız geri bildirimlere açıkça yansıyor; hepsi, müşteri etkileşimlerinde bilgi güvenliğinin artan önemini vurguluyor. Müşteriler, işlerini büyütmek için yardımımıza ihtiyaç duyuyor. Mükemmel bir güvenlik yönetimi sunmak, onların güvenini kazanmada ve sürdürmede anahtardır ve GEA’nın yeni işler kazanmasını sağlar.
IM: Birçok müşteri, örneğin ISO/IEC 27001 sertifikalı şirketlerle iş yapmayı tercih ediyor. Bu, bilgi güvenliği yönetim sistemlerinde uluslararası bir standarttır. Bir organizasyonda bilgi güvenliği için kapsamlı bir yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi konularında gereklilikleri belirtir. Ve giderek artan sayıda organizasyon için zorunlu bir ön koşuldur. Tanınmış sertifikasyonlar, bilgi güvenliği için standarttır ve müşterilerimize GEA’da sürdürdüğümüz titiz bilgi güvenliği standartları hakkında objektif ve şeffaf bilgiler sağlamaktadır. Bunlar, bizim için de olduğu gibi, Alman TÜV Rheinland gibi önde gelen denetim kuruluşları tarafından verilmektedir.
GEA, 2021 yılında ilk ISO/IEC 27001 şemsiye sertifikasyonunu aldı. Bu sertifika, her yıl daha fazla GEA tesisi ve tüzel kişiyi kapsayacak şekilde genişletildi. 2024 yılında yapılan en son sertifikasyon yenilemesi, ISO/IEC 27001 standardının en yeni 2022 versiyonuna göre dünya genelinde 53 GEA tesisindeki tüm ticari faaliyetleri kapsamaktadır. ISO/IEC 27001 bilgi güvenliği yönetim sistemlerinde önde gelen uluslararası bir standart olduğundan, bu önemli bir başarıdır ve endüstriler genelinde yaygın olarak kabul görmektedir. Üretim tesislerimiz ve ürün geliştirme sürecimiz de endüstriyel otomasyon ve kontrol sistemi güvenliğinde önde gelen standartlar olan IEC 62443 2-1 ve 4-1 uyarınca sertifikalandırılmıştır. Bunlar aynı zamanda, yıldan yıla daha fazla tesisimizi dahil ettiğimiz grup şemsiye sertifikalarımızdır.
IM: Hedefimiz, GEA’daki Küresel Güvenlik Programımızın bir parçası olarak, ilgili tüm GEA tesislerinin ve ürünlerinin güvenliğinin 2027 yılına kadar sertifikalandırılmasıdır. Buna ek olarak, uluslararası ESG standartlarındaki derecelerimizi daha da geliştirmek için, 2025 yıl sonuna kadar çalışanların %75’inden fazlasını içine alan bir sertifika kapsamına ulaşmayı hedeflemekteyiz. Başka bir yüksek öncelikli görevimiz de GEA’yı yakında uygulamaya konacak yasal düzenlemelere hazırlamaktır. Örneğin, AB Siber Dayanıklılık Yasası (CRA), üreticilerin sıkı standartlar ve kapsamlı raporlama gereklilikleri ile birlikte, ürünün yaşam döngüsü boyunca siber güvenliği değerlendirmelerini gerektirecektir.
Fakat bu uluslararası konulardan daha da önemlisi, müşterilerimizi desteklemek ve onların daha güvende, uyumlu ve geleceğe hazır olmalarına yardımcı olmaktır. Dolayısıyla, bir yandan güvenli GEA ürünleri ve dijital hizmetler sunarken, diğer yandan da GEA Asset Care gibi GEA tekliflerinin bir parçası olarak özel güvenlik ürünleri ve hizmetleri sunmaktayız.
IM: Oldukça basit: GEA, inovasyonu ve güveni teşvik etmek için, bilgi güvenliği yönetişimini sürekli güçlendirmeye kararlıdır. Mühendislik mükemmelliği alanındaki ünümüz gibi, bilgi güvenliğindeki yüksek standartlarımızın da müşterilerin GEA’yı tercih etmelerinde temel etkenlerden biri olmasını istiyoruz. Bu alanda mükemmelleşmeye devam ettikçe, edindiğimiz derin uzmanlığı diğer endüstrilere yardımcı olmak için kullanabiliriz. İşletmemizin karmaşıklığı ve içinde bulunduğumuz yasama ortamı bizi bu alanda güçlü bir konuma getiriyor.