Proje İçeriği

Gerçekleştirdiğimiz ana proje ve alt projeler kapsamında Yenilikçi Bilgi Güvenliği & İş Sürekliliği konularında tüm ana şirketlerimizin tek bir çatı altında yönetildiği bir platform tasarladık. 

Bilgi güvenliğinin ve iş sürekliliğinin sekteye uğraması, şirketin özel ve gizli verilerinin paylaşılması, şirketler için büyük hukuki süreçleri beraberinde getirmektedir. Bunun yanında büyük itibar ve güven kaybı yaşanabilmektedir. Tabii bir de büyük para kayıpları da olmaktadır. Hemen her gün bilgi güvenliği ihlali ile ilgili haberler duymaktayız. Bu haberler artarak devam etmekte ve büyük küçük firma ayırt etmeksizin her sektörden firma isimleri duymaktayız. 

Hiçbir zaman %100 bir güvenlik söz konusu değil, özellikle bizim gibi coğrafi olarak çok dağınık bir yapıda ve farklı sektörlerde çalışan firmalarda olduğu gibi. Fakat yapabileceğimiz maksimum güvenliği ve izlenebilirliği sağlamak adına biz de bu kapsamda Faz1 ve Faz 2 olarak 12 adet ürün belirleyip, 8 ürünün kurulumları tamamlamış bulunuyoruz. Çok fazla teknik konulara girmeden, biraz daha detaylı bilgi vermek gerekirse;

EDR (Uç Nokta Tehdit Algılama ve Yanıt), NDR (Ağ Tehdit Algılama ve Yanıt), SIEM (Güvenlik Bilgileri ve Olay Yönetimi), Veri sınıflandırma, DLP (Veri Kaybı Önleme), Web Filtreleme, Sürekli Zafiyet Tarama, PAM (Ayrıcalıklı Erişim Yönetimi), MFA (Çok Faktörlü Kimlik Doğrulaması), NAC (Ağ Erişim Kontrolü), Hotspot, Siber Tehdit İstihbarat, SOAR (Güvenlik Orkestrasyonu, Otomasyonu ve Yanıtı) konularında, Barikat firması ile sözleşme imzalanmış olup, aynı zamanda tüm lokasyon ve sistemlerimizin 7/24 izlendiği SOC (Güvenlik Operasyon Merkezi) hizmetini de yine Barikat firmasından almaktayız. 

Türk Telekom ile sözleşme imzaladığımız SD-Wan, Veri Merkezi hizmeti, DDOS engelleme, ile birlikte uçtan uca bir Bilgi Güvenliği projesini yürütmekteyiz. 

Türkiye’nin en iyi Üretici ve Entegratör firmaları ile anlaşmalar imzaladık.( Aşağıdaki sorularda firma ve üreticilerin isimleri verilmiştir)  Yönetilen Hizmet kapsamında birçok firmayla beraber çalışmaktayız. 

Projemizin şu anda Faz1’i tamamlandı, Faz’2 çalışmaları sonuna gelmiştir. Proje o kadar detaylı çalışıldı ki, bu çalışmalarımızı inceleyen ve bilgi almak isteyen tüm kişi ve şirketlere destek olmaya çalıştık, hatta Tübitak dahil birçok firma bizden danışmanlık almak için başvuru yapmışlardır. 

Sebebi ise genel hatları ile yapılması gereken güvenlik, network, yedeklilik ve iş sürekliliği çalışmalarının, 1 yılda ancak oluşturulabilecek olan şartnameleri, üreticilere ve entegratörlere sorulacak soruları, karar verme matrisi ve puanlama sistemimiz sayesinde bu sürenin 1 aya kadar düşmesidir. 

Palo Alto, Fortinet gibi firmalar bu yaptığımız çalışmaları anlatmamız için bize sponsor olmak istediklerini belirtmişlerdir.  Hazırladığımız proje altyapısını ve yöntemlerimizi diğer firmalara etkinlik olarak planlayıp göstermek istemektedirler.

Bilgi güvenliği, iş sürekliliği, regülasyonlara uyumluluk, yedeklilik, tüm şirket ağlarının konsolide edilmesi çalışmalarında 4 üniversite bursiyerimiz de destek olmuşlardır. Sosyal sorumluluk kapsamında bursiyer arkadaşlarımızı da her zaman projelerimizde değerlendirmekteyiz. 

Projenin Amacı

Projemiz hem hali hazırda yürüttüğümüz bazı süreçleri iyileştirmek, hem de birçok yeni hizmet, ürün ve süreçleri kapsamaktadır. Ayrıca projemiz Dünya trendlerinin gittiği yönler incelenerek, Gartner gibi çeşitli kurumların son raporlarına göre de oluşturulmuştur. Bu anlamda en yenilikçi teknolojileri hayata geçirmiş bulunuyoruz. Bunun yanında özgün ve Türkiye’de ilk defa uygulanan süreç ve hizmetleri de kullanmış olduk. 

Örnek vermek gerekirse Microsoft’un ERP özelinde Azure platformunda çalışan Türkiye’deki en büyük müşterisi Cengiz Holding’dir. Bahsettiğim Dijitalleşme süreçleri kapsamında Microsoft’un Fabric platformunu kullanmak ve yeni bir hizmet için anlaşma yapan ilk firma da yine Cengiz Holding ve şirketleridir. Bu anlamda uçtan uca bir analiz ve veri platformu kullanarak Veri taşıma, işleme, alma, dönüştürme, gerçek zamanlı olay yönlendirme ve rapor oluşturma işlemlerini yapay zeka desteği ile çok daha hızlı ve güvenilir olarak yapacağız. Bunun yanında henüz çalışmaları devam eden Microsoft’un Copilot yapay zeka yazılımını da yine ERP süreçlerimizde kullanmak için çalışmaları sürdürüyoruz. 

Sonuç olarak hem kullanıcılarımıza hem de müşterilerimize sağladığımız bu yeni hizmetlerde, raporlar eskisinden çok daha hızlı ve kolay oluşturulabiliyor. Özellikle üretimde gerçek zamanlı analiz ile çok daha efektif ve hızlı raporlar alıp, bu sayede kapasitemizi daha iyi kullanabiliyoruz. Önleyici bakım konusunda da üretimde herhangi bir aksama yaşamadan daha iyi önlemler alabiliyoruz. 

Sonuç olarak özellikle veritabanları ile ilgili bazı konularda süreçleri iyileştirdik bunun yanında ise yukarıda bahsettiğim örneklerde olduğu gibi yenilikçi hizmetler de uygulamaya koyduk. 

Proje içindeki en büyük inovasyon nedir? (yeni bir teknoloji veya var olan teknolojinin farklı kullanımı gibi. IOT, M2M, AI vb.)

Şartnameleri hazırlarken her konu özelinde Türkiye ve Dünya da kullanılan en güncel ve yeni teknolojileri detaylıca araştırdık ve kapsamımıza aldık. Örnek vermek gerekirse, EDR (Uç nokta tehdit algılama ve yanıt) ürünü seçeceğimiz zaman, Dünya hangi yöne gidiyor, hangi ürünler ağırlıkta kullanılıyor, makine öğrenimi, yapay zeka gibi eklentiler özellikler var mı, bunları inceledik. Gartner listelerinde son yıllarda sürekli bulunan ve artış gösteren ürünleri listemize aldık ve şartnamelere ekledik. Tabii tüm bunları yaparken üreticilerin Türkiye’de destek verebilecek entegratörleri var mı, yeterli ve yetkin personel çalışıyor, belirli bir düzeyde referansları var mı, bu konuları da ürün seçerken puanlamamıza kattık

Benzer şekilde yapay zeka ve makine öğrenimi destekli son kullanıcı davranış analizi ürünlerini inceledik. Son kullanıcıların çalıştığı şirket ve bölüme göre ilk önce sürekli yaptığı işler belli bir süre sistem tarafından otomatik olarak takip edilip, yeterli veri ve log kaydı toplandıktan sonra eğer o kullanıcı normalde yapmadığı, bizde alarm oluşturacak farklı veya riskli bir işlem yaptığında sistemin ilgili arkadaşları uyarmasını sağladık. Yine örnek vermek gerekirse bir kullanıcı bilerek veya bilmeyerek, yüksek miktarda bir veriyi dışarı çıkartmak istediğinde, ağda daha önce bağlanmadığı bir sunucuya bağlanmaya çalıştığında, özel veya kişisel bir veriyi yine şirket dışına aktarmak istediğinde bunların takibini ve soruşturmasını makine öğreniminin verdiği destekle yapmaya başladık. 

Bir başka uyguladığımız yenilik ve inovatif çalışma ise yine Türkiye’de ilk defa uygulamaya koyduğumuz ve çalışmaları devam eden tüm envanterimiz ve ağ erişim kontrolü (NAC) entegrasyonu ile güvenliği daha üst seviyeye çıkartmak olmuştur. NAC ürünleri ile belli ölçüde ağ güveliği sağlanabiliyor, fakat yeni eklenen cihazlar, değişen cihazlar derken, envanterin güncelliği tüm şirketlerde sorun yaratmakta. Biz envanteri otomatik olarak takip edebilmek adına sistemi sürekli tarayarak yeni bir cihaz eklenmeye çalışıldığında bunu o an haber verip, bununla birlikte gerekli yetkiler sağlandıysa, tüm güvenlik ürünlerinin otomatik olarak bilgisayarlara yükleneceği bir sistem tasarladık.

Burada Türkiye’de ilk defa, NAC ile tam entegre olarak Octoxlabs diye bir ürünü kullanmaya başladık. Böylece çok büyük oranda şirket ağımıza hangi lokasyon, hangi ülke olursa olsun yeni veya bilmediğimiz bir cihaz bağlanmaya çalıştığında bunu fark edip, önceliklendirip, gerektiğinde müdahale edip, envanter güvenliği tehditlerine karşı dakikalar içinde önlemler alabiliyoruz ve anlık güvenlik olgunluk seviyemizi izleyip daha çevik bir yapı kuruyoruz. Herkesin bildiği üzere bir zincir en zayıf halkası kadar güçlüdür ve biz tüm halkaları güçlü tutmaya çalışıyoruz. 

Proje kurum içindeki hangi bölüme fayda sağlamıştır?(satış, pazarlama, finans, İK, IT, Üretim, Planlama, Satın alma, Lojistik Müşteri İlişkileri gibi)

Projemiz Siber Güvenlik, İş sürekliliği, Ağ, Cumhurbaşkanlığı ve çeşitli kurumların regülasyonları, KVKK, yedeklilik ve sürdürülebilirlik konularını içerdiği için Cengiz Holding ve Cengiz Holding’e bağlı tüm şirketlerinin, tüm bölümlerine fayda sağlamıştır.

Projenin hayata geçirilmesi konusunda üst yönetimin desteğini tam olarak alabildiniz mi?

Projenin hayata geçirilmesi öncesinde projenin büyüklüğü, Türkiye’de özel sektörde özellikle Bilgi Güvenliği konusundaki en büyük proje olacağı fizibilite çalışmaları ile anlatıldı. Proje için üst yönetim tam anlamıyla desek verdi. Bu projenin uzun soluklu olacağı, her şeyin yolunda gitmeyebileceği, gecikmeler ve sorunlar olabileceği ve maliyetinin de yüksek olacağını yaptığımız toplantılar ile kendilerine aktardık. Karşılıklı fikir alışverişi ile başarılı bir proje ortaya çıkmış oldu.

Proje sonunda ortaya çıkan sonuçları analiz edebildiniz mi? Rakamsal verilerle ifade eder misiniz?(ROI, maliyetlerde yüzdesel azalma, üretim süresinde azalma, hata payının düşmesi vs.)

Projemiz genel anlamda Bilgi güvenliğini, İş sürekliliğini ve Tüm Lokasyonların İzlenmesi konularını maksimum seviyeye çıkartmak üzerine kurulduğu için çıkan sonuçları da anlık olarak izleme ve analiz etmeye başladık. 

27001, KVKK, (Yurtdışı projelerimiz için GDPR), Cumhurbaşkanlığı Dijital Dönüşüm Ofisi isterleri, EPDK, BTK gibi regülasyona tabi olduğumuz şirketlerimiz için bu çalışmaları tek tek yapmak yerine büyük bir konsolidasyon çalışması yaparak, tüm şirket ve lokasyonlarımızın tüm bu hizmetleri tek bir nokta üzerinden almasını sağlayarak mükerrer yazılımlar, kurulumlar, yönetim zorluğu, kapsamlı anlaşmalar, daha fazla iş gücü yerine Merkezi olarak bu kadar ürünü kullanabiliyor ve ayrıca detaylı izlemelerini de yine herkesin yetkisi dahilinde ilgili yönetici arkadaşlarımıza sağlayabiliyoruz.  

Tabii bunun yanında maden, elektrik, doğalgaz dağıtım ve enerji gibi üretim tesislerimizde iş 7/24 devam etmekte. Örnek vermek gerekirse Türkiye’nin sektöründe 2023 ihracat şampiyonlarından (Türkiye ihracat üçüncüsü) Eti Bakır şirketimizin üretiminin aksaması ve işlerin saat, gün veya günler bazında durması demek müşterilere karşı büyük prestij ve bunun yanında maddi kayıplar anlamına gelmekte. Biz de yaptığımız çalışmalarla birlikte sonuçları analiz ederek herhangi bir kesintinin önüne geçmek adına önceden veya çok hızlı geri bildirim alarak daha hızlı önlemlerimizi alıyoruz. 

Ortaya çıkan sonuçları analiz etmek adına tüm sistemlerimizin 7/24 izlenebilir olması, içeriden veya dışarıdan yapılacak saldırılara karşı mümkün olan en üst seviyede korunuyor olması, farklı sektörlerde çalışan şirketlerimizin sağlıklı ve hızlı çalışması anlamına geldiği için, bu da şirketlerimize ve yaptığımız işlere katma değer sağlamakta.

Genel anlamda baktığımızda kapsamlı ve detaylı izlenebilirlik sayesinde yaşanan problemlerde, çok hızlı alarmlar üretebilmekteyiz. Bu da yaşana sorunlara daha hızlı müdahale anlamına gelmekte ve çoğu zaman son kullanıcılar farkına bile varmadan, sorunların çözülmesi anlamına geliyor ve işler devam ediyor. 

Biz eğer tüm kullanıcılarımızı Dijital Dönüşümle birlikte Bilgi güvenliğini de dahil ederek, hızlı ve sorunsuz bir şekilde teknolojik olarak destekleyebiliyorsak, bu da Holding bünyesinde bulunan tüm şirketlerimizin esas işlerine yoğunlaşarak daha fazla üretim, daha fazla işletme ve ülkemize katkı anlamına geleceği için, çalışmalarımızı hiçbir iş kaybı yaşanmaması veya bunu minimumda tutmak üzerine planlıyoruz.  Tüm bunları gerçekleştirmek için projelerimizde çıkan sonuçları çok iyi analiz etmemiz önem arz etmekte. 

Projenizde şirket içinden kaç kişi aktif olarak görev almıştır? Ekip birimleri hakkında kısaca bilgi verir misiniz?

Çalıştığımız firmalar hariç 70-75 kişi (Bursiyerlerimiz dahil). Çalıştığımız firmalar ile birlikte 250+ kişi ile büyük bir ekosistem yaratılmıştır.

Projenizde (varsa)işbirliği kurduğunuz veya destek aldığınız bilişim şirketlerini belirtiniz.

Bu projeler üzerinde aşağıdaki bilişim firmalarının hepsi ile çeşitli konularda çalışmalar ve satın almalar yapılmıştır. (2022 - 2023 – 2024) IST Bilişim (İstanbul Havalimanı işletmesi Cengiz Holding ortaklığıdır), Şartname hazırlık NSC güvenlik yazılımları bakım ve desteği Vsmart, VMware yönetilen hizmet bakım desteği Teknoser, Network ürünleri, Veri Merkezi çalışmaları ve ürünleri Netaş, İşletim sistemi yazılımları, O365, ITSM Yazılım Lisansları Türktelekom, Veri Merkezi hizmeti, Yedeklilik, SD-Wan Barikat, Güvenlik Ürünleri Lisansları & Bilgi Güvenliği Yönetilen Hizmeti & 7/24 İzleme hizmeti (SOC) ITServ, Yedekleme Lisansları, İzleme altyapısı Cloudcan, Yazılım ve süreç danışmanlığı Artı&Artı, Donanım satın almaları, Sanallaştırma lisansları Destel, Güvenlik Ürünleri lisansları, Network ve Sistem güvenliği yönetilen hizmet anlaşması PURE 7 (Yeni anlaşma 2024), Güvenlik Ürünleri lisansları, Network ve Sistem güvenliği yönetilen hizmet anlaşması Securefuture, Network analiz yazılımı Agilis, (E-Mail yedekle

Proje sırasında kullandığınız ve spesifik önemi olan markaları (varsa) belirtiniz. (Yazılım veya donanım markaları)

DELL Exagrid Vmware Trendmocro Microsoft Octoxlabs Cisco Microfocus (Opentext) Paloalto IBM Vectra Forcepoint Cyberark Veeam HPE Huawei Fortinet Veritas Easy to Patch