IAS CTO’su Bahtiyar Tan: “ERP Sistemleri, Kurumların Dijital Kalesidir”
Bildiğiniz gibi ERP sistemleri, kurumların tüm iş süreçlerini tek bir çatı altında toplayarak verimliliği artıran, maliyetleri azaltan ve stratejik karar almayı kolaylaştıran kritik dijital yönetim araçları ve bu alanda hizmet veren IAS’ın modern bir ERP çözümü “Canias ERP” bir çok kurumun işini kolaylaştırıyor. Bundan yola çıkarak özellikle ERP çözümlerinin kurumlar için ne anlam ifade ettiğini ve ne gibi çözümler sunduklarını IAS CTO’su Sayın Bahtiyar Tan’a sorma fırsatı buldum. Kendisine vakit ayırdığı için öncelikle teşekkürlerimi sunuyorum. İşte Modern ERP Çözümü Canias ERP ve ERP Çözümleri Hakkında Merak Edilenler?
1. Dijital dönüşümün yaygınlaşması ve hızlanmasıyla birlikte şirketlerin karşılaştığı siber tehditler nasıl bir evrim geçirdi? Özellikle ERP sistemleri gibi merkezi yapılar, saldırganlar için neden bu kadar cazip bir hedef haline geldi?
Siber tehditler, artık sadece dışarıdan gelen basit virüs saldırıları olmaktan çıkıp, çok daha sofistike ve hedef odaklı operasyonlara dönüştü. Üstelik birçoğu artık yapay zekanın kabiliyetlerinden de faydalanıyor. Dijital dönüşümle birlikte şirketlerin “saldırı yüzeyi” dediğimiz risk alanları genişledi. ERP sistemleri ise bu yeni denklemde, bir şirketin adeta “kalbi” veya “beyni” konumunda. Finans, üretim, insan kaynakları, AR-GE gibi tüm kritik ve hassas veriler artık bu merkezi sistemlerde tutuluyor. Bu yüzden saldırganlar için ERP sistemleri en öncelikli hedeflerden biri haline geldi.
2. Birçok şirket, ERP projelerine öncelikle operasyonel verimlilik penceresinden bakıyor. Veri güvenliğini ikinci plana atmalarının potansiyel maliyetleri nelerdir?
Veri güvenliğini ikinci plana atmanın potansiyel maliyeti sadece finansal kayıplardan ibaret değildir. Üretim hatlarınızın bir fidye yazılımı saldırısıyla durduğunu, AR-GE verilerinizin rakibinizin eline geçtiğini, müşteri bilgilerinizin sızdırılarak marka itibarınızın yerle bir olduğunu düşünün. Maliyet; operasyonel felç, rekabet avantajının kaybı, yasal cezalar ve en önemlisi, yıllarca inşa edilen pazar güveninin sarsılmasıdır. Dijital dönüşümün verimlilik kazanımları, güvenli bir zemin üzerine inşa edilmediğinde bir gecede yok olabilir.
3. ERP sistemleri, tüm veriyi tek bir yerde toplayarak bir risk yüzeyi oluşturuyor gibi görünebilir. Bu algı doğru mu? Yoksa tam tersine, bütünsel bir ERP platformu, veriyi korumak için dağınık sistemlerden daha mı avantajlıdır?
Bu bahsettiğiniz çok yaygın ve tehlikeli bir yanılgı. Veriyi onlarca farklı yazılıma, yüzlerce Excel dosyasına ve farklı departmanların kontrolündeki sunuculara dağıtmak, güvenliği sağlamaz; tam tersine, savunulması daha zor yüzlerce küçük ve zayıf kale yaratır. Bütünsel bir ERP platformu ise tüm veriyi, savunma mekanizmaları en üst düzeyde olan tek ve güçlü bir “dijital kalede” toplar. Tek bir merkezi noktayı en iyi şekilde korumak, yüzlerce dağınık noktayı kısmen korumaktan her zaman daha etkili ve güvenlidir. Önemli olan o kalenin ne kadar sağlam inşa edildiğidir.
4. Modern bir ERP sisteminin, bir şirketin siber güvenlik stratejisine sağladığı temel katkılar nelerdir? Yetkilendirme, veri şifreleme ve izlenebilirlik gibi konularda ERP’ler ne gibi standartlar sunmalı?
Modern bir ERP, siber güvenlik stratejisinin önemli bir uygulama alanıdır. İlk olarak, rol bazlı yetkilendirme ile “herkesin her şeyi görmesi” riskini ortadan kaldırır; bir çalışanın sadece kendi işiyle ilgili verilere erişmesini sağlar. İkinci olarak, hem veritabanında tutulan veriyi (at rest) hem de ağ üzerinde hareket eden veriyi (in transit) güçlü algoritmalarla şifreleyerek okunamaz hale getirir. Üçüncü ve en önemlisi, sistemdeki her bir işlemi kaydeden detaylı izlenebilirlik (audit logs) sunar. Bu sayede, şüpheli bir aktivite olduğunda, “kim, ne zaman, hangi veriye erişti” sorusunun cevabı anında bulunabilir
5. IAS olarak sizin veri güvenliği felsefeniz nedir? Güvenliği, ürünlerinize sonradan eklenen bir özellik olarak mı, yoksa en başından mimarinin bir parçası olarak mı ele alıyorsunuz?
Bizim için güvenlik, ürünlerimizin ve teknoloji platformumuzun kurgu ve gelişim sürecinde ön planda tutulan bir ilkedir. Yazılım geliştirme sürecimizin en başından, yani kodun ilk satırından itibaren güvenlik prensiplerini uygularız. Felsefemiz basit: Eğer bir sistem temelden güvenli değilse, üzerine ekleyeceğiniz hiçbir kilit onu gerçekten güvenli kılamaz.
6. Canias ERP’nin güvenlik mimarisini rakiplerinden ayıran temel özellikler nelerdir? Kendi veritabanınız iasDB’yi kullanmanız veya ISO 27001 gibi uluslararası sertifikalara sahip olmanız, müşterilerinize ne gibi somut güvenceler sağlıyor?
Bizi rakiplerimizden ayıran birkaç temel nokta var. Birincisi, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikamız. Bu belge sunduğumuz BT hizmetlerinin uluslararası denetimden geçtiğinin ve sürekli olarak iyileştirildiğinin kanıtıdır. İkincisi, kendi veritabanı teknolojimiz olan iasDB’yi kullanmamız. Bu özgün teknoloji, yaygın kullanılan ve siber saldırganlar tarafından her gün sayısız kez açığı aranan veritabanlarına yönelik geliştirilen standart saldırı tiplerine karşı doğal bir koruma sağlar ve tüm katmanlarda (veritabanı, platform, uygulama) güvenliği bütünsel olarak yönetmemize olanak tanır. Üçüncüsü ise kendi yazılım geliştirme platformumuz TROIA sayesinde, güvenlik güncellemelerini ve yamalarını çok hızlı bir şekilde tüm müşterilerimize dağıtabiliyoruz.
7. Güvenlik sadece teknoloji değil, aynı zamanda bir süreç yönetimidir. IAS, müşterilerin güvenli bir dijital dönüşüm süreci geçirmeleri için onlara nasıl bir rehberlik sunuyor?
Kesinlikle. En güçlü teknoloji bile yanlış yapılandırılırsa zayıf kalır. Biz müşterilerimize sadece bir yazılım vermiyoruz; onlarla birlikte çalışarak, rol ve yetki tanımlarını doğru bir şekilde yapılandırıyoruz. Hangi kullanıcının hangi ekrana erişeceğini, hangi onayın kimden alınacağını, veri erişim seviyelerini en detaylı şekilde belirleyerek, teknolojinin en güvenli ve en verimli şekilde kullanılmasını sağlıyoruz. Yani sadece kaleyi inşa etmiyor, aynı zamanda o kalenin kurallarını da birlikte yazıyoruz.
8. Yapay zeka ve bulut bilişim gibi yeni teknolojiler, ERP güvenliği alanında ne gibi yeni fırsatlar ve tehditler getiriyor? IAS olarak bu geleceğe nasıl hazırlanıyorsunuz?
Bu teknolojiler iki ucu keskin bir kılıç gibi. Bulut bilişim, doğru yapılandırıldığında, tek bir şirketin tek başına sağlayamayacağı kadar güçlü bir fiziksel ve ağ güvenliği altyapısı sunuyor. Biz de canias ERP’nin bulut versiyonlarında, bu altyapıyı kendi uygulama katmanı güvenliğimizle birleştirerek çok katmanlı bir koruma sağlıyoruz. Yapay zeka ise en heyecan verici alan. Sistemdeki anormallikleri (örneğin bir kullanıcının normalde hiç erişmediği bir rapora gece yarısı erişmeye çalışması gibi) tespit eden ve tehditleri daha oluşmadan engelleyen yapay zeka destekli güvenlik modülleri üzerinde çalışıyoruz. Amacımız, savunmayı reaktif olmaktan çıkarıp, proaktif ve öngörülü bir hale getirmek. Bizim için nihai hedef ise güvenliği müşterilerimiz için bir endişe kaynağı olmaktan çıkarıp, onların gönül rahatlığıyla kendi işlerini büyütmelerine odaklanmalarını sağlayan, görünmez bir güce dönüştürmek.
9. Güvenlikte en zayıf halkanın genellikle ‘insan’ olduğu söylenir. Bir çalışanın yanlışlıkla bir oltalama e-postasına tıklaması veya yetkilerini kötüye kullanması gibi riskler, en güçlü teknolojik savunmaları bile aşabilir. caniasERP, bu içeriden gelen insan kaynaklı riskleri yönetmek ve denetlemek için müşterilerinize ne gibi araçlar ve mekanizmalar sunuyor?
Bu son derece doğru ve önemli bir nokta. Güvenlik, sadece dışarıdan gelen saldırılara karşı bir duvar örmek değildir; aynı zamanda içerideki riskleri de yönetmektir. Canias ERP bu konuda çok katmanlı bir kontrol mekanizması sunuyor. Birincisi, sadece rol bazında değil, ekran, alan, hatta tek bir buton bazında detaylı yetkilendirme yapabiliyoruz. Bu sayede bir çalışanın görmemesi gereken tek bir veriye bile erişmesini engelliyoruz. İkincisi, kritik işlemler için dijital onay mekanizmaları kuruyoruz. Örneğin, yüksek meblağlı bir ödeme emrinin, iki farklı yöneticinin onayı olmadan sistemden çıkmasını engelleyebiliyoruz. En önemlisi ise sistemdeki her bir tıklamanın, veri girişinin veya rapor görüntülemenin kaydını tutan kapsamlı “iz kayıtlarımızdır” (audit logs). Bu sayede, şüpheli bir işlem olduğunda ne yaşandığını tam olarak görebiliyoruz.
