Metro İstanbul Bilgi Sistemleri Departmanı Müdürü Cihat Yediyıldız: “GÜNDEMİMİZDE PAM VAR”

“Türkiye’nin en büyük şehir içi raylı sistem operatörü olan Metro İstanbul, dijitalleşme ve bilgi güvenliği alanındaki yatırımlarıyla örnek olmaya devam ediyor. Siber tehditlerin sürekli evrildiği bu çağda, Metro İstanbul’un bilgi güvenliği stratejisini, kullanılan teknolojileri ve gelecek planlarını anlatmaya çalışacağım.

Metro İstanbul’un güvenlik mimarisi, çok katmanlı bir yapıya sahip. Uç nokta güvenliği ve veri kaybı önleme (DLP) konularında Trellix platformunu kullanan şirket, bunun yanı sıra birçok farklı güvenlik çözümünü entegre şekilde çalıştırıyor. Ancak güvenliği sadece yazılım temelli değil, süreç temelli olarak gören Metro İstanbul, bu teknolojileri 7/24 izlenen bir yapı içine entegre etmiş durumda. Şirketimizin dijital altyapısı, İBB’nin SOC (Security Operations Center) Merkezi üzerinden sürekli olarak izleniyor. Anomali tespiti durumunda anlık müdahalelerle olaylara karşı proaktif aksiyonlar alabiliyoruz. Bu sayede sadece tespit değil, hızlı müdahale de sistematik hale geliyor. Metro İstanbul, her yıl bilgi güvenliği alanında yeni yatırımlar yapıyor. Ancak bu yatırımlar sadece bütçe ile değil; insan kaynağı ve zaman planlamasıyla da doğrudan ilişkili. Şirketin bu konudaki yaklaşımı oldukça net: Güvenlik uygulamalarını şirketimize kazandırmak elbette önemli. Ancak asıl zorluk, bu teknolojilerin doğru şekilde kurgulanması, etkin yönetilmesi ve elde edilen verilerin anlamlı çıktılara dönüştürülmesidir. Raporları yorumlayıp doğru aksiyonlara dönüştüremiyorsak, güvenlik sadece kağıt üzerinde kalır.’ Şirketin gelecek hedeflerinden biri ise Privileged Access Management (PAM) çözümünü bilgi güvenliği altyapısına dahil etmek. Bu sayede sistem yöneticisi gibi yüksek yetkili kullanıcıların erişimleri kontrol altına alınacak. Şu anda PAM çözümümüz bulunmamakta ancak bu konuda somut planlarımız var. Önümüzdeki 1 yıl içerisinde, bu kritik güvenlik katmanını sistemimize entegre etmeyi hedefliyoruz. Metro İstanbul, yalnızca ulusal değil uluslararası standartlara uygunluk açısından da ön planda. Kurum, kalite belgelerinin ötesine geçerek aşağıdaki bilgi güvenliği sertifikalarına da sahip:

• ISO 27001:2022 – Bilgi Güvenliği Yönetim Sistemi
• ISO 20000 – BT Hizmet Yönetim Sistemi
• ISO 15504 & ISO 33002 – Yazılım Süreç Değerlendirme ve Yeterlilik Modeli

Bu sertifikalar, bizim bilgi güvenliği süreçlerini sadece teknik bir konu olarak değil; yönetimsel, operasyonel ve sürekli iyileştirmeye açık bir yapı olarak ele aldığımızın göstergesidir. Her yıl bu standartlar çerçevesinde denetleniyor ve gelişim alanlarımızı belirleyerek yeni hedefler koyuyoruz. Metro İstanbul’a göre bilgi güvenliği bir hedef değil, sürekli devam eden bir yolculuk. Bu yolculukta teknolojik araçlar kadar, insan kaynağı, farkındalık ve doğru süreç yönetimi de kritik rol oynuyor.  Bu sebeple çevik bir şekilde her yıl daha fazla çalışarak Raylı sistemlerde yolculuk eden misafirlerinize daha konforlu, hızlı ve güvenli hizmet için çalışmaya devam ediyoruz.”