Codecast#37 - Türkiye İş Bankası’nda BT Denetim Kariyeri

Ahmet Hoşgör:
— Herkese merhabalar. Ben Ahmet, Coderspace'ten. Coderspace'in podcast serisi Codecast'in yeni bir bölümüyle karşınızdayız. Otuz yedinci bölüme geldik ama yani bu bölümde şu ana kadar yaptığımız bölümlerden farklı bir bölümle karşınızdayız. Bilgi teknolojileri tarafında aslında denetim kariyeri konuşacağız.
Ömer Bahadır Sungur bizlerle. Türkiye İş Bankası'ndan bilgi teknolojileri müfettişi olarak çalışıyor. Merhabalar Bahadır Bey, hoş geldiniz.
Ömer Bahadır Sungur:
— Merhabalar Ahmet Bey, hoş bulduk. Nasılsınız?
Ahmet Hoşgör:
— İyiyim, siz nasılsınız? Her şey yolunda umuyorum.
Ömer Bahadır Sungur:
— Teşekkür ederim, iyiyim. Şimdilik her şey yolunda.
Ahmet Hoşgör:
— Güzel, güzel. O zaman aslında daha önce yapmadığımız bir alan olduğu için bu alanı birazcık derinliklerine değineceğiz ama önce bir sizi tanıyabiliriz: Nasıl bir kariyerle buradasınız, İş Bankası'nda neler yapıyorsunuz? Sizi tanımak isteriz.
Ömer Bahadır Sungur:
— Tabii ki. Bahadır Sungur ben. Otuz yaşındayım. 2017 Ağustos ayında Türkiye İş Bankası Teftiş Kurulu'nda işe başladım. Bundan önce Galatasaray Üniversitesi Siyaset Bilimi bölümünden mezun olmuştum.
2017’de özellikle ağustos ayından itibaren aslında ben finansal denetim tarafında göreve başlamıştım. Burada belirli bir süreçte şube denetimi, genel müdürlük denetimi gibi faaliyetlerde bulundum fakat daha sonra çeşitli süreçleri tamamlayarak bilgi teknolojileri denetimi tarafına geçtim. Yaklaşık dört yıldır da bilgi teknolojileri müfettişi olarak görev yapıyorum.
Ahmet Hoşgör:
— İş Bankası'yla şu ana kadar çok fazla podcast çektik ve biraz daha böyle hani dinleyicilerimizin “evet, bu İş Bankası'nda böyle yapılıyordur” diye az çok tahmin edebildiği alanlarda yaptık bunu ama bilgi teknolojilerinde aslında IT tarafı açıkçası benim bile çok fazla böyle bilgimin çok da yüksek olmadığı bir alan. Bu açıdan siz bu alana yöneldikten sonra nelerle karşılaştınız? İş Bankası'nda nasıl bir ekip var? Neler yapıyorsunuz? Bu bilgi teknolojileri denetim kariyeri hakkında sizden biraz bilgi almak harika olur.
Ömer Bahadır Sungur:
— Tabii ki. Dediğim gibi ben esasen bilgi teknolojileri denetçisi olarak işe başlamadım. Belirli bir süre sonra çeşitli aşamalardan geçerek BT müfettişi oldum. Bunu ilerleyen dakikalarda açıklarım zaten.
Ben bu noktada ilk başta Teftiş Kurulu'nun işe alım süreci ve nasıl BT müfettişi olunur kısmı üzerinde durmak istiyorum. Evet. Bizim bankamızda diğer yapılara nazaran farklı bir işe alım süreci var. Onda da şunu söyleyebilirim: Müfettişlik genel bir havuz olarak ilana çıkıyor, yani BT müfettişi diye ayrı bir işe alım ilanı yok.
Bu da bankanın aslında bir politikası. Çünkü tüm müfettişlerin, BT denetimine girsin girmesin, belirli bir finansal risk ya da bankacılık riski algısına sahip olması planlanıyor kurula girdiğinden itibaren. Bu bağlamda da kurula girdiğinizde hemen üç aylık bir eğitim programına tabi tutuluyorsunuz. Burada işte hukuk, muhasebe, temel bankacılık ürünleri gibi derslerin yanı sıra teknoloji tarafında da Python, SQL, BT mimarisi, BT mevzuatı gibi eğitimler de alıyorsunuz. Daha sonra bir süre boyunca şube ve genel müdürlük denetimlerinde biraz zaman geçirmeniz isteniyor ki sadece BT’ye hâkim olmayın.
Bankacılık tarafında, iş birimi tarafında neler dönüyor, oranın gündemi nedir, oranın riskleri nelerdir; önce o tarafa hâkim olun, daha sonra bankanın teknoloji tarafına geçiş yapın şeklinde bir kurgu var. Ben de bu kurgudan ilerlemiştim. Dediğim gibi bu başlangıçta temel şeyleri yaptıktan sonra bankamızda BT müfettişi olmak için aslında yapılması gerekenler gayet standardize edilmiş durumda. Yani yazılı hâlde bulabiliyorsunuz. Bunun için ilk başta tabii bir ilginizin olması lazım.
Burada birtakım sertifikalar var. Yani hem yasal olarak zorunlu alınması gereken hem bizim bankanın iç mevzuatı gereği sizin almanız gereken birtakım şeyler var. Birinci sertifika CISA dediğimiz Certified Information Systems Auditor sertifikası. Bu sınavı geçmeniz bekleniyor. Bu yasal bir zorunluluk zaten.
İkinci sertifika ise burada bir seçmeli durum söz konusu. Ya CISSP yani Certified Information Systems Security Professional ya da OSCP yani Offensive Security Certified Professional sertifikasının sınavını başarıyla tamamlamanız gerekiyor. Bu iki adımı tamamladıktan sonra aslında resmî olarak siz BT müfettişliği title’ına diyelim hak kazanıyorsunuz. Genel olarak bir BT müfettişi nasıl olunur kısmı böyle.
Zannediyorum sorunuzun bir kısmı da şuydu: BT müfettişliği nasıl bir kariyer, ne yapıyoruz diye, yanlış hatırlamıyorsam.
Ahmet Hoşgör:
— Aynen öyle.
Ömer Bahadır Sungur:
— BT müfettişliği esasında şöyle özetlemem gerekirse, biliyorsunuz bankacılık sektörü hatta genel olarak finans sektörü teknolojiyle çok içli dışlı bir alan. Yani bankalar, finans kuruluşları son teknolojiye en fazla adaptasyon sağlayan, bunları iş süreçlerine dâhil eden, bir şekilde müşterilerine katma değer sunan kuruluşlar. Tabii bunların katma değerinin yanı sıra birtakım riskleri de var. Yani teknoloji riski bankaların, finansal kuruluşların çok maruz kaldığı bir risk türü. Örnek vermek gerekirse biraz somutlaştıralım.
Bilgi güvenliği riskleri, siber güvenlik riskleri olabilir. Son dönemde belki birkaç case'den hatırlayacağınız iş sürekliliği, hizmet sürekliliği riskleri olabilir. Bunun yanı sıra tabii işin bir de veri tarafı var. Yani veriyi kullanarak birtakım fraud case'lerinin tespit edilmesi gibi işleri de yapıyoruz. Temel olarak bu riskler konusunda biz bankanın maruz kaldığı teknoloji riskini makul şekilde yönettiği, gerekli kontrolleri tasarladığı, gerekli iç kontrol ortamına sahip olduğu konusunda yönetim kurulumuza bir güvence sağlıyoruz.
Makul bir güvence. Burada yönetim kurulu tarafını vurgulamam gerekir. Biz Teftiş Kurulu olarak yani iç denetim fonksiyonu olarak doğrudan yönetim kuruluna bağlı olarak faaliyet gösteriyoruz.
Ahmet Hoşgör:
— Sizin bahsettiğiniz hani o BT olmayan taraftan geldiniz, sonra BT audit'e ilerlediniz. Genelde böyle mi oluyor? Yoksa yani bilgisayar mühendisliği olup ya da işte farklı mühendisliklerden olup ama ben işte audit tarafına kaymak istiyorum diyenler de oluyor mu? Orada bir yoğunluk var mı herhangi bir tarafta?
Ömer Bahadır Sungur:
— Şöyle: Formasyon itibarıyla teknolojiye daha yatkın olan kişilerin sayısı bizim ekibimizde daha fazla diyebilirim. Ama bununla beraber bu bir zorunluluk değil. Mühendislik background'undan geleceksiniz diye bir zorunluluk yok. Ama tabii ki mühendisler de ekibimizde var. Bunun yanı sıra daha böyle eşit ağırlık diyebileceğimiz, İktisadi ve İdari Bilimler Fakültesi'nden gelen bilgi teknolojileri müfettişlerimiz de var.
Bu noktada işte biraz sizin kurula girdikten sonraki gelişiminize, teknoloji tarafınızı nasıl keskinleştirdiğinize, sertifikasyon başarınıza vesaireye de bakılıyor.
Ahmet Hoşgör:
— Aslında böyle arka tarafta gibi gözüken bir rol ama bir yandan bir banka en çok maalesef kötü anlamda ses getirdiği zamanlardan bir tanesi bu. Dediğiniz gibi hizmet vermesinin durduğu anlar vesaire gibi olabilir. Yani işte verilerin sızdırılmasıyla ilgili kötü şeyler olabilir. Siz bir sürü problemli durumu aslında önden engelliyorsunuz bu anlamda. Tabii buralar içerisinde böyle teknik olarak yaptığınız bazı programlar olabilir, işte ekipçe gerçekleştirdiğiniz bazı projeler ya da yaptığınız işler olabilir.
Bunlardan detaylar verebilir misiniz? Yani dinleyenlerin daha da somutlaştırması için çok daha iyi olacak.
Ömer Bahadır Sungur:
— Tabii ki. Ben hem genel olarak bu alanlarda ne yaptığımızdan da bahsedeyim, somut örneklerden de size bahsedeyim. Bilgi güvenliği ve siber güvenlik riski dedik mesela. Çok genel bir tabir. Tabii şimdi bankaların milyonlarca müşterisi var bizim İş Bankası'nda, milyonlarca müşterinin ürettiği veriler var.
Bu verilerin gizliliğinin, erişilebilirliğinin ve bütünlüğünün sağlanması lazım. Bunun için de çeşitli sistemlerin, çeşitli kontrollerin kurgulanması lazım. Örnek vermek gerekirse işte yetkilendirme sisteminin kurulması lazım ve gözetilmesi lazım. Yahut bir veriye yetkisiz erişim oldu mu, dışarıdan uygunsuz bir şekilde erişildi mi konusunda birtakım monitoring yani izleme mekanizmalarının kurulması lazım gibi şeyler var.
Bunlara dair incelemeler gerçekleştiriyoruz. Keza iş sürekliliği tarafında işte gerekli iş sürekliliği mekanizmaları ve süreçleri kurgulanmış mı, bunların testleri yapılıyor mu gibi kontrollerimiz de oluyor. Bir de bunun yanı sıra bilgi teknolojileri müfettişinin veri tarafıyla da çok içli dışlı olduğunu söyleyebiliriz. Bazı bilgi teknolojileri müfettişleri işte gerek kurulun veri setlerinin hazırlanması, kaynakların tespit edilmesi, gerek yapay zekâ, birtakım analitik araçlarla bazı fraud olaylarının tespit edilmesi veya önlenmesi gibi faaliyetleri de yürütüyorlar.
Ahmet Hoşgör:
— Yayın öncesinde de biraz konuşmuştuk yani spesifik bir projeniz var ve “hadi bunu yapalım” gibi olmuyor da devamlı aslında bunları yapıyor olmanız lazım herhâlde bunları yakalayabilmeniz için. Dolayısıyla böyle BT denetim tarafına katılan yeni bir kişiyi düşünelim. O nelerle karşılaşıyor? Yani önünde böyle bir program var ve denetim yapılacak, sıra sıra bazı ekipler mi oluyor? Tam bir günü ya da bir haftası, bir çalışma dönemi nasıl geçiyor sizin tarafta? Özellikle yeni başlayanlar için.
Ömer Bahadır Sungur:
— Şimdi bahsettiğiniz gibi aslında bizim programlarımız kabaca diyelim altı aylık periyotlarda belirleniyor. Yani yılın altı ayı bir işle uğraşıyorsunuz, diğer altı ayı başka bir işle uğraşıyorsunuz. Bu bağlamda altı aylık sürelerde belirli ekiplerle çalışıyorsunuz. Bizim günümüz nasıl geçiyor diyecek olursanız, bizim ilk önce çalışma düzenimizden bahsedeyim. Üç gün ofis, iki gün ev şeklinde bir hibrit çalışma düzenimiz var.
Burada da tabii bir günümüz bir günümüzü tutmayabilir. Bu sıralar mesela 2 Mayıs itibarıyla bankamızın dış hizmet ya da destek hizmeti aldığı üçüncü taraf firmaların birtakım denetimleri oluyor, bilgi sistemleri denetimi. Onlarla uğraşıyoruz ve bu sıralar işte günün açılışında bir daily’imizi yapıyoruz ekip olarak. Şu an benim ekibim altı kişilik bir ekip, kalabalık da bir ekip.
Daily’imizi yapıyoruz. Burada işte ekibimiz içindeki zorluklardan, yapılması gereken işlerden, kaldırılması gereken engellerden bahsediyoruz. Daha sonra herkes kendi çalışmasına yönelik işleri yürütüyor. Burada da genel olarak yaptıkları şey nedir derseniz, denetlenen taraflarla toplantılar yapmak, onların bize göndermiş olduğu birtakım işte denetim kanıtları dediğimiz politika, prosedür, ekran görüntüsü, iz kaydı, log kaydı gibi uzatabileceğimiz o dokümantasyonu kontrol etmek, bir bulgu varsa yani aksaklık dediğimiz bir husus varsa bu aksaklığı denetlenen tarafa iletmek, mutabık kalmaya çalışmak — orada bir mutabakat süreci işletiyoruz — bulguyu yazmak, raporlamak gibi geçiyor diyebiliriz.
Burada bahsetmek istediğim belki bir husus daha olabilir. Bankadaki çevik çalışma, çevik dönüşüm trendinden kurulumuzun da gayet yüksek ölçüde etkilendiğini söyleyebiliriz. Biz de bu yılın başından itibaren çevik çalışma düzenine, çevik kültüre uyum sağlamış durumdayız.
Ahmet Hoşgör:
— Harika, evet. İş Bankası gerçekten çok ciddiye aldı. Yani o bir hype oldu ama İş Bankası için öyle olmadı gördüğüm kadarıyla. Bütün ekipler neredeyse o tarafta ciddi ciddi süreçlerini Agile’a çevirdiler.
Burada şeyi merak ettim. Yani sizin o antivirüs hikâyesinde de aslında bir teknik bilginizin de belli bir seviyede olması gerekiyor denetleyebilmek için. Orada nasıl bir şey var?
Yani bir ne bileyim yazılım dili bilinmesi vesaire bekleniyor mu ya da ne seviyede bir bilgi bekleniyor ya da sizin eksik kaldığınız noktalarda böyle destek aldığınız birileri mi oluyor ya da ekiplere, iş kollarına mı soruyorsunuz? Bunun için eğitimler alıyor musunuz? O teknik tarafı biraz merak ettim yani. Audit’in BT kısmındaki bilgi seviyesi nasıl gelişiyor, onu çok merak ettim.
Ömer Bahadır Sungur:
— Aktarayım. Belirli bir teknik olgunluğa tabii sahip olmanız gerekiyor. Bu bağlamda bankanın tüm BT müfettişleri zaten standart olarak Python ve SQL eğitimi alıyor ve belli bir seviyeye gelmeleri amaçlanıyor. Bu işin veri analitiğiyle olan kısmı.
Tabii işimiz sadece veri analitiği değil. Yani dediğiniz gibi bankanın sunucuları, veri tabanları, uç nokta güvenlik sistemleri, yazılım geliştirme süreçleri gibi her şeyi biz denetleyebiliyoruz. Teftişin de aslında temel challenge’ı burada. Yani çok farklı konuları inceleyip birden adapte olup oradaki aksaklıkları, en azından temel aksaklıkları bulmanız gerekiyor.
Bu bağlamda da çok özel, çok spesifik bir konu verilirse size — örnek veriyorum veri tabanı denetimi diyelim yahut bir sunucu denetimi diyelim — o sunucudan gerekli bilgileri almanız, işte oranın kontrol, yönetici paneli, command line gibi araçlarını etkin bir şekilde kullanmanız için gerekli eğitimler aslında spontane şekilde sağlanıyor.
Yani kurum içi veya kurum dışı eğitim faaliyetleri oldukça yaygın. Örnek vermek gerekirse ben sizinle bugün programın başında konuşurken bir eğitimden geldiğimi söylemiştim. Bulut güvenliği eğitimi görüyorduk mesela. Halbuki bankalar mesela o kadar da bulutu kullanan yapılar değil. Regülatif kısıtlar var, evet. Ama mesela Teftiş Kurulu Başkanlığı bu alanda bizim bir gelişme sağlamamız açısından o eğitimi bize sağlamış durumda. Biz de işte birkaç gün boyunca o eğitimi alacağız.
Dolayısıyla dediğim gibi yani burada sizin ihtiyaç duyduğunuz o teknik gereklilikler gerek ekip üyeleri tarafından, yani tecrübeli ekip üyeleri tarafından — o da sağlanamıyorsa — dışarıdan veya içeriden (içeriden kastım banka içindeki BT ekipleri de olabilir) böyle kısa bir instruction, eğitim şeklinde size veriliyor.
Ahmet Hoşgör:
— Evet, evet. Yani kendi içlerinde bir denetim, ufak bir test mekanizmaları oluyor ama tabii sizin denetimdeki bilgi seviyenizin daha da yüksek olması lazım. Denetimin ve danışmanlığın dediğiniz gibi galiba challenge’ı bu oluyor.
En başta şeyi de konuşmuştuk, o hani BT audit tarafına geçmek için… Bizim İş Bankası’nda sorguladığımız şeylerden biri de eğitim ve rotasyon imkânları. Siz aslında birazcık BT harici taraftan BT audit’e geçmiştiniz.
Oradaki süreç nasıl oldu? Bir eğitim alıp bir sınav gibi mi oluyor? O tarz böyle yer değiştirmeler sık oluyor mu, mümkün oluyor mu? Bu da potansiyel çalışanların merak ettiği konulardan biri oluyor. Özellikle bu yeni kuşak şirket değiştirmese de şirket içinde biraz değişiklik yapmayı seviyor.
Ömer Bahadır Sungur:
— BT denetimi tarafına geçişi soruyorsunuz değil mi?
Ahmet Hoşgör:
— Evet, doğru.
Ömer Bahadır Sungur:
— BT denetimi tarafına geçiş şöyle işliyor tam olarak. Bir, zaten sizin eğitimlerinizde sizin o yetkinlikleriniz, eğilimleriniz bir şekilde analiz ediliyor. Yani bu kişi, bu müfettişin ya da müfettiş yardımcımızın diyelim, daha çok teknoloji tarafına eğilimi olup olmadığı, ilgisi olup olmadığı bir şekilde ölçülüyor zaten.
Bunun yanı sıra bahsettiğim gibi birtakım sertifikasyonlar var. Bu sertifikasyonların alınmasını bankamız ve Teftiş Kurulu Başkanlığı zaten teşvik ediyor. Yani bunlara giriyorsunuz; geçmeniz durumunda mesela banka tarafından karşılanan sınavlar.
Bu noktada iki tane aşama saymıştım. Biri CISA sertifikası, diğeri de CISSP ya da OSCP sertifikası. Bunları almanız durumunda zaten resmi olarak şartları sağlamış oluyorsunuz. Temel olarak bunu söyleyebilirim ama daha merak ettiğiniz bir şey varsa da açayım.
Ahmet Hoşgör:
— Yo yani aslında hani bu sağlanabiliyor mu, sağlanıyor mu biraz bunu merak etmiştim. Yani hem eğitimler hem de rotasyon imkânları sorulan noktalardan biri oluyor ama ikisini de zaten yaptığınızı görmüş olduk.
Ömer Bahadır Sungur:
— İç rotasyon vesaire dediğim gibi. Mesela ben üniversite formasyonum itibarıyla çok teknolojiyle içli dışlı olan bir alandan değildim ama bu noktadaki ilgimi, alakamı kanıtlanabilir bir şekilde gösterdiğim için bir şekilde bu ekibe transfer oldum. Bu ekibe transfer olduktan sonra da zaten genel itibarıyla çok istisnai şeyler olmadığı sürece yine teknoloji tarafında denetimlere devam ediyorsunuz.
Ahmet Hoşgör:
— Hem aslında teknoloji tarafına ilgi duyan ama işte tüm gün kod yazmak vesaire istemeyen de bir kitle var. Yani bu kitle için ilginç, farklı bir kariyer yolu aslında BT denetimi. Özellikle banka gibi büyük kurumlarda, İş Bankası’nda tabii deneyimlenebilecek bir alan. Her şirkette de olabilecek bir alan değil.
Son olarak böyle aslında kapatmadan size bir şey de sorabilirim. Siz hangi profilleri arıyorsunuz? Kimler böyle başvursa sizce onlar da mutlu olur, siz de mutlu olursunuz şirket olarak? Ve nereden başvurabilirler gibi biraz daha böyle kariyer ve iş ilanı tarafına yönlendirme, rehberlik gibi bu şekilde bir bölümle kapatabiliriz.
Ömer Bahadır Sungur:
— Tabii ki. Aslında az önce güzel bir noktaya parmak bastınız. Bu hani tüm gün kod yazmak istemeyen ya da bir alanda kendini sıkıştırmak istemeyen kişiler için BT denetimi şöyle bir alan sunuyor aslında; yani siz bir BT denetçisi olduğunuz zaman İş Bankası’nda hem yazılım geliştirme tarafını denetleyebiliyorsunuz hem iş sürekliliği tarafını, bilgi güvenliği, siber güvenlik yahut çok çeşitli bilgi varlıkları — sunucu, veri tabanı, ağ varlıkları gibi — konuları denetlediğiniz için tüm bu altyapı ögelerine, teknoloji süreçlerine temel seviyede hâkim oluyorsunuz.
Ve aslında bankanın, hatta sektörün belki, o teknolojik altyapısına, teknoloji ekiplerine bütüncül bir bakış geliştirebiliyorsunuz. Bu da temel olarak size nasıl bir avantaj sağlıyor? Aslında iyi bir yönetici background’u, bir altyapısı sağlıyor. Çünkü tüm ekipleri aşağı yukarı tanıyorsunuz, tüm süreçlere aşağı yukarı hâkimsiniz. Bir işi yönetmeye çalıştığınızda aslında bir ölçüde rakiplerinizden önde olabiliyorsunuz bu açıdan.
Teftişi, BT denetimini ne önerebilirim, hangi kişiler buna uygundur diyecek olursanız esasında bir kere denetim tarafına gelecek arkadaşlarımızın meraklı olması lazım. Çünkü çok farklı case’lerle karşılaşacaksınız ve bu case’leri hemen okuyarak, uluslararası uygulamalara bakarak, gerekirse ekiplerle görüşerek kavrayacak bir merakınızın, bir özverinizin olması gerekiyor.
Dolayısıyla özverili ve meraklı olan kişilere, sürekli bir şeyler öğrenme derdinde olan, kendini geliştirme derdinde olan kişilerin BT denetimini tabii ki tavsiye ederim.
İlaveten biraz artık analitik bir bakış da gerekiyor meselelere. Çünkü size bir görev verilecek. O görevin içerdiği, o işte görevin konusunun içerdiği birçok risk var. O riskleri değerlendirmek için biraz böyle analitik düşünce yapısına sahip olmanız gerekir.
Temel olarak bunları sayabilirim.
Ahmet Hoşgör:
— Yani bana böyle şey gibi geliyor hep: Danışmanlık ve denetim konuları biraz Sherlock Holmes dizisi gibi. Her bölümün farklı bir hikâyesi oluyor ya. Sizde muhtemelen altı ayda bir konu değişiyor. Bu da aslında çalışanlar için keyifli ve heyecanlı bir şey gibi geliyor bana. Çünkü diğer türlü birazcık konfor alanında hep aynı şeyleri yapma gibi bir risk olabiliyor.
Çok teşekkürler Bahadır Bey. Çok keyifli ve farklı bir sohbet oldu. Katılımınız için çok teşekkür ediyorum.
Ömer Bahadır Sungur:
— Ben de çok teşekkür ederim. Benim için de çok keyifli bir sohbetti.
Ahmet Hoşgör:
— Bugün Ömer Bahadır Sungur’la beraberdik. Türkiye İş Bankası’nda bilgi teknolojileri müfettişi olarak çalışıyor. Farklı bir konuk, farklı bir içerikle bugünü tamamladık. Umarım sizin için de çok keyifli olmuştur. İyi günler Bahadır Bey.
Ömer Bahadır Sungur:
— İyi günler.