GÜVENLİK YÖNETİMİNİN KURUMSAL İŞLETMELERDEKİ “EVRİMİ”

Genel bir ifadeyle tanımlamak gerekirse, kurumsal şirket tek bir kişinin mutlak yönetimine bağlı olmadan çalışma ve karar süreçlerinin işletmenin ilkelerine, kültürüne ve belirli kurallara bağlı olarak yerine getirildiği işletmelerdir. Şirket içerisindeki bölümler bu prensiplere göre şekillenir ve işleyişlerine devam ederler. Güvenlik yönetimi de kurumsal şirketlerde diğer bölümler gibi ihtiyaçlara, şirketin yapısına, kurallara ve risk değerlendirmelerine göre şekillenerek “Kurumsal Güvenlik” yapısına dönüşür.

Uçtan uça kurumsal yapıya sahip bir işletmede güvenlik yönetimi klasik ve dar anlamıyla değil en geniş anlamıyla evrilerek “idari bir sorumluluk “olmaktan çıkar ve işletmenin zararlı risklerinin yönetiminde ve karar yapılarında önemli bir kurumsal organ haline gelir. Bir işletmenin eko sisteminde ( hizmet aldığı taşeronları ve iş ortakları dahil olmak üzere) yer alan en temel varlıklarından olan fiziksel ortamı(physical world), sayısal(logical world ) ortamı, insan kaynağı ve müşterilerinin zararlı risklere karşı korunması için Kurumsal Güvenlik fonksiyonları tarafından risk değerlendirmeleri, proaktif önlemler, gerekli müdahaleler ve düzeltici faaliyetler yerine getirilir.

Kurumsal Güvenlik Bölümleri homojen yapılar değillerdir. 300 personeli olan bir kurumsal işletmenin güvenlik yönetimi ihtiyacı ile 3000 personeli olan kurumsal bir şirketin ihtiyacı nasıl farklılıklar gösterecekse, o şirketin ulusal ve / veya uluslararası düzeyde faaliyet gösteriyor olması, bulunduğu ülkedeki bazı lokal yasalar ve uygulamalar gibi daha bir çok farklı değişken de Kurumsal Güvenlik Bölümünün çerçevesinin ve sorumluluk alanlarının belirlenmesinde önemli rol oynayacaktır. Buna göre de Kurumsal Güvenlik çatısı altında o işletmenin yapısına, varlıklarına, risklerine ve sektörüne göre fonksiyonlar yer alacaktır. Bu fonksiyonlar sorumluluk alanlarına göre farklı disiplinlerle direk ve dolaylı olarak sürekli etkileşim halinde olacaktır.

Örnek olarak 3000+ personeli olan, hem ulusal düzeyde hem de uluslararası faaliyetleri olan bir şirketi ele alalım ve bu şirketin Kurumsal Güvenlik yapısını genel hatları ile analiz edelim;

Sorumluluk ;

Kurumsal Güvenlik Bölüm Başkanı uçtan uça eko sistem içersindeki yukarıda bahsedilen tüm ortamlardaki varlıkların her türlü tehdite karşı korunmasından ve bunun sürekliliğinden şirketin İcra Kuruluna karşı sorumludur ve bölümü adına her türlü hesabı verecek kişi de kendisidir. Önlemenin yanı sıra acil durum ve kriz yönetimlerinin doğal bir üyesidir.

Personel ve Fiziksel Güvenlik;

Güvenlik yönetiminin en temel, klasik ve vazgeçilmez unsurudur. İşletmenin bütün fiziki varlıklarının ve çalışanların her türlü iç ve dış tehdite karşı korunmasından sorumludur. Lokal mevzuata ve şirketin yönetmeliklerine göre güvenlik süreçlerini hazırlar ve uygulanmasını sağlar. Şirketin binalarından, çalışanlarına, sahip olduğu eşyalarından fiziki ürünlere varıncaya kadar nerdeyse her noktaya dokunur. Risk değerlendirmeleri yaparak proaktif güvenlik önlemlerini alır. Bu değerlendirmelerde çıkan sonuçlara ve planlara göre “kiloyla güvenlik hizmeti almak” yerine doğru güvenlik harcamaları yaparak şirketinin hem etkin olarak korunmasını sağlar hem de gereksiz harcamalar yapmasını önler.

Adamlı güvenlik hizmeti ile elektronik güvenlik hizmetlerinin doğru bir denge içersinde yürütülmesini sağlar. Bu alandaki teknolojik gelişmeleri yakından takip eder; alarm, CCTV, kartlı geçiş ve biyometrik geçiş gibi elektronik güvenlik sistemlerinden en efektif seviyede faydalanır. Bunun yanı sıra adamlı güvenlikte nicelikten daha çok nitelik yönünde yaklaşım gösterir. Doğru sayıda pozisyona doğru güvenlik profesyonelerini bulur ve yönetimini yapar. Özel güvenlik yasası ve yönetmeliklerine mutlak uyum sağlamaya özen gösterir. Özel güvenlik hizmetlerini aldığı firma ya da firmalarla ( adamlı güvenlik, elektronik güvenlik ve danışmanlık) ilişkilerini dürüstlük, şeffalık, süreklilik ve güven içersinde yürütülmesini sağlar.

Şirketin kurum içi ve kurum dışındaki etkinlikleri için değerlendirmeler yapar ve gerekli güvenlik önlemlerini alır. Bunun yanı sıra ihtiyaca göre VIP koruma ve yönlendirme faaliyetlerini yapar.

İnsan kaynaklı risklerin minimize edilmesi için işletmenin fiziksel ve dijital ortamlarına giriş yetkisi olacak yeni personellerin ve üçüncü parti çalışanların öz geçmiş inceleme ve teyidlerini ( kimlik, ikamet, adli sicil belgesi, diploma teyidleri) yapar. Çıkan uyumsuzlukları İnsan Kaynakları ve ilgili bölümlere bildirerek gerekli aksiyonların alınmasını sağlar.

Fiziki güvenlik risklerinin yönetilmesi, zamanında doğru tedbirlerin alınması ya da müdahale edilmesi için Polis ve Jandarma ile irtibata geçerek şirket ile kolluk kuvvetleri arasındaki ilişkileri yönetir.

Bilgi Güvenliği;

Şirketin fiziksel ve dijital ortamlarında duran kendisine ve müşterilerine ait her türlü datasını ve bilgisini korumak ve gerekli önlemlerin alınmasını sağlamak en başlıca sorumluluğudur. Bunun yanı sıra eko sistemde yer alan tüm çalışanların bilgi güvenliği farkındalığını oluşturmak için eğitimler, etkinlikler ve kontroller yapmak yine bu fonksiyonun sorumluluğundadır. Dünyada bilgi güvenliği konusundaki standartları ( ISO27001, PCIDSS, vb.) şirkette uygular ve yasaların bilgi güvenliği ve mahremiyet konusundaki gerekliliklerini yerine getirir. Siber ataklara karşı gerekli önlemlerin alınması için planlamalar yapar, konrolleri belirler ve bu kontrollerin ilgili bölümler tarafından yerine getirilip getirilmediğini denetler. Bilgilere ve sistemlere erişim yetkilerini belirler ve yönetir. Sistemlerde erişimlerin ve kullanımların loglarını alır ve bunların kontrollerini yaparak uygunsuz kullanımları tespit eder ve engeller.

Şirketin ticari sırları, fikri mülkiyet hakları ile müşterilerinin bilgilerinin mahremiyetini sağlamak için ulusal ve uluslararası yasalara uygun standartları uygular.

Suistimal (Fraud ) ile mücadele;

Şirketler için özellikle finansal açıdan önemli zararlı risklerden biri de suistimallerdir ( Fraud, hile ve görevi kötüye kullanma, hırsızlık, vb). Benzetmek gerekirse şirketlerin “kanserli hücreleridir”.ACFE`nin her yıl yayınlanan global raporuna göre hangi sektör olursa olsun, ya da hangi büyüklükte olursa olsun şirketler yıllık cirolarının en az % 3 nü iç suistimaller yüzünden kaybetmektedirler. Eğer bu oran % 7 ve üzerine çıkması durumunda şirketin tamamen iflasına neden olabilmektedir.

Buradaki en önemli nokta proaktif bir şekilde suistimalin oluşmasını sağlayan fırsatları ortadan kaldırmaktır. Bu nedenle suistimal ile mücadele eden bu fonksiyon Şirketin varlıklarının içerden ya da dışarıdan suistimal edilerek çalınması ya da zarar verilmesini önlemek amacıyla şirketteki bütün süreçleri kontrol eder ve suistimal gerçekleşebilecek yerlere etkin kontroller koyarak suistimalin önlenmesini sağlar. Her sektörün kendine özgü suistimal türleri olduğu gibi iç suistimallerde bir çok suistimal çeşidi benzer türdedir ( satınalma, harcama ve seyahat, hırsızlık, rüşvet, hileli finansal raporlama, görevini kötüye kullanma vb. Suistimal türleri). Suistimalin önlenmesi için konulan kontrollerin sürekli gözlemlenmesi ve tespit halinde hemen müdahale ederek durdurulması yine bu fonksiyonun önemli sorumluklarındandır.

Dış kaynaklı suistimal ataklarına karşı korunabilmek için çalışanların bilgilendirilmesi ve farkındalığın oluşturulabilmesi için eğitimler ve denetimler yapar.

Soruşturma ve due-diligence;

Şirket içinde suistimallerin ve tehditin oluşması durumunda olayın bütün hatlarıyla ortaya çıkarılması ve alınacak aksiyonların da ona göre belirlenmesi gerekir. Bunun için Yönetim Kurulunun yetkilendirdiği şirket içi soruşturmalar yapan fonksiyondur. İhbar hattı üzerinden gelen anonim ihbarlar ile denetimler ve kontroller sırasında tespit edilen suistimaller ve makul şüpheli konular ile ilgili Yönetimin onayını alarak soruşturma sürecini başlatırlar. Soruşturmalar sırasında şirketin kaynaklarından, açık kaynaklardan ve çalışanlardan her türlü bilgiyi ve dökümanı yasalara ve şirketin yönetmeliklerine uygun olarak toplarlar. Soruşturma sonucunda hazırladıkları raporu şirketin bağımsız üyelerinden oluşan Disiplin Kuruluna sunarak karar alınmasını sağlarlar. Disiplin Kurulunda oy hakları yoktur. Tek sorumlukları objektif ve bağımsız bir soruşturma sonucunda profesyonel, şeffaf, delillere dayalı ve anlaşılır bir rapor hazırlayarak iddiaların doğru ya da yanlışlığı ile ilgili bulguları sunmaktır. Soruşturma sırasında ceza kanuna göre suç teşkil eden bir konu tespit edilmesi durumunda ise Hukuk Bölümü arcılığıyla konuyu Cumhuriyet Savcılığına bildirir.

Bu fonksiyon soruşturma ve inceleme kabiliyetleri nedeniyle şirketin iş ortakları ile kritik hizmetler aldığı servis sağlayıcılarının anlaşma önceside kurumsal güvenlik riskleri yönüyle inceleme ve denetlemesini gerçekleştirir. İş ortaklığı yapılacak firma ile ilgili açık kaynaklardan bilgi toplayarak itibar riskleri olup olmadıkları, sahiplerinin ve yetkili yöneticilerinin ticari kayıtlardaki teyidleri vs. konularını araştırır. Yerinde due-diligence denetimi yaparak ilgili firmanın kurumsal standartlara uyumluluğunu kontrol eder. Çıkan sonuçları ve belirlenen riskleri ilgili iş birimine bildirerek karar alınmasını sağlar.

İş Sürekliliği ve Acil Durum Yönetimi;

Müşterilere vadedilen hizmetlerin ve ürünlerin kesintisiz, kaliteli ve zamanında sunulması şirketin itibarı ve finansalları için son derece kritiktir. Her türlü potansiyel tehdit hesaplanarak hizmetlerin kesilmesine yol açabilecek unsurlar barış zamanında ortadan kaldırılır. Şirketin tüm organlarının bu konuda refleksinin oluşması ve bunun bir kültür haline dönüşmesi bu fonksiyonun sorumluluğundadır. Potansiyel tehdit türlerine ve risk değerlendirmelerine göre planlar yapılır ve belli aralıklarla tatbikatlar yapılarak şirketin bu tehditlere karşı kas gücü arttırılır. Buna rağmen doğal afet, yangın, terör saldırısı, siber saldırı vs gibi hizmetlere ya da personele yönelik yıkıcı ve hizmetleri durdurucu tehditlerin meydana gelmesi durumunda “acil durum yönetimi” devreye alırlar ve bu süreçte öncesinde tatbikatlarda çalışılmış olan müdahale yöntemlerinin yerine getirilmesini sağlarlar. Diğer yandan da müdahaleler sırasında yaşanan aksaklık ve alınması gereken dersler bu fonksiyon tarafından belirlenerek tekrar yaşanmaması için yeni süreçleri devreye koyar. İş Sürekliliği ve acil durum yönetimi ile ilgili ISO22301 gibi uluslararası standartların şirkette uygulanmasını sağlar ve şirketin tüm organlarında bunun denetimlerini yapar.

Yukarıda belirttiğim gibi kurumsal işletmenin bulunduğu sektöre, personel sayısına, sunduğu hizmet ve ürüne, eğer çok uluslu bir şirketse Grup politikalarına göre Kurumsal Güvenlik yapısının fonksiyonları artabilir veya eksilebilir. Ama prensip aynıdır; işletmenin kurumsal politikalarına uygun olarak zararlı risklerini yönetmektir.

Günümüzde işletmelerin güçlü ve başarılı liderleri kurumsal güvenlik yapısının şirket içersindeki güven ortamının ve itibarın korunmasında ne kadar önemli rolü olduğunu çok iyi bilir duruma gelmişlerdir ve ona göre yönetim ve bütçe desteğini sağlamaya özen gösterirler.

Ülkemizde son 10 yıldan bu yana kurumsal işletmelerde Kurumsal Güvenlik konsepti eski klasik yaklaşımın yerini almaya başlamıştır. Ülkemizde önceleri bu yaklaşım sadece çok uluslu şirketlerin içersinde şekillenirken son yıllarda ulusal ve uluslararası şirketlerimizde de görülmektedir. Diğer taraftan buna bağlı olarak güvenlik sektöründeki profesyonellerinin profili de değişmektedir ve kurumsal güvenlik fonksiyonlarına değişik disiplinlerden uzman ve yöneticiler dahil olmaktadır. Geçmişten bu yana genel olarak kamu ve özellikle de kolluk kuvvetleri kökenli güvenlik profesyonelleri varken, artık fonksiyonların özelliğine göre bilgisayar mühendisleri, makine mühendisleri, elektronik mühendisleri, analistler, yazılımcılar, işletme uzmanları, endüstri mühendisleri, hukukçular ve siber güvenlik uzmanları gibi farklı disiplinler bu çatı altında yer almaya başlamıştır. Bu güvenlik sektörünün sağlıklı gelişimi açısından umut verici bir durumdur.

Ancak bir sonraki 10 yılda kurumsal güvenliğin yapısal gelişimleri yerine bölgesel risklerin, karmaşıklaşan iş ortamlarının, son sürat artan siber tehditlerin ve acımasız rekabet ortamlarının gölgesinde işletmelerine katabildikleri ya da katamadıkları değerleri daha fazla konuşuyor olacağız. Bu nedenle başta işletmelerin kurumsal güvenlik bölümleri ve güvenlik hizmeti veren işletmeler olmak üzere rotamız günü kurtarmak ve kendimiz tekrar etmek yerine güvenlik yönetiminde veri ve analitiği odağına alan, niteliği ve inovasyonu ön plana çıkaran sade, hızlı ve güven veren yöntemler olmalıdır. Aksi takdirde bir sonraki 10 yıl biz hala yapıları tartışmaya devam ederken evrimi kaçırırsak, riskler ve tehditler bir adım değil onlarca adım önümüzde olacaklardır. Bu hepimizin ortak sorumluluğudur…

Mesut Demirbilek

Suç Araştırmaları Uzmanı & CFE