TÜV AUSTRIA SyberCode Kurucusu ve CEO’su Serhat Yediel ile Fintechtime Nisan sayısı için özel bir röportaj yaptık.
Kurumların verilerini tam koruma altına almak için Sınır Güvenliği, Ağ Güvenliği, Veri Güvenliği, Uygulama Güvenliği, Olay Müdahale konularında uçtan uca tüm siber güvenlik çözüm, ürün, hizmet ve danışmanlık servislerini sağlayan TÜV AUSTRIA SyberCode’un başarılarla dolu yolculuğunu girişimin Kurucusu ve CEO’su Serhat Yediel’den dinledik.
“Bankacılıkta öncü olduğumuz kadar finteklerde de öncüyüz fakat burada şöyle bir handikap var. Birçok fintek kendi teknolojisini üretmeye başladı, hatta bazı şirketler yeni lisans alacak ödeme kuruluşlarına bütün teknoloji alt yapısını sağlamayı öneriyor. Gözden kaçırılan, her fintek kuruluşunun kendi bünyesindeki IT departmanı çalışan sayısının azlığı… Bizler buralara verdiğimiz hizmetlerle onların insan kaynağına yapacakları maliyetleri de desteklemiş oluyoruz.”
SyberCode’un kuruluş hikayesini sizden dinleyebilir miyiz?
SyberCode’u siber güvenlik sektöründe 18. yılımı doldurmaya yakın bir zamanda, 2018 yılında İstanbul’da kurdum. Birçok özel kurum ve kamu kurumu bilgi güvenlikleri konusunda bana güvendi ve sunduğum tüm projeleri hayata geçirdiler. Bu projelerin siber güvenlik altyapıları o dönem çalıştığım firmaların stratejileriydi. Sybercode’u kurmama vesile olan da tam olarak bu konuydu.
Siber güvenlik değişkenleriyle hali hazırda kurulmuş olan firmaların konuya yenilikçi bakış açısıyla yaklaşmamaları, hatta birçoğunun çok iyi işler yapmış olmalarına rağmen, çalıştığım firmalar da dahil kendi adıma daha farklı düşündüğümü fark etmemle kendi oyunumu kurup, inandığım yolda, inandığım stratejiyle müşterilerimize tam da bugünün şartlarında ihtiyaçları olan çözümleri götürmeyi amaç edindim.
Bunu yaparken de maliyet ve insan kaynağının az olması gibi problemleri ortadan kaldırmanın yanında, insanların gerçek anlamda kendilerini güvende hissetmelerini sağlamak için SyberCode’u kurdum. Hatta isminde “Code “olmasının sebebi de aslında budur. Biz birçok konuyu projelendiriyoruz. Başka şekilde ele alacak olursak, maliyeti yüksek en iyi çözümlerle de iş yaptık, maliyeti düşük en iyi çözümlerle de… Hiçbir projemizi maliyetine göre değerlendirmedik. Hep en iyi servisi, en iyi çözümü sunmayı ana sorumluluğumuz olarak ele aldık.
Büyümenizde kilit faktörler neler oldu? Girişim yolculuğunuzda en büyük çıkışı ne zaman yaptınız?
Aslında büyümemizde kilit faktör hep ‘disruptive’ (ezber bozan) yaklaşmamız oldu. Şirketi ilk kurduğumuzda AppSec dediğimiz uygulama güvenliğine oldukça iyi bir yatırım yaptık. Özellikle siber güvenliği birçok noktada sağlamanın, korumanın, ataklara karşı da birçok noktada önlemler almanın ötesinde amacımız, hizmetler sunmak. Sonuçta bütün siber güvenlik açıkları insanlar, şirketler ve büyük kuruluşlar tarafından ortaya çıkar. Buna Microsoft’u da Software House’un geliştirdiği bir ERP programı da veya bir siber güvenlik üreticisinin yazmış olduğu DLP programını da ekleyebilirsiniz. Bunların hepsi sonuçta bir program ve bunu insanlar yazıyor. Biz yazılmış olan programlardan meydana gelen siber güvenlik zafiyetlerini sonradan kapatmak üzerine işler yapıyoruz. Günün sonunda Türkiye’de şirketlerin almış olduğu önlemler bu şekilde ve yatırımlarının %90’ını da bu önlemler üzerine yapıyorlar.
Ben 2018’de herkesin hayata geçirmeyi tercih etmediği uygulama güvenliği çözümü ile başladım. Tercih edilmemesinin sebebi de kod analizi yapmanın ve insan kaynağının maliyet açısından denk gelmemesidir. Biz bunu göz önünde bulundurarak, zafiyetlerin azalmasına katkı sağlamak adına çok titiz yaklaşımlarda bulunduk. Şöyle planladık; kodu geliştiren yazılımcının güvenlik farkındalığı olursa, projelere daha mimari yapısı aşamasında herhangi bir tek satır, tek harf, tek kod yazılmadan güvenlik algısını yerleştirerek farkındalık oluşturabilirsek ve bu farkındalık eğitimlerini verirsek, hatta yazılım ekibinde güvenlikten anlayan bir uzman varsa ona da “security champion” (güvenlik şampiyonu) gibi yaklaşırsak bu algıyla bütün kodları revize eder, sonrasında da çeşitli araçlar – servisler kullanmak suretiyle de güvenli bir yazılım geliştirir. Sonrasında zaten hali hazırda biz birçok noktada güvenlik önlemlerini sağlarız. Bu ezber bozan fakat para getirmeyen bir yaklaşımdı. Biz bu yaklaşımı bırakmadık çünkü güvenliğin çekirdekten gelme bir farkındalıkla büyümesi daha doğruydu. Burada güvenilir olmayı tercih ettik.
Başka bir ezber bozan yaklaşımımız “as a service” olan SyberSaaS.
SyberSaaS’ı, üreticilerden MSSP modeliyle ürünleri alarak ya da büyük lisans alımları yaparak bir platform üzerinde bunları konuşlandırmak, 100-200 kullanıcının altında kalan müşterilere hizmet vermek ve bu hizmeti verirken de maliyet avantajı sağlamak olarak tanımlayabiliriz. Hukuk büroları, çeşitli holdingler (100 kullanıcıya ulaşmayan), bir bankanın güvenlik departmanı- ki 50’nin üstünde personel barındırabiliyor – örnek olarak verilebilirler fakat bahsi geçen hizmet bu firmalarda yok. Bir girişimci olarak en büyük çıkışı burada yaptığımızı düşünüyorum. Tabii ki 0’dan (sıfır) 1 yapmak kolay ama 1’den 2 hatta 1’den 10 yapmak çok daha zor.
Hedef kitlenizde kimler var, hangi sorunu çözmek için yola çıktınız, şu an neredesiniz? SyberCode’un güncel verileri eşliğinde yakın ve uzak dönem hedeflerinizi öğrenebilir miyim?
Hedef kitlemizin büyük bir kısmını özel kurumlar, kamu kurumları, kobiler, bankalar, ödeme ve kuruluşları olan fintekler oluşturuyor. Bankacılıkta öncü olduğumuz kadar finteklerde de öncüyüz fakat burada şöyle bir handikap var. Bazı fintek şirketleri kendi teknolojisini üretmeye başladı, hatta bazı şirketler yeni lisans alacak ödeme kuruluşlarına bütün teknoloji alt yapısını sağlamayı planlıyor. Gözden kaçırılan, her fintek kuruluşunun kendi bünyesindeki IT departmanı çalışan sayısının azlığı… Bizler buralara verdiğimiz hizmetlerle onların insan kaynağına yapacakları maliyetleri de desteklemiş oluyoruz.
Güvenlik her zaman birinci öncelikte olması gereken bir konu. Buradaki açığı eğer müşterimize net ifade edebiliyorsak ve bu açığın, ileride yapacakları işlere aniden bir engel teşkil edebileceğini açıklayabiliyorsak, gerçek faydayı sağlayabiliyoruz demektir.
Cloud as a Service ile kuruluşlara regülasyonlarla uyumlu bu servisleri sağlıyoruz. KVKK’nın ve CBDDO’nun gerekli bulduğu regülasyonların %80’ine kadar olan bir çözümü servislerimizle otomatik olarak veriyoruz. Bunun yanı sıra yine yönetilen ama ürünleri onların satın alması şartıyla, bizim yöneteceğimiz bir mimari üzerinde ürün, çözüm ve danışmanlık çerçevesiyle müşterimize yaklaşıyoruz. Şu an elektronik para ve ödeme kuruluşları arasında çalıştığımız birçok firma var. Ödeme kuruluşlarının bize güvenmelerinin sebebi, onlara ürün değil hizmet vermemizdir.
Türkiye’de girişimci olmanın zorlukları ve “varsa” kolaylıkları nedir?
Türkiye’de girişimci olmanın kolaylığından bahsedeyim zira zorluğu çok daha fazla. Kolaylığı şu, eğer siz müşterinize doğru yaklaşıyorsanız ve yaptığınız işi bilerek müşteriye gidiyorsanız, size güvenip vereceğiniz hizmetin altını doldurmanız için bir şans veriyor. Özetle, girişimciliğin en kolay kısmı güvenilir olmak ve kendinden emin olup, emek vermektir.
Türkiye de girişimci olmanın en büyük zorluğu, herkesin üzerinde hemfikir olacağını düşündüğüm vergilendirme sistemleridir. Son 3 yılda çok ciddi teşvikler, çok ciddi destekler söz konusu. Bu teşvikler, destekler çok iyi faydalar sağlıyor ama günün sonunda yine vergiler girişimcinin elini kolunu bağlıyor diyebiliriz. Bunun için nakit akışını yöneten, yönetebilen girişimci, fikir, proje, ürettiği her ne ise ondan daha önemlidir. Nakit akışını yoluna koyduktan sonra, çok vasat bir fikirle bile iş yapılabilir.
Diğer zorluğun da bir girişimin tek bir kişiden oluşması, bir ekipten meydana gelmemesi veya sabit bir ekibin olmaması diyebilirim. Tek başına girişimci olmak çok zor. Birden fazla insanla bir yola girmek başka bir durum ama tek başına bir işe kalkışmak çok daha zor. Girişimcinin tek başına olmasından ziyade, o girişimin en az 3 kişiyle yapılması gerektiğine inanıyorum. Tabii ki birisi yönetmeli, liderlik etmeli fakat girişimin ana parçalarının en az 3 kişiden oluşması gerekiyor. Bu 3 kişinin de görevleri ve sorumluluk alanları net olmalıdır. Bu da tabii kendi içinde bir zorluk barındırıyor. Dünyada insanların arasındaki ilişkinden daha büyük bir zorluk yoktur ancak, birbirine inanmış, çıktıkları yola inanmış ve elini taşın altına koyan bir ekip ile aşılmayacak engel de yoktur.
Girişimlere yapmaları ve yapmamaları konusunda önerileriniz neler olur? Başarıya götüren yol haritasında neler yer almalı, nasıl bir yol izlemeli?
Çok klasik olacak ama bir girişimin birinci yılı, ikinci yılı, üçüncü yılı, beşinci yılında nelerin hedeflendiğinin daha başlamadan yazılması gerekiyor. Çünkü ister istemez bazı heyecanlara ve bazı rehavetlere kapılmak mümkün. Planlamanıza her ay ne yapacağınızı ve nerede olmanız gerektiğini yazarsanız, bu sizin daha girişiminizi kurmadan önce neler yaptığınızı/yapacağınızı bildiğiniz, gideceğiniz yoldan da şaşmayacağınız anlamına gelir. Bir diğeri de ilişkiler ağınızı kurmanız, hedef müşterilerinizi bulmanızdır.
Burada bahsettiğim ilişkiler ağını yatırım almak için kurmamalısınız. Yatırım almak çok farklı bir konudur. Mesela “tohum “yatırım bizim ülkemizde çok gerçekleşmiyor. Tohum yatırımı yapan kişilerin de zaten çok farklı beklentileri oluyor. Yatırım için belli bir değere gelmek ve büyüme kararını çok net vermek gerekiyor. Yine burada ihtiyaç ne kadar olursa olsun girişimcinin en önemli konularından biri, girişiminin her noktasında çalışmış olmasıdır. Ekibi büyütmek çok ciddi bir sorumluluktur. Yukarıda bahsettiğim planlamasında ekibinin kaç kişi olacağı, ne kadarlık tutarda iş beklendiği, beklediği durum gerçekleşmesi halinde özellikle insan kaynağı yatırımını yapması ve planlanmış büyümenin gerçekleşmesi çok önemli.
Kimi zaman yatayda kimi zaman dikeyde büyürsün. Yatay büyümenin mi yanlış, dikey büyümenin mi doğru olduğunu kurduğunuz girişimin profili belirler. Yatay büyümek de dikey büyümek de zamana göre doğrudur. Bir girişimin 3 yıldan sonra pivot edilmesi (firmanın planladığı iş modelinin istenen verimi vermemesi sonucu değiştirilmesi ve yeni bir iş planına geçiş yapılmasıdır) gerektiği konuşuluyor. Bunun yanlış olduğuna inanıyorum. Türkiye şartlarında bir şirketin pivot edilmesi minimum 5 yıldır. Hatta büyüme planı belirsizse beş yılın üstü bile düşünülebilir. Girişimci birinci gün nasıl başladıysa beşinci yılın sonunda da aynı eforu sergileyebilmelidir. Beş yıl aynı tempo ile devam edebileceğini göze almalıdır. Bence stratejisini 3 ayda bir değiştirmeli ve bunları analiz etmeli. Hele ki içinde bulunduğumuz şartlar tartışmasız bunu gerektiriyor. Benim de kendimde sürekli üç ayda bir altı ayda bir strateji değiştirdiğim, bazen de tamamen yaptığımı değiştirip başka bir biçimde ilerlediğim durumlar oldu. Böyle bir yol izlemiş olmam hedeflerime istediğim zaman diliminde ulaşmamı da sağladı. Yenilikçi olmak, ezber bozan olmak, hedefini doğru belirlemek, hedefe ulaşana kadar efor harcamak ve vazgeçmemek doğru yoldan ayrılmamanızı, girişiminizin başarıya ulaşmasını sağlar.