#45 Siber Güvenlik Alanında Çalışmalar Yapan Picus Security Firmasının Kurucu Ortaklarından Alper Memiş

Temmuz 5, 2020

Bu bölümümüzde Çağrı Sarıgöz ile birlikte siber güvenlik alanında çalışmalar gerçekleştiren Picus Security firmasının kurucu ortaklarından Alper Memiş’i ağırladık. Kendisiyle Picus Security’nin hikayesini, yurtdışına nasıl satış yaptıklarını ve girişimcilere verebileceği tavsiyeleri konuştuk.

Levent Aşkan: Alper hoş geldin!

Alper Memiş: Hoş bulduk Levent. Teşekkürler, herkese merhabalar.

Çağrı Sarıgöz: Merhaba, hoş geldin Alper.

Alper Memiş: Sağol Çağrı, teşekkürler.

[1:40] Alper Memiş kimdir?

Levent Aşkan: Alper, bugün tabii ki Picus Security’i konuşacağız ama öncesinde seni tanıyabilir miyiz?

Alper Memiş: En zor soru… Ben 2002 yılında, Orta Doğu Teknik Üniversitesi’nde Matematik bölümünden mezun oldum. Mezun olduktan sonra da Hazine Müsteşarlığı’nda çalışmaya başladım. Burada yaklaşık olarak 11 yıl boyunca, Kamu Finansmanı Genel Müdürlüğü’nde görev aldım. Sonra özel sektöre geçmek istedim ve bir holding’in Kurumsal Hazine Direktörlüğü’nü yaptım. Sonrasında da aslında Picus hikayem başladı. Yani bu anlamda, aslında benim arka planımın teknolojiden olmadığını, özünde hem kamuda hem de özel sektörde finans alanında çalıştığımı, ama daha sonra teknoloji ve startup kariyerim başlamış olduğunu söyleyebilirim. Evliyim, iki çocuk babasıyım. Kişisel de bir şeyler söylemiş olayım. *kızı girer* Kızım da geldi. Evden çalıştığımız bu günlerde, arada bu tür reklamlar da oluyor. İyi bir Trabzonspor taraftarıyım. 2008-2010 yılları arasında, Amerika Birleşik Devletlerinde kaldım. Orada bir işletme yüksek lisansı yaptım. Genel olarak Alper Memiş’i böyle tanımlayabiliriz.

[3:15] Finans’tan Siber Güvenliğe Uzanan bir Yolculuk

Levent Aşkan: Peki, Picus Security’nin alanı Siber Güvenlik, fakat daha önceki deneyimlerin arasında pek Siber Güvenlik ile ilişkili bir deneyimin, Siber Güvenlik girişimlerinde, firmalarında çalışmışlığın yok. Peki, nasıl oldu da bir Siber Güvenlik firmasının kurucu ortaklarından birisi oldun? Şu anki, diğer proje ortakları ile nasıl tanıştın? Anladığım kadarı ile sen daha çok IT tarafında değil de iş geliştirme tarafındasın. Oradaki hikayeyi gerçekten çok merak ediyorum.

Alper Memiş: Aynen, aslında benim bir Siber Güvenlik şirketinde kurucu ortak olmam bu anlamda ilginç ama dediğim gibi ben finans kökenliyim, yıllarca finans sektörünün içinde kavruldum, iş geliştirme yaptım. Picus Security’nin de başlangıç hikayesi şöyle oldu: Biz, kurucu ortaklarımızdan biri olan Volkan ile ODTÜ’de aynı bölümde okuduk, aslında çok yakın arkadaşız, sürekli görüşüyoruz. Ben 2010 yılında, Amerika’dan döndüğüm zaman, hep kafamda şu vardı: “Ya, ben artık kurumsal hayattan biraz daha girişimci tarafına geçmek istiyorum.”. Bir memur çocuğu olmama rağmen kafamda hep böyle bir şeyler yapmak, üretmek vardı. Hatta ilk başta, çoğu insanın da kapıldığı “Abi, sistemden de çıkmak, 40-50 yaşına kadar çalışıp sonrasında güzel bir fikir bulmak lazım” akımına ben de dahil olmuştum. O zamanlar, 25-30’lu yaşlarda, çocukluğun etkisi altındaydım ama Amerika’dan döndüğüm zaman, girişimcilik alanına daha çok döndüğüm, neler yapabileceğimi sorguladığım bir dönemdi. Hatta o dönemde, kendi tişörtünü kendin tasarlamaktan E-commerce alanına kadar kafamda farklı fikirler vardı. Volkanla da sürekli konuşuyor, fikirlerimi paylaşıyordum. Volkan da çok seçicidir, “Yok abi yok”, “Bence bu olmaz” dediği bir dönemdi. Volkanla mezun olduktan sonra, kendisi zaten Siber Güvenlik alanında çalışmaya başladı. Türkiye’nin en büyük distribütörlerinde, entegratörlerinde çalışmaya başladı. Hiç unutmuyorum. Yağmurlu bir akşamdı, geldi, bir fikrinin olduğunu söyledi, ama bu sefer buldum diye anlatmaya başladı. Bu bizim Picus’u kurma hikayemiz, aslında aynı zamanda onun doktora tezi olan sürekli müşterilerde karşılaştığı bir sorunu otomatize bir yazılım aracılığı ile çözme fikrini sunarak başladı. Ben de çok heyecanlıydım, “girişimek” istiyordum, ama fikirden hiçbir şey anlamadım. Birkaç kez daha anlatır mısın dedim, tekrardan anlattı ama açıkçası hiçbir şey ifade etmedi, fakat o benim çok sevdiğim bir arkadaşım. Ondaki bu heyecanı görünce, o kadar fazla inandığını fark edince bu fikrini, anlamamama rağmen destekledim. Biz dört kurucu ortağıyız. O dönemde, Süleyman da Volkan da birlikte çalışıyorlardı. Süleyman akademisyen ama aynı zamanda danışmanlık hizmeti veriyordu. Kendisi Türkiye’nin en iyi beyaz şapkalı Siber Güvenlik uzmanlarından bir tanesi. Akabinde, Aycan ile tanıştık. O da çok iyi bir mühendis. Biz, aslında böyle, yapbozun parçalarını bir sistematiğe dayanmadan birleştirmiş olduk. İş Geliştirme ve Finans alanında benim tecrübem var; Volkan, Siber Güvenliğin iş geliştirme tarafına oldukça hakim, Süleyman biraz daha Siber Güvenliğin mutfak tarafına hakim, Aycan da engineering compounda hakim olunca biz, bir araya gelmiş olduk. Yani Picus hikayesine benim girmem böyle oldu. Kafamda hep bir şeyler yapmak vardı, ama bu kadar katma değerli bir şeye girmem arkadaş sayesinde oldu. Ailemizin tavsiyesini dinlemek iyi oldu. İyi arkadaş, bazen insanın çok güzel maceralara açılmasını sağlayabiliyor diye bu soruyu cevaplayabilirim.

Levent Aşkan: Bence de, arkadaşlıklar gerçekten çok önemli, hatta Nevzat Aydın’ın Boğaziçi’nde yaptığı son konuşmasında, arkadaşlıkların önemini ve onların sayesinde Yemeksepeti’ni kurduğunu anlatıyordu. Siz de böyle arkadaşlıklar sayesinde Picus Security’i kurdunuz. İlerleyen dönemlerde değeri daha da belli oluyor.

[7:05] Picus İsminin Oluşturulması

Levent Aşkan: Peki Picus ismi nereden geliyor? Onun bir hikayesi var mı?

Alper Memiş: Ya aslında var. Çok iyi oturdu, ama biraz jackpot gibi bir şey çektik, istesek böyle uyduramazdık. Şimdi, firmayı kurmak için bir isim düşünüyoruz, ama daha önceden ciddi bir organizasyon planlaması yok, o yüzden her işimiz acil. Bir isim bulmamız lazım diye düşünüyorduk. Volkan da nedeni belirsiz bir şekilde, Latince bir kuş ismi bulmayı öneriyordu. Bir gece, Latince kuş isimlerini araştırıyorduk. Sonrasında, aslında ağaçkakan kuşu konuşulmuştu, ama onun Latincesi’nin Picus olduğunu bilmiyorduk ve bakarken Picus’u gördük. Bulduğumuz anda birbirimize bakmaya başladık, bizi gerçekten çok etkilemişti. Şöyleki, Picus aslında ağaçkakan demek, ama ağaçkakanlar da gagaları ile ağaçları gagalarken, ağacın gövdesindeki, ona zarar verebilecek solucan gibi canlıları temizleyerek ağacın daha sağlıklı kalmasına çalışıyor. Aslında, bizim ürün mantığımızda da, kurumların mevcut güvenlik sistemlerinin ne denli sağlıklı olduğunu analiz etmek için saldırı simülasyonları gerçekleştirmek, bir saldırgan gibi davranırken kurumlara değer katmaya çalışmamız var. Bu anlamda, Picus’un ağaç ile olan ilişkisi, bizim kurmak istediğimiz teknolojinin kullanıcılar, müşteriler ile ilişkisi yönünden çok güzel eşleşti. Bu nedenle, Picus’u gördüğümüz an, ona aşık olmuştuk. İlk başta, logomuzu da bir ağaçkakan şeklinde oluşturmuştuk, ama sonrasında daha teki gözüksün diye değiştirdik. Çok güzel oturduğunu düşünüyoruz.

[9:38] Picus Security’nin önlediği büyük bir siber saldırı deneyimi oldu mu?

Levent Aşkan: Şu an, aslında internet sitenize baktığımızda, Türkiye’nin en büyük bankaları ile ve yurtdışında da çok büyük kurumsal firmalar ile çalıştığınızı görüyoruz. Burada, tahminimce arka planda elde ettiğiniz çok değerli deneyimler vardır. Burada, bir Siber Güvenlik firması ve saldırılara karşı aldığınız önlemler olarak bizimle paylaşmak istediğin, karşı tarafla gizli olmayan ve Picus Security’nin sunduğu çözümler sayesinde, büyük bir saldırı karşısında bankaya sağladığı fayda şeklinde bir senaryo yaşadınız mı, örnek verebilir misin acaba?

Alper Memiş: Tabii veririm. Zaten, genel olarak bizim en temelde yapmaya çalıştığımız şey, Siber Güvenliğe proaktif bir yaklaşım sağlamak. Yani, saldırılar oluşmadan, bunların simülasyonlarını yapıp bunlara hazır hale gelebilmeyi sağlamaya çalışıyoruz. Ne kadar en iyi teknolojiye sahip de olsa genelde en başarılı ordulara baktığınızda, en iyi tatbikatları yapan ordular olduğunu görürsünüz. Yani, özellikle Combat Practice denen kavram, silahlı kuvvetler jargonunda oldukça önemlidir. Biz de, aslında kurumların bu tatbikatları sürekli yapıp proaktif bir şekilde, bu saldırılara hazır olmasını sağlamaya çalışıyoruz. Bu noktada, müşterilerimizden de dönüş aldığımız çok iyi senaryolar oluyor, ama bir tane örnek vermek gerekirse 2018 yılında Hidden Cobra adlı Kuzey Koreli “advanced persistent threat” grubundaki bir saldırı grubu, Türkiye ve Ortadoğulu bankalara yönelik bir siber saldırısının olduğu ortaya çıktı. O dönemde, müşterilerimiz hemen bizi aradı ve böyle bir grup olduğunu söylediler. Saldırı şekillerini incelediğimizde, grubun sömürebileceği zafiyetlerin kendi veritabanımızı halihazırda yaklaşık 6 ay önce eklediğimizi fark ettik. Yani, o saldırılar daha pek yüzeye çıkmadan yakalamışız, tehdit tabanımıza eklemişiz ve bizimle çalışan kurumların hepsi, kendilerini anında buna karşı test etmiş ve buna karşı önlemler alabilmiş oldular. Bu dönemde üç tane banka bizi aradı ve bu korumayı sağlayabildiğimizi sordu. Biz de, halihazırda var olduğunu belirttik. Bu grup, o dönemde fazla ses getirenlerden bir tanesiydi, hatta Hidden Cobra ismi McAfee tarafından verilmişti. Böyle örneklerimiz çokça mevcut. Basına da yansıdığı için bu örneği daha rahat bir şekilde verebilirim.

Levent Aşkan: Bence gayet güzel oldu.

Çağrı Sarıgöz: Ben de hatırladım. Zaten o dönemlerde birlikte çalışıyorduk. Blog yazısı da yazmıştık. Bir sürü saldırı, veritabanına ekleniyor ve bazısı belki çok yayılmayabiliyor, ama bazısı tüm dünyada yayılarak popülerleşebiliyor. Önemli olan, yayılmadan önce önlem alabilmek, hatta Türkçe’de güzel bir deyim vardır: “Yılanı başından ezmek”. Aslında, Picus bunun yapılmasına kolaylık sağlıyor. Bence, bu olayların Finans ile de yakınlığı var, finansal varlıklarını korumak gibi.

[14:15] Picus Security’nin Yurtdışı Macerası

Çağrı Sarıgöz: Yurtdışında birçok bankaya verdiğiniz destekten, aktivitelerinden bahsettik. Yurtdışına nasıl açıldınız, müşteriler ile nasıl ilişki kurdunuz, nasıl bir strateji izlediniz?

Alper Memiş: Çok güzel bir soru. Teşekkürler. Aslında biz, fazlanarak ürünümüzü geliştirdik. Öncelikle, 2013 yılında komut istemcisinde çalışan bir ürün geliştirdik. 2014’te ilk kez Ankara’da kamu sektöründe denedik. Sağolsunlar, insanlar ürünümüzü denediler ve çok kritik geri bildirimler verdiler. Bizim, ilk baştaki gerçek testimiz yurtdışı değildi, aksine bir Ankara firması olarak İstanbul’da başarılı olmaktı. İstanbul, Ankara çıkışlı bir firma olarak, çok çılgın bir yer olarak gözüküyordu. O dönemde, bankalar ile konuşmaya başladık. 2017 yılına geldiğimiz zaman, önemli bankaların birçoğu ile çalışmaya başlamıştık. Bu özellikle, bizim açımızdan ciddi bir moral kaynağı oldu, çünkü biz bunu her zaman biliyorduk ve görüyorduk. Benim, bir de Finans kökenli olmamın etkisi ile Türk (Türkiye’deki demek daha doğru olmaz mı?) bankacılık sisteminin varlık yönetimi gibi konular anlamında ne kadar güçlü olduğunu biliyordum, ilk elden test etmiştim. Siber güvenlik konusunda da Türk bankalarının ne kadar sofistike olduğunu biliyoruz. Yurtdışındaki insanlar belki böyle düşünüyor olabilir, ama sen bir Türk firmasısın diye bir özel sektör kuruluşu seni değerlendirmiyor. Nasıl bir katma değer noktası sağladığın çok daha önemli oluyor. Biz, 2017’de pek çok banka ile çalıştığımızda şöyle dedik: “Evet, biz gerçekten product market fikri olarak, özel sektörde de bankacılık, telekom, finans gibi, veya enerji gibi dikeylerde de güçlü bir ürüne sahibiz.”. Dünya ile karşılaştırıldığında bu kadar sofistike bir Siber Güvenlik altyapısına sahip Türk bankaları ile çalışabiliyorsak neden yurtdışında bir şeyler yapamayalım düşüncesinin bizde daha yoğun olarak belirdiği bir aşamaydı. Biz, o dönemde, Siber Güvenlikte distribütör dediğimiz birtakım iş birlikteliği yaptığınız ve çeşitli kurumlara farklı Siber Güvenlik çeşitlerini bir arada kullandıran partnerler oluyor. Bu noktada, aslında Avrupa’nın en iyi oyuncularından biri ile tanıştık ve onlara teknolojimizi anlattık. Onlar da, yeni ve fark yaratabilecek projeler arayışındaydılar ve o dönemde, biz Türkiye’deki başarımızı İtalya ve İspanya gibi Güney Avrupa ağırlıklı, Türkiye’deki bazı bankaların ana merkezlerinin bulunduğu ülkelerde de replike edebilir miyiz diye düşünüyorduk. Bu doğrultuda, seçtiğimiz birtakım named accountlar ile görüşmeye başladık, ama ilk başlangıç noktamız hangi ülke, neden bu ülke, bu ülkede bankacılık sektörü ne durumda, merkezleri buralarda mı, bizim iş ortağımız kim, buraya ulaşabilir mi, burada aradığı bir feed var mı gibi sorulara cevap aradığımız bir dönem geçirdik. Bu dönemde, biz yurtdışında birkaç hiring yaptık. Daha önce, çok büyük güvenlik üreticilerinde satış-pazarlama faaliyetleri yürütmüş bazı arkadaşları da ekibimize kattık ve onlarla birlikte 2018 yılının başında bu yurtdışı açılımımız gerçek anlamda açılmış oldu.

Çağrı Sarıgöz: Evet, teşekkürler. Kurumsal satış olunca zaten, orada illaki bir şekilde bulunmak gerekiyor, ya partner ya da bir temsilci aracılığı ile. Hem kurumsal hem de Siber Güvenlik alanının kesişimi olduğu için şirketler biraz hassas davranıyor. Orada satış döngüleri gerçekten uzun sürebiliyor, bolca sabır gerektiren süreçler yaşanabiliyor.

[18:38] Picus Security’nin Müşteri Keşif Kanalları

Çağrı Sarıgöz: Peki Picus Security, partnerlikleri dışında, dijital veya offline kanallardan müşterilerine nasıl ulaşıyor? Nasıl bir yol izliyorsunuz?

Alper Memiş: Aslında, 2017-18 yılları arasında, tamamen old-school bir yaklaşımda bulunduk. Yurtdışı ile ilişkileri çok deneyimlemiş insanlar da değiliz. Bizim, bu teknolojinin yurtdışında çok büyük kurumlarda da çalışacağını ispat etmek ve Türkiye’de elde ettiğimiz müşterilerden diğer müşteri gruplarına ulaşmak gibi bir düşüncemiz vardı. İlk müşterileri, sürekli ziyaretlerle, oradaki çalışanlarımızla, partnerlerle kazandık, ama günün sonunda teknoloji satıyordu, fakat şimdi olaya nasıl bakıyoruz dersen artık biraz yurtdışına ölçeklendirme noktasına geldiğimiz için birden fazla kanalı kullanmaya çalışıyoruz. En çok önem verdiğimiz kanallardan biri, dijital marketing. Aslında bu pandemi dönemi de bunu belirli açılardan destekliyor. Biz, bir dijital marketing ekibi kurduk, birtakım araçlar ile web sitemiz üzerinden bazı entegrasyonlar sağlayıp kaliteli dijital içerik üretme konusunda ciddi çabalarımız oldu. Burada da, İngiltere’de bir danışmanlık firmasından destek aldık. Bir dijital dediğimiz kanal var, bir de “offline” diye adlandırdığımız ve bizim pek fazla kullandığımız, geleneksel pazarlama etkinliklerinde ürettiğimiz bir model var. Bir başka strateji olarak ise “customer referral” konseptinden faydalanmaya çalışıyoruz. Bir diğeri de “named account” dediğimiz sistem. Biz bir ülkeye açılmak istiyorsak hangi accountlar ile çalışmak istediğimizi önceden belirliyoruz. Seçtiklerimiz dışında kimse ile çalışmama gibi bir şey söz konusu değil ama bu sayede daha hedefe kenetli bir şekilde çalışabiliyoruz. Örnek olarak, bankacılık konusunda ilk 10 bankayı hedeflemektense ilk 11-50 arası bölgesel bankaları seçiyoruz. Bu bankalar hangi iş ortakları ile çalışıyor, hangi kanallar üzerinden daha çok satış gerçekleşiyor şeklinde “account based marketing” dediğimiz pazarlama stratejisini de kullanıyoruz. Bu yollardan bir tanesine karar vermek için seçtiğimiz ülkenin dinamiklerini inceliyoruz. Burada yazılı bir kuralımız yok ama aslında bu sene bu sofistikasyonu yapmaya başladık, her ülke için bir strateji kurguluyoruz. Bunu kurgularken de ilgili ülkenin satış direktörü ile “safe development representative” dediğimiz, bu stratejinin oluşturulmasında, özellikle dijital kanalları kullanarak oraya erişim oluşturacağımız arkadaşlardan bir strateji planlaması istiyoruz. Sonuç olarak, bu parçaları hangi ağırlıkta kullanacağımızı belirlemekte kullanıyoruz. Üstelik, dijital kanallardan bunu yapınca, daha hızlı geri bildirim alarak ona göre modifikasyonlar gerçekleştirebiliyoruz. Mesela, biz halihazırda Almanya gibi Merkezî Avrupa’da biraz daha belirli accountları hedefleyip onlara uygun bir pazarlama stratejisi yapıyoruz. Onlar için içerik üretiyoruz, whitepaper hazırlıyoruz, fakat Kuzey Avrupa’da, özellikle İngiltere’de dijital ile accounting marketingi biraz daha dengeli yapıyoruz. Ülke dinamiklerini ciddi bir şekilde göz önünde bulunduruyoruz. Ürünümüz “component” odaklı olsa da insanın olduğu, lokal faktörlerin çok önemli bir rol oynadığı bir satış döngümüz olduğundan dolayı kurumsal satış müdürlerimizden ciddi geri bildirimler alıyoruz.

Çağrı Sarıgöz: Anladım, süper!

[23:21] Picus Security’nin Dijital Kanallarında Kullandığı Araçlar (Tech Stack)

Çağrı Sarıgöz: Peki dijitalde ağırlıklı kullandığınız platformlar hangisi oluyor? Linkedin, Google Adwords, Facebook gibi uygulamalardan hangilerini daha fazla kullanıyorsunuz?

Alper Memiş: Biz, Linkedin’i ve sunduğu Sales Navigator fonksiyonalitesini sıkça kullanıyoruz. Entegrasyon tarafında Hubspot’u kullanıyoruz. Bir de, bu sene yeni bir teknik denedik. Bir “business intelligence solution”dan, veri tarafını çözmek için bir üyelik aldık. Tabii, farklı platformlar aramaya da devam ediyoruz.

Çağrı Sarıgöz: Ne kadar global bir hedefe sahip olunsa da ürünün lokalleştirilmesi gerekiyor. Orada da konuşlanmış insanların yönlendirmesi ile dijital pazarlama stratejisi oluşuyor.

[24:30] Picus Security’nin Kamu Stratejisi

Çağrı Sarıgöz: Peki Endeavour Türkiye gibi veya yatırım gruplarının referallarının katkıları oluyor mu? Mesela Picus Security, Gartner’da “cool vendor” olmuştu. Bunun gibi şeylerin tahminimce PR kısmında katkısı oluyordur. Bu tarafta nasıl bir yol izliyorsunuz?

Alper Memiş: Özellikle, Gartner’ın bizi “cool vendor” seçmesinin çok faydasını gördük, çünkü ne olursa olsun Siber Güvenlik, geleneksel olarak Amerikalı ve İsrailli firmalar tarafından domine edilen bir pazar. Çoğu zaman, biz Türk firmasıyız, AR-GE’miz Türkiye dediğimiz zaman, insanlara maalesef ki garip geliyor. Türkiye ne kadar çok yetenkli bir mühendis havuzuna sahip olsa da Siber Güvenlik, çok fazla Türk startup’ının görüldüğü bir sektör değil. Çok başarılı örnekler var, Netsparker gibi, fakat o da bir İngiliz firması. Bu yüzden burada “thought leader” olan Gartner’ın bizi “cool vendor” seçmesinin en büyük faydası, ilk defa uluslararası alanda yaptığımız işin tanınmasında bir nokta oldu. Tabii, bazı çok sofistike şirketler, Gartner birini “cool vendor” seçti diye o ürünü almıyorlar, ama en azından kafalarındaki kutucuğun işaretlenmesi gibi bir etkisi oluyor.. Endeavour’dan daha çok mentorship anlamında ciddi destek alıyoruz. Hem İstanbul hem de global mecradaki ofisleri, pandemi döneminde bizim gibi benzer sorunlar yaşayan firmaları bir araya getirdiler, fikir alışveriş ortamı yarattılar.

Günün sonunda, “first-time founder” ve memur çocuğu girişimci olduğumuz için özellikle kriz dönemlerinde veya çok büyük değişimler yapma aşamasında, bu işi daha önce yapmış insanlardan bunu dinlemek çok önemli oluyor. Mesela, ben globale açılma konusunda, bir memur çocuğu olmama rağmen, aynı anda her yere girme taraftarıydım, ama böyle konuştuğumuz zaman, yatırımcılar daha yavaş gitmemiz gerektiğini söylüyorlardı. Elbette, bunları biliyorsun, ama başka birinden duymak, onun deneyimlerini paylaşmak, özellikle olumsuz deneyimleri duyuyor olmak, sana yapmayacağın frenleri yaptırtabiliyor, olumlu deneyimleri duymak seni hızlandırıyor. Bu anlamda, ciddi destek aldığımızı söyleyebilirim.

Çağrı Sarıgöz: Pandemiden döneminden bahsettik. Malumunuz, bu dönemde herkes eve kapandı, bazı işler de evden devam etmekte, siz de evden çalışıyorsunuz. Normal dönemde yüz yüze oluyor, sunumlar yapıyor, tokalaşıyor, “offline” etkinliklere katılıyordunuz.

[28:30] Pandeminin Siber Güvenlik Pazarına Etkisi ve Satış Stratejisinin Regülasyonu

Çağrı Sarıgöz: Peki, pandemi sizin satış süreçlerinizi, bulunduğunuz Siber Güvenlik sektörünü nasıl etkiledi, kendinizi nasıl pozisyonladınız, bu sürece nasıl adapte oldunuz?

Alper Memiş: Yani, aslında Siber Güvenliğin birçok sektöre göre daha az etkileneceğini düşünüyorum. Bu tür dönemlerde, kurumlar laptop yatırımı yapıyorlar, insanlar evden çalışmaya başlıyor ve bu evden çalışma framework’ü bugünden yarına bitmeyecek gibi, belki insanlar iş güçlerini belirlenen kapsamlarda yeniden değerlendirecekler. Aslına baktığımız zaman, hastanelerin hacklendiği dönemler görüyoruz. Ben o kadar üzülüyorum ki, hastane veri sistemlerini kilitleyen hackerler var ve bu işin bir vicdanî boyutu yok. Farklı açılardan, politik veya maddi sebeplerden dolayı hiç durmayan bir perspektif ve baktığımız zaman “saldırı yüzeyi” çok genişledi. Bu nedenle, kurumlar Siber Güvenliğe daha fazla yatırım yapmak zorundalar. Dolayısıyla remote workforce’u destekleyecek Siber Güvenlik altyapıları daha fazla yaygınlaşacak. Ne olursa olsun kısa vadede (1-1,5 yıl arası) birçok kurumun bütçe kısıtlığına gideceğini biliyoruz. Orta ve uzun vadede, bu trend değişikliğinin Siber Güvenlik için olumlu olacağını, ama kısa vadede bütçe kesintilerinin olmasını biz de bekliyoruz. Burada, Picus açısında önemli unsurlardan bir tanesi, ürünümüzün çok “easy-to-deploy” ve “time to value”sunun düşük olması. Örneğin, Siber Güvenlik sektöründe, bazı ürünler var ki 6 aylık projelerle kuruluyorlar. Bu tür ürünlere göre daha az etkileneceğimizi düşünüyoruz. İkinci olarak, biz aslında kurumların mevcut bütçelerinin ve yatırımlarının optimize edilmesi üzerine bir araç geliştiriyoruz. Yani, önce elindeki yatırımları en etkin şekilde kullanıyor musun, buraya ödediğin paranın karşılığını alıyor musun gibi bir bakış açımız olduğu, sürekli hazır bir sistem sunduğumuz için aslında bu konjonktürde, genel olarak orta vadede yine olumlu etkileneceğimizi düşünüyoruz. Kurumlar, ister istemez bütçe kısıtlılığına gittiği zaman, buna biraz daha optimizasyon mantığı ile bakıyor olacaklar. Bu anlamda da Picus’un ön plana çıkabileceğini düşünüyorum, ama tabii bununla birlikte, yüz yüze toplantıların ertelenmesi, pazarlama etkinliklerinin eskisi kadar olmayacağı gibi unsurlar çerçevesinde kısa vadede biz de etkileneceğiz. Biz bu anlamda, pandeminin ilk ortaya çıktığı zamanlarda remote work’e tamamen geçmiştik. Ona uygun bir altyapımız vardı. Çok hızlı bir şekilde remote workforce’a geçtik ve birinci haftadan beri iyi yönetmeye devam ettik. Herkes çok özverili çalıştı. İkincisi, dijital tarafta bu yapmak istediğimiz inisiyatifler ile pandemi eş zamanlı olarak gerçekleşti. Bunları hızlandırmış olduk. Bu olaylardan bağımsız olarak webinar hazırlıklarımız vardı. Çok hızlı bir şekilde, bu fiziksel pazarlama etkinliklerini dijitale çevirdik. Bir ayda, farklı ülkelerde, yaklaşık 8 tane webinar yaptık. Bizim için en önemli nokta mevcut müşteriler olduğu için onlara oldukça esnek yaklaştık. Onlar için yapabileceklerimizi soruşturduk. Ticari muhabbetler etrafında konuşmalar gerçekleştirmedik. Üstelik, bu sene başında, bir müşteri memnuniyeti ekibi kurduk. Bu ekipten bize satış getirmesini, “upsell” yapmasını beklemedik. Mevcut müşterilerimizin bize verdiği bir ücret var, bu paranın karşılığını sonuna kadar aldığına emin olalım, Picus’u doğru şekilde kullanıyorlar mı bunu teyit edelim dedik. Böyle hazır bir ekibimizin olması, şanslı olduğumuz bir nokta oldu. Bir de, hiç müşteri ortamına fiziksel olarak gitmeden birtakım görüşmeleri, sunumları gerçekleştirebilmeye de ağırlık vermiştik, bunu şimdi biraz daha hızlandırdık. Aslında, birçok firmanın verdiğine benzer tepkiler verdik, ama bu döneme özellikle bu müşteri memnuniyeti ekibi, dijital ortamda ortaya koyduğumuz strateji ile biraz daha hazır girebilmiş olduk.

Çağrı Sarıgöz: Aslında siz sadece satış ve pazarlama, müşteri memnuniyeti tarafını değil, aynı şekilde ürünü de pandemi dönemine adapte etmiş, önceliklendirmişsiniz, hızlı kurulum imkanı gibi. Yani, tüm şirketi tekrardan pozisyonladınız.

[35:45] Picus Security’nin Yakın Zamanda Aldığı Yatırımı Değerlendirme Stratejisi

Çağrı Sarıgöz: Peki yakın zamanda aldığınız yatırımı değerlendirme stratejiniz nasıl olacak, yine konvansiyonele mi bağlı kalacaksınız yoksa yeni denizlere yelken mi açacaksınız?

Alper Memiş: Tabii, yatırım konusunda da yine şansımız yaver gitti diyebilirim, zamanlama açısından çok iyi oldu. Eylül gibi yatırımı tamamladık ve bu döneme finansal kaynaklara erişim açısından daha rahat girdik. Öte yandan da büyümemizi çok büyük ölçüde gerçekleştirmiştik, bir maliyet bazı oluşturmuştuk. Biz, geçen yılın sonundan Ocak sonuna kadar yaklaşık 35-40 kişi işe aldık. Almanya’da, İngiltere’de, İtalya’da ekip kurduk. Finansman olarak daha iyi bir durumda girmemize avantaj oldu, ama bir yandan da haliyle pandemiyi ön göremediğimiz için ciddi bir şekilde farklı ülkelerde operation run-eject şekilde girdik. Bu döneme girdiğimizde, kafamızdaki büyüme planının büyük ölçüde hazırlamıştık. O yüzden, büyük bir değişiklik yapmayı planlamıyoruz. Kurduğumuz ekiplerden gayet memnunuz. Dijital pazarlama ekipleri kurduk, İngiltere, Almanya ve İtalya’daki yurtdışı satış ve firma içi mühendislik ekiplerini büyüttük. Aslında biz, şu anda olmak istediğimiz noktadayız. Üç aşağı beş yukarı 2020-21’in Picus’unu oluşturmuştuk. Satış alanında faaliyetlerimizin aksayabileceğinin farkındayız, daha çok ürün geliştirmesine ağırlık vermeyi planlıyoruz. Tabii pazarlama ve satış alanından taviz de vermeyeceğiz. Özellikle ürün geliştirme noktasında iddialı bir yol izlemeye çalışıyoruz. Pandemi planlarımızı alt üst edecek bir etki yaratmadı. Tabii, pandemi olmasaydı elbette ki belirli ülkelerde daha agresif olabilirdik. Bu dönemde, bekleyip göreceğimiz çok fazla dinamik oluştu.

[38:40] Picus Security’nin Kazanç Dağılımı

Levent Aşkan: Ben Çağrı’nın sorduklarına ek olarak şunu sormak istiyorum: Şu an yurtdışından gelen ciro ile yurt içinden gelen ciro oranı nasıl?

Alper Memiş: Hala Türkiye’deki gelirimiz yurtdışından daha fazla, ama oran giderek hızlı bir şekilde değişiyor. Türkiye’de çok fazla müşterimiz var, çok güçlü olduğumuzu düşünüyorum. Büyük ihtimal ile bu sene yurtdışı ciromuz yurt içi ciromuzu geçecektir. Bizim en büyük ve gerçekçi hedefimiz oldukça yurtdışından fazla müşteri kazanmak. Buna uygun bir altyapı stratejisi oluşturuyoruz.

[38:50] Picus Security’nin Etkinliğinin Sektörel Dağılımı

Levent Aşkan: Peki ağırlıklı olarak nereden kazanıyorsunuz? Bununla birlikte, ağırlıklı olarak hizmet verdiğiniz sektör bankacılık mı, değilse oransal dağılımları nelerdir?

Alper Memiş: Sektörel olarak bankacılık bizim en güçlü olduğumuz alan, çünkü günün sonunda, sağladığımız Siber Güvenlik altyapısı belirli bir olgunluğun üzerindeki kurumlar için daha fazla uyuşuyor ve burada Siber Güvenliğe en fazla yatırım yapan da bankalar oluyor. Bankanın dışında iyi olduğumuz telekom sektörü var. Son dönemde, hem yurt içinde hem yurtdışında enerji sektöründe müşteri kazandık. Sigortacılık da yeni bir sektör. Son olarak, kamu sektörünü sayabilirim.

Levent Aşkan: Sorularımızı bitirdik. Vaktini ayırıp sorularımızı cevapladığın için çok teşekkürler! Bu bağlamda, eklemek istediklerin var mı?

Alper Memiş: Genel olarak çok keyifli bir sohbetti, teşekkürler. Umarım bu tür girişimlerin yaygınlaştığına tanık oluruz. Ben, ülkemizin çok önemli potansiyellere sahip olduğunu düşünüyorum, özellikle mühendislik tarafında, mesela Siber Güvenlikteki yetenek havuzu inanılmaz. Umarım bunlar sürekli kalırlar. Günün sonunda, Picus çok başarılı olabilir, ama kendimle en fazla gurur duyacağım şey, projelerimiz ile başka insanlara da örnek olarak, onları da teşvik etmek, cesaretlendirmek ve dolayısıyla ekosistemi genişletmek, geliştirmek, zenginleştirmek. Gerçekten Türkiye’nin potansiyeli çok fazla ve bu anlamda, bu potansiyeli açığa çıkaracak her tür fikir, girişim, sohbet, söyleşi, inisiyatifler bizim için çok değerli. Bu potansiyeli kullanmakta ne etkili olabilir? Bizdeki şans, bunları düşünüp yapmamamız oldu, tamamen arkadaşlık bağları ile oluşması oldu, fakat teknoloji ekibi ile ticarî bakış açısını sağlayacak ekip arasında bir denge vardı. Bence bu, oluşum evresinde çok gerekli bir temel. Sadece teknoloji veya sadece ticarî odaklı ekipler yerine, denge odaklı bir kurucu yapısı ile hareket etmek önemli. Bence, bizim başarılı olmamızdaki en önemli faktörlerden bir tanesi, Volkan’ın müşteriye çok erken gitme vizyonu oldu. Biz toplum olarak genelde, en iyi teknolojiyi yapmayı hedefliyoruz, fakat belki müşteri tarafında buna ihtiyaç olmayabilir. Çok erken aşamada, müşteriler ile konuşmak, onlardan fikir almak, kendi açıklarının analizlerini dinlemek ve ürünü bu yönde geliştirmek çok önemli. Gençlerin yaptıkları projeleri inceliyorum, onların anlatımlarını dinliyorum, hayran kalıyorum, fakat projenin ne kadardır sürdürüldüğünü sorduğumda, iki sene olduğunu, üstüne müşterilerinin olmadığını öğrenince ve akademik arka planda takılıp kaldıklarını görünce gerçekten çok üzülüyorum ve bu projeyi çok geciktiriyor. Belki biraz yurtdışındaki startup kafası ile düşünmek gerekiyor olabilir. Mesela İsrail startuplarında çok görülür. Önce bir şey anlatılır, ürün sonra geliştirilir. Biz ise, muhteşem ürünü önce yapıp sonra anlatmaya çalışıyoruz. Belki onun dengesini bulmak, bir prototip geliştirdikten sonra bir geri bildirim almak bence, özellikle startupların ticarî anlamda sıkıntı yaşamamaları açısında önemli. Bir de, finansman tarafında biraz cesur olmak gerekiyor. Doğru zamanda, doğru kaynaktan finansman almak, doğru ortağı içeri sokup daha hızlı bir şekilde ekipleri büyütmek ve bir şeyleri hayata geçirmenin çarpan etkisi daha fazla olur. Buradaki reçete herhangi bir sihir içermiyor, bunu herkes hayata geçirebilir.

Levent Aşkan: Bence gayet güzel tavsiyeler aktardın. Yaptığımız podcast bölümlerinde, katılımcıların çoğu senin de altını çizdiğin gibi önce müşteriye gitmek gerektiğini söylüyor. Bence görüşlerin çok değerli.