AI Governance ve Yönetişim Eğitimi (CIO/CISO için)

Bu eğitim, AI dönüşümünün stratejik fırsatlarını şirkete kazandırırken risk, güvenlik, compliance ve audit boyutlarını uçtan uca yönetmek zorunda olan CIO'lar, CISO'lar, Chief Risk Officer'lar (CRO), Chief Compliance Officer'lar (CCO), Data Protection Officer'lar (DPO), Head of Information Security, Head of Risk Management ve Head of Internal Audit pozisyonlarındaki üst düzey teknoloji ve risk liderleri için tasarlanmıştır. Programın merkezinde şu yaklaşım yer alır: AI Governance, ne 'AI'a karşı bir bariyer' ne de 'compliance check-the-box egzersizi'dir. Gerçek governance değeri; Three Lines of Defense modeli üzerinde sorumluluk ve hesap verebilirlik yapısını net kurmak; NIST AI RMF, ISO/IEC 42001 ve EU AI Act gibi global standartları implementation roadmap'ine taşımak; OWASP LLM Top 10 ve MITRE ATLAS ile threat landscape'i CISO disiplini içinde modellemek; prompt injection, jailbreak, data poisoning gibi AI-spesifik saldırılara katmanlı savunma kurmak; model lifecycle governance ile SR 11-7 federal reserve framework'ünü AI'a uyarlamak; bias audit, AIA ve DPIA ile etik ve compliance değerlendirmesi yapmak; vendor risk management ile OpenAI / Anthropic / Google compliance posture'larını değerlendirmek; ve AI incident response playbook ile production'da kriz yönetimi disiplini kurmakla oluşur.

Türkiye'de AI Governance kapsamında üst düzey teknoloji ve risk liderlerine yönelik kapsamlı eğitim neredeyse yoktur; mevcut 'AI hukuku' eğitimleri var ancak bunlar teknik risk taksonomisi, security threat modeling, model lifecycle governance ve incident response gibi CIO/CISO sorumluluğundaki konuları kapsamlı işlememektedir. Bu eğitim, söz konusu boşluğu Türkiye'de C-level teknoloji liderleri için en kapsamlı AI Governance referans programı olarak doldurmak üzere tasarlanmıştır. CEO/Yönetici AI Stratejisi eğitiminden NET farklılaşır: CEO eğitimi strateji, ROI ve organizational transformation odaklı; bu eğitim risk, güvenlik, compliance ve audit odaklı. Aynı şirketin iki farklı C-level rolü için iki tamamlayıcı program oluşturur.

Programın stratejik bir boyutu, AI governance sorumluluğunu net bir RACI matrisi içine yerleştirmesidir. CIO (technology backbone), CISO (security & risk), CTO (technical implementation), CRO (enterprise risk), CCO (compliance), DPO (privacy & data protection) arasındaki sınırlar ve overlap'ler ele alınır. Three Lines of Defense modeli AI'a uyarlanır: 1. Hat (AI ürün ekibi, operations); 2. Hat (risk management, compliance, security); 3. Hat (internal audit). Board AI oversight yapısı ve executive reporting cadence detaylı işlenir. Vaka çalışmaları olarak Air Canada chatbot hukuki yaptırım vakası (2024), Samsung ChatGPT data leak, iTutor Group AI hiring discrimination (EEOC settlement) ve Türkiye'den KVKK yaptırım örnekleri sunulur.

AI risk taksonomisi modülü, eğitimin temel disiplin omurgasını oluşturur. 9 kategorili kapsamlı çerçeve detaylı işlenir: (1) Model risk (accuracy, drift, hallucination, robustness), (2) Data risk (quality, privacy, bias, poisoning), (3) Operational risk (downtime, capacity, performance), (4) Cybersecurity risk (adversarial attacks, model theft, prompt injection), (5) Compliance risk (KVKK, GDPR, EU AI Act, sektör), (6) Ethical risk (bias, fairness, transparency, explainability), (7) Reputational risk (PR krizi, müşteri güveni, brand damage), (8) Strategic risk (yanlış teknoloji yatırımı, competitive disadvantage), (9) Third-party risk (vendor outage, supply chain compromise, lock-in). Risk register şablonu, Likelihood × Impact 5x5 scoring matrisi, risk appetite/tolerance threshold tanımlama, heat map ve executive reporting uygulamalı şekilde gösterilir.

Programın belkemiğini global standart implementation modülleri oluşturur. NIST AI RMF 1.0 (January 2023) ve GenAI Profile (NIST AI 600-1, 2024) tarafında Govern (AI risk culture, policies, accountability), Map (context, classification, AI system characteristics), Measure (metrics, benchmarks, risk tracking), Manage (risk treatment, response, continuous improvement) fonksiyonları uygulamalı işlenir. CBRN risks, confabulation, dangerous content gibi GenAI-spesifik risk kategorileri detaylı ele alınır. ISO/IEC 42001:2023 AI Management System (AIMS) tarafında 38 Annex A control objective, ISO 27001 ile entegrasyon, sertifikasyon süreci ve external audit hazırlığı kapsamlı işlenir. ISO/IEC 23894 AI Risk Management standard'ı tamamlayıcı framework olarak sunulur.

EU AI Act modülü, Türk şirketlerinin extraterritorial scope altındaki yükümlülüklerini detaylı işler. 4 risk kategorisi (Unacceptable, High, Limited, Minimal Risk) ve içerikleri; Annex III'teki 9 high-risk kategorisi (credit scoring, recruitment, education, healthcare, justice); high-risk system için yükümlülükler (Article 9 risk management, Article 10 data governance, technical documentation, human oversight, accuracy/robustness, conformity assessment, CE marking, post-market monitoring); GPAI (Foundation Model) yükümlülükleri (Article 51-55) ve 10^25 FLOPS systemic risk eşiği; %7 global ciro veya 35M EUR ceza yapısı kapsamlı işlenir. Türk şirketlerinin AB pazarına ürün/hizmet satması durumunda doğrudan kapsama girmesi ve compliance roadmap detaylı sunulur.

KVKK Üretken AI ve Agentic AI Rehberleri modülü, Türkiye-spesifik compliance disiplinini kazandırır. Veri sorumlusu vs veri işleyen ayrımının AI sistemlerinde uygulanması, AI training data ve KVKK madde 5/6 hukuki sebep analizi, AI çıktısının kişisel veri statüsü ve sorumluluk, yurt dışı transfer (Article 9) ve OpenAI/Anthropic compliance, Agentic AI'ın benzersiz risk profili (otonom karar verme), human-in-the-loop zorunluluğu, audit trail ve karar açıklanabilirliği yükümlülüğü detaylı işlenir. BDDK Bilgi Sistemleri Yönetmeliği'nin AI ekstansı, EPDK enerji sektörü AI guidelines, SGK sağlık verisi AI projelerinde özel nitelikli veri çerçevesi sektör-spesifik olarak ele alınır.

AI Security modülleri eğitimin teknik derinlik boyutudur. OWASP LLM Top 10 (2025) tarafında LLM01 Prompt Injection, LLM02 Insecure Output Handling, LLM03 Training Data Poisoning, LLM04 Model Denial of Service, LLM05 Supply Chain Vulnerabilities, LLM06 Sensitive Information Disclosure, LLM07 Insecure Plugin Design, LLM08 Excessive Agency, LLM09 Overreliance, LLM10 Model Theft detaylı işlenir. MITRE ATLAS framework tarafında Reconnaissance, Resource Development, Initial Access, ML Model Access, Execution, Persistence, Defense Evasion, Discovery, Collection, Exfiltration, Impact tactics ve TTPs ele alınır. STRIDE-AI threat modeling adaptation, Microsoft AI Red Team metodolojisi ve Anthropic Responsible Scaling Policy kapsamlı işlenir.

Savunma kontrolleri modülünde direct ve indirect prompt injection saldırıları, jailbreak teknikleri (DAN, roleplay, multilingual, encoding-based, visual prompt injection), training data poisoning (backdoor, trigger attacks), adversarial examples, model extraction ve inversion saldırıları, supply chain risk (Hugging Face model trust, third-party library) detaylı analiz edilir. Savunma kontrolleri olarak input sanitization, regex filtering, normalization; NeMo Guardrails, LLM Guard, Llama Guard guardrail çerçeveleri; output filtering ve LLM-as-judge post-process kontrol; Anthropic constitutional AI ve safe-completions uygulamalı şekilde işlenir.

Model Governance modülü, MLOps disiplini ile entegre çalışan model lifecycle yönetimini ele alır. Model registry (MLflow, Weights & Biases, Hugging Face Model Hub) ve metadata management; Google Model Cards ve Hugging Face standard model card disiplini; lineage tracking; development → staging → production stage gate kriterleri; Model Risk Council ve approval matrix; SR 11-7 Federal Reserve model risk framework adaptation; data drift, concept drift, prediction drift detection; champion-challenger pattern ve production A/B testing; deprecation prosedürleri ve rollback discipline detaylı işlenir.

Bias audit, AIA ve DPIA modülünde demographic parity, equal opportunity, equalized odds, calibration fairness metrics; disparate impact (80% rule) ve EEOC çerçevesi; bias detection tools (AIF360, Fairlearn, Aequitas, What-If Tool); NYC Local Law 144 ile automated employment decision tool audit; Canada Directive ve EU AI Act AIA frameworks; GDPR Article 35 DPIA ve KVKK uyumu; DPIA trigger criteria; pre-processing (data augmentation, reweighting), in-processing (adversarial debiasing), post-processing (threshold adjustment) mitigation stratejileri uygulamalı işlenir.

Third-party risk yönetimi modülü, AI vendor ekosistemi compliance değerlendirmesini ele alır. OpenAI, Anthropic, Google, Microsoft, AWS, Hugging Face compliance posture karşılaştırması; SOC 2 Type II vs Type I, ISO 27001/27017/27018 cloud security, ISO 42001 AIMS sertifikasyon değerlendirmesi; DPA müzakeresi (KVKK/GDPR uyumlu maddeler); data localization ve sub-processor approval; vendor exit strategy ve data portability kapsamlı işlenir. 50+ kontrol içeren AI vendor risk assessment questionnaire sunulur.

Incident response, audit trail ve continuous monitoring modülü, eğitimin operasyonel disiplin boyutunu temsil eder. Incident classification (model failure, data leak, prompt injection, bias); detect-contain-eradicate-recover-lessons learned playbook; EU AI Act Article 73 serious incident reporting (15 gün); KVKK 72 saat veri ihlali bildirim ile entegrasyon; prompt-level audit (user, timestamp, input, output, cost); tamper-proof logging (WORM storage, blockchain-based); retention policy; data drift / concept drift / prediction drift detection (PSI, KL divergence, Wasserstein distance); SIEM (Splunk, Elastic, Sentinel) ve SOAR entegrasyonu detaylı işlenir.

Capstone projesinde her katılımcı, kendi şirketi için uçtan uca AI Governance Charter ve 18 aylık implementation roadmap üretir: charter section'ları (scope, principles, roles, processes), AI Council charter şablonu, 18 aylık quarterly milestones ve KPI targets, NIST RMF + ISO 42001 + EU AI Act compliance entegrasyonu, board ve regulator sunulabilir kalitede dokümantasyon. Eğitim sonunda katılımcılar; CIO/CISO seviyesinde AI Governance disiplinini bütünleşik yönetebilecek, 9 kategorili risk taksonomisi ile risk register kurabilecek, NIST AI RMF ve ISO/IEC 42001 implementation roadmap'i çıkarabilecek, EU AI Act ve KVKK Üretken AI rehberi compliance'ını sağlayabilecek, OWASP LLM Top 10 ve MITRE ATLAS ile threat landscape'i modelleyebilecek, prompt injection / jailbreak / data poisoning savunma kontrolleri kurabilecek, model lifecycle governance ve SR 11-7 framework uyarlayabilecek, bias audit / AIA / DPIA yapabilecek, AI vendor risk yönetimi gerçekleştirebilecek ve AI incident response playbook ile production governance disiplinini kurabilecek seviyede teknik, regülatif ve stratejik yetkinliğe ulaşır. Eğitim 2 gün, 12 modül ve 70'in üzerinde executive teknik ders içerir.