Talentra İşin Uzmanına Soruyor: "Bilgi Güvenliği Mühendisliği"
5 dk okuma
Okuma Süresi: 7 dakika
Dijitalleşmenin yaygınlaşmasıyla birlikte işletmeler ve kamu kuruluşları, iş akışlarını gittikçe hızlanan bir şekilde dijital ortama taşıyorlar ve çalışanların tüm verilere, her zaman ve yer yerden erişebilmesini sağlayabilmek için çaba harcıyorlar. Dolayısıyla bu organizasyonlarda yapılan her türlü işlem, çok farklı amaçlarla kullanılabilecek çok çeşitli türlerde dijital ayak izleri oluşturuyor. Yaşanan bu değişim sebebiyle güvenlik mühendisliği, çok kritik ve çok sayıda disiplinlerden gelen yetkinlikler gerektiren bir rol haline geldi. Büyük işletmelerde nasıl ki son 10 yılda CTO, CDO gibi yeni rollerle tanıştıysak, artık CISO (Chief Information Security Officer) rolüne de sıklıkla rastlamaya başladığımızı söyleyebiliriz. Yani bilgi güvenliği işi, artık CEO’nun bir kademe altında yer alan bir rol olarak şirketlerin organizasyonlarında yerini bulmaya başladı.
Yazılım, sistem yönetimi, veri tabanı yönetimi gibi diğer uzmanlıklarla karşılaştırdığımızda, içinde kolay bulunmayan yetkinlikler ve tecrübeler gerektiriyor. Bu sebeple önem olarak bilgi güvenliği mühendisliğini belki de bu rollerden daha üst bir noktaya yerleştirmemiz gerekebilir.
Dijital dünyada enerji sektöründen üretime, bankacılıktan e-ticarete kadar her alanda bilgi güvenliği çok önemli. Dijitalleşen her noktada bilgi güvenliği açısından bakıldığında, ardına kadar açık onlarca kapı bırakıldığını görebiliyoruz. Ama, bu soruya şöyle cevap vermek belki daha doğru olur: Bilgi güvenliği uzmanları, hatta departmanları barındıracak düzeyde bu alana kaynak ayıran sektörler hangileridir? Bu şekilde baktığımızda finans sektörü, sigortacılık, büyük e-Ticaret operasyonları ve kamu sektörü, bu konuya en çok kaynak ayıran ve CISO pozisyonlarını açma konusunda en önde gelen sektörlerdir. Ancak bu, diğer sektörler için bilgi güvenliğinin öneminin daha düşük olduğu anlamına gelmez. Bu konuda, veriye ve online ortama bağımlılık, operasyonun parasal büyüklüğü ve duyarlılık gibi faktörlerin belirleyici olduğunu söyleyebiliriz. Şirketlerde büyüklük azaldıkça, kendi uzman kaynaklarını bulundurma imkânı azalıyor. Fakat bu durumda da mutlaka bu hizmetlerin danışmanlık ya da yönetilen hizmetler şeklinde alınması gerekiyor. Bu da, bilgi güvenliği uzmanlarına, servis sağlayıcılarda çalışma ya da birkaç uzman bir araya gelerek yönetilen güvenlik hizmetlerini sunabilme gibi bir alanı açıyor. Yani orta ve küçük ölçekli şirketler, tam zamanlı bir güvenlik uzmanı bulundurmak yerine, sıklıkla dış kaynak yoluyla bu tür hizmetleri yönetilen hizmetler ve danışmanlık olarak alma yoluna gidiyorlar. Bu da bilgi güvenliği uzmanlarına, hizmet sağlayıcılarda veya kendi işlerini kurmalarında bir açılım sağlıyor.
İlk güvenlik uzmanı pozisyonunda işe alımımızı 1999 yılında Siemens Business Services çatısı altında yapmıştık ve o dönem iki kişiyi işe almıştık. Daha sonra yönettiğim üç şirkette, güvenlik uzmanlığı desteğini ana şirketlerden ve dış kaynak hizmeti olarak alarak ilerledik. Aranan becerilere gelince... Başlangıçtaki sorunuzu cevaplarken belirttiğim gibi çok geniş kapsamlı yetkinlikler gerektiren bir uzmanlık bu. Şöyle bir hızlıca sıralayacak olursak pro-aktiflik ya da öngörülü olma, planlama ve risk yönetimi, sistem kurma ve analitik düşünce, araştırıcılık, sabırlı ve iradeli olma, analitik yetkinlikler, disiplin, iletişim ve listeyi daha da uzatan bir dizi yetkinlik. Benim için işe alırken bunların hepsi ve tecrübe çok önemli olurdu.
Pandemi uzaktan çalışmayı zorunlu kıldı ve birçok şirket bir anda, buna hazır olmadığını fark etti. Zaten uzaktan çalışma alışkanlığı olan şirketler göreceli olarak daha hazırdı. Fakat evden çalışmaya geçen şirketler; uzaktan ulaştırdıkları veriler, evlerde bulundurdukları bilgisayarlar, şirkette uzaktan bağlanmak için açık bırakmak zorunda oldukları kapılar ve neredeyse her şirkette hala olan arka kapıların daha sık kullanılması sebebiyle çok büyük riskler altına girdiler. Bunları fark eden şirketler, güvenlik desteğine ihtiyaç duyduklarını da fark etmeye başladılar. Burada, aslında daha tasarım aşamasında güvenli olarak tasarlanmış hizmetleri ve altyapıları kullanan şirketler öne çıktı. Bunun, güvenlik açısından çok ciddi farkındalıklara sahip olarak mümkün olabildiğinin altını çizmemde fayda var.
Bilgi güvenliği, gittikçe artan bir şekilde ciddiye alınan bir konu olsa da; maalesef, özellikle orta ve küçük ölçekli şirketler açısından karamsar bir tablo çizmek zorundayım. Bilgi güvenliği, çok ciddiye alınması gereken bir konu ve bu konuda şirketlerin çok ciddi açıkları var. Şirket çalışanları, çağrı merkezi personeli de dahil olmak üzere, müşteri verilerinin tamamına genellikle çok kolay erişebiliyorlar. Kredi kartı bilgilerini şirket sistemlerinde tutan şirket sayısı hala çok yüksek. Şirket verileri USB sticklerde ve hatta kişilerin bilgisayarlarında. Yazılım şirketleri yazılan yazılım kodlarını korumakta güçlük çekiyorlar. Sürekli yazılım geliştirip devreye alma çok yaygınlaştı. Fakat bu hızlı değişiklik ortamında güvenlik risklerinin sıklıkla göz ardı edildiğini, sürekli yazılım geliştirildiği halde çok önemli olan sızma ve zafiyet testlerinin yılda bir ya da daha seyrek yapılabildiğini görüyoruz. Data Loss Prevention yani veri sızıntısı önleme altyapılarını kullanan şirketlerin sayısı çok çok az. Bankalar ve büyük bazı şirketler dışında ciddi felaket yönetim ve kriz yönetim planları olan ve bunları gerçek anlamda tatbikatla test edip bir kriz anında neler yapması gerektiğini çok iyi bilen şirket sayısı çok çok az. Şirketlerin aldıkları yedeklere geri dönebileceklerinden dahi emin olmadıklarını da söyleyebilirim. Hâl böyle olunca bilgi güvenliği uzmanlığına, işletmelerin dijital dünyada sağlıklı işleyişi açısından çok ihtiyacı olduğunu ve ileride bunun bu şekilde devam edeceğini söyleyebiliriz.
Gençlere kesinlikle tavsiye edeceğim bir alan. Ama çok zor ve stresli bir alan olduğunu ve yaptıkları işin keyifli anları olduğu kadar, zaman zaman çok keyifsiz anlara da gebe olan bir iş alanı olduğunu bilmelerini isterim.
