Talentra İşin Uzmanına Soruyor:"Bilgi Güvenliği Mühendisliği II"
5 dk okuma
Okuma Süresi: 8 dakika
1. Güvenlik mühendisi olmaktan memnun musun? Hangi açılardan memnuniyet ve memnuniyetsizliğin var?
Evet memnunum. Üniversitede Matematik Mühendisliği üzerine eğitimimi tamamladım. Ardından sistem yöneticisi olarak çalışmaya başladım. Fakat belli bir süre sonra hangi şirkete geçersem geçeyim yaptığım bu işten sıkıldığımı fark ettim ve tesadüfen güvenlik alanına kaydım. Yaklaşık 10 yıldır bu alanda çalışıyorum ve henüz sıkılmadım :) Bilgi güvenliği alanı çok büyük bir alan, sürekli ve hızlı bir şekilde kendini yeniliyor. Bu diğer IT alanları için de söylenebilir belki, ama karşınızda sistemlerinize saldırı yapabilecek kapasitede grupların ve bunu sağlayabilecek tekniklerin olması bilgi güvenliğini bir adım öne geçiriyor. Bu atakları yapanlar motivasyonları bambaşka olduğu için her zaman sizden bir adım öndeler. O yüzden güvenlik camiası, bilgi ve teknoloji anlamında sürekli kendini geliştirmek zorunda. Benim de hoşuma giden kısmı bu. Yani, ‘’ben bildiklerimle hayatıma devam ederim’’ gibi bir düşünceniz varsa, bilgi güvenliği sizin için yanlış bir meslek seçimi olacaktır.
Memnun olmadığım tarafı pek yok, bazen konudan bağımsız, genel olarak hiç çalışmak istemem :)
2. Son 2,5 senedir Kanada’da güvenlik mühendisi olarak çalışıyorsun. Türkiye’de güvenlik mühendisi olmak ile Kanada’da güvenlik mühendisi olmak arasında fark var mı? Varsa ne gibi farklar var?
Var, bence çok var. Aklıma gelen birkaç tanesini söyleyeyim:
En büyük fark, bilgi güvenliği iş alanı Kanada'da çok geniş. Türkiye'de güvenlik sadece büyük şirketlerin bütçe kapsamına girerken, burada çok fazla küçük şirket de bu işin içerisinde. Aynı şekilde, şirketlerin açtığı pozisyon sayısına baktığımızda da, güvenlik alanına çok talep var ve gittikçe de artıyor. Örneğin 2021’de 8000 bilgi güvenliği çalışanına ihtiyaç olacağı söyleniyor.
Bir diğer nokta, şirketler çalışanlarının eğitim / sertifika almasını çok destekliyor. Ben Turkcell, Vodafone gibi Türkiye'nin en büyük şirketlerinde çalıştım, onlar da eğitime bütçe ayırırlardı ama durum burada acayip. Benim şu anda çalıştığım şirket, sadece eğitim ve sertifika için kişi başına yıllık 3000 dolar bütçe veriyor. Geçen sene CCSP sertifikası aldım, 600 dolar, yıllık Linux Academy üyeliği 120 dolar. Kalan bütçeyle neler yapılır siz düşünün.
Son olarak, yine bununla bağlantılı bir başka nokta da, şirketlerin bilgi güvenliğine Türkiye'deki şirketlere kıyasla daha fazla önem vermesi. Tabii bankaları bu kapsamın dışında tutuyorum çünkü bankalar her iki ülkede de genel olarak bilgi güvenliğini önemsiyorlar. Bilgi güvenliği doğrudan para kazandıran bir alan olmadığı için firmalarda önemsenme sırası düşük bir bölüm olabiliyor. Bu durum burada da zaman zaman hissedilebiliyor. Ama yine de güvenliğe ayrılan bütçe ve verilen değer, gördüğüm kadarıyla, Kanada'da giderek artıyor.
3. Kariyerini güvenlik mühendisliğine yöneltmek isteyenlere ne tavsiye edersin? İyi bir güvenlik mühendisi hangi eğitimlerden geçmeli? Ne tür deneyimler edinmeli?
Bu bence zor bir soru, çünkü güvenlik alanı adeta derya deniz. Bilgi güvenliği şemsiyesi altında Uyumluluk (ISO 27001, SOX, PCI DSS vb gibi güvenlik standartlarına uyum) ve Risk Yönetimi, Privacy (Kişisel Gizlilik Hakkı), Güvenlik Mimarisi, Network Güvenliği, Zafiyet Analizi ve Penetrasyon Testleri, Güvenlik Operasyonu ve hatta Forensics analizi gibi alt dallar var. Her ne kadar bazı ortak bilgi ve beceriler tüm alt dallara ilişkin fikir sahibi olmayı sağlıyor olsa da, örneğin Uyumluluk alanı ile Penetrasyon testi alanı birbirinden bambaşka konular, bence önce kişinin hangi alana ilgi duyduğunu belirlemesi gerekiyor. Daha önce hangi bölümde eğitim görmüş oldukları çok önemli değil ama bir IT bilgisi/altyapısı ya da teknik konularla ilgilenmiş olunması, kişinin bilgi güvenliğine girişi icin kolaylık sağlıyor. Bence en önemli kısım, kişinin yeni şeyler öğrenmeye ne kadar açık oldugu ve konuya ne kadar istekli olduğu.
Yine de eğitim/sertifika ya da deneyim olarak baktığımızda, CISSP sertifikası bilgi güvenliği alanında - özellikle Kanada'da - “kral” bilgi güvenliği sertifikası olarak geçiyor. Eğer amacınız teknik penetrasyon testçisi ya da forensics analisti olmak değilse, CISSP, güvenliğin bütün alanlarını kapsıyor. CISSP sertifikasını almanız için 5 sene güvenlik alanında çalışmış olmanız bekleniyor. Ancak yine de bu sertifikanın kapsadığı konularla ilgilenmek, başlamak için uygun bir adım olabilir.
Özellikle Kanada'da, bilgi güvenliği alanına bence birkaç giriş kapısı var. Birincisi, Güvenlik Operasyonu (Security Operations ya da SOC) dediğimiz, organizasyonun sistemlerini sürekli olarak monitor ederek, güvenlik kazalarını (cyber security incident) engelleme ya da en aza indirme işi. Bu iş alanı, kişiye güvenlik alanında yaşanabilecek atakları ve alınabilecek önlemleri öğreterek, çok sağlam bir giriş deneyimi kazandırıyor. İki sene SOC analisti olarak çalıştıktan sonra herhangi başka bir güvenlik alanına atlama şansı da yüksek.
İkinci gördüğüm alan, Denetim (audit) alanı. Birçok büyük firma özellikle KPMG, Deloitte, PWC ve EY, genç beyinleri alıp, farklı firmalarda denetim alanında danışman olarak çalıştırıyorlar. Bu şekilde kişi, değişik organizasyonları ve altyapıları denetim bakış açısıyla görerek, risk yönetimi yaparken neleri değerlendirmesi gerektiğini, denetim yaparken hangi soruları sorması gerektiğini öğreniyor.
Bir diğer önemli ve özellikle Kanada'da eksik olduğunu düşündüğüm alan ise, Penetrasyon Testleri. Penetrasyon testi yapan kişiler, bu yukarıda bahsettiğim iki alandan bambaşka şekilde bu işe giriyorlar. Genelde bu iş, çok iyi teknik altyapı, yazılım becerisi ve kalıpların dışında düşünme yetisini, kurcalamayı sevmeyi ve merakı gerektiriyor. Bu alandaki kişiler öncelikle CEH sertifikası ile başlayıp, daha zor olan OSCP, OSCE gibi sertifikalarla devam edebiliyorlar.
Bir de bunların tamamen dışında, şu anda çok popüler olan Cloud konusu var. Cloud çok popüler olduğundan, Cloud Security ve Cloud Governance da oldukça gündemde olan konulardan. Bilgi güvenliği alanına girmeyi düşünen arkadaşlara bir tavsiyem de, mutlaka Cloud alanında kendilerini geliştirmeleri. Eski bilgiler kesinlikle Cloud için yetmiyor, bakış açınızı değiştirip bambaşka bir yapıyı sıfırdan öğrenmeniz gerekiyor. AWS tarafından örnek verirsem, AWS Certified Cloud Practitioner, bu işe giriş sertifikalarından biri. Eğer “ben daha çok governance tarafında olacağım” diyorsanız, CCSP de faydalı bir sertifika.
4. Güvenlik mühendisliğini sevmenin insan karakteristiği ile çok örtüştüğünü düşünüyoruz. Bu konuda senin görüşün nedir? Güvenlik konusunda kendinden bir şeyler buluyor musun?
Katılıyorum. Daha önce de bahsettiğim gibi, bu işi seven kişiler zaten her zaman öğrenmeye açık ve meraklı kişiler oluyor. Bunun dışında söyleyebileceğim karakteristik özellikler; sorgulama özelliği, yani duyduklarını, okuduklarını hemen kabul etmeyen, soru soran tipler olmaları. Bir de hafif paranoyak olmak :) Ama yanlış anlaşılmasın, paranoyak ile kastım, her şeyin altında bir bit yeniği aramaktan ziyade, kolay inanmamak, kolay ikna olmamak ve sorgulamak. Bence bu özellikler derece derece her güvenlikçidevar. Ben kendimi çok yüksek derecelerde görmüyorum :)
5. Başka eklemek istediğin, özellikle bu alana ilgili duyan gençlere yönelik tavsiyelerin var mı?
Bu konuya ilgi duyan kişilerin bilmesi gereken kaynaklar ve linkleri ekleyebilirim. Aşağıda, önemli bulduklarımı paylaşıyorum:
Yazılım güvenliği için olmazsa olmaz: https://owasp.org/www-project-top-ten/
PCI DSS: https://www.pcisecuritystandards.org/
Cloud: https://cloudsecurityalliance.org/
AWS Cloud: https://docs.aws.amazon.com/
CIS: https://www.cisecurity.org/
Ataklar-ve-teknikler: https://attack.mitre.org/
