Siber güvenliği, sıradan insanların uzak durması gereken, kendine has, ender bir kariyer olarak görüyor olabilirsiniz. Fakat durum farklı. Dijital çağın günlük hayatımıza hızla sindiği bu zamanlarda, kariyeriniz ne olursa olsun, herkes mutlaka bir nebze de olsa temel bir siber güvenlik anlayışına sahip olmalıdır. Bu sayede şirketler iş yerinde dirençli bir görev protokolü yürütebilirler. Evde ise kendi bilgilerinizi korumak daha kolay olacaktır.
Teknoloji modern hayatı her açıdan etkiliyor
Güvenlik öğreniminin neden bu kadar önemli olduğunu anlatmaya başlarken, isterseniz önce günlük hayatın pek çoğumuz için nasıl geçtiğine bakalım. “Modern teknolojiden faydalanmayan meslek nerdeyse kalmadı.” Bu sözlerin sahibi olan Virtustream güvenlik şefi Matt McCormack’e biraz kulak kabartalım:
“Öğretmenler SMART sınıf tahtalarını kullanıyor. Tamirat veya bakım için evinize gelen bir kişi bir akıllı telefonu veya tableti çıkarır ve oradaki bir uygulamaya bilgi ekler. Şirketlerde en fazla hasara neden olan hatalar güvenlikle ilgilidir. Bu problemlerin nedeni, güvenli olduklarını bilmeden e-postalardaki eklere tıklamak kadar küçük bir şey olabilir.”
Ayrıca, güvenlik endişeleri sadece iş yeriyle de sınırlı kalmıyor: “Günümüzde artık sadece şirketinizin güvenliği değil, kendi güvenliğiniz ve sosyal ağlarda neler paylaştığınız da önemli bir konu. Hükümet için çalıştığım zamanlarda, iş hayatı dışında olsa bile, her zaman insanlara sosyal medyada ne yapmamaları gerektiği yönünde tavsiyelerde bulunurduk.”
Temel güvenlik bilgisi her kariyerde işe yarar
Basit bir şekilde şüpheli e-posta eklentilerine tıklamamak iyi bir başlangıç olacaktır. Fakat neredeyse tüm çalışanlar, şirket güvenliğini artıracak ve kendilerine değer katacak bir takım şeyler yapabilir.
LinkedIn bilgi güvenliği yöneticisi Pavi Ramamurthy: “Kurum içindeki herhangi bir rolde, güvenlik hakkında bilgi edinmek, bireyin riskleri anlamasına ve kritik durumlarda bilinçli kararlar vermesine yardımcı olur.”
SİBER GÜVENLİKÇİ GÖREV LİSTESİ
- Satışlarda, kurumun güvenlik duruşu hakkında müşterilere güvence verin.
- Şirket iletişimlerinde, durumu sektörel saygınlık ve marka güveni ekseninde değerlendirmelisiniz.
- Hukuk danışmanlarınız, tedarikçi ve müşteri antlaşmaları çerçevesinde oluşturulan güvenlik şartlarının doğruluğundan emin olmalıdır.
- İnsan kaynaklar ve/veya güvenlik takımı için, daha iyi güvenlik farkındalığı ve eğitim için gerekli koşulları öğrenin.
- Ürün yöneticileri, iyi güvenlik seçenekleri tavsiye etmelidir.
- Mühendislik projelerinde güvenli kod geliştirdiğinizden emin olun.
- Güvenlik uzmanları, çalışabilirlik ve güvenlik teyidi için incelemeler ve kalite kontrol testleri yürütmelidir.
- Şirket yönetimi, bir güvenlik olayında doğrudan devreye sokabilecekleri ve zafiyeti en hızlı şekilde tespit edebilecekleri bir savunma planı bulundurmalıdır.
Gördüğünüz gibi, güvenlikle ilgili projelerine katkı sağlamak ve farkında olmak için herkesin bir güvenlik uzmanı olması gerekmiyor. Aslında, ne kadar çok personel belli bir güvenlik farkındalığı seviyesinin üstünde bulunursa, güvenlik ihlallerinde o kadar az para ve zaman kaybedersiniz.
Siber saldırılar insan hatasına dayanıyor
Siber saldırganlar güvenlik ihlalleri için sadece yeteneklerine güvenemezler. Gerekli olan diğer şeylerin başında insan hatası gelir. Ph.D. profesör ve RIT bilgisayar güvenliği şefi Bo Yuan şunları söylüyor: “2017’nin ilk çeyreğinde şirketlerin karşılaştığı tehditlerle ilgili bir analize göre, siber saldırganlar büyük oranda kullanıcı etkileşimine gereksinim duyuyor.
Çarpıcı bir örnek vermek gerekirse: Equifax CEO’su, 2017’deki saldırıda ihmali bulundu. Evet, 147 milyon müşteriyi etkileyen ve 600 milyon dolarlık zarar oluşturan saldırının nedeni insan hatasıydı. “Bilişim sektöründe çalışmayan fakat iş için bilgisayarlı aygıt kullananların temel güvenlik eğitimi almaları, ufak bir hatanın veya göz kaçırmanın nasıl felaketlere yol açabileceğini anlamları için önemlidir. Eğitim, saldırıların giderek karmaşıklaşıp ve gelişkin bir hal alması yüzüden, güvenlik zafiyetlerini azaltmada insan hatasını minimuma indirmede hayati önem taşır.”
Güvenlik bilgisiyle çalıştığınız iş yerinde ilerleyebilirsiniz
İşinizde ilerlemek için yeni beceriler kazanmak güvenli bir yoldur. Güvenlik dalı da şu sıralar son derece uygun. Kendini siber güvenlik alanında eğitmek, ortalama bir çalışanın kariyerinde olumlu bir etki yaratacak. Hiyerarşide yükselmek veya zam almanın ilk adımı, ek sorumluluklar almada güvenilir olduğunu göstermektir. İşiniz doğrudan bir güvenlikçi rolü üstlenmese de, çalışma ortamınızın kötü niyetli bir üçüncü şahıs tarafından istismar edilme yollarını düşünün.
Mesela, şüpheli link içeren e-postanın sahibine teyit etmek için e-posta gönderin. Uzun linkleri kısaltıp daha okunur hale getirmek için Google’ın https://goo.gl URL hizmetinden haydalanabilirsiniz. Fakat bu yolla kötü bir aktör, kötü niyetli bir siteye bağlanan yanıltıcı bir goo.gl URL’si kullanarak çalışanları hataya düşürmeye çalışabilir. Sıradan kullanıcıların bu tür tuzaklara düşme ihtimali çok daha yüksek.
Çalıştığınız şirket güvenlik eğitimi için gerekli harcamaları karşılamak istemese bile kendi kendinizi eğitebilirsiniz. Diplomalı, sertifikalı, plaketli resmi bir eğitim almanız da gerekmiyor. İşin aslı, dünya hakkındaki düşünme biçiminizi genişletmek ve bu sayede kendinizi kötü adamların yerine koyarak olası zafiyetleri erkenden keşfetmektir.
Şimdi güvenlik eğitimi alarak ileride harika bir kariyere ulaşabilirsiniz
Güvenlik ile ilgili araştırmalarınızdan zevk aldığınızı ya da ilgili becerilerin ilginizi çektiğini keşfederseniz, neden bu tam zamanlı bir kariyer olmasın? Şimdi böyle bir adım atmak çvresel koşullar son derece müsait. Bir araştırmaya göre, 2021 itibariyle 3,5 milyonluk bir siber güvenlikçi açığı oluşması bekleniyor. Bu tür bir rağbet, kariyer sıçraması yaşamak isteyen herkesin üzerinde düşünmesi gereken bir konu.
Bu sayede başarıyla sonuçlanan hikayelerin sayısı hiç de az değil. Bu kişilerden birisi de, kendi güvenlik kariyeri için meslek değiştiren ve şu an Ping Identity’de yönetici teknik mimar olan Sarah Squire. Kariyerine web geliştirici olarak başlayan Sarah bir süre sonra ufak bir bilgi güvenliği takımı tarafından işe alınır. Bir yıllık yorucu bir eğitimin ardından bu mesleğe adeta aşık olur. Sarah, bu küçük platformu kullanarak yeni bir vasıf kazanır ve sonra kendi danışmanlık şirketini kurar. Bu noktadan sonra işini ilerletir ve artık NIST rehberlerine katkıda bulunmak, şöhretli güvenlik konferanslarında konuşmak, eğitim kitapları dokümanları hazırlamak ve herkesin internette günlük kullandığı iletişim protokolleri için fikir sağlamak gibi görevlerin altından kalkacak duruma gelir.
Görece kısa süreli bir eğitim ile Sarah Squire tüm kariyer eğrisini tepeye çevirmeyi sağladı. Sizin de böyle bir kariyer sıçraması yaşamamanız için hiçbir engel yok.
