Bilgi Güvenliğine Nereden Başlamalısınız?
Bilgi Güvenliğine Nereden Başlamalısınız?
Bilgi güvenliği alanına ilgi duyan öğrenciler, yeni mezunlar veya sektör değiştirmek isteyen birçok kişi bilgi güvenliğini yalnızca hacklemek, zafiyet bulmak veya sızma testi yapmak sanıyor. Sektöre girmeden önce bende öyle sanıyordum. Oysa bilgi güvenliğinde birçok alan bulunuyor.
Bir şirkette bilgi güvenliği ekibine baktığınızda; kimlik yönetimi, erişim yönetimi, risk yönetimi, mevzuat uyumu, güvenlik operasyonları, ağ güvenliği, olay müdahale, iş sürekliliği, güvenlik mimarisi ve farkındalık gibi birçok farklı disiplinin bir arada çalıştığını görürsünüz. Bu nedenle bilgi güvenliğine başlamak isteyenlerin ilk yapması gereken şey, alanın tamamını tanıyarak değerlendirmek ve hangi alanda çalışmak istediğini belirleyerek o alanda kendini geliştirmeye başlamaktır.
Önce Temeli Öğrenin
Yeni başlayanların çoğu doğrudan güvenlik araçlarını öğrenmeye çalışıyor. SIEM ekranları, Kali Linux, Burpsuite, Zafiyet Tarama araçları gibi. Güvenlik araçları ilgi çekici olabilir, ancak henüz network temellerini bilmeden, güvenlik standartlarını bilmeden sektöre atılmak sizi sadece tek bir alanda geliştirecek ve eksik güvenlik bakış açısı oluşmasına neden olacaktır. Minimum aşağıdaki terimleri bilmenizde fayda var.
- Network katmanları neler? Hangi katmanda hangi saldırılar olabilir, önlem olarak neler yapılabilir?
- Varlık nedir? Kritik varlıklar nasıl korunabilir?
- Risk nedir? Riskin kritikliği neye göre belirlenir, önceliklendirmesi nasıl yapılır?
- Zafiyet nedir, nasıl kapatılır?
- Tehdit nedir?
- Erişim yetkileri neden önemlidir? Fazla yetkiler neye sebep olabilir, kontrolleri nasıl yapılır?
Bu temel kavramları öğrenmeden kullanılan araçlar çoğu zaman ezberden öteye geçmez.
Bilgi Güvenliği Sadece Teknik Bir Alan Değildir
Sektöre girerken en şaşırdığım kısımlar bunlardı. Filmlerde, dizilerde hep hackerlar görürüz, siber saldırı yapılır, güvenlik ekipleri o saldırıları engellemeye çalışır vs. Bana ilk verilen işler bulgu takibi yapma, politika-prosedür yazma, öz değerlemeler yapma gibi işlerdi ve biz şimdi güvenlik mi yapıyoruz diye beni çok düşündürmüştü. Çünkü bende bu tarafları bilmiyordum, güvenliği sadece teknik konulardan ibaret sanıyordum. İş hayatında gördüm ki birçok kritik karar teknik ekiplerden değil; risk yönetimi, uyum ve yönetişim süreçlerinden geliyor.
Örneğin;
- Bir yetki neden kaldırılmalı?
- Bir risk kabul edilmeli mi?
- Bir güvenlik yatırımı gerçekten gerekli mi?
- Bir regülasyonun gereklilikleri nasıl karşılanmalı?
Bu soruların cevapları çoğu zaman teknik olmaktan çok yönetişim ve risk yönetimi bakış açısı gerektiriyor.
Hangi Alanları Tanımalısınız?
Bilgi güvenliğine girmek isteyen herkesin aşağıdaki alanları en azından temel seviyede tanımasını öneririm.
- Kimlik ve Erişim Yönetimi (IAM)
Bir kullanıcının hangi sisteme erişebileceğini belirleyen süreçlerdir. Sektörde en fazla ihtiyaç duyulan alanlardan biridir ve hemen her kurumda bulunur.
- Risk Yönetimi ve Uyum
ISO 27001, COBIT, NIST, KVKK, DORA, BDDK, CIS gibi çerçevelerle çalışılır. Özellikle finans sektöründe teknik bilgi kadar önemlidir. Risk yönetimi, bilgi güvenliği yönetiminin temel bileşenlerinden biridir.
- Güvenlik Operasyonları (SOC) (Blue Team)
Alarm yönetimi, olay müdahale, log analizi ve tehdit takibi yapılır. Blue Team çalışmalarına ilgi duyanlar için iyi bir başlangıç noktasıdır.
- Ağ Güvenliği
Firewall, segmentasyon, VPN, proxy ve ağ mimarisi gibi konuların temelini oluşturur.
- Sızma Testi ve Red Team
Sistemlerdeki güvenlik açıklarını saldırgan bakış açısıyla tespit etmeyi amaçlar. Teknik tarafta ilerlemek isteyenlerin en çok ilgi duyduğu alanlardan biridir.
- Uygulama Güvenliği (Application Security)
Yazılımların güvenli geliştirilmesi, kod incelemeleri, güvenlik testleri ve uygulama zafiyetlerinin yönetimi ile ilgilenir. Yazılım geliştirme güvenliğine ilgi duyanlar için önemli bir alandır.
- Güvenlik Farkındalığı
Birçok saldırının teknik zafiyetlerden değil insan hatalarından kaynaklandığını sahada sık görüyoruz. Bu nedenle farkındalık çalışmaları güvenliğin önemli bir parçasıdır.
Staj Yaparken Nelere Dikkat Etmelisiniz?
Birçok öğrenci staj döneminde “Bana önemli bir iş verilmedi.” diye düşünür. Oysa stajın amacı kritik sistemleri yönetmek değil, kurumların nasıl çalıştığını gözlemlemek, ekiplerin nelere dikkat ederek karar verdiğini, nasıl iş önceliklendirdiğini gözlemleyerek ne öğrenmeniz gerektiğini öğrenmektir.
Şunlara dikkat edebilirsiniz:
- Yetki talepleri nasıl yönetiliyor?
- Riskler nasıl takip ediliyor?
- Bir güvenlik olayı yaşandığında kim ne yapıyor?
- Denetim bulguları nasıl kapatılıyor?
- Güvenlik ekipleri hangi araçları kullanıyor?
Bu gözlemler bazen teknik eğitimlerden daha fazla şey öğretir. Sektörde biraz ilerlediyseniz, temelleri öğrendiyseniz ve hangi alanlarda çalışmaya karar verdiyseniz o alandaki sertifikaları alabilirsiniz. (ISO 27001, CompTIA Network+, Security+, CySA+ vb.) Sertifika sınav ücretleri genelde yüksektir, sınava girmek istemeseniz bile çalışmanızda fayda olduğunu düşünüyorum, sertifika sahibi olmasanız bile size çok şey öğretecektir ve yaptığınız işlerin kalitesinde kendini gösterecektir.
Sonuç
Bilgi güvenliği yalnızca saldırı yapmak veya saldırıları engellemek değildir. Kimlik yönetiminden risk yönetimine, güvenlik operasyonlarından mevzuat uyumuna kadar birçok farklı uzmanlık alanını içerir. Kariyerinin başındaki bir öğrenci için en doğru yaklaşım, önce alanın tamamını görmek, ardından ilgi duyduğu konuda derinleşmektir. Çünkü bilgi güvenliğinde başarılı olmak, her şeyi bilmekten değil; hangi problemin neden önemli olduğunu anlamaktan, sorunları ve riskleri yönetmekten geçer.