İş hayatında, icra ettiğimiz mesleğin türüne göre bizim yetkinliğimizi gösteren çeşitli belgeler vardır. Bu bazen diploma, bazen zanaatkarlık belgesi, bazen sertifika olabiliyor. Her meslekte az çok bu durum bulunmakta. Peki IT alanında bizim yetkinliğimizi gösterebilmemiz için ne gerekiyor?
Eğer üniversite mezunuysanız (ya da meslek lisesi), mezun olduğunuz bölüme ilişkin diploma ilk iş arama sırasında gösterebildiğimiz tek şey oluyor eğer ekstra bir çaba sarf edip proje vs. gösteremiyorsak. Bu durumda da bizi diğer adaylardan ayıran şey üniversitenin adı oluyor. Yıllar geçti, üniversiteden mezun oldunuz ve 3-5 senelik deneyime sahipsiniz artık. Bu saatten sonra açıkçası üniversitenin adıyla ilgilenen kişi sayısı azalıyor. Daha çok nerede çalıştınız, neler yaptınız vs gibi sorular gündeme geliyor. Açıkçası olması gereken bu, müstakbel yöneticiniz aynı okuldan mezun birine kol kanat germe ihtiyacı duymadığı sürece… Hemşehriliği karıştırmıyorum bile.
Kolay Erişim
127.0.0.1’e ping atmış insanın alabileceği sertifikalar
Şimdi daha da özele inersek, siber güvenlik alanında çalışıyorsunuz ya da çalışmak istiyorsunuz, bu alanda bölüm sayısı da az ya da hiç yok. Diploma gösteremezsiniz. Bilgisayar Mühendisliği diploması güvenlik bildiğinizi kanıtlamaz. Güvenlikçiler de genelde alaylı olur zaten (ben Elektronik Haberleşme Mühendisliği mezunuyum mesela) Bu durumda ne yapacaksınız? İşte tam bu noktada sertifika konusu devreye giriyor. Hepsi için söylemiyorum fakat bazı kuruluşlardan aldığınız sertifikalar, sizin o konuda belli seviyede bilgiye sahip olduğunuzu gösteriyor. Sertifikanın türüne göre de teorik ya da pratik (hands-on experience) tecrübeye sahip olduğunuz kanıtlanabilir.
Peki neden bazı kuruluşlarca verilen sertifikalar dedim? Bunun en temel sebebi şu: bazı sertifikaların sınav soruları ‘dump’ şeklinde piyasada bulunmakta ve yeterli İngilizceye sahip birisi, hayatında en fazla komut satırını açıp 127.0.0.1’e ping atmış olsa bile bu soru havuzunu ezberleyip, ilgili sertifikayı alabilir. Hatta bu ping’e cevap alamamışsa dahi sertifikayı alabilir 🙂
Bununla beraber, sertifikayı veren kuruluş eğer size deneyim soruyor ve bunu kanıtlamanızı bekliyorsa, bu da yine ilgili sertifikayı mûteber yapar. Bu yüzden ISC2 ve ISACA’nın sertifikaları sektör tarafından kabul görüyor. Çünkü ortalama 5 sene deneyim isteniyor bu sertifikaları almanız için. Yani sınavı geçmeniz yetmiyor.
Peki hangi sertifika?
Bu sorunun cevabı biraz yoğunlaştığınız alana bağlı olarak değişebiliyor. Ben bunları birkaç parçaya bölmek istiyorum. Böylece hangi alanda ilerliyorsanız, o tarafta kabul gören sertifikalara yönelmek daha doğru olacaktır.
Network Security : İçinde network kelimesi geçiyorsa CCNA ile başlayıp, CCIE Security’ye kadar giden süreç sizi bekliyor. Genel olarak üretici sertifikalarına bağlı kalınmamasını tavsiye etsem de, Cisco’nun sertifikaları (özellikle CCNA) kapsadıkları konular açısından sizin gerçekten de belli seviyede bilgi sahibi olmanızı bekliyor. Tabi ki dump ezberleyip, girmezseniz J Bunun dışında yine üreticilere özel sertifikalar alınabilir
Ofensif Security : Özellikle mavi, kırmızı takım gibi ekiplerde çalışacaksanız buralarda size göre sertifikalar bulunuyor. SANS (GPEN, GWAPT vb) ve Offensive Security (OSCP, OSCE vb) sertifikaları sektörde en çok kabul gören sertifikalar. Bunun yanında EC Council’ın CEH sertifikası da yaygın olarak tercih edilse de, bir kesim tarafından ‘ayağa düşmüş’ olarak da görülmekte. Tercih sizin J
Denetim : Eğer güvenliğin denetim ya da risk yönetimi alanındaysanız ISACA’nın CISA sertifikası, diğer tarafta da ISO 27001 Lead Auditor sertifikaları en çok kabul gören sertifikalar. Risk yönetimi tarafında da yine ISACA’nın CRISC sertifikası kabul görüyor.
Genel Sertifikasyon : Bence (sektörce de) en çok kabul gören sertifika belki de ISC2 tarafından verilen CISSP. Bu sertifika, sizin güvenlik alanındaki pek çok domain hakkında bilgi sahibi olmanızı bekliyor. Bunun yanında yukarıda belirttiğim deneyim şartı da sertifikayı almayı zorlaştırırken, değerini arttırıyor. ISACA tarafından verilen CISM sertifikası da bu şekilde değerlendirilebilir. Fakat genel kanaat yine CISSP tarafında. Benim şahsi güvenlik anlayışımla da, yani 360 derece güvenlikle birebir örtüşüyor.
Peki sertifikaya inanmayan arkadaşlar ne yapacak?
Yerçekimine, dünyanın şekline, elektriğin çarpmasına vs inanıyorsanız, bazı sertifikaların gücüne de inanacaksınız. Türkiye’nin en iyi üniversitesinden mezun oldunuz diyelim. Hangisi olsun, Boğaziçi, ODTÜ??? Güzel, peki yurt dışına gitseniz bunları kim tanıyor? Türkiye’nin en büyük ulusal şirketlerinde çalıştınız diyelim, emin olun onlar da tanınmıyor. E sizin referanslarınızı da kimse aramaz CV’ye bakıp, kusura bakmayın. Orada sertifikalar sizin uluslar arası alandaki denkliğinizi sağlayan tek şey oluyor.
Nasıl hazırlanmalıyım?
Güzel soru. Eğer Ofensif Security tarafındaysanız, kesinlikle hands-on tecrübe yapın. DVWA gibi uygulamaları indirin, sızmaya çalışın. Kali muadili pentest OS’ler ve içerisindeki toolları öğrenin. Bol bol araştırın ama bol bol da pratik yapın, oumak yetmez.
Diğer alanlarda ise sizi başarıya ulaştıracak şey yine okuma ve deneyim. Son aldığım sertifika ISC2’nin cloud sertifikası olan CCSP. Açıkçası çok çok az çalıştım diyebilirim. Deneyimlerinizle doğru cevapları sınav anında bulabiliyorsunuz. Bunun dışında resmi yayınları ya da Sybex gibi yayınevlerinden çıkan yayınları okuyabilirsiniz. Bu arada CISSP hazırlık materyalleri sorulduğunda tek kalemde geçilen Shon Harris’e de Allah’tan rahmet diliyorum.
%100 güvenlik yoktur ve en zayıf halka insandır klişeleriyle bitireyim 🙂
Sertifikasyon ya da siber güvenlikle ilgili aklınıza ne gelirse benimle iletişime geçebilirsiniz. Elimden geldiğince yardımcı olmaya çalışırım. (Twitter: @ofaltundal)
Siber Bülten abone listesine kaydolmak için formu doldurunuz