Siber güvenlik konusunda öne çıkan ülkelere baktığımızda yönetim şekilleri arasında büyük bir fark olduğunu görüyoruz. ABD, İngiltere, Fransa gibi demokratik, serbest piyasa ekonomisini benimsemiş ülkeler bir yanda, Rusya ve Çin gibi özgürlüklerin kısıtlandığı, devletin ekonomiye hakim olduğu otokratik rejimler de öbür yanda duruyor. Siber alanda ‘güçlü ülke’ olarak anılan bu devletlerin siber alan stratejileri arasında ciddi uçurum bulunuyor.
Birinci gruptaki ülkeler fırsat odaklı bir yaklaşım sergilerken, ikinci gruptaki devler siber alan politikalarını tehdit algısı üzerine şekillendiriyor. Birincilerin siber güvenlik şirketleri dünyanın dört bir yanında ihracat peşinde koşarken, Çin ve Rusya’nın şirketlerine yönelik güven duygusu sürekli azalıyor. İngiltere siber güvenlik stratejisinde hedefini ‘dünyada online ticaretin en güvenli yapıldığı ülke olma’ olarak belirliyor, İsrail siber güvenlik ihracatı her geçen gün artıyor; ABD’de siber güvenlik start-up’larına yatırım yağıyor. Diğer tarafta ise Rus şirketi Kaspersky en büyük müşterisi olan ABD’de ciddi bir bunalım yaşıyor. Güvenlik şüphesiyle yaklaşılan Huawei dışında, Çin sadece siber espiyonaj operasyonlarıyla, İnternet’e getirdiği kısıtlamalar ile gündeme geliyor. Yani demokratik siber güçlerin şirketleri demokratik olmayan siber güçlere fark atıyor. Türkiye’nin de siber alandaki tehditlere değil de fırsatlara yoğunlaşarak özel sektörü güçlendirmesinin orta-uzun vadede milli çıkarımıza olduğuna kesinlikle inandığım için siber güvenlik sektörünü geliştirmeye yönelik adımları kritik önemde buluyorum.
Bu ideal doğrultusunda Türkiye Bilişim Vakfı bünyesinde kurulan Başlangıç Noktası’nın start verdiği Siber Güvenlik Kariyer Sohbetleri hem sektörel bir networking fırsatı sunması açısından hem de tecrübenin yeni kuşakları ulaşması anlamında fonksiyonel bir rolü olabilir.
İlki mart ayında İstanbul’da düzenlenen sohbet serisinin konukları Burak Sadıç ve Levend Abay’dı.
Güvenlik sektöründe farklı şirketlerin değişik kademelerinde bulunduktan sonra siber güvenlik direktörü olduğu PwC’den ayrılan Sadıç ve 27 yıl boyunca Yapı Kredi’nin IT’sinde çalışmış olan Abay dinleyicilere Türkiye’de İnternet’in yayılmaya başladığı günden bu yana tecrübelerini aktardığı etkinlikten çok şey öğrendim. Notlarımdan bazılarını burada paylaşıyorum:
Kolay Erişim
İNSANA YATIRIM DÜŞÜK SEVİYEDE
Türkiye’de büyük bankaların IT bütçeleri üç haneli milyon dolarlara kadar çıktı ancak bunlardan çok azının insana yatırım için ayrılıyor. Bütçenin yarısının hala donanıma harcanırken, yüzde 10-15’i eğitim için sarf ediliyor. Levend Abay, nispi olarak insana bu kadar az bütçe ayrılmasına rağmen büyük bankalardaki güvenlik çalışanı sayısının 1000’e kadar çıktığını söylüyor.
Günümüz Türkiye’sinde güvenlik yöneticileri çoğunlukla mühendis kökenli insanlardan seçilse de, dünyada farklı alanlarda kariyerlerini yapmış insanların güvenlik yönetiminin başına geçtiğini de görüyoruz. (Bunun sayısız örneği var ancak sitemizde yayınlanan Siber Liderler dizisi mutlaka bir fikir verecektir.) Güvenlik sadece bir BT meselesi değildir. Güvenlik çok farklı boyutları olan bir meseledir.
SERTİFİKA YETERLİ Mİ, DİPLOMA DA GEREKLİ Mİ?
Eleman alımında önyargılı olunmaması gerekiyor. Katılımcılardan biri ‘sertifika mı diploma mı’ diye soruyor. Yani bir adayın üniversite mezunu olup olmaması veya mezun olduğu üniversite/bölüm mü işe alımında daha önemli; yoksa geçmiş tecrübeleri, güvenlik alanında aldığı uluslararası sertifikalar mı? Burak Sadıç düşünmeden üniversite ve diploma diyor. AMA diye büyük harflerle ekliyor: “PwC’deki ekibime çok yetenekli bir lise mezununu aldım. İstisna olarak kabul edilmesi için çok bastırdım. Başarılı oldu. Şu anda büyük bankalardan birinde güvenlik uzmanı olarak çalışıyor.” diye de ekliyor. Genelde konuştuğum insanlar ki buna lise mezunları da dahil üniversitenin iş yaşamında profesyonel bir nosyon kazandırdığı görüşüne katılıyorlar.
İlk programını 20 sayfa şeklinde kağıda yazdığını anlatan Sadıç 1999’da floopy üzerinden ilk firewall‘u kurduğunu aktarıyor. Bilgi Üniversite’sinde bir yüksek lisans bölümünün 2000’li yıllarda kuruluş sürecinde nasıl bir ‘bilgi güvenliği’ hatasına kurban gittiğini de acı bir gülümsemeyle paylaşıyor.
Firewall zamanla siber güvenliğin vazgeçilmez araçlarında biri haline geldi ve Windows Defender Firewall ileri derece bir güvenlik çözümü olarak ön plana çıktı.
“İSTEMEDEN YÖNETİCİ OLDUM”
Levend Bey başka bir probleme dikkat çekiyor: ‘İstemeden yönetici oldum’ Bugün hala kabul etmeseydim diye geçiriyorum içimden. İdealler ve maaşlar dengesiz.” Abay, Türkiye’de yaptığı işin en iyisi olmak için yola çıkmış bir mühendisken kendisinden bir birim kurması ve bunu yönetmesi istenmiş. Kendisini ikna etmek için tepe yöneticiler bile araya girmiş. Hatta üst düzey bir yönetici ‘Levend, insanlar beni onları yönetici yapmam için ikna etmeye çalışıyor, ben ise seni yönetici olman için ikna etmeye çalışıyorum’ diyerek yakınmış.
Levend Abay’ın aktardıklarından önemli bulduğum bir nokta askerliğin IT kariyerinde oynadığı önemli rol. “Askerde işleri öğrendim. Çeşitli askeri birimler müşterimiz oldu ve adeta güvenlik stajını en doğru yerde, ‘askerlikte’ bitirdim.”
Bunu duyunca aklıma İsrail Ordusu’ndan çıkan askerlerin kurdukları start-up’lar geliyor ki, Abay ekliyor: “2003’de güvenlik danışmanlığını İsrail’den aldık.” Bu bana Burak Sadıç’ın ‘bir kaza maili’ sonrasında suya düşen Bilgi üniversitesindeki master programını hatırlatıyor. ‘O zamanlar bu işe başlansaydı’ diyerek hayıflanmadan edemiyorum.