Güvenlik Röportajları #6 Deniz CEVIK

Güvenlik kahvesinin bu haftaki konuğu bilgi güvenliği uzmanı Deniz ÇEVİK.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Deniz ÇEVİK: 1999 yılında Trakya Universitesi Bilgisayar Mühendisliği bölümünden mezun oldum. Sonrasında ise Yeditepe Univeritesinde Elektronik ticaret ağırlıklı bir MBA yüksek lisansı yaptım. Profesyonel çalışma hayatıma 1999 yılı içinde intellect firmasında başladım. Bu firmada güvenlik alanında oldukça farklı konuda çalışma imkanım oldu.

İlk yıllarımda daha çok network güvenliği, firewallar, IPS gibi sistemler ile uğraşırken son 4-5 yıldır daha çok güvenlik eğitimleri, denetim ve danışmanlık hizmetleri alanına kaydım. Ağların güvenli hale getirilmesini amaçlayan çok sayıda proje tasarımında ve kurulumunda çalıştım. Şu sıralar BizNET firmasında güvenlik denetim, danışmanlık ve eğitim hizmetleri üzerine çalışıyorum.

NGB:Güvenlik isine nasil bulastiniz?

Deniz ÇEVİK:
Güvenlik konusu ile ilgilenmeye ciddi olarak üniversite yıllarında başladım. Kurumların henüz güvenlik konusunda yeni yeni yatırım yaptığı, syn attack ile sistemlerin göçtüğü, sendmail sayesinde root olunabilen, lquerpv komutları ile shadow dosyalarının rahatlıkla açılabildiği, winnuke ile ağda C&C oynayanların mavi ekranla tanıştığı güzel günlerdi.

Hep bu işlerin nasıl yapıldığını ve engellenebileceğini öğrenmeye yönelik ilgim oldu. Amacım mezun olunca yine bu alanda çalışmaktı ve arayışlarımı ona göre gerçekleştirdim. İşin ilginç yanı ilk iş görüşmemi de böyle bir firma ile yapmamdı. Pek çok kişinin bulamadığı bir fırsatı yakalayarak yapmak istediğim işe, iyi ve tecrübeli bir kadroya sahip firmada başlamış oldum.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Deniz ÇEVİK:
Türkiyede bilgi güvenliği konusuna verilen önem gün geçtikçe artıyor ama yapılan yatırımlar daha çok günü kurtarmaya yönelik oluyor. Bilgi güvenliği denilince algılanan kavram aslında bilgi güvenliğinin çok daha küçük bir bölümünü oluşturuyor. İnsanların önemli bir kısmı bilgi güvenliğini hala firewall, anti virus, 5651’den ibaret sanıyor. Bu insanların büyük çoğunluğu güvenlik işini “ne gerekiyorsa alıp kuralım güvenli olalım” mantığında sadece ürün satın almak ve kullanmaktan ibaret sanıyor. Testlerin, danışmanlığın, kurumsal bir politika geliştirilip buna ciddiyetle ve üst yönetimin tam desteği ile uygulanmasının gerekli olduğu henüz yeterince anlaşılamamış durumda.

Güvenlik ürün kadar hizmet ve beyin gücü gerektiren bir iştir. Bu iş sonucu üretilen ürün ise genellikle elle tutulamayan ve daha çabuk eskiyen bir üründür. Dolayısı ile kısa bir süre sonra eskiyecek veya yapılan işin değerini gösterme fırsatını genellikle bulamayacağınız bir yere büyük paralar saçmak istenmiyor. Bunun yerine asansörleri en lüks granitler ile döşemek için bütçe ayırmak daha doğru bir yaklaşım olarak ele alınıyor (gibi geliyor :)). Sonuçta bir sektörün gelişimi ona yapılan yatırımla doğru oranda artacaktır. Güvenlik alanına yapılan yatırımların artması, bu konuda hizmet veren ve ürün üreten kurumların sayısının artmasını sağlayacaktır. Yine kurumların kaliteli hizmet alabilmesi için, belirli miktarların üzerinde danışmanlık ücretlerini gözden çıkarmaları gerekmekteki, hizmet sunanlar o tecrübede insanları elde tutabilsinler.

Yurtdışında güvenlik gereksinimlerini tanımlayan ve zorlayan regülasyonlar Türkiye’de çok eksik veya olsa bile uygulanmasında lakayt davranılıyor. BDDK’nın tebliği en ciddi uygulananlar arasında. PCI hala kaçamak şekilde uygulanıyor. Sarbannes Oaxley benzeri borsaya kote şirketleri zorlayacak bir kanun/yönetmelik SPK tarafından zorlanmıyor. ISO 27001 konusunda yeteri kadar teşvik/zorlama yok. BTK’nın yaptığı bazı düzenlemeler ve yeni planlanan e-devlet ve bilgi toplumu kanun tasarısı bu konuda yakın zamanda bazı ilerlemeler sağlayabilir gibi duruyor. Sanırım bunların etkin uygulanabilmesi için yurtdışında olduğu gibi medyaya yansıyan önemli güvenlik ihlallerinin türkiyede de olmasını bekleyeceğiz

Güvenlik hizmeti veren firmalar için bir akreditasyon mekanizması yok. İş kalitesi için zorunlu tutulan kriterler yok. Firmalar ya elemanlarına aldırdıkları sertifikalar ile ya da reputasyonlarını kullanarak satış yapmaya çalışıyorlar. Böyle bir kriter hazırlayabilecek, firmaları eğitebilecek ve hatta akredite edebilecek nitelikteki kuruluşlar ise bunları yapmak yerine hem kamu hem de özel sekörde, güvenlik hizmetleri veren firmalara karşı ihalesiz iş alabilmek, bütçe sorunu olmamak gibi avantajları kullanarak ciddi bir şekilde haksız rekabet ediyor, bana göre sektöre zarar veriyor.

Güvenlik firmaları pek çok nedenden dolayı para kazanmak için ürün satışını tercih ediyor, güvenlik için yazılım veya teknoloji üretmeye çabalayan firmalar yeterli desteği göremiyor.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Deniz ÇEVİK:
Yeni başlayan arkadaşlarda bizim ilk aradığımız şey çalışma azmi ve öğrenme isteğidir.
Sürekli kendilerini geliştirme arayışında olsunlar. Bunun için önlerinde internet gibi inanılmaz bir kaynak bulunuyor. Her kapının başka bir kapıyı açtığı inanılmaz bir kütüphane. İşe başlarken hizmet veren bir firmada çalışmaları daha hızlı tecrübe kazanmalarına ve farklı sistemler, yapılar görme fırsatı sunacaktır. Bu onlara bilgiye daha hızlı sahip olma ve tecrübe açısından çok şey kazandıracaktır.


NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Deniz ÇEVİK: Genel itibari ile risk analiz, güvenlik süreçlerinin takibi, standartlara uyum, zafiyet yönetimi gibi ana konuların konuşulmaya devam edeceğini düşünüyorum. Son yıllarda mobil teknolojilerin kullanımında inanılmaz bir artış söz konusu, dolayısı ile bu yöne eğilimin ve güvenlik ihtiyaçlarının artacağını düşünüyorum.

Ürün satışı yerine kurumların servis satışlarına yönelerek gelir akışını sabit tutmaya yöneldiği göz çarpan bir başka husus. Uygulama problemlerine yönelik güvenlik arayışları devam edecektir, beklide web 3.0 ın sorunlarını konuşuyor olacağız. IPTV ve video-on-demand servislerinin de yaygın kullanılacağı, IP adresine sahip etkileşimli ev aletlerinin artacağı ve buna yönelik güvenlik arayışları ve sorunlarının artacağını da düşünülebilir.

Tüm güvenlik problemlerini istemci tarafında çözmeye çalışarak bu tip ürünlerin işletim sistemi ile entegre geleceğini düşünüyorum. Dolayısı ile Microsoft ile mcafee,symantec gibi firmaların birbirlerine dava açmaya başladıklarını görebiliriz.

NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.

This entry was posted in Röportajlar and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

8 + 7 =