Güvenlik kahvesinin bu haftaki konuğu Websense Türkiye ekibinden Abdurrahman BEYAZASLAN.
NGB :Kısaca kendinizden bahsedebilir misiniz?
Abdurrahman Beyazaslan:1993 Bursa Cumhuriyet Lisesi, 1997 İstanbul Üniversitesi Bilgisayar Mühendisliği, 2002 İstanbul Üniversitesi MBA mezunuyum. İş hayatım boyunca Ford Otosan, Bank Kapital, Rumeli Telekom ve Intellect firmalarında çalıştım. Şu anda da Websense Türkiye ofisinde Sales Engineer olarak çalışıyorum. 32 Yaşında 2 çocuklu bir aile babası kısmını da ekleyelim .
NGB :Güvenlik işine nasıl bulaştınız?
Abdurrahman Beyazaslan:Okuldaki çoğu arkadaşım gibi genellikle ERP veya yazılım geliştirme alanlarından ziyade, network/sistem/güvenlik alanlarına eğilmem tamamen üniversitenin son senesinde (1996 ) iş aramam ve Ford Otosa’da çalışmam ile başladı. Aslında eğitimim gereği herkes gibi ben de yazılım ağırlıklı bir dal seçebilirdim ama, sabit olarak oturup, tüm gün kod yazmaya dayanamayacağımı anladığımdan o tarafa çok fazla eğilemedim. Ford Otosan’da network üzerine kazanmaya başladığım tecrübe, beni ağ ve bilgi güvenliği alanlarına kadar getirdi. Sırasıyla; Bank Kapital’de firewallar ile tanıştım, sonrasında Rumeli Telekom^daki Security Admin’lik görevim. Orada çalışıyorken Intellect ekibi ile tanıştım (ki başı Deniz Çevik çeker) ve o kadroya dahil oldum. Daha önceki işyerlerinde daha çok servis alan ve danışmanları dinleyen rolde iken, Intellect’de danışmanlık ve eğitmenlik görevlerini üstlenmeye başladım. Burada firewall, authentication, SIEM, web security konularında uzmanlık kazandim.
NGB :Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Abdurrahman Beyazaslan:Türkiye’de bilgi güvenliği, işin içindeki teknik ve orta kademe yöneticiler tarafından anlaşılmış olmakla birlikte bunun daha üzerine maalesef yeterince çıkamamış bir konu. Çok basit olarak, bugün BBC kanalında OTP token/biometrik authentication gibi konular için haber/program yapılabiliyorken, bizim kanallarımızda hala işin magazin kısmı dönüyor. Bu da tüm Türkiye’de bilgi güvenliği konusunun ne kadar ciddi olduğunu gösteriyor aslında. Bu konuya gereken önemin verilebilmesi işin, “Kisisel verilerin korunmasi” yasasının bir an önce çıkması ve bu konuda mahkemelerimizin yasaya aykırı hareket edenlere cezalar vermeye başlaması lazım. Aksi taktirde maalesef Türkiye’de cezası olmayan bir konunun –konu ne kadar ciddi olursa olsun- yeterince ciddiye alınması mümkün değil.
NGB :Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Abdurrahman Beyazaslan:Ben bu konuyu “Türkiye neden kendi arabasını üretmiyor” sorusuna ve Devrim arabaları hikayesine benzetiyorum. Yerli güvenlik yazılımları denince genellikle open source ürünler üzerine yazılan bir Türkçe yönetim panelinden öteye gidemiyoruz maalesef. Bu da aslında gayet normal. Çünkü tamamen sizin yazdığınız benzeri bir program için gereken bütçe ve süre, Türkiye’nin tek başına pazar büyüklüğü düşünüldüğünde, projeyi umutsuz kılıyor.Türkiye’deki güvenli sektörünün mali büyüklüğü belli. Çok çok iyi bir güvenlik ürünü geliştirseniz bile, bu ürün ile ilk yıllarda Türkiye’de satışa başlayıp ayakta kalabilmeniz mümkün değil ki daha sonraki yıllarda yurdışına açılabilesiniz. Artık fw, ips, loglama sistemleri yazmak insanlara para kazandırmayacaktır, şirketleri uzun süreler ayakta tutmayacaktır. Ama bilgi güvenliğinin çok nish bir konusunda ygeliştirme yapıp firmalar bu fikri satarak ayakta kalabilirler.
Burada sadece bilgi güvenliği ile ilgili değil ama genel IT sektöründe geliştirilen yazılımların kalite ve ticari başarısının artması için, üniversitelerimizde çok ciddi çalışmaların olması gerektiğine inanıyorum. Tabii herşeyin başında bu alanda mezun veren üniversitelerin tüm mezunlarının su gibi İngilizcelerinin olması gerektiğini hatırlatmak gerek.
NGB :Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Abdurrahman Beyazaslan:Öncelikle bilgi güvenliğinin ne demek olduğunu toplumun her kesimize doğru bir şekilde aktarmamız gerekiyor. Kendi aramızda ISO, PCI gibi standardizasyoları çok konuşuyoruz ancak biz derdimizi Va’daki evine yeni ADSL bağlatmış teyzemize anlatamadığımız sürece bizim konuyu ne kadar bilgidiğimizin bir anlamı yok. Bunun için de öncelikle medyanın regüle edilmesi gerekiyor. Sansasyon dolu “meşhur hacker haberleri”nden kurtulmamız gerekiyor. Bunun için de bu haberleri yapan basın organlarına bu sektör çalışanları olarak tepkimizi göstermeliyiz.
Bunun yanında şu meşhur yasa tasarısının bir an önce yasalaşması gerekiyor artık. Burada siyasilerimize ve bu siyasilere danışmanlık yapan Üniverite hocalarımıza çok iş düşüyor. Ben bundan sonrasının çok daha kolay olacağını düşünüyorum. Çünkü yasal düzenlemenin olmadığı bir noktada , bizler hep akıntıya karşı kürek çekiyoruz.
NGB :Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Abdurrahman Beyazaslan:Kesinlike inanıyorum, ama bunun tamamen bağımsız, ticari faaliyeti olmayan!, çalışanlarını sınavla seçtiği ve sıkı bir denetimden geçirerek aldığı, konusunda gerçekten uzman kişilerin oluşturduğu bir kadroya sahip bir kurum tarafından yapılması gerektiğine de inanıyorum.
NGB :Bu işe yeni başlayanlara neler önerirsiniz?
Abdurrahman Beyazaslan:Bu işe yeni başlayacak arkadaşlarımın öncelikle işin altyapısını öğrenmelerini tavsiye ederim. Network bileşenleri (router, TCP/IP, vs..) ve tehditlerin neler olduğunu bilmeden bu işi anlamak mümkün değil (Eğer amaç sadece bilgi güvenliği danışmanı veya denetçisi olmak ise o zaman iş başka) En başta bu konulardaki temel kitapları okumaları gerekiyor. Sonrasında yine aynı konularda iş tecrübesi. İşi IT Security servisi vermek olan bir entegratör firmada çalışmaları, deneyim kazanma süresinde avantaj sağlayacatır.
NGB :Sizce 2015 yılında bilgi güvenliği dünyasi hangi konulari konuşuyor olacak?
Abdurrahman Beyazaslan:Kritik bilgilerin korunması için kullanılan sistemlerin artık bugünün firewall’ları gibi vazgeçilmez güvenlik ürünleri haline geldiğini göreceğiz. Ayrıca arabamızın çalışması için gerekli donanımın üzerindeki işletim sistemine giren virüslerden bahsediyor olacağız.
NGB :Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Abdurrahman Beyazaslan:Checkpoint ve Cisco sertifikalarna sahip birisi olarak aldığım sertifikaların, ezberden öteye gitmeyen sınav sistemlerini görünce sertifikasyona inancım tamamen bitmiş durumda. Sadece şu günlerde yavaş yavaş üzerinde çalışmaya başladığım CISSP hariç (çok güzel yorumlar var bu sertifikasyon ile ilgili). Zaman zaman bana gelen CV’lerde; 3-4 senelik iş tecrübesine karşın, toplamda 30 sınava girilerek alınabilecek kadar çok sertifikaya sahip CV’leri direk elediğimi söyleyebilrim.
NGB :Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Abdurrahman Beyazaslan:Birkaç örnek aklıma geldi ama genellikle müşterilerimizde karşılaştığımız problemler olduğundan yazdıklarımı sildim J. Problem değil ama belki çözümü paylaşabilirim: yazdığımız politika ve proseürleri kontrol edebilecğeimiz ve ölçebileceğimiz bir yapıyı oturtabiliyor olmamız lazım, aksi taktirde hepsi havada kalıyor ve günün birinde bir şekilde kontrol edebilir hale geldiğimizde dehşete düşebiliyoruz.
NGB :Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Abdurrahman Beyazaslan:Belki bahane ama zaman yetersizliğinden çok sık kitap okuyabildiğimi söyleyemeyeceğim. En son geçen yaz okuduğum Cisco CCNA Official Certification Guide CND1-2 oldukça güzel içerikli bir kitaptı. CCNA sınavından bağımsız olarak bile okunması gereken bir kipta. Eminim CCNA sertifikası olan bir çok arkadaşın dahi bilmediği konular çıkacaktır.
Bir de uzun zaman önce arkadaşımın önerdiği Code Book var. Yazarı Simon Singh. Krpitolojinin günümüze kadar nasıl geldiğini anlatıyor. Mutlaka okunmalı, roman gibi elinizden bırakamayacaksınız. Türkçesi ideefixe’de satılıyor.
NGB :Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Abdurrahman Beyazaslan:Ben tam olarak Network ve Bilgi güvenliği konularına Intellect’de balıklama daldım diyebiliim. O nedenle o ekipteki her arkadaşımın benim için ayrı ayrı yeri ve değeri vardır. Bir de stajer kadrosunda göreve başladığım Ford Otosan’daki Kurtuluş Öztürk’ün bende çok emeği vardır. Kuralları olan, disiplinli ve planlı çalışması bana her zaman örnek olmuştur.
NGB :Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Abdurrahman Beyazaslan:Herhalde şu andaki işim gereği olsa en fazla kullandığım yazılım şu anda Websense Security Gateway ve Data Security Suite yazılımları. Bunların yanında, tabii güvenlik yazılımı demek ne kadar doğru bilmiyorum ama tabii ki Wireshark/tcpdump. Windows Log Parser. Herhalde yaptığım iş dolayısı ile çok fazla open source ürün kullanmıyorum.
NGB :Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Abdurrahman Beyazaslan:
securiteam.com
securitylabs.websense.com
ultimatewindowssecurity.com
NGB :Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Abdurrahman Beyazaslan:Her nekadar bazen daralıp köyde domates biber ekmeği planlasamda, tekrar aynı mesleği ve bu dalı seçerdim. İnsan yaptığı işten zevk alarak yapıyor. Yoksa 2 cocuğu uyuttuktan sonra gecenin bir saatinde oturup çalışmak pek akla yatmazdı J
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
