Güvenlik Röportajları #16 Altuğ YAVAŞ

Güvenlik kahvesinin bu haftaki konuğu TippingPoint Türkiye Bölge Teknik Müdürü Altuğ YAVAŞ.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Altuğ Yavaş: 1976 yilinda dogdum. 2002 yilinda Istanbul Teknik Universitesi Kontrol ve Bilgisayar Yuksek Muhendisi oldum. 12 yildir bilisim sektorunde calisiyorum. Lisans tezimi yazarken kendimi TCP/IP benzeri bir protokol yazmakla ugrasan bir TUBITAK projesinin icinde buldum.  Bir sure bilgisayar aglari ile ilgilendim. Bu nedenle guvenlik sektorune ilk adimim ag guvenligi konusunda oldu. Daha sonra bilgi guvenliginde calismaya devam ettim.

Kalite guvence konusunda da kisa bir sure calistim. Aslinda kalite guvencenin ISO 27001 konusunda daha sonradan yaptigim calismalara buyuk katkisi oldugunu soylemeliyim. Uekae, Gantek, Cybersoft, Inteltek, Milsoft, ve Innova firmalarinda agirlikli olarak guvenlik konularinda hizmet verdim.

Su anda TippingPoint’in Turkiye Bolge Teknik Muduru olarak IPS cihazlari konusunda calismaya devam ediyorum.

NGB: Güvenlik işine nasıl bulaştınız?

Altuğ Yavaş: Guvenlik isine kendi elimle bulastim :). Universiteden mezun olduktan sonra mezun oldugum bolumde kendi halinde bir asistan olarak calismaya baslamistim. Birgun kriptoloji hakkinda bir toplantiya katildim ve guvenlik konusunda calismaya karar verdim.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz?

Altuğ Yavaş: Turkiye’de bilgi guvenligi konusundan once, sahip olunan degerli bilginin tanimlanmasi, siniflandirilmasi ve degerine gore korunmasi bilincini yerlestirmemiz gerek. Takdir edersiniz ki bu bilgi guvenliginin cok otesinde birsey.

İyi bir guvenlik sistemini ancak iyi siniflandirilmis bir bilgi envanteri uzerine kurmak mumkundur. Urunler ve hizmetler acisindan bakarsak cok gelismis ve dunyaya ayak uydurmus bir pazarimiz var. Uzmanlarimiz var. Bunun yaninda farkindalik yaratma calismalari artarak devam etse de kullanici tarafinda bulunan degisik kademelerde, ihtiyac olan guvenlik farkindaliginin henuz olusmadigini gozlemliyorum. Gecenlerde katildigim Ankasec konferansinda, guvenlik testleri sirasinda, kurum calisanlarinin parolalarini, hicbir kusku duymaksizin tanimadiklari birine telefonda aktarmalarini hayretle izledim.

Aslinda bir yonetici gozlugu ile bakmaya calisirsam, guvenlige yapilan yatirim da diger maliyet unsurlarindan yalnizca bir tanesi. Bundan sonrasinda karar vericilere guvenlik konusunu daha cok anlatmaliyiz.

Guvenlik konusunda daha ileri gitmemizin yolu, bilinclendirmeden geciyor kanimca. Patronlarin ve karar vericilerin bizim dalabildigimiz kadar derine gelmelerini beklemeden, onlara derinlerdeki dunyanin hayatimiza getirecegi degisiklikleri analojilerle ifade edebilmemiz gerekiyor. Ornegin bir kripto algoritmasinda stream-cipher ile block-cipher ayrimini bilmelerini veya bir Saldiri Onleme Sistemi’nde VLAN tagging’in nasil yapildigini bilmelerini beklememeliyiz.

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Altuğ Yavaş: Bugunku sartlarda bir yazilim ya da donanim urununun pazarda yasayabilmesi icin saglamasi gereken temel bazi gereksinimler var. Isini iyi ve dogru bir sekilde yapmak, uretici desteginin bulunmasi, uluslararasi standardlara uyumluluk, sertifikasyon gibi. Bu tur ozellikler, urunun musterinin guvenini kazanarak kendi pazarini daha hizli olusturmasina yardimci olur.

Her zaman oldugu gibi bir guvenlik urunu gelistirme ortaminda da iyi bir yazilim gelistirme metodolojisi kati bir sekilde uygulanmali diye dusunuyorum. Basari ve basarisizlik arasindaki kesin cizgiyi bence bu belirliyor.

Daha basarili yerli calismalara girisebilmek icin oncelikle, universitelerimizde ag guvenlik muhendisi, bilgi guvenligi uzmani, guvenli yazilim gelistirici gibi yetkinliklere sahip muhendisler mezun edebilmemiz gerektigini dusunuyorum. Uzun yillardir konusulan Universite-Sanayi isbirliginin somut bir yansimasidir bu bence.

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Altuğ Yavaş: Bence devletin cerceve standardlar olusturmak icin caba harcamasi lazim. ABD’de NIST’nin dokumanlarina baktigimizda, federal kurumlarda bilginin guvenliginin saglanmasi icin ortaya konan bir cabayi acikca goruyoruz.

Bizim bircok devlet kurumumuz, halka ve diger kurumlarin kullanimina acik bir cok uygulamayi gelistirdi ve kullaniyor. Herkes kendi cabasiyla guvenligini saglamaya, kendini korumaya calisiyor. Halbuki cerceve standardlarimiz olsa, bu yolda daha kolay yuruyebiliriz.

Bilgiyi paylasmak her zaman degerini arttirir. Istsec, Ankasec gibi toplantilarin, belli konulara

ozellesmis calisma gruplarinin, gerekirse ulusal duzeyde gerceklesen bilisim konferanslarinin bir parcasi olarak, artarak devam etmesini arzuluyorum.

Guvenligi, yonetimin destegi olmadan saglayamayiz. Bu nedenle tavsiye kararlar alabilecek kurullarin da devlet bunyesinde kurulup, devlete gerekli bilgi akisini saglamasi da onemli bir noktadir.


NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Altuğ Yavaş: Tr-CERT baslangic olarak iyi bir calisma. Ama yogun bir saldiri altinda oldugumuz Internet ortami icin yeterli oldugunu dusunmuyorum. Bugun ulkenin bilgi otoyollarini elinde bulunduran kurumlar, ulkenin stratejik kurumlarina yonelik her turlu tehditi, ulkeye giris noktasina onleyebilecek ve devaminda da duzeltici faaliyetlerin alinmasini saglayacak teknik yeterlilige ve dinamik olgunluga erismelidir.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Altuğ Yavaş: Oncelikle guvenligin degisik alanlari hakkinda genel bir bilgi sahibi olmak icin CISSP gibi genis capli fakat derine inmeyen bir sertifikasyon oneririm. Tabii is hayati her zaman insanin istedigi isi yapmasina izin vermiyor. Ancak bu tur bir calisma, sektore yeni giren birinin kendini daha iyi tanimasini ve calisacagi alani daha bilincli secmesini saglayacaktir.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Altuğ Yavaş:Sektorlere ozellesmis bilgi guvenligi yonetiminden soz edebilecegiz. Daha fazla sanallastirma ve SaaS guvenligi on plana cikmis olacak. Kisisel bilgilerin guvenligi konusunda da Turkiye’de birkac adim daha atilmis olacagini da ummak istiyorum.

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Altuğ Yavaş: Sertifika bir aractir. Beni tanimayan bir kisiye, bagimsiz ve guvenilir bir kurum tarafindan saglanmis, benim hakkimda tarafsiz bir bilgidir. Ancak ‘is ustunde olgunlasma’nin insana kattigi katmadegeri de bir kenara atmamak lazim. Ama bu nasil olculur, ya da siz bu degeri size tanimayan birine nasil anlatirsiniz, ise girenleri teste mi tabi tutmaliyiz? 

Sertifika sahibi olurken, kariyer hedeflerinin iyi belirlenmis olmasi gerekir, diye dusunuyorum. Bir sertifika almanin ve onu devam ettirmenin maliyeti cok yuksek. Bu nedenle tercihleri dogru yapmak gerekir. Bir urun bazli sertifika alirsam, ne kadar sure gecerli olur? Bir urunde uzmanlasmak beni ne kadar sure degerli kilar? Urunden bagimsiz sertifikalar, beni ‘is ustunde olgunlasma’ calismasindan uzaklastirir mi? Bu sorularin cevaplarini iyi degerlendirip secimi dogru yapmak gerek.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Altuğ Yavaş: Bir tus kaydedici programin, calistigim kurumdaki bir calisanin bilgisayarina yerlestirilmesi, yasadigim ciddi problemlerden bir tanesi.

Olayi planlayan kisi, ayni sirkette calismaktaydi ve tus kaydedicinin kodunu degistirerek yeniden derledigi icin, antivirus programlari yetersiz kaliyordu. Olayi kurbanin bilgisayarinin yetersiz kaynak probleminden dolayi sismesi nedeniyle fark ettik. Kisa bir arastirma, problemin kaynagini ortaya cikardi.

Motivasyon kaynaginin ise yaptigimiz isle hic ilgisi olmayan sosyal bir problem oldugunu ogrendik. Kurumsal bilgi guvenligi kurallari ve uymama durumunda uygulanacak prosedurler, bu tur davranislari engellemek icin tek caydirici yol diye dusunuyorum.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Altuğ Yavaş: Simon Sigh Kod Kitabi, Kevin Mitnick Aldatma Sanati, Hacking Exposed begendigim kitaplar.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Altuğ Yavaş: Huzeyfe Onal. Enerjisine hayranim 🙂

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Altuğ Yavaş: Acik kodlu Tomahawk NIPS test aracini son zamanlarda cok sik kullaniyorum.

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Altuğ Yavaş:

www.beyazsapka.org
http://www.sans.org
http://www.securityfocus.com
http://www.lifeoverip.net
http://ferruh.mavituna.com/

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Altuğ Yavaş: Evet secerdim. Ama yine de kuslarin suru davranislarini incelemeye veya bir devlet konservatuarinda okuyup keman sanatcisi olmaya da sans tanimak isterdim:)

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

This entry was posted in Güvenlik Bülteni and tagged , . Bookmark the permalink.

1 Response to Güvenlik Röportajları #16 Altuğ YAVAŞ

  1. Selçuk ÜNAL says:

    Huzeyfe kardeşin enerjisine ben de hayranım.

Leave a Reply

Your email address will not be published. Required fields are marked *

14 + 19 =