Güvenlik kahvesinin bu haftaki konuğu Biznet’te Bilgi Sistemleri Denetim ve Danışmanlık Servis Direktörülüğü yapan Gökhan DURSUN.
NGB: Kısaca kendinizden bahsedebilir misiniz?
Gökhan DURSUN: 1977 yılında Aydın’da doğdum. Üniversite öncesi öğrenim hayatımı Aydın’da tamamladıktan sonra 1995’de girdiğim İTU Elektronik ve Haberleşme Mühendisliği Bölümünden 1999 yılında mezun oldum. Veri haberleşmesi üzerinde aldığım eğitim sırasında veri güvenliği alanındaki merakım iş hayatımı güvenlik alanında yönlendirmeme sebep oldu.
1999 yılında Infonet Bilgi Teknolojileri firmasında başladığım iş kariyerimi Sistem Mühendisi ve Teknik Servis Müdürü olarak 4 yıl boyunca devam ettirdim. Ağ ve bilgi güvenliği alanında çok farklı ticari ürünler ile farklı firmalarda projeler gerçekleştirdim. CheckPoint ve ISS firmalarının firewall ve IDS/IPS ürünlerinin eğitmenliği yaptım.
Askerlik hizmeti sonrasında kısa bir süre Petrol Ofisi A.Ş. de Ağ ve Bilgi Güvenliği bölümünde çalıştıktan sonra 2005 mart ayından Biznet Bilişim Sistemleri bünyesine katıldım. Bilgi Güvenliği Uzmanı olarak başlayan Biznet’teki iş hayatımı, Bilgi Sistemleri Denetim ve Danışmanlık Servis Direktörü olarak devam ettiriyorum. PCI DSS denetimi başta olmak üzere PCI DSS’e uyumluluk, ISO 27001 ve Bilgi Güvenliği Yönetim Sistemi kurulumu gibi danışmanlık projelerini yönetiyorum.
NGB: Güvenlik işine nasıl bulaştınız?
Gökhan DURSUN: Üniversite eğitimimde veri haberleşmesi üzerine yoğunlaşmıştım. Bu alandaki araştırma ve çalışmalarım sırasında veri güvenliği daha çok ilgimi çekmeye başladı. Verilerin güvenli bir şekilde işlenmesi ve iletimi konusunda kişisel olarak yaptığım araştırma ve çalışmalar sonrasında kariyerimi de bu alanda devam ettirmeye karar verdim. Mezuniyetim sonrasında Infonet’te kariyerime başlayarak güvenlik alanındaki çalışmalarımı devam ettirdim.
NGB: Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Gökhan DURSUN: Birkaç yıl öncesine kadar, birkaç teknoloji ve finans firmaları ile birlikte bilgi güvenliği ile ilgili bir olayla karşı karşıya kalmış firmalar dışında, bilgi güvenliği çok önemsenmeyen ve genellikle ikinci veya üçüncü plana atılan bir konuydu. Son yıllarda verilerin güvenliği ile ilgili hazırlanan kanunlar, yönetmelikler ve uluslararası organizasyonların zorunlu tuttuğu uygulamalar ile güvenlik Türkiye’de de firmaların öncelikli konusu haline geldi. Ancak halen konunun önemine kavramakta zorlanan yöneticiler, güvenliği şöyle değerlendiriyor: “ yasal zorunlulukları karşılamak veya yaptırımlar ile karşı karşıya kalmamak üzere yerine getirilmesi gereken projeler”. Ancak güvenlik projelerinin en önemli bileşenlerinden biri üst yönetim desteğidir. Bu desteğin tam olmaması, projeler içinde risk olarak değerlendirilebiliyor. Bilgi güvenliği alanında çalışan bizlerin görevlerinden biri, firmamıza veya ilişkide olduğumuz firmaların üst yönetimlerine, yöneticilerin anlayabileceği şekilde güvenlik risklerinin iş süreçlerine etkilerini anlatmak. Kesin olan şu ki, güvenlik bilincini ve veri güvenliği projelerine desteği arttırmamız gerekiyor.
NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Gökhan DURSUN: Türkiye’nin oldukça büyük bir yazılım geliştirme potansiyeli var. Ülkemizde, Dünyada örnekleri az olan başarılı yazılımlar geliştiriliyor. Ancak bunların sayısı oldukça az.
Üniversitelerimizden her yıl kaliteli yazılım geliştirme uzmanları mezun olmakta. Bu uzmanlar, yeterli iş tecrübesinden sonra, yeni ve farklı yazılım projelerini hayata geçirmeye çalışıyorlar. Ancak en büyük eksiklik, pazarın gerçekten hangi kapsamda nasıl bir ürüne ihtiyacı olduğunun yeterince analiz edilmeden bu işe başlanması.
Maddi ve manevi desteği yeterince arkalarına alamadıklarında da projeler daha gelişemeden veya olgunlaşmadan sona eriyor. Bu projelerin tamamen teknik kökenli projeler gibi görülmeden, pazar ihtiyaçları ve ekonomik koşulları göz önünde bulundurularak oluşturulması, devlet desteğinin yaratılmasının yanı sıra özel sektörün de bu çalışmaları daha fazla desteklemesi gerekiyor.
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Gökhan DURSUN: Bilgi güvenliğinin en önemli parçası ve en zayıf halkası insandır. Bilgi güvenliğini ileriye taşımak için öncelikle insanların bilinç, farkındalık ve eğitim seviyelerini arttırmamız gerekiyor. Bu her seviyedeki insan için geçerli. Bunu yapabileceğimiz en hızlı yol ise portalların hayata geçirilmesi. Portaller sayesinde, insanların bilgi ve eğitimlerini internet üzerinden doğru bir şekilde almaları sağlanabilir. Mevcuttaki portaller gerçekten büyük katkı sağlıyor ancak bu portallerin hitap ettikleri insanlara göre çeşitlenmesi ve içeriklerinin zenginleştirilmesi gerekmekte. Portaller ile birlikte, karar vericilerin, güvenlik bilincini arttırmak üzere etkinlikler düzenlemeleri ve eğitim kurumlarında güvenliğe daha fazla ağırlık vermeleri gerekmektedir.
NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Gökhan DURSUN: Türkiye’nin işlevsel bir siber güvenlik yapısına ihtiyacı var. Aslında TR-CERT bu amaçla kurulmuş bir kurum olmasına rağmen ihtiyacı tam anlamıyla karşılamıyor. TR-CERT’in tüm Türkiye’yi kapsadığına inanmıyorum. Zira, TR-CERT’in yakın olduğu kuruluş ve çevreler dışında, tüm kurum ve güvenlik sektörü ile yeterli düzeyde iletişimde olduğunu düşünmüyorum.
İletişimin daha etkin sağlanabileceği bir yapıya geçiş yapılmalı. Bu yapı mevcut TR-CERT bünyesinde de olabilir yeni bir kurum çatısı altında da oluşturulabilir.Yeter ki oluşumun alt yapısı etkin iletişim sağlamak üzere kurgulansın
NGB: Bu işe yeni başlayanlara neler önerirsiniz?
Gökhan DURSUN: Bilgi güvenliği konusunda çalışmak isteyen arkadaşların konunun özüne inip iyi anlamaları gerekiyor. Koruyacakları sistemleri, uygulamaları veya varlıkları iyi tanımaları ve bunların teknolojilerini iyi bilmeleri gerekli. Varlıkların zafiyetlerini ve karşı karşıya oldukları riskleri iyi tanımlayabilmek için geniş bir bakış açısına sahip olmalılar. Vizyonlarını, algılarını özellikle art niyetli kişilerle paralel yönde sürekli geliştirmeleri de şart.
NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Gökhan DURSUN: Bilgi güvenliğinde asıl konu aynı kalacak. Sadece zafiyetleri kullanan tehditler yani risklerin adı değişecek. Uyguladığımız kontroller biraz daha gelişecek. Örneğin rol ve yetki kontrolü için uyguladığımız manuel yöntemler, yerini otomatik sistemlere, IDM çözümlerine bırakacak.
IDM çözümleri de günümüzdeki gibi sadece hesapların yönetimi değil, yetki ve rol yönetimini de kapsıyor durumda olacak. Günümüzde statik olarak nitelendireceğimiz rol tanımları ve kapsamları, gelişen ve sayısı artan sistemlerimizle birlikte, dinamik olarak yönetilmesi gereken bir konu olacak.
NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?
Gökhan DURSUN: Genellikle bir ürün veya sistem ile ilgili alınan sertifikalar, sertifikayı almadan önce veya aldıktan sonra pratik çalışmalar ile desteklenmediğinde, öz geçmişte yer alan bir satırdan öteye gitmiyor. Ancak sertifika programları yaptığımız işin, doğru modelini öğrenmemiz ve sistemimizi kurarken endüstri standartlarına uygun uygulamalar gerçekleştirmemiz için gerekli. Her güvenlik uzmanı kariyerine uygun sertifika programlarını belirlemeli, hedeflediği ve edindiği sertifikaların arkasını doldurmalı.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Gökhan DURSUN: Firmalarda yaptığım çalışma ve gözlemlerde insan halen en ciddi güvenlik faktörü. Hem kurumlardaki son kullanıcıların hem de sistemlerin işletilmesinden ve yönetilmesinden sorumlu yöneticilerin yeterli güvenlik bilinci ve bilgisi olmadığı için, bu kullanıcılar en büyük riski oluşturmaya devam ediyor. Yapılan yatırımlar, alınan ve devreye sokulan bir çok sistem maalesef yeterli seviyede kullanılamamakta. Biz her ne kadar güvenlikle ilgili kuralları bazen paranoya seviyesinde tanımlasak bile bunlara uymak ve uygulamakta çok yetersiz kalıyoruz. Bunun daha çok Türk insanının çevresine olan güveninden kaynaklandığını düşünüyorum. “Bizde olmaz”, “Benim çalışanım yapmaz”, “Firma içinden bir tehdit görmüyorum.” gibi tehlikeli yaklaşımlarla o kadar çok karşılaşıyorum ki sayamayacağım.
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Gökhan DURSUN: Son incelediğim kitap IT Governance – A manager’s guide to Data Security and ISO27001/27002
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Gökhan DURSUN: Bilgi güvenliği alanında örnek aldığım bir kişi göstermek oldukça zor. Hep söylediğimiz gibi tam anlamıyla güvenliği sağlamanın olanağı olmadığı gibi tek başına örnek alınacak bir kişi de benim için yok. Farklı bakış açılarıyla sistemlere, projelere ve güvenlik olaylarına yaklaşan kişileri (Bruce Schneier gibi) her zaman takdir etmişimdir.
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?
Gökhan DURSUN: Bilgi güvenliği yönetim sistemi kurulumunda, özellikle Biznet’te geliştirilen ISMart ürününü kullanıyorum. Bu, yerel bir risk analizi ve yönetimi yazılımı. ISO27001/27002 için de kullanılıyor. Bunun yanında temel zafiyet tarayıcılarından nessus, qualys guard gibi yazılımlardan oldukça sık faydalanıyorum.
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Gökhan DURSUN:
http://blogs.sans.org/
http://pcianswers.com/
http://www.bilgiguvenligi.org/
http://www.olympos.net/
http://blog.lifeoverip.net/
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Gökhan DURSUN: IT sektöründe bir alan seçmem gerekirse yine son olarak bilgi güvenliği yönetimini seçeceğimi söyleyebilirim. Geçmişte ağ yönetimi, sistem yönetimi, kimlik yönetimi, yazılım geliştirme projelerinde faaliyet gösterdim ve buradaki tüm tecrübelerimi bilgi güvenliği alanında en etkin şekilde kullanıyorum. Diğer alanlarda çalışmaya başlasam da en son bilgi güvenliğinde çalışmaya devam ederim.
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
