Güvenlik Röportajları #37 Cenk TAŞDAN

Güvenlik kahvesinin bu haftaki konuğu Bilgi Güvenliği Uzmanı Cenk TAŞDAN.  Kendisi  ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.

Kısaca kendinizden bahsedebilir misiniz?

Ankara Atatürk Anadolu Lisesi ardından deniz aşkıyla İstanbul yolculuğu ve Galatasaray Üniversitesi’nde Bilgisayar Mühendisliği… 10 yıldır özel sektörde güvenlik ile ilgili çeşitli pozisyonlarda görev yaptım. Son 3 yıldır ufaklıklar (2 canavar) nedeniyle pek zaman ayıramıyor olsam da fotoğrafla ve ruhumu beslemek için de müzikle ilgileniyorum diyebilirim.

Güvenlik işine nasıl bulaştınız?

Üniversitede okurken 6 ay yarı zamanlı çalıştığım ISP’de kimin ne yaptığını izleme fırsatı yakaladım. Ve mezun olunca da nasıl bir kariyer istediğim orada netleşti diyebilirim. Bugün de geriye dönüp baktığımda bu alanı seçtiğim için ne kadar doğru bir karar verdiğimi düşünüyorum.
Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türkiye’de büyük, kurumsal firmalarda, özellikle de Finans ve Telekom sektöründeyseniz, güvenlik konusunun ne kadar önemli olduğunu ve şirket içinde gereken değerin verildiğini hissedebiliyorsunuz. Ancak kurumsallaşamamış firmalarda veya kurumsal da olsa sektör farklılaştıkça, gerekli önemin verilmediğini, çevremdeki arkadaşlardan ya da çeşitli ortamlarda duyuyor ve de görebiliyorum. Ben kendimi bu konuda biraz şanslı sayıyorum diyebilirim. Keza hep bu iki sektörde çalıştım. J

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de yazılım denilince akla gelen büyük firmaların kaçı güvenlik ile ilgili yazılım üretiyordur, buna bakmak lazım. Çok net bir şey söylemem zor, ama biraz hissiyat ile cevap verecek olursam bu konuda zayıf olduğumuzu söyleyebilirim.

Güvenlik, çok niş bir pazar; yazılımlar ve son kullanıcı ürünlerini bir kenara bırakacak olursak, çok geniş kitlelere ulaşmıyor. Türkiye’de yerli yazılımın gelişmesi için elbette bu pazarın önemli bir oyuncusu olabilecek güçte bir firma olması ve kurumların da bu firmanın ürünlerine yatırım yapması gerekiyor. Ancak güvenlik yazılımlarının doğasına baktığımızda, birçok ürünün altyapıda kritik yerlere koyduğumuz, aynı zamanda, sorun çıkması halinde, altyapıyı ciddi riske sokabilecek ürünler olduğunu görüyoruz. Örneğinfirewall’unuzda veya IPS’inizde bir sıkıntı yaşadığınızı düşünün. Durum bu olunca da karşıda kurumsal bir firma göremezseniz bu yatırımı yaparken şapkanızı önünüze koyup düşünmeniz gerekiyor. Anında destek alabilecek miyim? Ne kadar yaygın bir kullanımı var? İhtiyacımı ne seviyede karşılayabilecek? Tecrübesi ne kadar ve bu tecrübesini ürüne yansıtabiliyor mu? Bu firma bu ürünü daha ne kadar desteklemeyi düşünüyor? Bu alanda devam edebilecek mi? Bunlar birer risk, bir yatırım yaparken de düşündüğünüz riskler elbette.

Yukarıda yazdığım günümüz gerçeğinin yanı sıra, yerli yazılımlar tercih edilecek bir noktaya mutlaka gelmeli elbette. Sadece ulusal güvenlik bile, siber savaşın bu kadar gündemde olduğu bir zamanda yeter de artar bu cevabı bulmak için. Umarım tercih edilebilecek ürünlerle de karşılaşacağız. Piyasada çok az sayıda da olsa bir iki örnek görüyorum. Firmamızda kullandığımız yerli yazılımı güvenlik ürünleri de var. Ama bazı alanlarda maalesef yukarıdaki sebeplerden dolayı risk alamıyor ve alternatifleri  değerlendiremiyor kimse.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Bireysel bilinç çok önemli. Etrafımda güvenlik ile uğraştığımı bilen ve bu konuda bilgi isteyen veya sorun yaşayan kişilerden gördüğüm şu: Maalesef bilincimizi artırmak için ciddi bir yol katetmemiz gerekiyor. Bilinci yukarı taşıma konusunda hepimize iş düşüyor; STK’lar, Devlet kurumları ve özel sektörün içinde yer alacağı bir oluşumla örneğin. Bu konuda da son 1 yıldır elle tutulur gelişmeler olduğunu gözlemliyorum. Umarım daha iyi noktalara geleceğiz.

Bu işe yeni başlayanlara neler önerirsiniz?
Meraklı olmak, heyecan duymak, kendini geliştirmeye istekli olmak… Bu saydıklarım olmazsa olmazları bu işin. Bunlar varsa sonrasına kendini istediğin alanda geliştirmek kalıyor. Yani hangi konuda uzman olmak istiyorsa o konuda bir kariyer planı çizmek; ağ güvenliği mi, uygulama güvenliği mi, güvenlik izleme mi, bilgi güvenliği mi, artık hangisini istiyorsa. J

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

İki açıdan bakıyorum ben bu duruma:

  1. Son kullanıcı gözünden, bilincin daha yüksek olduğu bir toplum olacaktır elbette ama tehlikelerin de benzer şekilde daha etkin olacağı bir dünya demek bu. Teknoloji çok değişiyor. Kullanıcı tecrübeleri her geçen gün faklılaşıyor. Buna göre farklılaşan bir bakış ile ilerleyeceğiz diye düşünüyorum. Yeni nesil cep telefonları ve üzerindeki uygulamalar ve sosyal ağlar bu konuda çok güzel örnekler. Bu uygulamalara çok özelimiz bile olsa, birçok bilgiyi “güvenerek” teslim ediyoruz. Daha paylaşımcı, daha az sorgulayan bir kullanıcı profili var bugün. Buna bağlı olarak, yakın zamanda çok ciddi tehlikeler ile karşılaşacağız ve söz konusu tehlikeler son kullanıcıların farkındalığını yükseltecek diye bekliyorum. Keza bir ara sosyal ağ sitelerinden birinde “Privacy” ayarlarının yapılmasının ciddi bir başlık olduğunu hatırlıyorum.
  1. Bilgi güvenliği, devlet ve kurumlar açısından çok daha dikkat edilen ve önemsenen bir konuma gelecek. Bunun yapmamanın acısını yaşayan kurumların örnekleri ile kurumsal bilinç daha da yükselecek ve  birçok konuda uyumluluk aranacak diye düşünüyorum

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Belirli bir seviyede bilginizin olduğunu göstermek için güzel bir kanıt. Ancak maalesef birçok sertifika işin özümsenmesi üzerine değil, ezberlenmesi üzerine bir yaklaşıma yönlendiriyor. Bu nedenle seçici olmak ile birlikte işe alımda bir artı olarak değerlendirilebilir. Sertifika yeterli ve doğru tecrübe ile birleşince esas anlamını kazanıyor.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Bruce Schneier’ın Secrets & Lies’ı bir süredir masamın üzerinde J. Hatta etrafımdan kitabın ismi nedeniyle çok takılan oluyor J. Konunun güncel yazılar ve araştırmalar üzerinden takip edilmesinin daha faydalı olduğuna inanan birisiyim. Bizim alan her gün değişiyor. Kendini güncel tutmak büyük önem taşıyor. Örneğin kariyerime başladığımda firewall vardı, IPS diye bir teknoloji yoktu, ‘cloud computing’ denildiğinde uçakta bilgisayarların açılması düşünülürdü herhalde J…   Devamlı güncel kalabilmek için de, çok faydalı ve internet gibi bir yaygın iletişim ağı, bir bilgi denizi var önümüzde.

Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Hiçbir zaman hiçbir konuda kahramanım olamadı maalesef. J

Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Şifrelerimi sakladığım password uygulamam J

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

www.csoonline.com , Cryptogram, www.securityforum.org (ücretli üyelik gerekiyor)

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz

Aynı koşullar olsaydı düşünmeden. Ancak farklı bir geçmişle kimse bir şey diyemez bu soruya J


Bir güvenlikçinin en önemli özelliği size göre nedir?

Meraklı olmak, heyecan duymak, kendini geliştirmeye istekli olmak.

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Hayır. Açıkçası çok zamanım olmuyor. Bir de mesleki deformasyon bizde çok oluyor. Burada sorulara cevap verirken bile acaba çok mu bilgi veriyorum diye düşünüyorum ister istemez J

This entry was posted in Güvenlik Bülteni, Röportajlar and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

6 + eleven =