Güvenlik kahvesinin bu haftaki konuğu Burak DAYIOĞLU.
NGB: Kısaca kendinizden bahsedebilir misiniz?
Burak DAYIOĞLU: Hacettepe Bilgisayar Muhendisligi bolumunu 1998’de bitirdim, 2002’de ODTU Bilgisayar Muhendisligi’nden yuksek lisans derecesi aldim, o zaman bu zaman da yine ODTU Bilgisayar Muhendisligi’nde doktora calismalarini surduruyorum. Doktorayi bitirebilecegimi sanmiyorum. 1994’ten beri guvenlik konusunda kendimi gelistirmeye calisiyorum, 1995’ten beri guvenlik ile ilgili islerinden gelir elde ediyorum.
Guvenligin pek cok farkli alaninda calistim, bu acidan cesitliligin deger kattigini dusunuyorum. Kariyerimin baslarinda ag ve sistem guvenligi konusu revactaydi ben de o konuda epey calistim. Penetrasyon testleri ve guvenligin genel olarak daha BT odakli konulari ana ilgi alanimdi. Yuksek lisans tezim saldiri tespit sistemlerinin durumsal bilgilerinin arttirilmasi ile ilgiliydi. 2000’lerin basindan itibaren yazilim gelistirme sureclerinin guvenligi ile ilgilenmeye basladim; bu konunun oldukca onemli oldugunu dusunuyorum. 2005’ten bu yana da bilgi guvenligi yonetimi konusunda calismaya basladim. 2009’un basindan bu yana is surekliligi yonetimi ve ilgili BT konulari ile ilgili calismalar da yapiyorum.
2002’de Pro-G Bilisim Guvenligi’nin kurulusundan itibaren icinde yer aldim. 2009 Eylul’unden beri de Symantec’in Turkiye’deki danismanlik organizasyonunda danismanlik proje yoneticisi olarak calisiyorum.
Bilgisayar basinda olmadigimda vaktimi buyuk oranda iki konu icin harciyorum; cocuklarim ve kitaplarim. Iki oglum var ve onlarla vakit gecirmekten cok buyuk keyif aliyorum. Kitap konusu ayri bir tutku, herhangi bir anda 3-5 tanesini paralel okumaya bayiliyorum. Su anda Good to Great, Black Swan, New School of Information Security ve Sail’i okuyorum.
NGB:Güvenlik işine nasıl bulaştınız?
Burak DAYIOĞLU: Bilgisayar basina ilkokul 4. sinifta oturdum, orta okulda yazilim isinden para kazaniyordum. Daha lisedeyken hedefim ya network’cu ya da “guvenlikci” olmakti; tumuyle bu islerin “havali” olmasindan kaynaklaniyordu. Guvenlik isini yapmaktan cok memnunum cunku herhangi bir konunun guvenliginden soz etmek icin once o konuyu cok iyi bilmeye ihtiyac var ve ben calisip ogrenmeye bayiliyorum; ogrenecek konu hic bitmiyor. Gercekten cok calisiyorsaniz daha kolay sivrilebileceginiz bir alan oldugunu dusunuyorum, sanirim ben bunun icin tercih ettim.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz
Burak DAYIOĞLU: Ne cok iyi ne de cok kotu durumda oldugumuzu dusunuyorum. Bu bir kulturel donusum konusu, bizden daha ileride oldugunu dusundugumuz ulkeler sadece bu kulturel donusumu daha once yasadi bence. Tatsiz ornekler bu turden kulturel donusumleri hizlandiriyor, bizde musteri bilgileri calinan bir buyuk supermarket ve is surekliligi problemi yasayan bir kac buyuk firma disinda hemen akla gelen buyuk ornekler henuz yok. Bu turden ornekler konuya dikkat cekiyor, hizin artmasina katki sagliyor.
Her durumda guvenlik konusu patron ajandasina girmek icin zor konu; yatirimin geri donusunu gostermenin zor oldugu her alanda oldugu gibi guvenlik konusunda da zorlanmamizin dogal oldugunu dusunuyorum.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Burak DAYIOĞLU: Guvenlikten once “neyin guvenligi” icin calismayi planliyorlarsa o konuyu cok iyi ogrenmelerini (acele etmemelerini) oneririm. Guvenlik konusuna baslangic icin Ross Anderson’in Security Engineering kitabi nefis bir baslangic olurdu. Sanirim bu kitabin bir surumu Internet uzerinden ucretsiz de download edilebiliyor.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Burak DAYIOĞLU: Bu ara okudugum kitaplardan birisinin adi Black Swan; yazar temel olarak bu turden gelecek kestirimlerinde bulunan uzmanlarin “üfledigini” (konudan bi haber oldugunu ama cok iyi biliyormus gibi “kesebildigini”) anlatiyor. Kesin eksik ve hatali cikacaktir ama yazilim guvenliginin, bilgi guvenligi olgunluk modellerinin, guvenlik olcumleme konusunun onemli olacagini dusunuyorum.
NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Burak DAYIOĞLU: Ben sertifikalarin faydali oldugunu dusunuyorum; en azindan karsinizdakinin bir sertifikayi alacak kadar konuya ilgi gosterdigini gormenizi sagliyor. Sertifika sahibi 10 kisiyi yan yana koyunca cok farkli birikim duzeyleri gosterecegine de suphe duymuyorum ama yine de birikim gelistirmek icin faydali olduklarini dusunuyorum. Bu faydasinin yaninda kartvizitte guzel durduklari, is bulma kolayligi sagladiklari da acik.
Bence ISC2 ve ISACA sertifikalari dunya capinda en populerleri; CISSP, CSSLP, CISA, CISM sertifikalarini onerebilirim.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Burak DAYIOĞLU: En ciddi guvenlik problemlerimiz insanla ilgili olanlar. Teknik olanlar bir sekilde cozuluyor ama konusu insan olan problemleri cozmekte cok zorlaniyoruz; egitim sart.
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Burak DAYIOĞLU: Su anda New School of Information Security’i okuyorum. Sorunun diger kismi zor; ne calismak istediginize bagli olarak cok degisir. Hacking Exposed serisi, CounterHack, Practical Unix and Information Security, Network Intrusion Detection (Northcutt), Writing Secure Code ilk aklima gelen BT guvenligi kitaplari.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı
Burak DAYIOĞLU: Ornek aldigim tek bir kisi yok; hayran olduklarimdan birisi Adam Shostack; konulara cok farkli acilardan bakabiliyor, siradisi oldugunu dusunuyorum. http://www.emergentchaos.com/ adresindeki blog’unu izlemenizi oneririm.
NGB: Güvenlik dünyasında en fazla kullandığınız/sevdiğiniz yazılım hangisidir?
Burak DAYIOĞLU: En yogun kullandigim yazilim Microsoft Word. Ne yaparsam yapayim is sonunda bir sekilde raporlamaya donuyor. En sevdigim yazilim nmap, bir amuda kalkmadigi kaldi, onu da yaparlarsa tam olacak.
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
