Günümüz dünyasındaki şirketlerin çoğunda en kritik departman IT(Bilgi Islem) birimleridir. Her geçen gün bilgisayar/internete bağlılık arttıkça bu oran daha da artacaktır. Hatta öyle şirketler var ki birkaç dakikalık network kesintisinin maliyeti 100k$lari buluyor ya da guvenlik zaafiyetinden dolayi iflas edebiliyor.
Yine birçok gelişmiş şirkette IT departmanı çeşitli alt birimlerden oluşur; Yazılım geliştirme, Sistem birimi, network birimi, Güvenlik birimi vs… Bu birimlerin arasında da en kritik birim şüphesiz güvenlik birimleridir.
Sistemin ayakta kalması açısından diğer birimlerin önemini yok sayamayız fakat güvenlik birimleri şirketlerin en üst yönetimi ile doğrudan iletişime geçebilen, şirketin en mahrem sırlarını bilen, tüm kaynaklarına erişimi olan insanlardan oluştuğu için varlığı çok daha önemlidir. Bu da güvenlik birimlerinde çalışan kişilerin diğer pozisyonlara oranla daha sık kontrolden geçirilmeleri(clearance), işe alım süreçlerinde uzun bir ön araştırma döneminden gecme sonuclarini doguruyor.
Turkiye’de henuz bu konuya cok yeni. Suistimaller oldukca, yasanilan kotu orneklerin sayisi arttikca bu oran daha artacak.
Şöyle bir yapı düşünün; şirketinizde çeşitli departmanlar ve alt birimleri var . Tüm birimler kendi kurduğunuz özel denetci takımı ile ara ara denetleniyor. Denetci ekibin diğer çalışanlara oranla oldukça yüksek haklara sahip olması kaçınılmaz. Peki bu denetçileri denetleyen bir yapı var mı? Ya da denetçilerin görevlerini, bulundukları konumları farklı amaçlar için kullanıp kullanmadığını belirleyebilir misiniz?
Hayir diyorsaniz ve kendi kendini denetleyen otomatize bir yapı kurmadıysanız boyle bir olay bir gun kapinizi calabilir.
Diğer bir konuda security konusunda çalışan arkadaşların iş başvurularındaki konuşmaları, kendilerini tanıtmalarının işveren açısından oldukça önem taşıması. Kendi tecrübelerimden yola çıkarak şunu rahatlıkla söyleyebilirim: mülakatlarda kendinizi anlatırken ki kullandığınız ifadeler o işe çok uygun olsanız bile sizin alınmamanızı sağlayabiliyor.
Turkiye bilisim guvenligi piyasasinda oldukca populer bir iki arkadasin sirf mülakatlardaki konusmalarindan dolayi uygun olduklari(fazla geldikleri) pozisyonlara alınmadığını yakinen biliyorum.
Yani “ben su sistemde soyle aciklar bulurum ya da beni biraktiginiz agdaki herkesin trafigini ruhlari duymadan dinleyebilirim” yerine “yerel agda sniffer ya da zararli bir program calistiran adami cok rahatlikla yakalayabilirim, sistemlerinizin guvenligini su yollardan saglayabilirim vs” gibisinden yapici cumleler karsinizdakine farkli bir guven veriyor.
Oyle ya adam size sirketini emanet edecek , yarin bir gun sinirlendiginizde bu bilgileri farkli amaclar icin kullanmayacaginizi nerden bilsin.
Hersey bilgi degildir. İsiniz guvenlikse guvenilirlik ilk planda gelir. Bu sizin isteyerek saglayabileceginiz bir durumda da degildir. Bugune kadar yaptiklariniz, bunlari anlatis tarziniz kimliginiz hakkında anlayana yeteri kadar bilgi verir.
