Son günlerde, 7’den 77’ye neredeyse herkes “Siber Güvenlik” başlığının ne kadar önemli olduğunun farkında diye düşünüyorum. Şayet bu düşüncem doğru olmasaydı, şu anda gerek yatırım alan siber güvenlik firmaları, gerekse siber güvenlik ürünleri bu denli popüler olmazdı. Kurumlarımızın, önleyici hizmetler kapsamında çalışan ürün ya da hizmetlerin, kalite ve güvenirliğinin tartışma konusu olduğu da ayrı bir gerçektir. Üstelik, hem ülkemizde hemde dünyada, bir çok sigorta şirketi, verilerin korunması adına sigorta poliçeleri hazırlamaya çabalıyor ama yinede siber güvenlik başlığında %100 garanti verilemiyor. Ayrıca, siber güvenlikte zaafiyet nedenleri göz önünde bulundurulduğunda, sosyal mühendislik, niteliksiz personel, yanlış ürün kullanımı, hatalı metodoloji, 3. Taraf firmaların verdiği destekler derken bu örnekler çoğaltılabilir ama en önemli faktör olarak, eğitimsizlik ve hali ile insan unsurundan kaynaklanan zararlar örnek verilebilir. Firma sahipleride ister istemez hummalı bir çalışma ile yeniden yapılandırma süreçlerini hayata geçirmeye çalışıyor. Yeniden yapılandırma faaliyetleri doğası gereği, eğitimden besleniyor. Yetkinlik ve yeterliliğin en temel unsuru olan eğitim dediğimizde de araştırma için ilk tercih edilen platform, elbette ki arama motorları oluyor.
Arama motorlarından araştırmaya başladığımızda aslında siber güvenlik alanında eğitim veren kurumların pek fazla olmadığı, genelde belli firmaların arama motorlarında üst sıralarda olduğunu kolaylıkla gözlemleyebiliyoruz. Bilinirliğini arttırması gereken eğitim kurumlarının çeşitliliği ve eğitmen sayısının çoğalması, eko sistem açısından oldukça önemli. Üniversitelerin siber güvenlik bölümlerinin yeniliği ve bilgi kirliliği ise çığ gibi büyüyen bir sorundur. Bu sorunların nasıl giderileceği ile alakalı görüşlerimi, şimdilik askıya alarak, piyasada verilen eğitim başlıkları, hedef kitle ve eğitim içerikleri hakkında biraz bilgi paylaşalım isterim.
Ülkemizde siber güvenlik denildiğinde ilk akla gelen eğitim başlığı CEH(Certificated Ethical Hacker) yani etik hacker sertifikası oluyor. EC-Councel tarafından derlenen eğitimde, dünyada standart olarak kabul gören Linux Kali işletim sistemi ve üzerinde bulunan, uygulama, yazılım araçları yada Web/Bulut Tabanlı Netsparker, Acunetix, Pentest Box gibi güvenlik programlarının yaptığı işlemlerin nasıl yapıldığı öğretiliyor. CEH V9 seviyesinde ve sürekli güncellenen eğitim müfredatı ile oldukça popüler. CEH programında, en temelden en üst seviyeye kadar uygulamalı siber güvenlik anlatmaktadır. Bunun dışında yöneticiler için siber güvenlik başlıkları da var. Yine uluslararası kabul gören ve benimde eğitimimi Cybrary üzerinden aldığım CISSP(Certified Information Systems Security Professional) sertifikalı Bilgi Sistemleri Güvenlik Uzmanlığı başlığı oldukça faydalı ve etkilidir. CISSP ile ilgili çok başarılı diyebileceğim Türkçe bir kaynak bulamamakla beraber, CISSP başlığında aldığım bilgileri derlediğim bir çalışma ile paylaşımda bulunma niyetindeyim.
Giriş Seviyesi Eğitimler, Kullanıcı Güvenliği,Yöneticilere Odaklı Genel Güvenlik, Sosyal Mühendislik ile Saldırı ve Korunma Yöntemleri, Standart Seviye Eğitimler, Bilgi Güvenliğine Giriş, Yöneticiler için ISO 27001 Bilgi Güvenliği Yönetim Sistemi (Uygulama ve Farkındalık)
Siber Olaylara Müdahale Ekibi, Kritik Altyapıların Korunması, İşletim Sistem Güvenliği (Linux, Windows) Microsoft Sistemleri Güvenliği, Veri Tabanı Güvenliği (Oracle, MS SQL, Postgre SQL vb.) Hassas verilerin Korunması, Sızma Testi Uzmanlığı ve Kod Analizi gibi daha bir çok eğitim başlığı ile aklınızın alabildiğine derin ve uzun bir süreçten bahsediyoruz.
Siber güvenliğin, tüm dünyada gelişen tehditler karşısında ihtiyaç duyduğu personel açığı ve personellerin yüksek maaşlar alacağı bir sektöre dönüşmesi, ister istemez piyasada iştah kabartan bir pazarın doğmasına neden oldu. Şu anda sizlere şu kurum iyidir yada bu kurum kötüdür diyebileceğim bir incelemem söz konusu değil. Ülkemizin şuanda içinde bulunduğu kimine göre iyi, kimine göre kötü durumda, benim görüşüm; teknolojiye odaklanarak ve yerli olarak geliştirmesini yaparak yeni nesillere daha güzel bir ülke ve gelecek sağlayacağız. Bu yüzden şimdilik sadece eğitim başlıkları ve ücretsiz alabileceğiniz eğitim kaynaklarından bahsedebilirim. Örneğin ingilizce seviyeniz iyi ise, Cybrary tek tavsiyem olacaktır. Hem ücretsiz eğitim hemde arkadaşlarınızı davet ederek sertifikasyonlara sahip olabilirsiniz. (EC-Councel uluslararası bir sertifikasyon olsa bile TSE standartlarıda sürekli güncellenmektedir. Bu yüzden ücretli eğitim sertifika istiyorsanız ilk tercihiniz bence TSE olmalı. Ayrıca TUBİTAK’ın şu günlere dek uygulamalı olarak edindiği tecrübeleri aktardığı özel eğitimlerden de faydalanabilirsiniz. Cybrary’de arkadaşlarınızı davet ederek ücretsiz sertifikaları kazanabilir veya 10 $dan başlayan ücretler ile sertifika sahibi olabilirsiniz. Öve öve bitiremediğim Cybrary’de 40 $ gibi bir fiyata laboratuvar sahibi olarak, edindiğiniz bilgileri test etmek yada aktarmak da mümkün. Yok ben alt yazı da istemem Türkçe daha iyi anlarım derseniz YouTube kanallarından Oğuz Albaş ile İsmail Bülbül gibi isimler, bilgi paylaşımlarındaki samimiyet ve içtenlik açısından ilk aklıma gelenler. Yine kendi kendine öğrenmek adına forum ve blogları araştırabilir yada uygulama veya teorik anlatım tercihleri ile dolu olan kitapçılara gidebilirsiniz. Yukarıda belirttiğimiz eğitim başlıklarından benim uzmanlık alanım ise DLP(Data Loss Prevention) yani veri kaybı önleme platformlarıdır. DLP başlığında hikaye ve teknik bilgi içerikli yazılarıma bakabilirsiniz ama benim en sevdiğim yazı olan ve BT Haber’de yayınlanan yazımı okumanızı tavsiye ederim. http://www.bthaber.com/gorus/endustri-4-0%E2%80%99a-merhaba-derken-siber-guvenlik/1/21334 Biraz endüstri 4.0 birazda siber güvenlik, çıkmak istediğiniz bilgi yolcuğunda işinize yarayabilir.
Ufak bir tavsiye; siz siz olun hangi hacker grubu olursa olsun çok fazla gelen taleplerin içine dahil olmayın. Devlete hizmet ediyoruz diyen ve sizlerden bazen ödev bazense görev başlığında isteklerde bulunanları fiziksel olarak görmeden ve yazılı bir anlaşma olmadan ciddiye almayın. Bilgi düzeyinizin arttığını görenler, yada ilk bakışta gözlerinizden açığa çıkan bilgiler nedeni ile sizleri kullanmak isteyebilir. Böyle bir durumda T.C. Cumhuriyet Savcılıklarında sizleri bekleyen bilişim savcılarına durumu hiç korkmadan anlatın. Özellikle çocukları için araştırma yapan ailelerin de, siber güvenliğin doğal riskleri hakkında bilgi sahibi olamaları çok önemli ve çocuklarına sahip çıkmalılar.
Rahmetli Barış ağabeyimizin “Adam Olacak Çocuk” programı sayesinde, çocuk yaşta adam olmayı hayal ettik. Şimdilerde yeni nesillerin Barış ağabeyleri yok belki ama, en azından siber güvenliğin doğal risklerinin farkında olan anne ve babaların farkındalıkları hızla artıyor. Yaşasın 7’den 77’ye siber güvenlik
