Hürriyet
İK Yeni Ekonomi 15 Nisan 2018
SİBER
GÜVENLİKTE ÇOK İŞ VAR
Siber
güvenlik alanında yazılım, danışmanlık ve eğitim hizmetleri veren MAY Siber
Teknoloji, Türk mühendisler tarafından geliştirilen yazılımlarıyla bugün
200’den fazla kurumsal müşteriye hizmet veriyor. Sektörde pek çok iş fırsatı
olduğuna dikkat çeken MAY Siber Teknoloji Genel Müdürü İlkem Özar, “Bilişim
dünyasının genel kaliteli insan kaynağı açığı, siber güvenlik alanında
katlanarak artıyor. Sadece bilgi sistemleri denetçileri anlamında AB çapında
yaklaşık 30.000 denetçi açığı var” diyor.
MAY Siber Teknoloji’nin nasıl bir çalışan
profili var?
Şu anda 130’u aşkın çalışanımızla faaliyet gösteriyoruz. 20’yi aşkın yüksek lisans, 100 lisans derecesine sahip kadromuzun yüzde 80’e yakını mühendislerden oluşuyor. Ar-Ge departmanımız, siber güvenlik alanına has üstün sertifikalara sahip 80 çalışanımız ile küresel üreticilerle yarışan kalite ve işlevsellikte yeni ürün ve servisler geliştiriyor.
Siber güvenlik alanında personel açığı ne boyutta?
Bu konu gerek müşterilerimizin, gerekse bu alanda çözüm üreten yerel veya küresel tüm şirketlerin çok zorlandığı bir alan. Bilişim dünyasının genel kaliteli insan kaynağı açığı, siber güvenlik alanında katlanarak artıyor. Sürekli olarak değişen ve kabuk değiştiren siber saldırılara karşı korunmak için en az saldırıları planlayan ve icra eden kişiler kadar donanımlı, eğitimli ve hazırlıklı olmak gerekiyor. ISACA’nın tahminlerine göre sadece bilgi sistemleri denetçileri anlamında AB çapında yaklaşık 30.000 denetçi açığı bulunuyor. Ülkemizde maalesef bu konuda istatistik çalışmaları yapılmadığı için, açık olan istihdam sayısını net rakamlarla ifade etmek mümkün değil. Orta ölçekli bir şirketteki IT departmanında da ihtiyaç var, bilişim şirketlerinde de, yazılım şirketlerinde de...
FİZİKSEL DÜNYADAN DAHA ÇOK HIRSIZ VAR
Bilgi güvenliği ve finansal teknoloji güvenliği konusunda şirketleri nasıl değerlendiriyorsunuz? En sık yapılan hatalar neler?
Yeni finansal teknoloji şirketleri tüm potansiyel alım satım işlemlerini internet üzerinden online olarak yapmak isteyen bir çözüm bütünlüğü yaratmayı ve geleneksel finans dünyasında büyük bir yıkım yaratmayı hedefliyor. Bunun sonucunda kripto para, mobil cüzdan gibi gelenek dışı ödeme sistemleri kullanımından üçüncü parti API’lerle ödeme, sigorta gibi finansal sistemlerin her kurum ve kişiye entegre olması süreci yaşanmaya başlıyor. Tamamı çevrim içi dünyada, kontrolsüz bir şekilde gezen elektronik para işlemlerini nakit paramızı kilitli olmayan bir çanta ile sokağa bırakmakla aynı seviyede güvenli olarak düşünmek zorundayız.
Finansal teknoloji şirketleri, geleneksel yapıya karşı yıkıcı yenilikler getirmeye odaklanırken bu çantaları kilitlemeyi, sadece çanta sahibinin paraya ulaşması gibi detayları düşünmeye odaklanmakta zorluk yaşıyor. Büyük fırsatlara odaklanmış startup’lar riskleri değerlendirmeye zaman ayıramıyor. En sık yapılan hatalar çevrim içi dünyada fiziksel dünyada göreceğinizden çok daha fazla hırsız yaşadığı gerçeğini unutmak; yaratılan ürünlerin istisnasız her adımına bir güvenlik doğrulaması koymayı atlamaktır. Elektronik ortamda finansal çözüm üreten yazılımcıların en büyük hatası ürünü hızla pazara sunmaya odaklanma zorunluluğu olarak görünüyor.
Halka mal olmuş örneklere bakacak olursak ABD’nin en büyük market zinciri TARGET’ın gelişmiş bir yeni nesil ödeme (POS) sistemi kullanımı sonrasında market değerinin büyük bir kısmını kaybetmesi gibi birçok vaka yaşandı. En yakın vaka olarak, Under Armour markasından belki de çok daha önce yaygın olarak kullanılmaya başlanan MyFitnessPal uygulamasındaki 150 milyon kullanıcıya ait verilerin çalınmasını örnek gösterebiliriz.
Son dönemde Türkiye’de de finansal kurumlarda özellikle internet bankacılığı ve son kullanıcı makinelerini hedef alan saldırılar yaşandı. Saldırganlar, kullanıcı hatalarını kullanarak sisteme sızma girişimlerini artırırken, zararlı yazılım bulunduran e-posta’lar ve web sitelerinin saldırganlar tarafından kullanımı yaygınlaşıyor. Bu saldırılar yüzde 3 oranında başarı sağlıyor ve çok sayıda kurum ve kullanıcıyı etkiliyor. Bu nedenden dolayı özellikle kurum çalışanlarını bilinç düzeylerinin artırılması kritik önem taşıyor.
ÜST YÖNETİMİN DESTEĞİ ŞART
Siz şirketlere güvenliği sağlamak için neler tavsiye edersiniz?
Kurumlarda bilgi güvenliği, şirket üst yönetiminin en büyük önceliği haline geldi. Yönetim kurulu toplantılarında periyodik olarak bilgi güvenliği konusunda toplantılar yapılıyor. Şirket üst yönetimlerinin bu konuya öncelik vermesi ve bir strateji oluşturması büyük önem taşıyor. Üst yönetim desteği olmadan yapılan çalışmalardan sonuç alınamıyor. Şirketlerin bu konuda uzman olan firmalar ile çalışması ve bir yol planı oluşturması etkin bir bilgi güvenliği altyapısı kurmasında en doğru adım olacaktır. Gelişen bulut teknolojiler ve yönetilen güvenlik hizmetleri ile daha etkin bilgi güvenliği çözümleri oluşturmak mümkün olmaktadır.
Bu alanda çalışabilmek için nasıl bir eğitim almak gerekiyor?
Birçok ülkede siber güvenlik alanında yüksek lisans programları açılıyor. Lisans eğitimi düzeyinde siber güvenlik eğitiminin başladığı ülkeler var. Bilgisayar teknolojileri alanında lisans eğitimi alan kişiler genellikle siber güvenlik alanında uzmanlaşıyor. Bu alanda geçerliliği olan sertifikaların hemen hemen tamamı ABD kaynaklı şirketler ve kurumlar tarafından veriliyor. Bu sertifikaların bilişim uzmanları tarafından alınması için önemli yatırımlar ve harcamalar yapılıyor. Network güvenliğinden, kurumsal bilgi güvenliğine, sızma testleri uzmanlığından, analist eğitimlerine kadar çok çeşitli alanda uzmanlık ve sertifikasyon programları mevcut.
Gençlere tavsiyem, siber güvenliğin gerek üretici bacağında Ar-Ge gruplarında yazılım geliştirme, ürün yönetimi gibi alanlarda gerekse hizmet sağlayıcılarda danışmanlık ve nihayet kurumlarda güvenlik operasyon merkezlerinde artan bu talebi de göz önüne alarak bu konuyu kariyer ve eğitim planlarında ciddi şekilde dikkate almaları olacaktır.
Şu anda 130’u aşkın çalışanımızla faaliyet gösteriyoruz. 20’yi aşkın yüksek lisans, 100 lisans derecesine sahip kadromuzun yüzde 80’e yakını mühendislerden oluşuyor. Ar-Ge departmanımız, siber güvenlik alanına has üstün sertifikalara sahip 80 çalışanımız ile küresel üreticilerle yarışan kalite ve işlevsellikte yeni ürün ve servisler geliştiriyor.
Siber güvenlik alanında personel açığı ne boyutta?
Bu konu gerek müşterilerimizin, gerekse bu alanda çözüm üreten yerel veya küresel tüm şirketlerin çok zorlandığı bir alan. Bilişim dünyasının genel kaliteli insan kaynağı açığı, siber güvenlik alanında katlanarak artıyor. Sürekli olarak değişen ve kabuk değiştiren siber saldırılara karşı korunmak için en az saldırıları planlayan ve icra eden kişiler kadar donanımlı, eğitimli ve hazırlıklı olmak gerekiyor. ISACA’nın tahminlerine göre sadece bilgi sistemleri denetçileri anlamında AB çapında yaklaşık 30.000 denetçi açığı bulunuyor. Ülkemizde maalesef bu konuda istatistik çalışmaları yapılmadığı için, açık olan istihdam sayısını net rakamlarla ifade etmek mümkün değil. Orta ölçekli bir şirketteki IT departmanında da ihtiyaç var, bilişim şirketlerinde de, yazılım şirketlerinde de...
FİZİKSEL DÜNYADAN DAHA ÇOK HIRSIZ VAR
Bilgi güvenliği ve finansal teknoloji güvenliği konusunda şirketleri nasıl değerlendiriyorsunuz? En sık yapılan hatalar neler?
Yeni finansal teknoloji şirketleri tüm potansiyel alım satım işlemlerini internet üzerinden online olarak yapmak isteyen bir çözüm bütünlüğü yaratmayı ve geleneksel finans dünyasında büyük bir yıkım yaratmayı hedefliyor. Bunun sonucunda kripto para, mobil cüzdan gibi gelenek dışı ödeme sistemleri kullanımından üçüncü parti API’lerle ödeme, sigorta gibi finansal sistemlerin her kurum ve kişiye entegre olması süreci yaşanmaya başlıyor. Tamamı çevrim içi dünyada, kontrolsüz bir şekilde gezen elektronik para işlemlerini nakit paramızı kilitli olmayan bir çanta ile sokağa bırakmakla aynı seviyede güvenli olarak düşünmek zorundayız.
Finansal teknoloji şirketleri, geleneksel yapıya karşı yıkıcı yenilikler getirmeye odaklanırken bu çantaları kilitlemeyi, sadece çanta sahibinin paraya ulaşması gibi detayları düşünmeye odaklanmakta zorluk yaşıyor. Büyük fırsatlara odaklanmış startup’lar riskleri değerlendirmeye zaman ayıramıyor. En sık yapılan hatalar çevrim içi dünyada fiziksel dünyada göreceğinizden çok daha fazla hırsız yaşadığı gerçeğini unutmak; yaratılan ürünlerin istisnasız her adımına bir güvenlik doğrulaması koymayı atlamaktır. Elektronik ortamda finansal çözüm üreten yazılımcıların en büyük hatası ürünü hızla pazara sunmaya odaklanma zorunluluğu olarak görünüyor.
Halka mal olmuş örneklere bakacak olursak ABD’nin en büyük market zinciri TARGET’ın gelişmiş bir yeni nesil ödeme (POS) sistemi kullanımı sonrasında market değerinin büyük bir kısmını kaybetmesi gibi birçok vaka yaşandı. En yakın vaka olarak, Under Armour markasından belki de çok daha önce yaygın olarak kullanılmaya başlanan MyFitnessPal uygulamasındaki 150 milyon kullanıcıya ait verilerin çalınmasını örnek gösterebiliriz.
Son dönemde Türkiye’de de finansal kurumlarda özellikle internet bankacılığı ve son kullanıcı makinelerini hedef alan saldırılar yaşandı. Saldırganlar, kullanıcı hatalarını kullanarak sisteme sızma girişimlerini artırırken, zararlı yazılım bulunduran e-posta’lar ve web sitelerinin saldırganlar tarafından kullanımı yaygınlaşıyor. Bu saldırılar yüzde 3 oranında başarı sağlıyor ve çok sayıda kurum ve kullanıcıyı etkiliyor. Bu nedenden dolayı özellikle kurum çalışanlarını bilinç düzeylerinin artırılması kritik önem taşıyor.
ÜST YÖNETİMİN DESTEĞİ ŞART
Siz şirketlere güvenliği sağlamak için neler tavsiye edersiniz?
Kurumlarda bilgi güvenliği, şirket üst yönetiminin en büyük önceliği haline geldi. Yönetim kurulu toplantılarında periyodik olarak bilgi güvenliği konusunda toplantılar yapılıyor. Şirket üst yönetimlerinin bu konuya öncelik vermesi ve bir strateji oluşturması büyük önem taşıyor. Üst yönetim desteği olmadan yapılan çalışmalardan sonuç alınamıyor. Şirketlerin bu konuda uzman olan firmalar ile çalışması ve bir yol planı oluşturması etkin bir bilgi güvenliği altyapısı kurmasında en doğru adım olacaktır. Gelişen bulut teknolojiler ve yönetilen güvenlik hizmetleri ile daha etkin bilgi güvenliği çözümleri oluşturmak mümkün olmaktadır.
Bu alanda çalışabilmek için nasıl bir eğitim almak gerekiyor?
Birçok ülkede siber güvenlik alanında yüksek lisans programları açılıyor. Lisans eğitimi düzeyinde siber güvenlik eğitiminin başladığı ülkeler var. Bilgisayar teknolojileri alanında lisans eğitimi alan kişiler genellikle siber güvenlik alanında uzmanlaşıyor. Bu alanda geçerliliği olan sertifikaların hemen hemen tamamı ABD kaynaklı şirketler ve kurumlar tarafından veriliyor. Bu sertifikaların bilişim uzmanları tarafından alınması için önemli yatırımlar ve harcamalar yapılıyor. Network güvenliğinden, kurumsal bilgi güvenliğine, sızma testleri uzmanlığından, analist eğitimlerine kadar çok çeşitli alanda uzmanlık ve sertifikasyon programları mevcut.
Gençlere tavsiyem, siber güvenliğin gerek üretici bacağında Ar-Ge gruplarında yazılım geliştirme, ürün yönetimi gibi alanlarda gerekse hizmet sağlayıcılarda danışmanlık ve nihayet kurumlarda güvenlik operasyon merkezlerinde artan bu talebi de göz önüne alarak bu konuyu kariyer ve eğitim planlarında ciddi şekilde dikkate almaları olacaktır.
No comments:
Post a Comment