Uzun zamandır yazdığım teknik yazılara sadece yurdumun değil dünyanın kanayan yaralarından birine parmak basmak için ara veriyorum :) Bu yazı bilgi güvenliği uzmanı ile bilişim güvenliği uzmanı arasındaki farkı bilmeyenler ya da ayırd edemeyenler için. Başımdan geçen ve daha önce bahsettiğim bir mülakatı tekrar hatırlatarak başlamak istiyorum yazıya; memleketimin GSM operatörlerinden biriyle "Bilgi Güvenliği Uzmanı" başlıklı bir pozisyon için görüşmeye gittim. Görüşme Checkpoint Firewall üzerine kuruluydu ne yazık ki. Hatırladığım son şey de görüştüğüm kişinin "Bize Checpoint'te her yıl en az 2-3 bug bulacak biri lazım" demesi, ondan sonra bende deyim yerindeyse film koptu o saniye mülakat benim için bitti.
Bilgi güvenliği adından anlaşılabileceği gibi her nerede olursa olsun - yazılı,basılı,dijital ve hatta insanın kafasındaki - bilginin korunmasını kendine düstur edinmiş bir disiplin. Fiziksel güvenlik ( evet evet bildiğiniz güvenlik kameraları, projektörler, yangın söndürme sistemleri vb), Personel Güvenliği, Risk Yönetimi, Erişim Kontrolü, Kriptografi, İş Sürekliliği ve Felaketten Kurtarma, İletişim ve Ağ Güvenliği, Uygulama Güvenliği, Hukuki Yaptırımlar ve Mevzuatlara Uyum, Denetim ve yazmayı unutmuş olabileceğim birkaç alan daha bilgi güvenliği şemsiyesi ya da çatısı altında toplanan ve ele alınması gereken konulardır.
Bilişim güvenliği (IT Security) ise dijital ortamda saklanan,iletilen,kullanılan bilginin güvenliğini sağlama ya da koruma çabasıdır ve Bilgi güvenliği disiplininin bir alt kümesidir.
Dolayısıyla Bilgi Güvenliği Uzmanı/Sorumlusu/Müdürü sıfatıyla çalışan biri, Bilişim Güvenliği Uzmanı/Sorumlusu'nun bilmesi beklenmeyen konularda da bilgi sahibi olmalıdır. Bilişim Güvenliği Uzmanı'ndan sistem odasında halon gazı yerine söndürücü madde olarak FM-200 ya da FE-13 kullanılması gerektiğini, yine sistem odalarının içerisi dışarıdan kolaylıkla görülecek şekilde camlı kapı ve paravanlara sahip olması gerektiğini, kurumu bağlayıcı mevzuatları, kurumun denetim otoritelerine göre sorumluluğunu, denetim tarihlerini ve alanlarını, risk değerlendirme ve iyileştirmesinin nasıl yapılması gerektiğini, iş sürekliliği planının nasıl oluşturulacağını, arşiv-döküman-kartuş benzeri malzemelerin nasıl imha edilmesi gerektiğini bilmesini bekleyemezsiniz ama ünvanında "Bilgi Güvenliği" terimini bulunduran kişi bunları bilmeli ve uygulamalıdır. Bilgi Güvenliği Uzmanı'ndan da bilişim güvenliği dallarından herhangi birinde ( uygulama güvenliği, zararlı kod analizi gibi) Bilişim Güvenliği Uzmanı kadar derin bilgi sahibi olmasını beklememelisiniz. Uygulama güvenliği konusunda çok iyi olabilirsiniz,owasp klavuzlarını, Top 10 zaafiyetlerini elle tespit ediyorsunuzdur, penetrasyon konusunda üstünüze yoktur, Backtrack'i öttürüyorsunuzdur belki de ama bunlar sizi Bilgi Güvenliği konusunda uzman yapmaya yetmez.
Bunda anlaşılmayacak bir şey yok ama - kulağa ya da göze daha havalı geldiği için olsa gerek- kendini Bilgi Güvenliği Uzmanı olarak tanıtanların, firewall-ips benzeri güvenlik ürünlerinin yönetimini yapacak personeli Bilgi Güvenliği Uzmanı başlıklı ilanlarla arayanların sayısı günden güne artıyor. Yazının başında da belirttiğim gibi durum dünya genelinde böyle ve bilgi güvenliği konusu üzerine ciddi emek harcamış kişilerin canını sıkmaya devam ediyor, büyük olasılıkla edecek de.
İlgili Yazılarım
Sızma Testi Nasıl Yapılmaz?
BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?
Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler
Hiç yorum yok:
Yorum Gönder