Sercan Azizoğlu
June 21, 2024

Siber Güvenlik Kariyer Master Planı - Bir Kitap İncelemesi

Posted on June 21, 2024  •  8 minutes  • 1673 words  • Other languages:  English
Table of contents

Bu yazının Türkçe’ye tercümesinde ChatGPT’den faydalanılmıştır.

Kitap

Öncelikle, bu kitap siber güvenliğe adanmış olmasına rağmen, her alanda gelişim için ipuçları sunmaktadır. Başlıktan da anlaşılacağı gibi, özellikle siber güvenlik alanında kariyer yapmak isteyen veya zaten deneyimi olan kişiler için yazılmıştır.

Kitap, dört farklı yazar tarafından yazılmış ve 2021 yılında yayımlanmıştır ve Amazon'dan satın alınabilir:

Üç bölümde, siber güvenliğin ne olduğunu, olası kariyer yollarını, kişisel ve eğitimsel geçmişi, alanda çalışmaya başlamayı ve son olarak alanda ilerlemeyi açıklamaya başlıyorlar. Kariyerinize başlamış veya ilerleme kaydetmiş olsanız bile faydalı olacaktır.

Siber güvenlikte kariyer seçimi için harika bir nokta var: “Siber güvenlik profesyonellerinin birincil amacı, başkalarına yardımcı olmak için bilgi peşinde koşmaktır, genel bilgiye odaklanmak değil. Siber güvenlik profesyonelleri olarak, başkalarına yardımcı olabileceğimiz deneyimi kendimiz için kazanmamızı sağlamalıyız. (s.87)” Siber güvenlik profesyonelinin çeşitli iş ihtiyaçları nedeniyle bir konuda uzmanlık kazanmaları zor olabilir. Birçok konuda yetkinlik kazanmak zor olabilir. Yine de, herhangi bir zor soruyu öğrenmek için büyük dil modellerine sahibiz.

İlk bölüm, esnek çalışma saatleri ve uzaktan çalışma gibi çalışma koşullarını açıklıyor. İkincisi, siber güvenlik altında hangi konu/alan üzerinde odaklanmaları gerektiğine karar vermede faydalı olan çeşitli alanları kapsıyor; örneğin Yönetişim, Risk ve Uyumluluk (GRC), Tehdit İstihbaratı ve Güvenlik Operasyonları. Üçüncüsü, finans, hükümet ve sağlık gibi farklı endüstrileri, ihtiyaçlarını ve uymaları gereken düzenlemeleri aktarıyor. Dördüncü olarak, teknik alanlarda üniversite eğitimine sahip olmayan adaylar için kariyerlerine başlamada faydalı olabilecek sertifikalara odaklanıyor. ISC2’nin CISSP’si, CompTIA’nın Security+‘ı, ISACA’nın CISM ve CISA’sı bu bölümde tanıtılmaktadır. Beşincisinde, okuyucuları teknik deneyim kazanmaya örnekler vererek yönlendiriyor. Altıncı bölüm, çeşitli sosyal medya platformlarında kişisel marka oluşturmayı ve yönetmeyi içeriyor. Bu yazıda görüldüğü gibi bir internet sitesinde yazmak ve paylaşmak, topluma katkıda bulunmanın kolay bir yoludur. Yedinci bölüm, pozisyonlara başvururken göz önünde bulundurulması gereken noktaları, iş arama platformlarını ve mülakat süreçlerini değerlendiriyor. Sekizinci bölümde, siber güvenlik topluluklarıyla iş birliği yapma ve başkalarına yardım etme, çalışırken aynı zamanda zihinsel sağlığımızı da koruma konularına değiniyor. Tükenmişlik, huzursuz çalışma ortamı ve toplum önünde konuşma alt konularını ele alıyorlar. Son bölümde, kariyer planlama ve hedef belirleme, usta-çırak ilişkisi ve profesyonellerle irtibat kurma ile kitap tamamlanıyor.

Kitaptan bazı alıntıları paylaşmadan önce, çoğu nokta ve ipucunun disiplinler arası olduğunu ve yalnızca siber güvenlik profesyonellerine yönelik olmadığını tekrar vurgulamak isterim. Çalışma ortamı huzursuz olduğunda, hangi alanda çalıştığınızdan bağımsız ilgili noktalar sizin durumunuza yönelik olabilir.

Alıntılar

İşinizde bir Konunun Uzmanı olana kadar uzun süre kalmanız önerilir. 1-2 mükemmel beceri geliştirmek için zaman ayırdığınızdan emin olun. Bu bir kodlama dili, tehdit avcılığı veya sızma testi olabilir. (s.24)

Risk Değerlendirme alanı, işletmelerin ve şirketlerin ne kadar güvenlik kontrolüne ihtiyaç duyduğunu ve ne tür olduğunu belirlemelerine yardımcı olur. Bu değerlendirmeler, maliyet, etkinlik, işletmelerin toleransı ve daha fazlası gibi birçok farklı faktöre dayanarak yapılır. (s.33)

Ofansif Güvenlik uygulayıcıları, işlerini yapabilmek için kuruluşlardan izin almalıdır. Bu izin, bir sözleşme, bir Sızma Testi İzin Belgesi vb. ile gösterilebilir. Aksi takdirde, herhangi bir yetkisiz saldırı yasadışı kabul edilebilir. (s.33)

Güvenlik Mimarisi, bir şirketin tüm altyapısı için genel güvenlik yapısını üretmek amacıyla farklı güvenlik süreçleri, tasarımlar, yöntemler ve amaçların yüksek düzeyde bir kombinasyonunu ifade eder. (s.43)

Bir Tehdit İstihbarat analisti, ulusal ve uluslararası haberler, siber güvenlik araştırmaları ve trendler konusunda güncel kalmalı, tüm bunları yaparken şirketlerin iç güvenlik durumlarını ve düzenlemelerini anlamalı ve stratejik siber güvenlik savunma planları sunmalıdır. (s.50)

Siber güvenlik profesyoneli olmanın yaygın bir yanlış anlaşılması, yalnızca havalı hackleme şeyleri yapmanız gerektiğidir, ancak gerçekte bulgularınızı belgeleme de aynı derecede önemlidir. (s.51)

Deloitte ve Touche 2020 analizine göre, finansal kurumlar toplam BT bütçelerinin %10,9’unu siber güvenliğe harcamaktadır. Bu, çalışan başına yaklaşık 2700 dolara eşittir. (s.60)

Perspektife koymak gerekirse, APT38, bilinen bir Kuzey Kore devlet destekli grup (aynı zamanda Lazarus olarak da anılır), öncelikle finansal motivasyonu vardır. 2016 yılında Bangladeş Merkez Bankası’ndan 1 milyar dolar (evet, doğru okudunuz) çalmaya çalıştılar ve neredeyse başarıya ulaştılar. Yalnızca 81 milyon doları başarıyla çaldılar. Saldırganlardan birinin yaptığı bir yazım hatası olmasaydı diğer 919 milyon doları da alacaklardı. (s.61)

Araştırmalar, toplum tarafından utanılan alışılmadık yaşam tarzlarına veya mevcut koşullara sahip bazı bireylerin, mahremiyetlerinin ihlal edilmesinden ve suçluluk ve utançla karşılaşmaktan korktukları için tıbbi tedavi almaktan kaçındığını göstermiştir. (s.65)

…Sağlık ve İnsan Hizmetleri (HHS) Sivil Haklar Ofisi (OCR) ihlal portalını, diğer adıyla utanç duvarını gösterir. HHS OCR, bireylerin korunmuş sağlık bilgileriyle ilgili güvenlik ve gizlilik şikayetlerini araştırmaktan sorumlu olan bir ABD hükümet kuruluşudur. (s.66)

Size garanti ederim, iş yerinde 6 ay önce satın aldıkları bir milyon dolarlık sistemi, siz Windows 7’nin artık desteklenmediğini söylediniz diye değiştirmeyeceklerdir. (s.67)

Klinik profesyonelleri ve siber güvenlik uzmanlarının birbirleriyle konuşmaları, iki farklı dilde konuşmaya çalışan insanlar gibi olabilir. (s.67)

Bazı özel sektör işletmelerinin sınırsız ücretli izin (PTO) sunduğunu gördüm. Bu, son zamanlarda başarı gösteren bir programdır. Bazı araştırmalar, bu avantajın yüksek performans gösterenleri organizasyonlara çektiğini bile göstermiştir. (s.73)

Bu, işletmelerdeki siber güvenlik personeli için büyük bir tasarruf sağlar çünkü fiziksel güvenlik, işletim sistemi yamalama ve ara yazılım bakımı büyük risk alanlarıdır ve şimdi işletme düzeyinde hizmet sağlayıcılar tarafından halledilmektedir. (s.75)

Son dönemdeki büyük veri ihlallerinin bazıları, dünyaya açık bırakılan yanlış yapılandırılmış AWS S3 depolama konteynerleri nedeniyle olmuştur. Hizmet güvenli olma yeteneğine sahiptir, ancak yanlış yapılandırma yönetimi depolama konteynerlerini internete açık bırakırsa, tüm verileriniz Pastebin’dedir. (s.76)

Kitaplar, hacking zorlukları ve TryHackMe ve Hack The Box gibi diğer laboratuvarlar, OSCP için eğitim alırken öğrenmenizi tamamlamak için her zaman önerilir. (s.98)

Sertifikalı Bilgi Güvenliği Yöneticisi (CISM), test katılımcılarına bilgi programlarını doğru bir şekilde nasıl yöneteceklerini öğreten ileri düzey bir sertifikadır. İlk denemelerde %50-60 geçme oranına sahip olarak not edilir. (s.107)

Aslında, çalışmalar giriş seviyesi siber pozisyonların genellikle bir üniversite diplomasına sahipseniz %10-15 daha fazla ödendiğini göstermektedir. (s.108)

WebGoat, web uygulaması güvenlik kavramlarını, web uygulaması açıklarını istismar etme ve bu açıkların istismara nasıl izin verdiğine dair açıklayıcı yazılar aracılığıyla bireyleri eğitmek için tasarlanmış kasıtlı olarak savunmasız bir web uygulamasıdır. (s.114)

Docker, tüm bağımlılıkları, ayarları ve yapılandırmaları içeren önceden yapılandırılmış bir WebGoat konteyneri kurmamıza olanak tanıyan bir konteynerleştirme platformudur ve WebGoat’ın doğru çalışmasını sağlamak için ihtiyaç duyduğumuz her şeyi içerir. (s.119)

Güvenlik operasyonları çalışmaları için Wireshark hakkında bilgi edinmenin en iyi yollarından biri, aslında kötü niyetli trafiği görmek, üzerinde çalışmak ve analiz etmektir. İşiniz bittiğinde, kötü niyetli ağ trafiğini analiz ettiğinizi özgeçmişinize ekleyebilirsiniz. (s.126)

Bir siber güvenlik konusu hakkında benzersiz düşüncelerinizi paylaşma konusunda kendinize güvenmiyorsanız, orijinal makaleyi paylaşın. Kişisel markanızla ilgili tutkunuzu gösterirken, izleyici etkileşimi hakkındaki makaleleri paylaşarak, en az 1-2 cümle yazmak iyi bir kuraldır. Makaleleri bağlam olmadan paylaşan insanlar, spam gibi görünebilir. (s.154)

CyberSeek, tüm ABD genelinde siber güvenlik işleri için talep ve arz verilerinin sağlandığı bir örnektir. (s.181)

İş tanımlarına bakarken dikkat edilmesi gereken bir şey, bazı şirketlerin diğerlerinden daha fazla yıl deneyim gerektirebileceğidir. Bu, standartlarına ve ihtiyaçlarına bağlıdır. Bu nedenle, gereken deneyim yıllarından korkmayın. Gerçekten yetenekli, bilgili ve öğrenmeye istekliyseniz, şirketler sizi isteyecektir. (s.198)

Özgeçmişlerinizi tarama aşamasında, işverenler esas olarak teknik ve yumuşak becerilere, eğitime ve teknik projelere bakmaktadır. (s.199)

Çoğu durumda, özgeçmişiniz bir insan tarafından görülmeden önce, başvurduğunuz belirli iş ilanı ile özgeçmişinizi eşleştirmek için yapay zekanın kullanıldığı Otomatik Başvuru Sistemi (ATS) olarak bilinen otomatik tarayıcıdan geçmektedir. (s.200)

Özgeçmişinizin belirli iş ilanlarına ATS dostu olup olmadığını kontrol etmenize yardımcı olabilecek kaynaklar vardır, örneğin resumeworded.com ve skillsyncer.com. Bu sistemler, kritik anahtar kelimelerin karşılanma yüzdesini, özgeçmişinizin otomatik tarama yolunu geçme olasılığını, iyileştirme önerilerini ve daha fazlasını gösterir. (s.200)

Yol boyunca, her yeni başarınız olduğunda, bunu ana özgeçmişinize ve uygun olduğunda diğer versiyonlara not ettiğinizden emin olun. (s.201)

… işinizin miktarını ve kalitesini, bir şeyler gibi değiştirerek ifade edin. Örneğin: Organizasyon A için bir güvenlik otomasyon sistemi uygulandı, bu da siber saldırı riskini X yüzde azalttı. (s.201)

Önceki bölümlerde belirtildiği gibi, siber güvenlik alanında teknik beceriler her şey değildir. İletişim, mentorluk, liderlik ve takım çalışması becerileri de aynı derecede önemlidir. (s.202)

Her proje, deneyim veya etkinlik için en fazla üç ila beş madde ekleyin ve her madde en fazla iki satır olmalıdır. Bundan daha uzun olan her şey dağınık ve okunması zor görünebilir. Genel olarak, deneyim ve projelerin sayısını iki ila üç arasında tutun. (s.202)

Birçok pozisyona başvurduktan sonra, ilanların detaylarını unutabilirsiniz, bu da ne için başvurduğunuzu hatırlamadan mülakatlara girmenize neden olabilir. Bu asla iyi değildir. Bu nedenle başvurduğunuz tüm iş ilanlarının kaydını tutun. İlanların URL’lerini kaydetmeyin; bunun yerine içeriği bir belgeye kopyalayın. Neden? Çünkü URL gelecekte kullanılamaz hale gelebilir, bu da tüm içeriğin de kaybolacağı anlamına gelir. (s.204)

İşte ve okulda karşılaştığınız durumların kayıtlarını tutun; bu durumları nasıl ele aldığınızı, bu durumlarda neleri iyi yaptığınızı ve neleri geliştirebileceğinizi not edin. (s.207)

Şirketler, bir süre çalıştıktan sonra büyümenizi ve yükselmenizi görmek isterler ve böyle pozisyonlardaysanız, başkalarına mentorluk ve rehberlik edebilmelisiniz, tüm takımın birlikte büyümesine izin vermelisiniz. (s.207)

BSides konferansları, yerel siber güvenlik profesyonelleri tarafından genellikle koordine edilen organik, küçük ve mütevazı konferanslardır. (s.220)

Gördüğünüz gibi, sunduğumuz konuların “havalı” veya “teknik” olup olmadığını dert etmemize gerek yok. Sadece paylaşmak isteyip istemediğimizi düşünmeliyiz. Konu yalnızca iki kişiye etki edecekse bile, bunu yapmalısınız! Konunuzdan iki kişinin fayda sağlaması, hala bir etki yarattığınız anlamına gelir. (s.221)

Jon Helmus tarafından yazılan, tükenmişlik stresini ve dengesini detaylandıran bir makale var. Makaleyi buradan bulabilirsiniz: (s.225)

Yeni bir çalışan veya kıdemsiz bir çalışan olmanın bir parçası, şirketinizin nasıl çalıştığını, kullandığı sistem ve araçları anlamak ve kültüre entegre olmaktır. (s.227)

İş ararken ve başvuru doldururken, o şirkette çalışan insanları LinkedIn gibi sitelerde kontrol edin. Ne kadar süre kaldılar? Bir yıl mıydı? Bir yıldan az mıydı? Eğer ilgilendiğiniz bir şirketin 10 eski çalışanını sorgularsanız ve ortalama bir yıl o şirkette kaldılarsa, bu, huzursuz bir şirketin göstergesi olabilir. (s.228)

Sonuç

Siber Güvenlik Kariyer Master Planı, alana girmeyi düşünen, alanda olan ve diğer alanlarda çalışan kişiler için kullanışlı bir referanstır. Dr. Gerald Auger, Jaclyn “Jax” Scott, Jonathan Helmus ve Kim Nguyen’e, özellikle topluma sağladıkları bu faydalı çalışmaları için teşekkür etmek istiyorum. Bu web sitesi ve gönderiler de topluma katkı sağlama konusunda benzer bir görüşe sahip olduğumu yansıtmaktadır. Bu görev, iki kişi dahi hayallerini veya amaçlarını gerçekleştirmek için bu yazılardan faydalansa yerine getirilmiştir. Yazarlara kıymetli çalışmaları ve faydalı önerileri için tekrar teşekkürler.

Social Media

LinkedIn