Güvenlik kahvesinin bu haftaki konuğu Symantec Güney Doğu Avrupa ve Türkiye Bölge Teknoloji Müdürü Burak SADIÇ
NGB: Kısaca kendinizden bahsedebilir misiniz?
Burak SADIÇ: 1973 Ankara doğumluyum. 1991’de Ankara Atatürk Anadolu Lisesi ve 1995’te de ODTÜ Elektrik-Elektronik Mühendisliği Bölümünü bitirdim. Üniversite sonrasında sırasıyla PDI-Erkom, Siemens, Meteksan, Koç.net ve Innova’da görev yaptım.
2003 yılında çalışmaya başladığım Symantec’te şu andaki görevimde Güneydoğu Avrupa ve Türkiye’de 12 ülkeyi kapsayan bölgedeki teknoloji danışmanlarından oluşan ekibi yönetmekteyim. Bilim Kurgu ve Fantazi, Fotoğrafçılık ve Doğa Sporları temel hobilerim ama iş temposu ve iş seyahatlerinden dolayı bunlara artık çok zaman ayırabildiğimi söyleyemem.
Aynı şekilde zamanında lisanslı olarak Basketbol ve Karate ile uğraşmıştım ama fırsat buldukça açık havada koşmak ve basit egzersizler dışında sporu da oldukça ihmal ettim son senelerde.
NGB: Güvenlik işine nasıl bulaştınız?
Burak SADIÇ: Güzel bir soru, cevabı için biraz geriye gitmem gerekli. 80’li yıllarda bilgisayarla tanıştıktan sonra bilgisayarın hayatıma yerleşmesi ve bu konudan para kazanmaya başlamam üniversitede oldu. Öğrenci bilgisayar laboratuvarlarında gözetmenlik yapmak vs. derken bilgisayar ve network’ler hayatımın bir parçası haline geliverdi. Lynx ile Internet’te dolaşırken (ki o zamanlar tüm Türkiye’nin Internet çıkışı ODTÜ’den ve toplamda 4 Mbps idi) bir gün Mosaic çıktı ve sistemlere onu da kurduk, ve tabii ki Linux çıktı ve 10’larca floppy ile ilk slackware tecrübemi yaşadım. 1995 yılında üniversite bittiğinde niyetim Elektronik Mühendisliği yapmaktı ama bölümde bir uzman mühendis kadrosu açığa çıktı ve bana teklif gelince kampüs hayatının cazibesine kapılıp network adminliğine başladım.
Novell ve Solaris ağırlıklı güzel bir admin tecrübesi yanında bu ilk profesyonel iş bir bakıma kariyerimin gideceği rotayı da şekillendirdi. Peki güvenlik alanına ne zaman odaklandım? Sistem ve network yöneticiliği sırasında gayri ihtiyari olarak işin güvenlik bacağıyla da uğraşıyordum ama işim hiç bir zaman güvenlik olarak tanımlanmamıştı. Meteksan’da çalışmaya başladığımda ise sene 1999’du ve yavaş yavaş kurumsal güvenlik önemli bir pazar haline dönüşüyordu. O günlerde şirkette çıkan bir ihtiyaca ben cevap verdim ve kısa bir zaman zarfında network ve sistem alanından tam zamanlı olarak güvenliğe kaydım, zaman geçtikte de kesinlikle en doğru seçimi yaptığımı gördüm (Ki eşim de o dönemde bu seçimimi destekleyerek kararımın kesinleşmesinde önemli katkıda bulundu). Güvenlik alanının kendini geliştirmeye gayet müsait bir alan olması ve tek bir alan gibi görünmesine rağmen hemen hemen tüm bilişim teknolojileri hakkında fikir yürütebilmeniz gereken geniş bir alan olması bu seçimde en önemli etkenlerdi.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz?
Burak SADIÇ: Öncelikle bardağın dolu tarafına bakalım: Türkiye bundan 10 sene öncesine göre kesinlikle daha iyi bir noktada. 2000 öncesinde güvenlik kavramı insanlara bilim kurgu gibi gelirken şimdi ismi konmuş bir şekilde güvenlikle uğraşılan, bu konuya adanmış elemanlar çalıştırılan ve şirketlerde güvenlik bölümleri kurulan bir dönemdeyiz. Tabii ki hala kat edilmesi gereken çok yol var, hala çoğu kurumda güvenlik kurumsal stratejinin entegre bir parçası değil ama bu da yavaş yavaş olacaktır.
Türkiye’de kurumsal yönetim yapılarına çok ender rastlandığı için güvenlik gibi kritik bir bileşenin de bu tip patron şirketi organizasyonlarının içinde yerini bulması zor olabiliyor. Bu yüzden başına bir problem gelmeyen hiçbir kurumda güvenlik de üst seviyede konuşulamıyor. Kurumların güvenlik çalışanları ve hizmet sunan şirketler de bu konuda bir miktar suçlu sayılabilir; çünkü güvenliğin tamamlayıcı ve hatta kurumun çoğu yenilikçi iş koluna atılmasına imkan verecek güveni sağlayıcı rolünü ön plana çıkaran yaklaşımlardansa genelde “bunu yapmazsan başına kötü şeyler gelir” yaklaşımı hakim. Halbuki güvenliğin kuruma kattığı artı değerleri gösterebilirsek o zaman bu konudaki yatırımlar da patronlar için bir külfet değil daha fazla kar için gerekli yatırımlar haline dönecektir. Yabancı ülkelerden bazılarının güvenlik alanında bize göre daha ilerde olmasının bir başka sebebi de kanun ve düzenlemeler.
Sarbanes-Oxley ve Basel sayesinde uyumluluk ve güvenlik için önemli yatırımlar kolaylıkla yapılabiliyor, çünkü direkt kurum üst yönetimlerini de etkileyen yaptırımlar söz konusu. Türkiye’de de TSE 27001 ve 5651 bu konuda yatırım yapmak için bütçe alınmasını kolaylaştırıyor. Burada kurum güvenlik çalışanlarına düşen ise bu tip standart ve düzenlemeleri en yalın şekli ile üst yönetimlere aktarmak ve bu şekilde alacakları bütçeleri olabildiğince verimli kullanmak olacaktır.
NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Burak SADIÇ: Hem ticari bağımsızlık hem de milli güvenliğimiz açısından yerli güvenlik yazılımlarımız kesinlikle olmalı. Fakat yerli girişimcilerimiz de bir yazılım geliştirirken hedeflerini iyi belirlemeliler. Bu yazılım güvenlik açısından hassas kamu kurumları için mi geliştirilecek yoksa kamu ve özel sektörün tamamına mı pazarlanacak? Bu her kurumda halihazırda zaten yatırım yapılmış temel güvenlik yazılımlarına bir alternatif mi olacak, yoksa bakir bir alt konudaki yenilikçi bir yazılım mı olacak? Ve tabii ki hedef sadece Türkiye pazarı mı olacak? Bu hedef iyi şekilde belirlenir ve pazar araştırması iyi yapılırsa yerli üreticilerin de başarılı olmaması için bir sebep yok. Güvenlik konusunda hassasiyeti yüksek kamu kurumlarına özel tasarlanan bazı yazılımlar için devletin desteği gerekli olabilir ama genel piyasa kullanımına sürülmesi planlanan ürünler için olabildiğince bağımsız, özerk ve global bir strateji ile yola çıkılması başarı şansını arttıracaktır.
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Burak SADIÇ: Farkındalık, farkındalık, farkındalık. Güvenlik konusunun kara büyü olmadığı, iş süreçlerini baltalayan bir konu değil tam tersi bazı riskler göze alınamadığı için devreye alınamayan hizmetleri ve yatırımları, riskleri kabul edilebilir seviyeye indirerek uygulanabilir hale getirdiği, “bilgi” güvenliğinin bir bilgi teknolojileri sorunu değil, kurumun yönetim seviyesinde ele alınmasının gerekli olduğu gibi temel kavramlar konusunda her mecrada ve her seviyede bıkmadan bilgilendirme yapılmaya devam edilmeli.
NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Burak SADIÇ: Ülkeyi hedef alan bir tehdide karşı ya da global bir tehdidin yansımalarına karşı kurumlar üstü bir koordinasyon merkezi kurulması çok önemli. Ama bu merkezin de özel ya da kamu demeden ülkede konunun tüm muhattaplarıyla iletişime açık olması, her kesimden yorum ve görüş alabilecek daha geniş bir organizasyon yapısı ve sistemle hizmet vermesi de bu kurumun verimliliği için çok önemli. Şahsen Internet gezginimi açtığımda “Türkiye’deki tehdit durumu budur” diye anlık bir görüntü alıp, gerektiğinde bu tehditlerin detayına inebileceğim yönlendirmelerin yapıldığı bir portal olmasını çok isterim.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Burak SADIÇ: Bugün ve benim güvenlikle uğraşmaya başladığım zamanlar arasında önemli farklılıklar var. 1990’larda bu konu ülkemize yeni yeni geldiği için kişiler güvenlik alanına girmeden önce farklı alanlarda uzmanlaşmıştı. Bu da bu kişiler güvenlik alanına girdiği zaman onlara önemli avantajlar sağlıyordu. Şimdi ise çalışma hayatına yeni atılmış gençlerin hemen güvenlik uzmanı olmasını bekleniyor. Bu beklentinin ne kadar gerçekçi olduğu tartışılır ama tartışılmayacak tek şey bu alana girmek isteyen kişilerin bir kurumda bilginin yaşam döngüsü hakkında bilgi sahibi olması gerekliliği. Fiziksel güvenlikten bir örnek vermek gerekirse eğer bir kişinin yakın korumalığını yapacaksanız öncelikle o kişiyi ve davranışlarını tanımalısınız, ki onu tehditlere karşı koruyabilin. Tabii bu bilgi işletim sistem, iletişim ağı, veritabanı ve uygulamalar yanında kurumdaki bölümler ve iş süreçlerini de kapsamalı. Tek bir alan seçip o alanda uzmanlaşmaya gitmeden önce genel bir bakış açısı kazanmak yeni meslektaşlarımıza kariyerlerinin ilerleyen bölümlerinde çok faydalı olacaktır.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Burak SADIÇ: Kristal küremize göz atalım…
İşin teknoloji tarafına bakacak olursak artık kurumlar bilgi teknolojileri altyapısını korumanın yanında bilginin kendisini de korumalı. Mobil iletişim ve taşınabilir cihazların yaygınlığı kurumsal sınırların yavaş yavaş kaybolması anlamına geliyor. Bu alanda yeni popüler olmaya başlayan teknolojilere bir örnek olarak veri sızıntısı önleme teknolojileri hemen hemen tüm kurumun ilgilendiği ve incelediği çözümlerin başında geliyor. SaaS ve Cloud Computing çok hızlı gelişiyor, bu gelişmeler de kişilerin altyapıyı hemen hemen hiç düşünmeyip, bu yatırımı kurum içinde yapmaktansa tamamen dışardan hizmet olarak alıp, bilginin kendisini korumaya odaklanmasına yardımcı olacaktır. Teknoloji kısmını bir kenara bırakacak olursak bilgi güvenliği de dünyadaki sosyal ve ekonomik gelişmeleri takip edecektir. Her krizde olduğu gibi son krizin de peşinden kurumların daha sıkı denetim altında olması için yeni standartlar, düzenlemeler ve kanunlar çıkmasının yanında mevcut olanların da daha çok önemsenip benimsenmesini beklemek yanlış olmaz, yani compliance/uyumluluk iyice ön plana çıkacaktır. Ve tabii terör ve asimetrik savaş tehdidi ile beraber siber güvenlik ile bilgi güvenliği iyice birbirinin içine geçmeye devam edecek gibi görünüyor.
NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?
Burak SADIÇ: Sertifikanın kendisi değil ama sertifika için sarfedilen emek ve bu emeğin kişinin o alana ilgisini göstermesi önemli kriterler. Herhangi bir sertifikanın ya da sertifikalar grubunun bir kişinin işe alınması için yeterli olacağını sanmıyorum (En azından ben eleman değerlendirirken öyle düşünmüyorum) Ama işverenle ilk görüşmeye gidebilmek ve insan kaynaklarının ön elemesinden geçip pozisyonun yöneticisi ile görüşebilmek için sertifikalar önemli rol oynayacaktır. Özellikle de sektörde yeni ve başvurduğu pozisyon ve kurum için referans gösterebileceği ilgili tecrübesi ve bağlantısı olmayan adaylar için bu önemli bir faktör olabilir. Örneğin bugünlerde ekibimizin Romanya bacağında çalışacak, güvenlik alanında uzman bir danışman arıyorum ve insan kaynakları ekibine aradığım kişiyi tariflerken olası bazı sertifikalardan da bahsettim.
CISSP, CISA ve CISM; genel güvenlik, denetim ve güvenlik yönetimi alanlarında güzel sertifikalar ve sahip olan kişinin sahip olması gereken minimum bilgi seviyeleri oldukça güzel tanımlanmış. SANS ise yukarıdakilere benzer sertifikalar yanında daha detaylı uzmanlıklar için (SANS Firewall vb.) alternatifler sunabiliyor.
Sertifikaların başka bir avantajı da güvenlik sektöründe ortak bir dil ve bilgi seviyesi yaratmaya yardımcı olması. Aynı sertifikaya sahip olan bir kurum çalışanı ve ona hizmet sağlayan şirket çalışanının ortak paydalarda anlaşması ve aynı teknik dili konuşması daha kolay olabiliyor.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Burak SADIÇ:En ciddi/kritik demek doğru olmaz ama en ilginç tecrübelerimden birisi olarak ağır bir saldırıya uğrayan bir kurumun BT yöneticisinin “neme lazım, ben işimi sağlama alayım” mantığıyla mesai bitiminde eve gitmeden önce sunucularını kapatması örneğini verebilirim. Gece hizmet vermemek o gün yaptıkları risk hesaplamasında daha mantıklı bir seçim olarak görünmüştü diye tahmin ediyorum J
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Burak SADIÇ: Sırada Peter Bernstein’ın “Against the Gods” adlı risk üzerine kitabı var, bu haftasonu okumaya başlayacağım.
Bruce Schneier’ın “Secrets & Lies” ve Ross Anderson’un “Security Engineering” kitaplarından çok keyif almıştım. Harold Tipton ve Micki Krause’un “Information Security Management Handbook” serisi ise kesinlikle güzel bir derleme ve güvenlik alanına geniş bir bakış açısı kazanmak ve bunu korumak isteyenlerin kesinlikle faydalanabilecekleri bir kaynak.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Burak SADIÇ:Kahramanım ya da örnek aldığım kişiler demek biraz abartılı olur ama Marcus Ranum, Lance Spitzner ve Bruce Schneier güvenlikle uğraşmaya başladığımda yazdıklarını okuyup feyz aldığım kişilerin başında geliyor.
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?
Burak SADIÇ: Son yıllarda giderek daha fazla zamanım yönetimle uğraşarak geçtiği için kullandığım yazılımlar da haliyle son kullanıcı yazılımlarına dönüştü. Yani Symantec Endpoint Protection.
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Burak SADIÇ: SecurityFocus, Schneier on Security ve SANS Internet Storm Center.
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Burak SADIÇ: Evet. Bu alana girmenin bana gerçekten de güzel bir bakış açısı kazandırdığını ve iyi bir kariyer imkanı sunduğunu söyleyebilirim, konunun gayet eğlenceli olması da cabası.
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
