Teknolojinin hızla gelişmesi nedeniyle bazı meslek türleri yok olurken yeni meslek grupları da ortaya çıkıyor. İşte, yeni ortaya çıkan meslek gruplarından biri olan Bilgi Güvenliği Danışmanlığı ya da diğer bir adıyla Siber Güvenlik Danışmanı. Hangi unvanı kullanırsa kullansınlar bu yeni meslek önemlidir.
Nedir danışmanlık, dilimizde nasıl tanımlanmıştır?
Öncelikle yeni çıkan bu meslek grubunu ve yaptıkları işi tanımlayıp, tanıtmadan önce “danışmanlık” kelimesinin etimoloji kökenine bakalım.Türk Dil Kurumu Sözlüğü’ne göre “Danışmanlık” şu şekilde ifade edilmiştir: “Bilgi ve düşüncesi alınmak için kendisine danışılan görevli kimse, müşavir” TDK Sözlüğü. Basın Danışmanı, Sanat Danışmanı derken Siber Güvenlik Danışmanlığı ve Bilgi Güvenliği Danışmanı gibi bir meslek 2000’li yılların başında ortaya çıktı.
Cyber “siber” kelimesinin kökeni, etimolojisi nedir?
"Siber" kelimesi İngilizce "cyber" kelimesinden dilimize geçmiştir. Bilgisayar ağları veya interneti ifade eder. Çoğu zaman sanal kelimesi de siber kelimesinin yerine kullanılır. “Siber” kelimesinin etimolojisi ilginçtir: “Siber” terimi “sibernetik” kökeninden gelmektedir. 1958 yılında, canlılar veya makineler arasındaki iletişim disiplinini inceleyen Sibernetik biliminin babası sayılan Louis Couffignal tarafından kullanılmıştır.
Siber kelimesinin kullanım alanları
Siber kelimesiyle birlikte kullanılan o kadar çok terim duymaya başladık ki, bunlara elbette şaşırmıyoruz. İşte, o terimlerden bazıları: Siber güvenlik danışmanlığı, siber terörizm, siber savaşlar, siber uzay, siber casusluk, siber ordu, siber silahlar, siber zorbalık, siber zararlılar. Yeni çağın mücadele alanlarından biri olan siber terörizm konusunda daha fazla bilgi almak istiyorsanız bu linki kullanabilirsiniz.
Peki, hangi işleri yapar Siber Güvenlik Danışmanı?
Hemen şöyle sıralayacak olursak: Sistemler üzerindeki tehlikeleri, açıkları inceler, risklerini değerlendirir, önlem alınması için gerekli planlamayı yapar veya bir yol haritası ortaya çıkarır. Zaman zaman tüm bu iş ve işlemler Penetrasyon testi şeklinde ifade edilebilir.
Siber Güvenlik Danışmanı şu konularda çalışır: Kurumsal Risk Analizi Yönetimi; Zafiyet Taraması; APT Altyapısı çalışmaları; Network sistemleri güvenliği; SOME çalışmaları ; Adli bilişim; ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulumu; Güvenlik Teknolojileri Danışmanlığı; Siber Güvenlik Eğitimi Danışmanlığı; Bilgi Güvenliği Eğitimi Danışmanlığı; BT Altyapısı ve sistem güvenliği; Sosyal Mühendislik, Gömülü sistemler uzmanlığı, Kriptografi gibi daha bir çok alanda çalışırlar.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlığını biraz açalım
Bilgi önemli bir kavram ve bilgi korunması çok elzem olan bir varlık. ISO 27001 ise bilgi güvenliği, siber güvenlik konusunda ortaya çıkan yeni sayılabilecek bir ISO standardı. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi, Bilgi Güvenliği Yönetimi ve İş Sürekliliği doğrultusunda ortaya çıkmış bir standart. Yani bir sertifikasyon süreci anlamına da geliyor. Zafiyet taraması nedir? Bazı paket programlarla sistemin incelenip sistem açıklarının raporlanmasıdır. Advanced Persistent Threat yani geliştirilmiş kalıcı tehditler şeklinde ifade edebileceğimiz APT saldırısı yapan korsanlar ya da yetkisiz erişim yapan kişiler, sağladıkları sistemlere yetkisiz erişimle sistemde uzun süre kalırlar ve kalıcı büyük hasarlar ortaya çıkarabilirler. Kurumsal Risk Analizi ve Risk Yönetimi başlığı neleri içerir? Burada kurumların siber güvenlik riskleri varlık envanteri ve bilgi varlıkları ile konsolide edilerek bir risk hesaplaması ve buna bağlı bir risk analizi yapılır. Belirlenen risklere karşı bir risk önleme planı ortaya çıkarılır. Zafiyetlerin, risklerin işe etkisi hesaplanır ve önlemler için yol haritası çıkarılır. Siber Olay Müdahale Ekibi şeklinde ifade edebileceğimiz SOME’lerin kurulumu ihtisas isteyen bir konudur. Bu merkezin bizatihi kendisi yetkinlikleri yüksek kişilerden oluşturulmalıdır. Network güvenlik uzmanları sistem ve network güvenliği konusunda uzmanlaşmış kişilerden oluşur. Adli bilişim yine siber güvenlik danışmanlık şirketlerinin ve bilgi güvenliği danışmanı unvanını kullanan insanların önemli iş alanlarından biridir.
Bilgi güvenliği, siber güvenlik ve görevlerin ayrılığı ilkesi
Siber Güvenlik Danışmanı olarak gördüğümüz bir hatayı da burada belirtmeden geçmeyelim. Maalesef çoğu şirketlerimizde ve kurumlarımızda görüyoruz ki. Bilgi güvenliği yönetim sistemi BT veya IT adını kullanan bölüm veya birimlerce yapılıyor. Hatta çoğu zaman bilgi güvenliği uzmanları BT veya IT bölümlerine dodğrudan bağlı veya sorumlu olarak çalışıyorlar. Yani bilgi güvenliği uzmanları ya da siber güvenlik uzmanları hem kendi bölümünü denetliyor hem de bulduğu riskleri kendi kapatıyor. Kendi çalıyor kendi oynuyor. Bu yaklaşım son derece hatalıdır. Görevlerin ayrılığı ilkesine aykırı bir yapılanma ve durumdur. Hata, eksiklik, yanlışlık, usulsüzlük veya risklerini azaltmak için faaliyetler BT veya IT birimlerince birlikte çalışılabilir fakat risklerin belirlenmesi, karar ve işlemlerin onaylanması, uygulanması, kaydedilmesi ve kontrol edilmesi görevlerinin aynı birime bağlı personel/Personeller tarafından yapılması hatalı bir yaklaşımdır. Görevlerin ayrılığı ilkesinin uygulanması için yapılacak güvenlik faaliyetleri, güvenlik kararları veya işlemlerinin onaylanması, uygulanması, kaydedilmesi ve kontrolü görevleri farklı kişilere verilmelidir. Bilgi güvenliği uzmanları veya birimleri BT veya IT bölümleri altında değil doğrudan genel müdürlük gibi bir makama bağlı çalışmalıdır.
Gömülü sistemlerde siber güvenlik, bilgi güvenliği çok önemli
Burada son olarak Gömülü Sistemler dediğimiz sistemlere de değinmek gerekir. Gömülü sistemlerin güvenliği önemlidir. Tanım olarak sanırım şöyle anlatmak yeterli olabilir: Bir ana ya da bir alt sistem olarak, bir işlevin yerine getirilmesini sağlayan entegre sisteme gömülü sistem denir. Kendileri bilgisayar olmayan bu cihazların içerisinde gömülü bulunan küçük çaplı cihazlara gömülü sistem adı verilmektedir. Çoğu zaman gömülü sistemler, normal bilgisayarların sahip olduğu kaynaklardan daha kısıtlı olanaklara sahiptirler. Gömülü sistemlere en iyi örnek para çekme makinaları yani ATM’ler, ABS Fren sistemleri, endüstriyel robotlar örnek verilebilir yine enerji sektöründe kullanılan akım kesiciler gömülü sistemlerin önemli bir örneği olabilir. Gömülü sistemler ağ bağlantılı online gömülü sistemler olabileceği gibi ağ bağlantısız gömülü sistemler de olabilmektedir. Yani gömülü sistemler hem kablolu, hem kablosuz iletişim gerçekleştirebilir. So zamanlarda ortaya çıkan sorunlar gösteriyor ki bu sistemlerin güvenliği birinci öncelikli olarak düşünülmemiştir. Bugün gömülü sistemler de bilgisayarların uğradığı siber saldırılara uğramaktadır. Tıp ve enerji sektörü ile silah sanayinin bu konuya çok dikkat etmesi gerekir.
Siber güvenlik konusundaki bilinçlenme umut verici
Siber güvenlik konusunda hem ülkemizde hem de dünyada bilinçlenme artmaya başlamıştır. Türkiye bu alanda hızlı önlemler alan ülkeler arasındadır. Yaşanan olaylar ülkeleri, firmaları, kurumları korkutmuştur. Ülkemizde Bakanlar Kurulunca alınan 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Bu karar gereğince; Siber Güvenlik Kurulu oluşturulmuş, Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber güvenlik alanında görev ve yetkiler verilmiş, siber güvenlik ile ilgili çalışma grupları ve geçici kurulların oluşturulabileceği karara bağlanmıştır. Yine başka bir kararla: Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar alınmış be gerekli çalışmaların yapılması sağlanmıştır. Bugün bazı üniversitelerimizde siber güvenlik konusu lisans, yüksek lisans ve doktora programı olmuştur. Bu son derece güzel bir gelişmedir. Ülkemizin ve kurumlarımızın muhtemel siber saldırılara karşı nitelikli insan kaynağına ihtiyacı var.