Siber güvenlik kariyerleri: Neleri bilmeli ve nasıl başlamalı
Teknolojiyi herkes için daha güvenli hale getirmeye yardımcı olmak ister misiniz? Bulmaca çözmeyi seviyor musunuz? Ödüllendirici bir kariyer mi arıyorsunuz? O halde Siber güvenliğe giriş yapın! ESET araştırmacıları Aryeh Goretsky ve Cameron Camp’in görüşleri sizi doğru iletebilir.
Siber güvenlik alanında kariyere nasıl başlarsınız? Hangi niteliklere, sertifikalara ve becerilere ihtiyacınız var? Bir ev maliyetinin yarısını harcamalı mısınız? Pentagon’u hacklemeye ve itibar kazanmaya mı çalışmalısınız veya kanseri tedavi etmek için kendi Python kitaplığınızı mı kurmalısınız?
Bunlar, ESET kullanıcılarına oldukça sık sorulan sorulardan bazıları. Bunları denemek ve yanıtlamak için, bu hafta yürütülen ve Siber Güvenlik Farkındalık Ayının bir parçası olan bir kampanya olan Siber Güvenlik Kariyer Farkındalık Haftası’ndan daha iyi bir zaman olabilir mi? Cevaplar, geçmişte güvenliğe girmek için neler yapılması gerektiğini ve bugün işe alım yapan her türden şirketin dikkatini çeken ve ne olduğunu değerlendirecek olan iki ESET araştırmacısından gelecek.
Bir gerçek olarak, güvenlik uzmanlarına olan talep arzı bugün ihtiyacın çok gerisinde kalmaya devam ediyor. Yetenek açığı da bir gerçek olmaya devam ediyor, çünkü tahmin ettiğiniz gibi güvenlik tehditleri hiçbir yere gitmiyor. Nary, tehditler boyut ve sıklık olarak arttıkça ve bize daha da yaklaştıkça, süreçte (ve sonrasında) anlatılmamış hasarlara neden olduğundan, hiçbir kuruluş siber saldırılarla ilişkili sayısız riskten korunmuş değildir.
O halde pek çok şirketin güvenlik personellerini işe almak ve elde tutmak için en yüksek ücretleri ödemesi şaşırtıcı değil ve görünüşe göre bu böyle olmaya da devam edecek.
Yine de bu denklemde daha fazlası var. Onlarca yıldır güvenlik alanlarında çalışan iki ESET uzmanıyla bunu konuştuk. – Seçkin Araştırmacı Aryeh Goretsky ve Uzman Güvenlik Araştırmacısı Cameron Camp.
Her şeyden önce, neden siber güvenlik alanında bir kariyer seçmelisiniz?
Aryeh: Siber güvenlik alanına girmenin ün veya servet (veya her ikisini birden) aramak gibi olağan nedenleri var. Ancak bana çekici gelen büyük ölçüde, tek bir kişinin yalnız kendi silahları ile baş başa olduğu çok az alandan biri olması. Siber güvenlik uzmanları yalnızca bilgisayar, zeka ve sabırları ile gözle görülebilir bir şekilde fark yaratabilirler. Siber güvenlikte olmak, etkili ve başkalarına yardımcı olan bir şey yapmak için bir fırsatınız (garanti değil, unutmayın, ancak bir fırsat) olduğu anlamına gelir.
Yine de, her başarının kaç CVE için kredilendirildiğinizle veya hata ödül programlarından ne kadar ödeme aldığınızla ölçülmediğini unutmayın. Başarı nihayetinde bireysel bir ölçümdür ve size en fazla tatmini getiren şeyler, örneğin medyada, sosyal veya başka bir yerde size en fazla ilgiyi getiren şeyler olmayabilir.
Ancak, söylenen ve akılda tutulan her şeyle birlikte, siber güvenlik sektörüne girmek, hem öğrenilen bilgiler hem de uygulanan bilgiler açısından diğer birkaç mesleğin sunduğu fırsatlara erişmenizi sağlar.
Cameron: Biraz harçlık alın ve daha büyük şeyler başarmak için annenizin bodrum katından çıkın. İşlerin nasıl yürüdüğünü merak ediyor musunuz? Peki işler neden bozulur? Size bir şans verilseydi, bozulan şeyleri nasıl onarırdınız? Nasıl çalıştıklarını öğrenmek için zaman ayırdığınız tüm bu şeyler, annenizi üzecek kadar başarınızın kaynağı olabilir. Evdeki ve okuldaki popülerliğiniz düzenli olarak sorgulanırken, aynı sınanmalar donanım ve yazılım güvenliğinde de geçerlidir.
Nasıl başladınız ve sizi siber güvenliğe çeken ne oldu?
Aryeh: Nasıl başladığımda özellikle büyülü bir şey yoktu, ya da özellikle sıkı çalışmanın sonucu değildi. Tek gereken biraz inisiyatif ve belki de biraz şanstı: John McAfee’yi kendi adını taşıyan antivirüs şirketini kurmadan birkaç yıl önce tanıyordum. Yerel televizyon haberlerinde bilgisayar virüslerinden bahsederken, ben, “Vay canına, bu harika. Onu tanıyorum.” dedim. Sonra ikinci kez ortaya çıktı ve iş açısından bir şeylerin peşinde olabileceğini fark ettim. 19 yaşında, çok az deneyime ve belirsiz kariyer beklentilerine sahipken, daktilo ve faks gibi ofis işlerini yapabileceğimi düşünerek ondan bir iş istemeye karar verdim. Şaşırtıcı bir şekilde, beni hemen işe aldı ve bu şekilde McAfee Associates’in ilk çalışanı oldum. Bana bilgisayar virüslerinin ne olduğunu açıklamakla geçen birkaç dakikadan sonra, ilk teknik destek telefon görüşmemi yapmaya hazırdım.
O zamanlar bilgisayarlarla bir şeyler yapmak istediğimi biliyordum ve onlar hakkında bilgi edinmek için koleje gidiyordum ama onlarla tam olarak ne yapmak istediğimden emin değildim. McAfee Associates’te, çok hızlı ilerleyen bilgisayar güvenliği işi hakkında bilgi edinme şansım oldu ve bu, donanım, yazılım ve ağ oluşturmanın temelleri hakkında daha fazla bilgi edinmemi sağladı. Her gün ya yeni bir bilgi edindim ya da yeni bir iç görü oluştu. Şimdi, otuz yıldan fazla bir süre sonra, tehditlerin- ve onlara karşı savunmanın- nasıl ilerlediğine dair şaşkınlığım dışında hiçbir şey değişmedi.
İşiniz aslında neyi içeriyor? Bazı klişeleri çürütelim…
Aryeh: İşimin büyük bir kısmı insanlarla konuşmayı içeriyor. Bir başka büyük kısım ve belki de daha önemli bir kısım, onları dinlemeyi içerir. Teknik bir makaleden sosyal medyaya ve şirket içi belgelere kadar her şeyi okumaya da fazla zaman harcıyorum. Ve tabi ben de ara sıra bir şeyler yazıyorum.
İşimle ilgili sevdiğim şeylerden biri, bu konuda çok fazla değişkenliğe sahip olmasıdır. Tüm bu konuşma ve dinlemelerin gerçek dünyada nasıl gerçekleştiğine dair bir örnek vermek gerekirse, geçen hafta şunları yaptım:
- Ortaya çıkan tehditler ve tehdit aktörleri hakkında
- Avrupa’daki bir meslektaşlarımla, ABD’deki gizlilik yasalarındaki farklılıklar ve beklentiler hakkında tartışmalar
- Bir ülke hükümet yetkilileri ile yazılımımız hakkında bazı soru-cevap
- Programlarımızdan birinin sonraki sürümü hakkında geliştiricilere bazı geri bildirimler
- Microsoft’un yeni işletim sistemi Windows 11’in güvenlik kontrolü
- Spam gönderenlere ve dolandırıcık tehditlere dair laboratuvarımıza geri bildirimler
Cameron ile beraber tehdit tespitlerimizde proaktif olarak “Yanlış Pozitif Virüs Alarmlarını” araştırdığımız bazı uzun vadeli devam eden faaliyetler de var. “Yanlış Pozitif Virüs Alarmları”, bir işletme için iş akışını olumsuz etkileyen bir olay olabilir, bu nedenle ESET bunları önlemek için çok çalışır.
Ayrıca, işten asla gerçekten kaçmış olmuyorsunuz. Eğer teknik destek olduğunuz biliyorsa bu imkânsız. Örneğin bir arkadaşımın ESET Smart Security Premium yüklemesini en yeni sürüme yükseltmesine yardımcı oldum.
Cameron: Var olduğunu düşündüğümden daha fazla kurumsal/İK türü şeyler. Temelde, konuşurken yararlı bir şey satma veya satın alma konusunda bilgisi olan birine mantıklı gelmelisiniz. Kısacası, size para vermeleri için insanların ihtiyaçlarını doğru olmanız gerekir, aksi takdirde sizinle konuşmayı keserler.
Aryeh: Bu benim için cevaplaması daha zor bir soru, çünkü sahaya siber güvenlikte seviyeler olmadan çok önce girdim. Ayrıca kariyerimin ilk on altı yılını çoğunlukla işin destek tarafına odaklanarak geçirdim.
Ancak, sıfır ila bir yıllık deneyim gerektiren giriş seviyesi bir pozisyon için şunu söyleyebilirim: Bir bilgisayarın donanımının nasıl çalıştığına, bir işletim sisteminin ne yaptığına (üst düzey bir anlayış dahil) ilişkin temel konuları anlamak. Ve bilginin ağlar üzerinden nasıl iletildiğini bilmek iyi bir başlangıç noktası olacaktır. Bir şeyi savunacaksanız, nasıl çalıştığına dair pratik bir anlayışa sahip olmak, zayıf noktalarının neler olduğunu ve bunları nasıl savunacağınızı tasavvur edebilmek gerekir. Bu temelleri yerinde iyi bir şekilde attığınız da bilginizi artırmak, ilginizi çeken alanlarda dallanmak ve yeni alanlar keşfederek kendinizi daha fazla eğitmek için sağlam bir temele sahip olursunuz.
– Bu kodu da işvereninizin de desteğini alacağınızı umarız.
Cameron: Sektör büyüyüp gerçek işe göre çeşitlendikçe bu durum değişmeye devam ediyor. Gelecekte kurulumlarda bunu daha da parçalayabileceğiz. Backed Server sistemleri çalıştırmak (ki ben böyle başladım), kötü amaçlı yazılımları tersine çevirmekten çok farklıdır. Kesinlikle birbirlerine ilgiler ve aynı ekosistemde çalışıyorlar, ancak çok farklı günlük rutinleri var. Her iki durumda da komut satırında doğal olarak çalışmayı öğrenmelisiniz, her şeyi birbirine bağlayan sistemin olanların özüdür. Ekran sadece dijital pastanın üzerindeki kremadır.
Bu tür “soyulmuş” klavye ortamlarında rahat olmanız gerekecek, çünkü bu en azından sizi sahada diğerlerinin önüne geçirecektir.
Şimdi üniversiteye gelelim – Üniversiteye gitmeli miyiz, ne kadar gitmeli miyiz ve bir yıl bunun için yeterli mi?
Aryeh: Bir üniversite diplomasına sahip olmak, müstakbel işverenlere belirli bir düzeyde akademik titizlik ve bağlılık gösterdiğinden önemli olabilir, ancak Amerika Birleşik Devletleri’ndeki üniversite eğitiminin yüksek maliyeti nedeniyle öğrenciler için dört yıllık bir derece elde etmek imkânsız olabilir. Bunu iyileştirmenin bir yolu, genel eğitim kurslarını bir topluluk (iki yıllık) kolejinde almak ve ardından dört yıllık derecenizi bitirmek için bir kolej veya üniversiteye geçmektir. Bazı adaylar, bu yaklaşımın kendilerini işe alınma noktasın da dezavantajlı hale getirebileceğinden endişe etse de uzun vadeli planları yürütme ve belirli bir düzeyde mali fayda da sağlayabilir.
Kariyerinin ortasında olan ve kariyerini değiştirmek ya da terfi etmek isteyen biri için, bir yüksek lisans ya da doktora almak sizi kesinlikle faydalı olabilir.
Birçok işveren, çalışanlarına işle ilgili bir alanda diploma almaları için öğrenim ücreti geri ödemesi teklif ediyor ve bazıları da mevcut öğrenci kredileri için geri ödeme teklif ediyor. Bir iş görüşmesi yapıyorsanız, işvereninizin çalışanlarının sürekli eğitimi ve mesleki gelişimi için yaptığı diğer yatırımların yanı sıra bunları da sorduğunuzdan emin olun.
Şimdi, tüm bunlarla birlikte, geleneksel dört yıllık üniversite yaklaşımının bir seçenek olmadığı birçok adaya dikkat çekeceğim. Alabileceğiniz birçok ücretsiz ve düşük maliyetli kursun yanı sıra bir konuda ustalığı gösteren sertifikalar mevcuttur. İlgilendiğiniz pozisyonun giriş seviyesi olup olmadığına bağlı olarak, bu, ayağınızı kapıya sokmanın bir dereceye kadar daha hızlı ve daha ucuz bir yolu olabilir.
Cameron: Diplomanın, olması kötü bir şey değil, işe alacak şirketlere bir tür temel bilgi veriyor. Özellikle de marka bir kurumsal (biliyorsunuz, isimlerini vermeyeceğim ama siz verebilirsiniz) firma ise, diploma eldeki teknolojiyi kavrama kapasitesine sahip olduğunuza ve onu daha iyi hale getirmelerine yardımcı olabileceğine dair potansiyel olarak onlara güvence vermek anlamına geliyor.
Fakat tabi bu işi almanız için bir garanti değil. Bir dizüstü bilgisayarı açmaktan çok daha fazlasını yapmayı bildiğine inanmadığım, yakın zamanda mezun olmuş bilgisayar bilimi mezunlarıyla röportajlar da yaptım. Utanç vericiydi. Ayrıca, bir kolejin önünden arabayla dahi geçmemiş insanlarla da tanıştım. Fakat onların herhangi bir teknoloji işe alım panelini kıskandıracak bilgiye sahip olduklarına inanıyorum. Yani bunun bir garantisi yok.
Ancak muhtemelen işe alım sürecinin ilk turunu geçmeniz için nitelikli görünme olasılığınızı artırır.
Aryeh: İki farklı şey yapmayı öneriyorum. Birincisi, öğrenmeye ve becerilerinizi geliştirmeye odaklanmak.
Bu, sosyal medyada okuyarak, podcast dinleyerek, video izleyerek ve sorular sorarak yapılabilir. Öğrenirken notlar alın, örnek kod yazın (eğer ilerlemekte olduğunuz yön buysa) ve bu bilgileri blog, wiki, kod deposu vb. gibi kendi kişisel web sitelerinizde yayınlayın. Bunların en azından başlangıçta herkese açık olarak paylaşılması gerekmez, ancak yaptıklarınızın yazılı bir kaydını oluşturmalısınız. Hatta bir ağ oluşturma (sosyal tür) için açık kaynaklı projelere bile katılabilirsiniz.
Bunun ikinci kısmı, giriş seviyesi işleri aramaktır. Bu, çalışmak istediğiniz şirketlerin kariyer bölümünü ziyaret ederek, giriş seviyesi pozisyonlar için yerel şirketlerin listelerini arayarak veya okuldaysanız kariyer yerleştirme konusunda yardım isteyerek olabilir. Okulda eğitim aldığınız hocalarınızın sektörde ki eski öğrencilerle bazı bağlantıları bile olabilir.
Özgeçmişinizi gönderdikten veya ilk görüşmenizi yaptıktan sonra, kişisel web sitelerinize bağlantılar eklediğinizden emin olun, çünkü bunlar genellikle olası bir işverene, sorunlara nasıl yaklaştığınız ve nasıl çözümler aradığınız gibi düşünce süreçlerinizi gösterebilir.
Cameron: Yukarıda söylediklerimden çok farklı bir şey yok aslında…
İnsanlarla paylaşmak istediğim birkaç son düşünce:
İlk olarak, hep duyduklarımıza rağmen, mutlaka çok sayıda siber güvenlik görevinin yerine getirilmesi gerekmiyor. Yetenek açığından bahsetmek kolay olsa da işin maaş tarafını da bilmek önemlidir: Daha az aday varsa, maaşların artması gerekir. Sahip olabileceğimiz şey, yüksek maaşlar ödeyerek rekabet etmek istemeyen işverenlerdir.
Maaşlardan bahsetmişken, arzunuz, siber güvenlik alanının ilginizi çeken herhangi bir bölümünde teknik olarak çalışmak olabilir. Ancak satış veya hukuk alanında ki kişilerin çok daha fazla para kazandıklarını da unutmayalım. Sizin için önemli olan büyük bir servet biriktirmekse, önümüzdeki kırk yıl boyunca zamanınızı neye harcamak istediğinizi akıllıca düşünün.
Cameron: Hâlâ “You / SEN” markasını oluşturmanız gerekiyor. Her zaman kendi markanızı (Kendinizi bir marka olarak) oluşturmaya çalışmalısın. Esasen becerilerinizi sattığınız için, sahip olduğunuzu iddia ettiğiniz şeylerle ilgili başkalarının da aynı fikirde olmasını sağlamalısınız. Çevrimiçi incelemeleri düşünün, hiç kimse yazılımın yazarına, onu öneren beş rastgele kişi kadar güvenmiyor. Bu metodoloji garip bir şekilde kusurlu ve oyun oynamaya açık olsa bile, sizinki de öyle olacak ve bir iş bulmaya çalışırken kesinlikle “çevrimiçi puanınız” bu karışıma dahil edileceksiniz.
Her hâlükârda ister gerçek hayatta ister internette olsun, markanızın takibini yapın, sizin için ikisi giderek bir olacak, bu yüzden hamlelerinizi dikkatli seçin.