YORUM
Ergenlik çağındayken babama herkesin iyi tavsiyeler vermediğini söylemiştim. Aslında bazı insanlar düpedüz kötü tavsiyeler veriyor. Babam bana herkesin tavsiyesine uymak zorunda olmadığımı ancak herkesin bana söylediklerini dinlemem gerektiğini söyledi.
Kimin tavsiyesini dikkate alacağınızı ve kimin tavsiyesinden ayrılacağınızı bilmek, çoğu insanın hayatı boyunca geliştirmek için harcadığı bir beceridir. Ancak kesin olan bir şey var: Tavsiye, bilgi ve dikkat dağıtıcı konularda hiçbir eksiklik yok. Bu özellikle mesleğimiz için geçerli; öyle görünüyor ki siber güvenlikle ilgili hemen hemen her konu hakkında herkesin söyleyecek bir şeyi var.
Bu nedenle, çoğumuz güvenlik profesyonelleri (ve insanlar) olarak olgunlaşıp büyüdükçe, neyi göz ardı etmemiz gerektiğini bilmenin, neye dikkat etmemiz gerektiğini bilmek kadar önemli olduğunu anlıyoruz. Yolumuza çıkan her yeni fikrin peşinden gitseydik, tüm günümüzü çeşitli olasılıkları değerlendirerek geçirirdik ve bunların çoğu kuruluşumuzun güvenlik duruşunda çok az iyileşme sağlardı. Öte yandan, eğer yeni olan her şeyi göz ardı edersek, kuruluşlarımızı savunma yöntemlerimizi geliştirecek birçok büyük fırsatı kaçırmış oluruz.
Tavsiye Hakkında Düşüncelerinizi Nasıl Organize Edebilirsiniz?
Açıkçası mutlu bir denge bulmamız gerekiyor. Soru şu: Neyi göz ardı etmemiz gerektiğini ve neye göre hareket etmemiz gerektiğini nasıl bilebiliriz? Burada kesin bir cevap yok, ancak tavsiyelerin değerlendirilmesine yardımcı olacak birkaç yönergeyi burada bulabilirsiniz. Bir örnek vermek gerekirse, durumun iyileştirilmesinden bahsedeceğiz. kuruluşunuzun API güvenliği.
-
“Ne olmuş?” faktör: Bir öneriyi takip edip etmemeyi değerlendirirken şu soruyu sormak faydalı olabilir: “Peki ne olmuş?” Eğer bunu yapmaya devam edersem bunun ne gibi bir etkisi olur? Buna değecek herhangi bir sonuç için gerçek bir potansiyel var mı, yoksa bu sadece bir zaman kaybı mı olacak? Etki mevcut değilse, bu muhtemelen onu güvenle görmezden gelebileceğimizin bir işaretidir. Bu senaryomuzda, API güvenliğini iyileştirme değer getireceği neredeyse kesin, dolayısıyla öneri masada kalacak.
-
Yaptığım eylem nedir?: Ayrıca, eğer varsa, ne tür bir işlem yapmanız gerektiğini düşünmek de yararlı olabilir. Herhangi bir işlem yapılması gerekiyor mu? Bu somut sonuçlar getirecek mi? Yoksa bu sadece günlük hayatınızda herhangi bir maddi değişiklik yaratmayacak bir bilgi kasırgası mı? Herhangi bir eylem yoksa, öneriler için muhtemelen başka bir yere bakabilirsiniz. API güvenliğinin durumunun iyileştirilmesi kesinlikle benim de harekete geçmemi gerektirecektir, bu yüzden hala dinliyorum.
-
Pratiklik: Teorik bir araştırma konumunda olmadığımız sürece (ki çoğumuz öyle değiliz), düşündüğümüz herhangi bir fikrin pratik bir uygulamaya sahip olması gerekir. Şu soruyu sormak faydalı olabilir: “Bu akademik bir alıştırma mı?” Eğer öyleyse, muhtemelen ilerlemek güvenlidir. Bir meslektaşımın bana önerebileceği, gerçek dünyada etkisi olabilecek birçok API güvenlik iyileştirmesi var; bu yüzden hâlâ not alıyorum.
-
Stratejik uyum: Çoğu güvenlik ekibinin, onları bu yöne yönlendirmek için tasarlanmış öncelikleri içeren stratejik bir yönü vardır. Örneğin yeni bir API çözümü insanların dikkatini çekerse, biraz yavaşlayıp ekibin stratejisine uyup uymadığını değerlendirmeye değer. Değilse, muhtemelen devam etmek en iyisidir.
-
Kötüleme: Bir öneriyi değerlendirirken çoğu kişi bunun güvenlik ekibine potansiyel olarak neler getirebileceğini düşünecektir. Ne yazık ki daha az insanın düşündüğü şey, önerinin neyi olumsuz etkileyebileceğidir. Ancak bu dikkate alınması gereken önemli bir noktadır. Bir öneriyi takip etmek diğer daha önemli faaliyetlerden uzaklaşmanıza neden olacaksa, bu muhtemelen iyi bir öneri değildir. Bu teorik API güvenlik projesi, kaynakları tehdit tespiti ve müdahalesinden uzaklaştırdıysa, bunu bilmek ve artılarını ve eksilerini tartmak isteriz.
-
Kaynak: Bir fikir önerildiğinde kaynağı dikkate almak yararlı olabilir. Bazı insanlar, kuruluşun stratejik yönüne uyan ve diğer önemli faaliyetlere zarar vermeyen pratik, eyleme dönüştürülebilir fikirler önerir. Başkaları ise daha yarım yamalak fikirler öneriyor. Şunu sormakta yarar var: “Geçmişte bu zat bizi yoldan mı saptırdı?” Eğer öyleyse, fikirlerin iyi olduğuna dair ikna edici bir kanıt olmadığında fikirlerini görmezden gelmek muhtemelen güvenlidir. Örneğin, eğer meslektaşım arkadaşlarının sosyal medya gönderilerine dayanarak önerilerde bulunma eğilimindeyse, onların ortaya attıkları yeni API güvenlik fikirleri beni daha az heyecanlandırır.
Güvenlik uzmanları olarak hepimiz her gün üzerimize muazzam miktarda tavsiye, bilgi ve dikkat dağıtıcı şeyler geliyor. Bunların hepsini takip etmek, hiçbirini takip etmemek gibi akıllıca olmayacaktır. Bazı yönergeleri takip ederek mutlu bir ortama ulaşabiliriz. Bize gelenleri sıralamak ve filtrelemek için hangi yöntemleri kullanırsak kullanalım, bunu başarılı bir şekilde yapmak kesinlikle kariyerimizde üretken kalmanın önemli bir parçasıdır.