CCSP’lerle Gerçek Konuşma Matt Lee, CCSP ile Röportaj


[ This article was originally published here ]

Siber güvenliğe tutkusu olan bir girişimci ile bir öğretmeni karşı karşıya getirdiğinizde ne elde edersiniz? Matt Lee’yi alırsın. Matt, Yönetilen Hizmet Sağlayıcıları (MSP) güvenlik bilgileri ve işlerliklerini geliştirmeye devam etmeleri için güçlendirme misyonunda bir güç çarpanı olduğu Kıdemli Güvenlik ve Uyumluluk Direktörüdür. Kısa süre önce Matt ile deneyimleri hakkında konuşma ve bulut güvenliğini artırmak isteyenlere sağlam tavsiyelerde bulunma şansımız oldu.

S: Bize biraz geçmişinizden ve Pax8 eğitimcisi olarak nasıl dahil olduğunuzdan bahseder misiniz?

C: On yıl boyunca bir grup arkadaşımla bir MSP kurdum. Ve nihayetinde bu MSP’yi Küçük ve Orta Ölçekli İşletme pazarının yönetimi altındaki yaklaşık yüz bin uç noktadan oluşan daha büyük bir Hizmet Sağlayıcıya sattık. O MSP’deyken, yakınlık bulduğum şeylerden biri, geçmişimden gelen analojileri ve deneyimsel sohbetleri kullanarak siber güvenlikle ilgili anlayıştaki boşluğu kapatmaya yardımcı olma yeteneğiydi. Bu yüzden, misyonumun hedeflerinden biri, eğer çocuklarımız teknoloji konusunda bizim yaptığımız aynı harika deneyime sahip olacaklarsa, bunu yapmanın tek yolu olgunlaşmaktır.

Aradığım ilk şey, o görevi ve yolculuğu en çok kimin üst düzeye çıkarmama yardım edebileceğiydi. Satıcıların her birini incelerken, onlar için bir eğitimci olarak çalışma çözümünü önerdiğimde baktığım birkaç kriter vardı. Sonunda Pax8’e indim çünkü zaten daha ileride olan onlardı. Dolapta zaten metal yoktu; sunucu yok. Altyapıları zaten bir Sıfır Güven ortamıydı. Bunların hepsi bana anlamlı gelen ve bir eğitimciye doğru ilerleyen bir uygulayıcı olarak beni rahat hissettiren özelliklerdi.

S: Mevcut bir pozisyona başvurmak yerine işlerini geliştirme planınızla onlara yaklaştınız mı? Bu parlak bir yaklaşım gibi görünüyor.

C: Evet ve Pax8’de yaptığım şeyi yapmak kesinlikle bir rüya. Ben öncelikle bir eğitimciyim. Anında tedarik edilebilecek tam Uygulama Programlama Arayüzlerine (API) sahip ve destek yapısının mükemmel bir şekilde akabileceği, pazara sunabilecekleri şirketlere odaklanan bir bulut distribütörüyüz. Bunların çoğu yerleşik hale geldi ve bulut, bulut olgunluğu ve bulut kullanımı etrafında gelecek olarak gördüğüm şeyin bir parçası oldu. Benim işlevim, siber güvenlikteki bazı ihtiyaçlar hakkında eğitmek, esas olarak dünya çapında 15.000 satın alma ortağımızın milyonlarca son tüketicisine hizmet sağlayan MSP’lere odaklanmaktır.

S: Siber güvenliğe sizi ilk çeken ne oldu?

C: Kurduğum MSP’de Teknoloji ve Güvenlik Direktörüydüm ve güvenlik her şeye sızmaya devam etti. Kurumsal güvenlik alanını düşündüğünüzde, tüm kusurlarıyla bile, muhtemelen KOBİ pazarından 15 yıl ilerideler. Bırakın bunu kabul edin. Demek istediğim, Çok Faktörlü Kimlik Doğrulama (MFA) kadar yaygın olan bir şey, hayatın normal bir parçasıydı. Çoğu şirket için uzun zamandır böyle. Ancak, KOBİ piyasası için, gerçekten şartları hiç duymadılar veya uygunsuz olduğu için aktif olarak savaştılar ve personel yeterince şikayet ederse, bunu yapmayacaklar.

Ancak çok sayıda müşteriyle çalışmaya başladığınızda, birçok olay peş peşe gelmeye başlar, güvenlikten sorumlu bir teknoloji uzmanı olarak kendinize “Neyi yanlış yapıyorum? Burada başarısız olan ne?” Bu noktada, hem hizmet sunumu perspektifinden hem de gerçek bir taktik teknik perspektiften, olması gerekenler ile şu anda var olanlar arasında büyük bir boşluk olduğunu fark etmeye başlarsınız.

S: Bir teknoloji geliştiricisi / sağlayıcısı olarak geldiniz ve küçük kuruluşlar için bu boşlukların olduğunu fark ettiniz. Sizi güvenlik konusunda biraz daha ilerlemeye iten itici güç bu muydu?

C: Hayatta kalmak kadar öğrenilmiş bir şey değil. Örneğin, sahip olduğumuz kavramlardan biri, ister bulut ister yerel şirket ortamında olsun, bir kuruluşun bir noktada tehlikeye atılacağı anlayışında “canlı bir uzlaşma” idi. Bu şekilde düşündüğünüzde, erişimi, hizmetleri ve protokolleri nasıl sınırlayacağınızı düşünebilirsiniz, böylece bir kişi tehlikeye girerse, sorun tüm ortamdan geçmek yerine yerel olarak kalır.

S: Hem CISSP hem de CCSP kimlik bilgileriniz var. Sizi bulut sertifikasyonu almaya iten ne oldu?

C: Şu anda dünyadaki en “meşrulaştırıcı” sertifikalardan biri olan CISSP, bir kişinin siber güvenlik konusundaki bilgisini ve hazır olduğunu kanıtlamak için mükemmel bir kimlik belgesidir. Alanda var olması gereken anlayışın genişliğine ve en azından genişliğine hitap eder.

CCSP atamasını takip etmemin nedeni, bulut endüstrisinin dilini ve ayrıca bulut mesleğinin bir parçası olarak anlaşılması gereken konuları normalleştirmesiydi. (ISC)², siber akreditasyon alanında en saygın kuruluşlardan biridir. Daha yaygın olaylar ve ilgili konulardan haberdar olmak için testlerini yeterince güncelleyerek hızlı hareket ederler. Sürekli eğitim gerektirirler ve üyelik için özel gereksinimleri vardır.

S: CCSP sınavında sizi şaşırtan bir şey oldu mu?

C: Hayır. Kelimenin tam anlamıyla yerinde olduğunu düşündüm. Zordu ama güzel bir sınavdı. Beni gerçekten bulutla ilgili tüm fikirleri düşünmeye zorladı.

S: Satıcıya özel herhangi bir sertifika almadınız. Yaptığınız rotayı seçmenizin bir nedeni var mı?

C: Satıcıya özel sertifikalar genellikle satıcıların hedeflerini göz önünde bulundurur. Genellikle yalnızca satıcıların bir şeye bakış açısıyla uyumludurlar. Bunun mutlaka olumsuz olduğunu söylemiyorum. Ancak, satıcıya özel yol, küresel alanda benim ve ihtiyaçlarım için bir anlam ifade etmedi. Benim için bu ihtiyaçların bir kısmı, beni bir eğitimci olarak meşrulaştırmada hala geçerli.

S: CCSP kimlik bilgilerine ulaşmanın herhangi bir özel faydasını fark ettiniz mi?

A: (ISC)² kimlik bilgileri sektörde yaygın olarak kabul edilmektedir. Rolümü yaratma şeklim şuydu: “Canlı eğitime ihtiyacımız var; siber güvenlik eğitimi etrafında bir topluluk varlığı; paylaşma ve eğitme yeteneği.” Ancak, aynı zamanda, müşteri tabanlarıyla yapmaları gereken karmaşık ve bazen zor siber güvenlik görüşmelerini dile getirebilmeleri için Pax8’deki müşterilerimize ve ortaklarımıza yardımcı olma yeteneğine de ihtiyacımız var.

Bir Yönetim Kurulunu bir siber güvenlik kararı konusunda ikna etmem gerekirse, kesinlikle bu (ISC)² kimlik bilgileriyle bu savaşa girmek isterim.

S: Kariyerinizde karşılaştığınız en büyük zorluklardan birinin ne olduğunu söylersiniz?

C: Sadece öğrendiğim yolu öğrenmek, kayıp yoluyla öğrenmek anlamına geliyordu. Bu muhtemelen çoğu siber güvenlik uzmanı için yaygın bir durumdur. Bir kuruluşu siber suçlardan korumanın tehlikelerine atıldığımız için öğrendik. Şimdi, zorluk, kuruluşların bulut çözümlerini uygulama biçimleriyle ilgili. Ortamlarının tamamen bulut tabanlı olup olmadığı veya belirli bir işlevi hizmet olarak kullanıp kullanmadıkları. Bugün bulut için en büyük zorluklardan biri, güvenliği nasıl sağladığımızdan çok daha işlevsel olan daha saf bir tanımın olmasıdır. Her türlü teknik kaygı vardır, ancak KOBİ dünyasında bu, kendi başlarına elde edebileceklerinden çok daha yüksek bir güvenlik sağlama düzeyidir. Kurumsal pazarda, eski öğelerin elde tutulması bir zorluk yaratır. Büyük görev, aynı anda bu iki ilgi alanına nasıl geliştirileceğidir ve her ikisine de hitap eden mimarileri nasıl yazıyorsunuz?

Madalyonun diğer tarafında, bir SaaS çözümü sunan, ancak güvenli bir geliştirme yaşam döngüsüne sahip olmayan monolitik bir uygulama üzerine kurulmuş bir bulut sağlayıcısıysanız, o zaman bir teknik borcum var. Bir SaaS perdesinin arkasına saklanan ve sorumluluğu kabul eden, ancak çoğu durumda sorumluluğu fiilen sabitlemeyen teknik bir borç olabilir. Yani, var olan bu yan yanalığa sahipsiniz. Paylaşılan bir sorumluluk modeli vardır, ancak her iki taraf da sorumluluklarını üstlenmek zorundadır. Buradaki zorluk, bunu yapmanın yollarını bulmaktır. CCSP materyalleri, bir kişiye uygun bulut mimarileri ve kavramları hakkında konuşmanın harika bir yolunu sunar. Bulut endüstrisinde kolayca doğrulanabilen tartışılmaz terminoloji sağlar.

S: Becerilerinizin gelişmeye devam etmesini nasıl sağlıyorsunuz ve bilginizi nasıl geliştirip taze tutuyorsunuz?

C: Pek çok satıcıyla konuştuğum için, bu bana teknolojilerine bakma ve bir sorunu nerede çözmeye çalıştıklarını anlama fırsatı veriyor. Bu, sektördeki ve teknolojideki değişiklikleri öğrenmeye devam etmemi sağlıyor. Ya doğrudan yeni tedarikçilerden oluşan bir organizasyon içinde bir güvenlik tedarikçisi olarak ya da bana ulaşan insanlar aracılığıyla dolaylı olarak dahilim. Öğrenmeye devam etmeyi seviyorum ve son zamanlarda kırmızı takım becerilerimi de geliştiriyorum. Bilgimi genişletmeye devam etmek için birçok “hacker” arkadaşımla aktif olarak iletişim halinde kalıyorum.

S: Hangi kişisel başarınızla gerçekten gurur duyuyorsunuz?

C: Bir arkadaşımın çalıştığı bir şirketin en kötü şöhretli ihlallerinden birinden sonra, intihara meyilli bir bakış açısıyla ona yardım ettim. Daha sonra o sırada çalıştığım MSP’nin yöneticilerine şirket için en büyük korkumun ana hatlarını çizen bir e-posta yazdım. Gelirimiz bizi çekici bir hedef haline getirdiğinden, bir sonraki saldırı hedefi olabileceğimizden korktum. Neyse ki olumlu yanıt verdiler ve sihirli bir şey inşa edebildik, raporlamaya olanak sağladık, yetenekleri etkinleştirdik ve anlamlı korumalar sağladık, ama daha da önemlisi kendi evimizi onardık. Kuruluşumuzdaki 67 adlandırılmış olayı savunup müdahale edebildik ve kayıpları azalttık. Bunu tek bir e-postadan oluşturabildiğim için oldukça heyecanlıydım.

S: Özellikle sana ilham veren birileri var mı?

C: Bunu özellikle herhangi biri olarak belirtmezdim. Bahsetmek istediğim çok insan var ama liste oldukça uzun. Birkaç yıl öncesinin aksine bugün siber güvenlikte gerçekleşen en büyük şeylerden biri, ilham verebilecek, yönlendirebilecek, eğitebilecek ve siber güvenlikle ilgili gelgiti yükseltebilecek çok fazla insanın olmamasıdır. Ama gidip bakarsan, şimdi pek çok şey bulabilirsin. Kelimenin tam anlamıyla 50 veya 60 kişiyi tereddüt etmeden sayabilirim. Bana her gün ilham veren çok fazla insan var.

S: Bir sonraki hedefiniz nedir?

C: Benim için önemli olan görevdir. Misyon basitçe, KOBİ ve MSP alanında kendi kendini düzenlemek, inşa etmek için geliştirecek çok şeye sahip olmamızdır. Bu, bir ses elde etmek ve bu sesi genişletmeye devam etmek, kapsayıcı olmak ve MSP’leri etkinleştirmek ve güçlendirmek için başkalarını bir sese sahip olmaya yönlendirmekle ilgilidir. Her şey bu görevi sürdürmekle ilgili. Siber güvenlik perspektifinden, coğrafi çatışma, fikri mülkiyet hakları, operasyonların fiili kesintisi ve kritik altyapı ile gördüğümüze bakarsanız, daha küresel düşünmeye ve hareket etmeye başlıyoruz. Değişmeye ve büyümeye devam etmeliyiz.

S: Bulut güvenliği alanında kariyer yapmak isteyen bir kişi için en önemli odak alanlarından biri sizce nedir?

C: Öğrenin. Gidin ve bulut güvenliğinin her bölümü hakkında öğrenebildiğiniz kadar çok şey öğrenin. Git öğrenin, oynayın, test edin, deneyin, okuyun ve dinleyin. Hoşunuza giden birinin içeriğini bulun ve yaptığınız işi sevmeniz için size ilham veren kaynaklar bulun. Bulut güvenliğinde pek çok harika şey var, bu yüzden bulut güvenliğinde hangi damara dahil olmak istediğinizi bulun ve bu konuda tutkulu kalın.

Matt, Sertifikalı Bulut Güvenliği Uzmanı olma yolculuğuna çıkmak isteyen herkese harika tavsiyeler veriyor. Tecrübesi ve özverisi değerli ve ilham verici.

CCSP hakkında daha fazla bilgi edinmek ister misiniz?

CCSP sertifikasının uzmanlık kazanmanıza ve kariyerinizi ilerletmenize nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için .

reklam





Source link