Profesyonel Sertifikalar ve Sürekli Eğitim, İşe Alım ve Reskilling Stratejisi, Eğitim ve Güvenlik Liderliği
İşiniz sistemleri çalıştırmaya odaklandığında CV’nize dahil edilecek şeyler
Brandy Harris •
28 Mayıs 2025
Siber güvenlik portföyüne sahip olmak için kırmızı bir takımlayıcı olmanıza gerek yok. Aslında, özellikle işiniz uyum, tespit, varlık koruması veya operasyon dünyasında yaşıyorsa bir tane olmalıdır. Yine de, çoğu insan bir siber güvenlik portföyü düşündüğünde, gösterişli istismarlar, tryHackMe ekran görüntüleri veya yazılardan yararlanıyorlar. Bu dar görüş, işgücünün büyük bir kısmını, işi bir şeyleri kırmak değil, onları güvende, uyumlu ve esnek tutmak için olan profesyonelleri bırakır.
Ayrıca bakınız: Ondemand | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar
Bir genç SOC analisti, bir GRC uzmanı veya ICS ortamlarında çalışan biriyseniz, siber portföy fikri alakasız görünebilir. Öyle değil. İşverenler becerilerinizin somut kanıtlarına ihtiyaç duyar ve iyi inşa edilmiş bir portföy, işiniz günlüklere veya yasal çerçevelere dokunur.
Birkaç öğrenciye siber güvenlik rollerine adım atan, özellikle mavi ekip veya GRC pozisyonlarına rehberlik ettim ve birçoğu bir portföyün neye benzemesi gerektiğinden emin değildi. Penetrasyon testi yapmadıklarını, sergileyecekleri hiçbir şeyleri olmadığını varsaydılar. Bu kopukluk yaygındır ve insanları profesyonel hikayelerini etkili bir şekilde anlatmaktan alıkoyar. Gerçek şu ki, portföyünüzün başka birinin gibi görünmesine gerek yok. Rolünüzü ve değerinizi yansıtması gerekir.
Siber güvenlik portföyü olarak önemli olanı yeniden düşünmek
Bir siber güvenlik portföyü sadece kodu veya istismarları göstermekle ilgili değildir. Göstermekle ilgilidir:
- Güvenlik zorluklarına nasıl yaklaştığınız;
- Nasıl düşündüğünüz, belgelediğiniz ve iletişim kurduğunuz;
- Rolünüzle ilgili sorunları nasıl çözdüğünüz.
İşe alım yöneticileri adayları, özellikle girişten orta seviye rolleri gözden geçirirken, genellikle inisiyatif ve netlik belirtileri ararlar. Portföyünüz, “çıktılarınız” terminal penceresinde olmasa bile, işi ve daha büyük iş operasyonlarına nasıl bağlandığını anladığınızı kanıtladığınızdır.
Rolünüze göre ne eklenmeli
Portföyünüzün içeriği, siber güvenlik uzmanını veya ne olmayı arzuladığınızı yansıtmalıdır. Bunun farklı alanlarda nasıl görünebileceği aşağıda açıklanmıştır:
GRC ve Politika
Yönetişim veya denetim alanında çalışıyorsanız:
- Bir örnek (anonimleştirilmiş) risk değerlendirmesi veya denetim raporu;
- Kendi kendine yazılmış bir özet veya belirli bir düzenlemenin (HIPAA, PCI-DSS, NIST CSF) izlenmesi;
- Kontrol uygulamalarını gösteren politika şablonları veya süreç diyagramları;
- Uyumluluğun güvenlik sonuçlarıyla nasıl bağlandığına dair bir blog yazısı.
Bunlar, çerçeveler hakkındaki anlayışınızı, paydaşlarla iletişim kurma yeteneğinizi ve standartları uygulamaya çevirme becerinizi sergilemektedir.
SOC ve Mavi Takım
Tehdit algılama veya olay tepkisindeyseniz:
- Laboratuvar tabanlı bir algılamanın ayrıntılı bir şekilde ilerlemesi (örn. Wireshark veya Zeek kullanılarak);
- Açık kaynak araçları kullanılarak olay triyajı veya günlük analizinin belgelenmesi;
- Bir CTF’den savunma stratejilerine odaklanan notlar ve görseller;
- Yapılandırdığınız bir SIEM gösterge panosundaki ekran görüntüleri (örn. Splunk, Wazuh).
Bu sadece teknik bilginizi değil, aynı zamanda gerçek dünya senaryolarında belgeleme ve iletişim kurma yeteneğinizi de kanıtlar.
OT ve ICS Security
Operasyonel ortamlarda çalışıyorsanız:
- Sahte bir endüstriyel sistemden bir ağ segmentasyon planı veya diyagram;
- Beyaz makale özeti veya gerçek dünyadaki ICS olayının analizi (örneğin, sömürge boru hattı);
- Protokol kullanımı (örn., Modbus, DNP3) ve bunun güvenlik üzerindeki etkileri hakkında bir vaka çalışması;
- Bir laboratuvardan veya gerçek dünya simülasyonundan varlık envanter belgeleri.
Bu, kritik altyapı güvenliğine nasıl yaklaştığınız ve kontrollerinizin arkasındaki operasyonel bağlamı anladığınız hakkında bir hikaye anlatır.
Bulut ve Altyapı Güvenliği
Çalışmanız bulut veya kurumsal ortamlar içeriyorsa:
- Güvenlik ödünleşmelerinin açıklamaları ile ilgili politika örnekleri;
- AWS veya Azure laboratuvarlarından ekran görüntüleri ve belgeler;
- Yanlış yapılandırmanın kısa bir video izlenmesi ve nasıl düzelttiğiniz;
- Açıklamalı mantık ile kod senaryoları (Terraform, Ansible) altyapı olarak.
Burada amaç, güvenli konfigürasyonlara teknik okuryazarlık, çevre bilinci ve dikkat göstermektir.
Nasıl yapılandırılır ve paylaşılır
Portföyünüzün kaygan bir kişisel web sitesinde olması gerekmez – bu da yardımcı olabilir. Birçok etkili siber güvenlik profesyonelleri:
- GitHub depoları (kod, belgeler ve markdown açıklayıcıları için);
- LinkedIn makaleleri veya blogları (politika, süreç veya düşünce liderliği için harika);
- PDF’ler (biçimlendirilmiş raporlar veya değerlendirmeler için);
- Tezgah veya OBS videoları (izlenecek yolları anlatmak ve sunmak için).
Elbette her parçanın kısa bir özeti veya yansıması vardır: Ne yaptınız? Neden önemli oldu? Ne öğrendin?
Önemli: Her zaman laboratuvarları veya simülasyonları varsayımsal olarak etiketleyin. Şeffaflık güven oluşturur.
Etik ve profesyonellik üzerine bir not
Portföyler “ovulsa” bile asla hassas veriler içermemelidir.
Çalışmanız tescilli araçlar veya müşteriler içeriyorsa, açık izniniz olmadığı sürece gerçek ekran görüntüleri kullanmayın. Şüphe duyduğunuzda, bir laboratuvar oluşturun ve becerilerinizi kontrollü, güvenli bir ortamda gösterin.
Yıllar boyunca yüzlerce özgeçmişi inceledim ve öne çıkanlar her zaman en fazla sertifikaya veya en derin Github taahhütlerine sahip insanlardan değil. Bellekte duranlar, ne yaptıklarını ve neden önemli olduğunu açıklayabilen profesyonellerden. Bu tür bir düşünceyi bir portföyde yakalayabiliyorsanız, beceri göstermekten daha fazlasını yapıyorsunuz. Bu alanın ihtiyaç duyduğu olgunluk, netlik ve zihniyet türünü gösteriyorsunuz.
Değerinizi kanıtlamak için bir sisteme girmenize gerek yok.
Nasıl değer kattığınızı göstermeniz gerekir ve bu, rolünüze göre uyarlanmış bir portföy ile başlar.
Nereden başlayacağınızdan emin değil misiniz? Tamamladığınız son laboratuvarı veya işte geliştirdiğiniz son işlemi belgeleyerek başlayın. Yazın, üzerinde düşünün ve kaydedin. Bu ilk girişin. Oradan inşa edin.