Bu Help Net Security röportajında Sapphire CCO’su Charly Davis, kadınların siber güvenlik sektöründe karşılaştığı mevcut zorluklar ve engeller hakkında fikir veriyor.
Davis, farklı yetenekleri çekmek, mentorluk fırsatlarını geliştirmek ve siber güvenlik alanında destekleyici kurumsal kültürleri teşvik etmek için proaktif stratejilere duyulan ihtiyacı vurguluyor.
Siber güvenlikteki mevcut beceri açığını ve bunu hem özel sektör hem de kamu sektörü için kritik bir konu haline getiren şeyin ne olduğunu açıklayabilir misiniz?
Siber beceri açığının giderek genişlediği yıllardır iyi bir şekilde duyuruluyor ve bence bunda birçok faktör rol oynuyor. Bunun en büyük etkenlerinden biri artan taleptir; siber tehditler artık iş gündeminde çok ön plandadır ve daha iyi güvenlik zorunluluğu getiren GDPR, DORA ve NIS2 gibi çok sayıda düzenlememiz bulunmaktadır.
Ancak arz, daha fazla güvenlik uzmanına olan talebin karşısında sürekli olarak çok düşük. Siber hâlâ büyük ölçüde niş bir teknik alan olarak görüldüğünden sektöre giren yeterli sayıda genç yok. Alana yönelik bir tutkuyu canlandırmak ve okulu bırakanları ve mezunları en kısa sürede mesleğe teşvik etmek için ortaokul düzeyinde dikkat ve hayal gücünü toplamamız gerekiyor. Bu sorun, siber sektörün nispeten genç olmasının bir sonucudur; henüz yetenekleri çekmenin ve çeşitliliği artırmanın ardındaki psikolojiyi dikkate almaya başlayacak kadar olgunlaşmamıştır.
Resmi eğitim ve sertifika almak, belirli bir BT geçmişi olmayan kişiler için zorlayıcı olabilir. Şahsen ben sektörle ilgili birçok sertifika için giriş seviyesi önkoşullara hak kazanmayı zor buldum çünkü bunlar en az beş yıllık deneyim gerektiriyor. Bu, gerekli beceri veya deneyime sahip olmayan kişiler için zorluk teşkil etmektedir.
Aynı zamanda “beyin göçü”, deneyimli personelin sektörden ayrılmasıyla bu sorunları daha da şiddetlendiriyor. Siber çok hızlı ve riskli olabilir ve birçok kişi daha az stresli seçenekler arayarak bu alandan çıkmayı tercih ediyor. Birleşik Krallık’ta yeteneklerin, daha fazla ilerleme şansı veya daha iyi koşullar sunan fırsatları takip etmek için yurt dışına taşındığını da görüyorum. Bu, hem yerleşik rollerdeki nitelikli ve deneyimli profesyonelleri kaybettiğimiz hem de yeni katılımcılardan yoksun kaldığımız anlamına geliyor.
Bu, tüm siber güvenlik uygulayıcıları için kritik bir konudur çünkü ekiplerin muhtemelen yetersiz personelle çalışacağı anlamına gelir. Bu onların en iyi şekilde çalışmalarını engelleyebilir ve daha fazla strese yol açarak beyin göçü sorununa katkıda bulunabilir. Bu bir kısır döngü. Bunun özellikle kamu sektöründe zorlayıcı olduğunu düşünüyorum çünkü potansiyel olarak ulus devlet tehditlerinden bahsediyoruz ancak maaşlar özel sektör alternatiflerinin çok altında. Buna ek olarak, kamu sektörü hâlihazırda eski sistemlerle ve çoğunlukla aynı derecede güncelliğini yitirmiş beceri ve süreçlerle mücadele ediyor.
Daha fazla kişiyi siber güvenlik alanında kariyer yapmaya çekmek için hangi stratejiler uygulanabilir?
Sektörün, halihazırda bu sektöre girmekle ilgilenmeyen insanlar için oldukça aşılmaz görünebileceğini düşünüyorum. ‘Siber Güvenlik, birçok farklı rolü ve kariyer yolunu kapsayan büyük bir şemsiye terimdir. FTSE 100 için kırmızı ekip projeleri yürüterek dünyayı dolaşıyor olabilirsiniz veya hükümetlerle çalışıyor ve ulusal güvenliğe katkıda bulunuyor olabilirsiniz. Çoğunlukla kadınlardan oluşan birincil bakıcılar için özellikle faydalı olabilecek esnek çalışma düzenlemeleri sunan, arada başka birçok seçenek de bulunmaktadır.
Sektörün tüm bu incelikli unsurlarını yakalamak ve kariyerin gerçekte gerektirdiği şeye biraz renk katmak için çok az şey yapılıyor. Daha fazla insanın sektöre girmesine ilham vermek için bu çok önemlidir.
Siber güvenliğin teknik bir alan olmasına rağmen, teknik olmayan altyapıya sahip insanlara oldukça açık olduğunun da daha belirgin hale getirilmesi gerekiyor. Örneğin sektöre ilk geldiğimde hiçbir resmi siber yeterliliği veya sertifikası olmayan bekar bir anneydim. BT’ye satış elemanı olarak başladım ve şu anda bir siber güvenlik şirketinde Ticari Direktör olarak görev yapıyorum. Ancak yönetim kurulu seviyesine ve diğer üst düzey rollere giden yol her zaman aşırı derecede net değildir ve sektör, kendisine uygun diğer yetenekli bireyler için özellikle çekici değildir.
Cinsiyet çeşitliliği bir kuruluştaki siber güvenlik önlemlerini nasıl geliştirir?
Çeşitliliğin bu kadar olumlu bir etkiye sahip olduğu başka bir sektör hakkında bu kadar güçlü konuşamazdım. Siber güvenliğin özünde, tehdit ortamına bakmak ve çözümleri bulmak için sorunları her açıdan değerlendirmek gerekir. Dengeyi sağlamak için farklı geçmişlere, dinlere, cinsiyetlere, becerilere, yaşam deneyimlerine ve yaşlara sahip bir ekibe ihtiyaç vardır. Bu çeşitlilik, daha çeşitli bakış açılarına ve potansiyel çözümlere yol açmaktadır.
Bazı günler farklı jeopolitik profillere sahip ulus devlet aktörleriyle uğraşmanız gerekebilir, bazı günler ise genç hacktivistlerle karşılaşabilirsiniz. Örneğin, bir grup gencin, büyük bir eğitim şirketinin ürünlerine fahiş fiyatlar talep etmesinden rahatsız olduğunu ve onlara saldırarak misilleme yapmaya karar verdiğini varsayalım. Bu gibi durumlarda, kendi zihniyetleriyle ilişki kurabilen daha genç ekip üyelerine sahip olmak, sorunun çözümünde son derece faydalıdır.
Bu, siber güvenlik konusunda gerçekten sevdiğim bir şey. Endüstri çeşitlilik olmasaydı çok daha fakir olurdu ve asla elitist olmamalıdır.
Kadınlar siber güvenliğe girerken veya ilerlerken hangi engellerle karşılaşıyor?
Siber güvenlik alanında kariyerime ilk başladığımda kadın rol modellerin eksikliğini fark ettim. Sektör, tarihsel olarak erkek egemen olan BT’nin bir kolu olarak ortaya çıktı. Sektördeki önyargının başladığı yer burası.
Günümüzde siber güvenlik alanına daha fazla kadın girse de, üst düzey pozisyonlara ulaşmakta hala zorluklarla karşılaşıyorlar, bu da cam tavanın kırılması gerektiğinin altını çiziyor.
Bu, kadınların siber güvenlik alanında kariyer yapmaktan vazgeçirmesine neden olabilir ve daha fazla kadın etkili üst düzey pozisyonlara gelene kadar değişim pek olası değildir.
İş ilanları genellikle yüksek düzeyde teknik beceriler ve özel nitelikler gerektirir. Deneyimlerime göre, erkeklerin kendilerine olan güvenleri nedeniyle birçok şartı karşılamasalar bile başvuru yapma olasılıkları daha yüksek. Bununla birlikte, çoğu iş yeri ağırlıklı olarak erkek egemen olduğundan, kadınlar yalnızca gerekliliklerin neredeyse tamamını, örneğin listenin %99’unu karşılıyorlarsa başvuru yapma eğiliminde oluyorlar.
Daha önce de tartışıldığı gibi siber diğer sektörlerle karşılaştırıldığında nispeten genç. Bu nedenle henüz psikolojik ölçümleri uygulamalarına dahil edememiştir. Ancak yakın gelecekte diğer sektörlerin yaklaşık yirmi yıl önce yaptıklarına benzer şekilde daha fazla çeşitlenmeye tanık olabiliriz. Bu, farklı geçmişlere sahip insanları siber güvenlik alanına çekmek için daha stratejik bir yaklaşımı içerebilir. Siber güvenlik sektöründe yönetim kurullarında kadınların yer aldığı şirketler bu görevi yerine getirmek için daha donanımlı olma eğilimindedir.
Siber güvenlikte kadınlar için mentorluğun ve profesyonel ağların öneminden bahsedebilir misiniz? Bu ağlar nasıl daha kapsayıcı ve destekleyici olabilir?
Siber güvenlik alanında rehberlik ve mentorluk için sektör uzmanlığı aramaya olan sürekli ilgim açısından bakıldığında şu anda hem iyi hem de kötü bir haber var. Siber Güvenlikte Kadınlar gibi bazı güçlü örnekler var ancak bence kadınlar, erkek meslektaşlarından farklı olmak istemedikleri ve Tech Channel gibi kapsayıcı bir işletim yapısının parçası olmak istemedikleri için onlara katılma konusunda isteksiz olabilirler. Sektördeki bu önemli boşluğu gidermek için yakın zamanda elçiler kuruldu
Kişisel mentorluk gerçekten olumlu bir değişime yol açabilir ve kariyerim üzerinde kesinlikle güçlü bir etkisi oldu. İşletmelerde organize mentorluk programlarında hala bir eksiklik var, ancak birçok yetenekli insanın bu boşluğu tespit ettiğini ve kariyerlerine daha proaktif bir şekilde başlayanları desteklemek için iletişime geçtiğini görüyorum ki bu harika.
Mentorların aynı şirkette, hatta aynı sektörde olmasına gerek olmadığının farkına varmak önemlidir. Şu anda Sapphire içinden bir kişiye ve şirket dışından altı kişiye mentorluk yapıyorum.
Bu arada benim de dört harika akıl hocam oldu ve bunlardan biri moda endüstrisinde CEO’ydu. Bana ne yaptığım ve mesajlarımın güvenlik dışındaki birisinde nasıl yankı uyandıracağı konusunda harika bir bakış açısı sunuyor. Yalnızca teknik kişilerle konuşurken jargona kapılmak kolaydır. Teknik yetenek önemli olmakla birlikte, başarılı olmak ve ilerlemek için gerekli olan başka birçok beceri de vardır.
Siber güvenliği daha çekici ve destekleyici bir alan haline getirmek için hangi politika veya organizasyonel değişiklikler gereklidir?
Burada iki önemli şeyin gerçekleşmesi gerekiyor; daha fazla insanın siber alanda kariyer başlatmasını sağlamak ve bu alanda kalma olasılıklarını artırmak.
İlk sorunun ulusal düzeyde ele alınması gerekiyor. Hala öğrencileri STEM konularına teşvik etmek için yeterince çaba harcadığımızı düşünmüyorum. Bu sorun, siber güvenliğin desteklenmesinin yerini alıyor ve akademinin giderek güncelliğini yitirmesiyle büyük ölçüde ilgili. Her sınıftaki öğrenme stili çeşitlerini tanımamız gerekir.
Herkes günde 7-8 saat sınıfta hareketsiz oturarak başarılı olamaz, ancak aynı çocuklar Raspberry Pi’yi serbest bırakırsanız harika şeyler yapabilirler. Bu genç beyinleri yetiştirmek ve potansiyellerini keşfetmelerini sağlamak için standart testlerin ötesine geçmemiz gerekiyor. Bunun genellikle özel şirketler tarafından desteklenen bazı izole kesimleri var, ancak bunun çok daha geniş bir ölçekte gerçekleşmesi gerekiyor. Birçok ülke (Singapur, İsrail, Avustralya bunlardan birkaçı) burada çok daha fazlasını yapıyor.
İkinci konu daha çok bireysel organizasyonlarla ilgilidir. İşe almanın kapsamlı beceri ve nitelik listelerine daha az, zihniyete ve öğrenme ve gelişme kapasitesine daha fazla odaklanması gerekiyor. İnsanların sektöre girebilmesi için daha fazla yola ihtiyacımız var, böylece bu gizli mücevherleri keşfedebiliriz.
Diğer en önemli faktörlerden biri de güvenlik profesyonellerinin desteklendiğini hissetmelerinin sağlanmasıdır. Bu, çoğu zaman her kararın kritik olduğu, çok baskı yaratan durumlara yol açan, riskli bir alandır. Kişisel mentorluğun, uygulayıcıların bu stresli durumlarla başa çıkmalarına yardımcı olmanın etkili bir yolu olduğunu düşünüyorum. Profesyonellerin ayrıca işverenlerinin arkalarında olduğunu ve işler ters gittiğinde onu günah keçisi olarak kullanmayacağını hissetmeleri gerekir.
Bu teknik incelemenin bir kopyasını almak için formu doldurun ve büyüyen bir sektöre katılmak için neler gerektiğini öğrenin: