Piyasadaki siber güvenlik uzmanlarına verilen taleple birlikte, alanı ve potansiyel kariyeri anlamak esastır. Bu yazıda genel siber güvenlik kariyer alanını kuş bakışı bir bakış açısıyla tartışacağız.
Genellikle siber güvenlik kariyeriyle ilgili olarak duyulan şeyler beyaz bilgisayar korsanlığıyla ilişkilendirilir, ancak siber güvenlik alanında güvenlik konularını tanımlamanın yanı sıra çok daha fazlası vardır. Siber güvenliğin rol oynadığı alan göz önüne alındığında, bu makalede bütünsel bir perspektiften yüksek düzeyde bakacağız ve böylece bunu siber güvenlik kariyeri alanı için bir şemsiye makale haline getireceğiz.
Siber güvenliğin genel resmi aşağıdaki şekilde verilmiştir. Potansiyel siber güvenlik kariyerini birkaç bölüme ayırdık (1) siber güvenlik alanları veya siber güvenliğin özünü oluşturan alanlar; (2) ilişkili alanlar, yani siber güvenlikle ilgili olanlar ve kuruluşa bağlı olarak bunun bir parçası olabilen veya olmayan alanlar; (3) operasyonel teknoloji için güvenlik (OT), nesnelerin interneti (IoT) güvenliği veya uygulama güvenliği gibi siber güvenlikte teknolojiye özel kariyer yolları; (4) ilişkili faaliyetler, siber güvenlik alanındaki araştırmalar veya siber güvenliğin bir parçası olan eğitim faaliyetleri ve (5) teknik uzman, yönetim rolü ve hatta liderlik rolü olabilecek kariyer yolları gibi siber güvenlikle ilgili olanlardır. şirket içinde yönetim ve güvenlik denetimini içermesi gerekmez. Bu makalede, bir ağ, yazılım veya donanım ürünü olsun, bir ürünün tüm yaşam döngüsü perspektifinden siber güvenlik alanlarını vurgulayacağız.
Bu makalede odak noktamız, siber güvenlik alanındaki potansiyel kariyerin diğer bölümlerinin temelini oluşturduğu için siber güvenlik alanlarıdır.
Siber Güvenlik Alanları
Daha önce de belirtildiği gibi, bu makalede, şekilde yeşil ile gösterilen belirli siber güvenlik kariyer alanlarına odaklanıyoruz. Potansiyel kariyer yollarının geri kalanı bu makalede ele alınmayacak ve yalnızca bilgi amaçlı verilmiştir.
Yönetim, Risk ve Uyumluluk (GRC): Bu kariyer yolunun yönetişim kısmı, güvenlik kontrolleri geliştirmek ve uygulanmasını sağlamaktır. Bu aynı zamanda şirket için iş riskinin yanı sıra şirket kurallarına ve düzenleyici gerekliliklere uyumu da içerir. GRC’nin faaliyetleri, şirket için üst düzey güvenlik gereksinimleri gibi politikalar geliştirmektir, bu politikalar süreç şeklinde detaylandırılır ve daha sonra mimari, uygulama veya operasyon ekipleri altındaki prosedürlerde detaylandırılır. Politikalar ve süreç, parola politikaları, insan kaynakları, satın alma, fiziksel güvenlik vb. ve bunların uygulanması gibi şirketin tüm yönlerini içerir. Bu kariyer yolunun görevlerinden biri de güvenlik bilincine özen göstermek, diğeri ise şirketin gerektirdiği güvenlik sertifikalarına özen göstermektir.
Mimarlık, Geliştirme ve Mühendislik: Ürün ve geliştirme metodolojisi dahil olmak üzere çeşitli faktörlere bağlı olarak ayrı ayrı var olmalarına rağmen 3 öğeyi bir araya getirdik. Buradaki kariyer yolu, ürün geliştirmeden ürünün dağıtımına ve operasyonlarına (mühendislik) kadar güvenli bir şekilde ilişkilidir. Bu kariyer yolunda, güvenlik gereksinimlerinin ürün gereksinimi olarak yerleşik olmasına, geliştirmenin güvenli geliştirme politikalarına dayalı olarak yapılmasına ve dağıtım için güvenlik politikalarına özen göstererek ürünün güvenli bir şekilde dağıtılmasına dikkat edilmelidir. Bir kez konuşlandırıldıktan sonra, mühendislik ekibi kariyer yolundakiler, güncelleme, yükseltme, yama veya üründeki sorunlar veya operasyonlar sırasında konfigürasyonların değiştirilmesi gibi ürünün sürekli bakımıyla da ilgilenmelidir.
Güvence: Bu kariyer yolu, çeşitli güvenlik testi biçimleriyle ilişkilidir ve SOC veya kırmızı ekip gibi belirli bir organizasyon içinde farklı gruplara bölünebilir. Burada beklenen faaliyetler, mimariyi analiz ederek, gereksinimlere karşı test etmek için araçlar kullanarak veya bulanıklık testleri gerçekleştirerek yapılabilecek güvenlik açığı değerlendirmesidir. Güvenlik açığı değerlendirmesi, genellikle, tercihen konuşlandırmadan önce gerçekleştirilen sertleştirmeyle de ilişkilendirilir. Faaliyetler, yapılandırma kontrolleri dahil olmak üzere bir üretim ağının sürekli güvenlik açığı değerlendirmesini de içerebilir. Ek olarak, güvenlik güvencesi görevi ayrıca, mevcut ağın yanı sıra bir ürünün beyaz bilgisayar korsanlığı faaliyeti olan sızma testini veya pentesti de içerir. Bu faaliyetlerin yanı sıra, bu kariyer yolunda, gerçek sorunları belirlemede araç ve deneyim gerektiren kaynak kodu analizine de girilebilir. CI/CD ardışık düzeninin veya DevSecOps’un bir parçası olarak sürekli güvenlik, güvenlik güvencesi kariyer yolu ile de örtüşecektir.
Güvenlik Operasyonları Merkezi (SOC): Adından da anlaşılacağı gibi, bir SOC çeşitli rolleri içeren bir merkezdir ve bu nedenle burada çeşitli kariyer yolları düşünülebilir. Temelde bir SOC’nin görevi, bir şirketin tüm varlıklarını izlemek ve herhangi bir olaya yanıt vermektir. SOC’deki genel kariyer yolları burada tartışılmaktadır, ancak kuruluşa bağlı olarak da değişebilir (1) kuruluşa olası saldırıları bulmak için tehdit istihbaratını kullanan tehdit avcılığı, görev çeşitli araçlarla yapılabilir, ancak insan uzmanlığı çok gereklidir . (2) SOC, herhangi bir tehdidi erkenden belirlemek için senaryo tabanlı saldırılar gerçekleştirmek için bir ağ simülasyonuna da sahip olabilir. Bu çalışmaların sonuçları daha sonra insidans yanıtı için kullanılan oyun kitaplarına dönüştürülür. (3) Analistler ve vaka yanıt faaliyeti, bir vakanın meydana geldiğini tespit edebilen ve daha sonra buna göre yanıt verebilen kişilere ihtiyaç duyar. Görev, bir SOC araçları tarafından gösterilen çok sayıda veriye dayalı olarak herhangi bir saldırıyı tanımlamayı, bunun bir olay olduğunu doğrulamayı ve ardından buna yanıt vermek için faaliyetler gerçekleştirmeyi içerecektir – bunun nasıl yapıldığına dair daha fazlası var. (4) Komut dosyası oluşturma ve otomasyon çözümü geliştirme, SOC’de sıklıkla yapılan başka bir görevdir. (5) SOC’de çeşitli araçlar (SIEM, SOAR, xDR vb.) kullanılmaktadır, bu araçlar bakım gerektirir ve bu nedenle belirli bir SOC tarafından kullanılan belirli araçlar için uzmanlık gerekir.
x Güvenlik Olayı ve Müdahale Ekibi (CSIRT veya PSIRT): İki tür (1) Bilgisayar güvenliği olayı yanıt ekibi (CSIRT) ve (2) ürün güvenliği olayı yanıt ekibi (PSIRT) vardır. Bir CSIRT ekibi, bir organizasyon içindeki vakalarla ilgilenir. Bu ekip, SOC veya aynı zamanda kayıp dizüstü bilgisayarlar gibi olayları hesaba katarak organizasyonun tüm bölümleriyle el ele çalışır. CSIRT, olayın kritikliğine bağlı olarak, tüm tarafları belirli konularla ilgilenmeleri için bilgilendirmek ve şirket yöneticilerini harekete geçmeleri için uyarmak kadar basit önlemler alacaktır. CSIRT ayrıca benzer veya ilgili endüstrilerdeki ve medyadaki polis, düzenleyiciler, CSIRT’ler gibi harici kuruluşlarla arayüz oluşturur. Öte yandan bir PSIRT, bir şirket tarafından geliştirilen ürünle ilişkilidir. Bir PSIRT’nin faaliyeti, bir ürünün bileşenleriyle ilişkili herhangi bir güvenlik açığını sürekli olarak kontrol etmek ve buna göre müşterileri belirlenen güvenlik sorunları hakkında bilgilendirmeyi içerebilecek eylemlerde bulunmaktır.
Adli: Belirli bir saldırının nedenini bulmak ve cezai işlem yapmak gerekebilir. Bunu yapmak için adli tıp yapmak gerekir. Görev, tüm kanıtları toplamayı ve verilen saldırının nasıl gerçekleştiğini analiz etmeyi gerektiriyor. Adli tıp için çeşitli gereksinimler vardır, çünkü durum değişikliği veya delillerin tahrif edilmesi yanlış sonuçlara yol açacaktır.
Ek Kariyer Yolları ve Sonuçları
Siber güvenlikle ilişkili birkaç başka kariyer yolu vardır: (1) Bir kuruluşun tüm varlıklarının tanımlanabilir ve erişim kontrollü olması gereken kimlik ve erişim yönetimi – basit görünse de, bunu başarmak karmaşıktır, (2) Gizlilik giderek daha fazla hale geliyor Dünyanın her yerinde ortaya çıkan düzenlemelerle kritik öneme sahip olduğundan, tüm kuruluşların gizlilik sorunlarına yol açabilecek her türlü veriye dikkat etmesi önem kazanmaktadır. (3) Verilerin belirli bir kuruluş tarafından nasıl kullanılması gerektiğine ilişkin yönergeler sağlayan ve politikalarla ilgilenen veri yönetişimi de gizlilikle ilişkilidir.
Siber güvenliğin verilen rolleri de teknolojiye özgü olabilir. Uygulamalar, BT ağları, mobil ağlar, bulut, otomotiv vb. için güvenlik uzmanı olarak kariyer geliştirmeyi düşünebilirsiniz.
Bir kişinin güvenlik kariyeri geliştirebileceği diğer alanlar, (1) bir kişinin güvenlik özelliklerini tanımlamak için uluslararası veya ulusal standardizasyon kuruluşlarına dahil olduğu standartlar, (2) yeni çözümler ve hatta potansiyel saldırılar araştırması, (3) düzenleyici ilişkiler ve hatta güvenliktir. yönetmelik geliştirme ve (4) güvenlik eğitimleri geliştirme ve sağlama.
Yukarıdakilerin tümü için kariyer yolu, bir güvenlik ekibinde teknik bir kişi olarak büyümek, bir iç denetim ekibinin veya denetim şirketinin parçası olmak veya bir CISO olma yolunda yönetim yolunda büyümek olabilir.
Siber güvenlik, etrafımızda gördüğümüz dijitalleşmenin tüm yönleri için gerekli olduğu için geniş bir alandır. Tüm zorluklarla birlikte, siber güvenlik, dikkate alınması ve büyümesi gereken çok ilginç bir kariyer yolu olmaya devam ediyor.
