Neredeyse tamamı siber güvenlik olmak üzere 25 yıldır teknoloji sektöründeyim. 20 milyondan fazla kullanıcısı olan bir API platformunun güvenlik başkanı olarak 18 ay da dahil olmak üzere on yıldan fazla bir süredir güvenlik liderliği pozisyonlarında bulundum.
Bilgi güvenliği alanında başarılı bir kariyerim oldu ve bunu üniversite diplomam olmadan da yaptım.
Siber güvenlik işleri için bir derecenin değerine ikna olmadım. Elbette, siber güvenlik kariyerine başlamadan önce okula giden bazı kişiler eğitim ve öğretimden yararlanabilir. Ancak çoğu kişi, genellikle modası geçmiş veya işle alakalı bile olmayabilecek materyalleri öğrenmek için kendilerini yalnızca öğrenci borcunun yükü altında bulur.
Günün sonunda, yeterli tutku, ham zeka ve sıkı çalışmayla, BT ve bilgisayar bilimlerinde diploması olsun veya olmasın herkes başarılı bir siber güvenlik uzmanı olabilir.
Siber güvenlik işe alımı tarihsel olarak dar bir aday havuzuna odaklanmıştır – olağan akademik kimlik bilgilerine, iş deneyimine, güvenlik sertifikalarına ve belirli teknik güvenlik becerilerine sahip kişiler. Ancak siber güvenlik uzmanlarına olan talep artmaya devam ettikçe, endüstrinin yetenek avında daha yaratıcı olması gerektiği açık.
Her CISO’nun aklındaki soru nasıl olduğudur. İşte dört fikir.
Üniversite Derecesi Gereksinimlerini Bırakın
Bir siber güvenlik işi (veya bu konuda herhangi bir teknoloji endüstrisi işi) için en az bir lisans derecesini zorunlu kılmak modası geçmiş bir düşüncedir. Arzu, merak, öğrenme sevgisi, baskı altında sakinlik ve hırs gibi beceriler ve kişilik özellikleri gerçekten önemli olan şeylerdir.
Kendi deneyimime dönüyorum. Community College’ı denedim, çünkü beklenen buydu, ama hiçbir zaman iyi bir öğrenci olmadım çünkü materyallerle ilgilenmedim.
Üniversitem, bir masaüstü mühendisi olarak, bir sistem mühendisi olarak yardım masasında vakit geçirdiğim ve sonunda bir ağ mühendisi olarak ayrıldığım ilk bilgisayar işim oldu. Orada geçirdiğim dört yıl boyunca öğrendiklerim bana bir sonraki işe/seviyeye geçmek için temel bilgileri verdi.
Tüm teknolojiyi sevdim ve elimden geldiğince çok şey öğrenmek istedim ama ağ tarafında mı yoksa sistem tarafında mı olmak istediğime karar veremedim. Teknolojinin tüm yönlerine dahil olmama izin veren bir alan olduğu için güvenliğe girdim.
Şimdi, yıllar sonra, hızla büyüyen bir işletmenin ihtiyaçlarını destekleyen modern bir güvenlik programı oluşturmaya odaklanan, 30’dan fazla üyeden oluşan birleşik bir güvenlik ve BT operasyonları ekibine liderlik ediyorum.
Güvenliğin Dışında Yetenek Arayın
Şirketler, tek boynuzlu atları kovalamak yerine, yalnızca BT departmanının diğer alanlarını değil, aynı zamanda onları büyük siber güvenlik uzmanları yapabilecek becerilere sahip kişiler için işin tamamen farklı bölümlerini de mayınlamalıdır.
Örneğin, bir kütüphaneci geçmişine sahip biri, güvenlik uyumluluğu çalışması için gereken güçlü ayrıntı yönelimini getirebilir. Eski bir askeri üye, güvenlik operasyonları merkezindeki (SOC) yoğun çalışma için gereken ateş altında zarafete sahip olabilir.
Tipik siber güvenlik uzmanı kalıbına uymayan adaylara daha yakından bakmak, mevcut çalışanların becerilerini artırmaya ve yeniden vasıflandırmaya yönelik daha agresif bir hareket gerektirir. Ve bir yetenek kaynağı olarak yararının ötesinde, yardım için dışarıdan değil de içe bakmak, durgunluk tehdidine ve olası işe alım donmalarına karşı koruma sağlayabilir. Bu da üçüncü noktamıza götürür…
Deli gibi tren
Birisi siber güvenlikte başarılı olmak için doğal becerilere sahipse ancak hiç SOC görmemişse kimin umurunda? Beceriler öğretilebilir. Bu nedenle siber güvenlik eğitim oturumları ve eğitim kampları mevcuttur.
Şirketler, geleneksel olmayan güvenlik geçmişine sahip bireyler için resmi eğitim programlarına yatırım yapmalıdır. Önceden eğitilmeli ve ekibinizin geri kalanı gibi sürekli olarak ek eğitim fırsatları sağlanmalıdır.
Zenginliği Yaymak
DevOps ve DevSecOps’un güzelliği, güvenliğin uygulama geliştirme süreci boyunca fırınlanması gerektiği düşüncesiyle, operasyonlardaki özel güvenlik ekiplerinden bazı güvenlik sorumluluklarını geliştirme tarafına kaydırmalarıdır.
Bu, kuruluş genelinde daha fazla kişinin güvenlik şampiyonları, güvenlik elçileri, güvenlik savunucuları gibi roller üstlenmesi için yeni bir fırsat sağlar – teriminizi seçin. Ve şirketlerin güvenlik ekibi pozisyonları için işe alma baskısını azaltır ve bu şampiyonları şirket içinde ararken yaratıcı olma teşvikini artırır.
Şirketler, bu dört adımı izleyerek, güvenlik konusunda yetenek ve tutkuya sahip olan ve biraz eğitim ve rehberlikle birinci sınıf profesyonellere dönüştürülebilecek kişileri bulabilirler.
Endüstri, aynı şeyi tekrar tekrar yapıyor – olağan şüphelileri avlıyor – ve yeni yaklaşımların zamanı geldi.