Bir yazılımın, bir ağın veya bir bilgi sisteminin tasarımı hakkında düşünmekten sorumlu BT mimarları olduğu gibi, siber güvenliğin de güvenlik konusunda uzmanlaşmış mimarları vardır. “Amaç, bir bilgi sistemini güvence altına almak için bir araya getirilmesi gereken tüm güvenlik tuğlalarını seçmektir” Abdembi Miraoui açıklıyor.
Capgemini adına, kendisine danışmaya gelen müşterilere uygulanacak farklı çözümleri seçme konusunda yardımcı oluyor: “Müşteriler genellikle spesifikasyonlarla gelirler; örneğin IS’lerinin bir kısmını veya tamamını, hatta belirli iş uygulamalarını güvence altına almak isterler ve bizim işimiz bunu daha sonra uygulanacak kesin çözümlerle güvenlik mimarisine dönüştürmektir. Bu süreç, güvenlik mimarının işinin kalbidir; ancak Abdembi Miraoui’nin açıkladığı gibi, tavsiyelerini müşterinin ihtiyaçlarına göre iyileştirmek veya değiştirmek için bir projeye geri dönmesi gerekebilir. Bu aynı zamanda bazen Sıfır Güven gibi bazı moda sözcüklerin gizemini biraz aydınlatmayı da içeriyor: “Bu, anlaşılması ve ardından teknik bir çözüme dönüştürülmesi gereken bir felsefe. Bazen bu tür konsept pazarlamaya çok kapalı olan müşterilerle karşılaşıyoruz, ancak bu onlara pratikte benzer bir yaklaşımı başka bir müşteriyle nasıl uygulayabildiğimizi göstermek de bizim görevimizdir.”
Miraoui şöyle özetliyor: “Amaç her zaman müşteri ihtiyaçlarına uyum sağlamaktır. Örneğin, bankacılık sektöründeki bir şirket, küçük bir yerel şirkete göre daha büyük düzenleyici kısıtlamalarla yüzleşmek zorunda kalacaktır”. Seçimlerinin uygunluğunu göstermek ve bazen güvenliğe ayrılan bütçeyi kısmak isteyen şirketlerle yüzleşmek için mimarın genellikle sorunları açıklamak üzere belirli bir pedagoji sergilemesi gerekir: “Müşteriyi bu seçeneğin ortaya konulması gerektiğine ikna etmeye çalışıyoruz. ya da güvenlik tuğlası yerleştirilmiş. Ama aynı zamanda gerekli fonları serbest bırakmak için pazarlık yapabilecek iç güvenlik ekiplerine de nasıl güveneceğimizi biliyoruz.”
Son teknolojiyi takip etmek
Bu kalıcı adaptasyon, güvenlik mimarlarının güvenlik metodolojileri ve araçlarındaki tehditlerin gelişimini sürekli izlemesini gerektiriyor; Abdembi Miraoui’ye göre “çalışma süresinin yaklaşık %30’unu veya daha fazlasını” temsil eden bir aktivite. Ve mimarın, güvenlik çözümü sağlayıcılarıyla yakın bağlarını sürdürmesini gerektiriyor: “Onlardan, örneğin belirli özellikleri veya belirli özelliklerin yanı sıra maliyet ve lisanslama hususlarını da kontrol etmelerini çok istiyoruz. Genellikle sorularımızı yanıtlayacak özel bir irtibat kişisi var.” Açıkçası, belirli ürünlerin tavsiye edilmesindeki rolleri nedeniyle güvenlik mimarları, ürünlerinin tavsiye edilmesini isteyen çözüm sağlayıcılar tarafından oldukça aranır.
“Aslında bu bir alış-veriş durumu. Ürünlerini tanıtmak için bizimle düzenli olarak iletişime geçiyorlar, ancak altın kuralımız agnostik olmaya devam ediyor: Bunun nedeni, bir yayıncıyla ortaklık sözleşmemiz olması değil, bu yayıncının ürünleriyle karşılık vermemiz değil” özetliyor.
Güvenlik mimarının işi gerçekten doğaçlama olamaz: “Bu, güvenlik mühendisi gibi çok daha operasyonel mesleklerde önceden saha deneyimine sahip olmayı gerektiren bir faaliyettir.” Temelde güvenlik mimarı, belirli bir teknolojide fazla uzmanlaşmadan, biraz perspektif kazanabilmeli ve çapraz bir yaklaşım benimseyebilmelidir. Abdembi Miraoui, bu alanda eğitim varsa, bunların diğer rollerde edinilen deneyimin yerini alamayacağına inanıyor. Ancak bunun karşılığında, siber güvenlik alanında çalışan kişileri mesleği göz önünde bulundurmaya teşvik ediyor: “Bu, her gün sürekli olarak öğrenmenize ve yeni bağlamlarla yüzleşmenize olanak tanıyan son derece ilginç bir rol. Sonuçta hiçbir zaman bir rutin yoktur.”