Ahmet PEKEL, Bilişim Güvenliği ve Kalite Yönetimi Müdürü

TBD Yönetim Kurulu Üyesi ve Bilgi Güvenliği Konusunda Çalışmalarını Yürütmektedir.

Ahmet Pekel Kimdir?

1963 yılında Samsun’da doğdum. İlkokul öğrenimimi Afyon’da, ortaokul ve lise öğrenimimi Ankara’da tamamladım. 1986 yılında Orta Doğu Teknik Üniversitesi Bilgisayar Mühendisliğinden mezun oldum. Aynı yıl Aselsan’da yazılım geliştirme mühendisi olarak göreve başladım. 1989 yılından başlayarak Türkiye Cumhuriyet Merkez Bankası’nda, sistem programlama, veri tabanı sistem yöneticiliği, bilgi güvenliği, iş sürekliliği, bilişim teknolojilerinde kalite yönetimi, süreç tanımlama ve iyileştirme ile hizmet yönetimi konularında çalıştım. 2008-2009 yıllarında TBD Kamu Bilgi İşlem Merkezleri Yöneticileri Birliği Yürütme Kurulu üyeliği yaptım. 2008 yılında TBD Ankara Şubesi Kurucu Üyesi, 2009-2011 yılları arasında Şube Yönetim Kurulu Üyesi oldum. 2015 yılında TBD Yönetim Kurulu üyesi oldum. 2013-2014 yılları arasında Bilgisayar Mühendisleri Odasında Mesleki Yeterlilik Komisyonu çalışmalarına katıldım. Evliyim, eşim yazılım geliştirici, oğlum bilgisayar mühendisliği 3. sınıf öğrencisi.

Şu anda yaptığınız işi kısaca anlatabilir misiniz? Siz nasıl bilgi güvenliği yöneticisi oldunuz? Bu mesleği nasıl seçtiniz?

İsterseniz önce nasıl bilgi güvenliği yöneticisi olduğuma ilişkin sorunuza cevap vereyim. 2004 yılının Ağustos ayında bilişim güvenliği ve kalite yönetimi konularının müdürlük düzeyinde ele alınması ve organizasyonu amacıyla kurumumca yönetici olarak görevlendirildim.

Yapmış olduğum işi açıklayabilmek için yöneticisi olduğum bölümün sorumluluk alanlarını özetlemeye çalışayım öncelikle. Bilgi güvenliği yönetimindeki temel sorumluk alanlarını; bilgi güvenliği politikalarının tanımlanması, duyurulması ve güncellenmesi çalışmalarının koordinasyonu, kurumsal bilgi güvenliği farkındalığının oluşturulması ve devamlılığının sağlanması, saldırı tespit ve önleme sistemlerinin yönetimi, kimlik ve erişim denetimi sistemlerinin yönetimi, uç kullanıcı güvenliği, güvenlik zafiyetlerinin yönetimi, sistem güçlendirme, ağ, işletim sistemleri, veri tabanı yönetim sistemleri ve uygulamalar düzeyindeki güvenlik kontrolleri, merkezi kayıt ve olay yönetimi, uzaktan erişim güvenliğinin sağlanması, mobil cihaz güvenliği, güçlü kimlik doğrulama, şifreleme, merkezi sertifikasyon hizmetleri, iş sürekliliği koordinasyonu ve siber güvenlik olarak özetleyebilirim.

Diğer bir sorumluluk alanı olarak kalite yönetimi kapsamında, içinde ISO 27001, CMMI, ITIL ve COBIT gibi standartların ve kontrol çerçevelerinin yer aldığı bilişim teknolojilerinde kalite politikası belirleme, süreç tanımlama, değerlendirme ve iyileştirme, bilişim teknolojilerinde risk yönetimi ile ölçme ve değerlendirme konularını örnek olarak verebilirim.

Güvenlik ve kalitenin benim konumumda olduğu gibi birlikte aynı sorumluluk alanı içerisinde ele alınması konusuna gelince. Uluslararası standartlara göre yönetilen sistemler kalite yönetimi anlayışını baz alırlar. Bilgi güvenliği yönetim sistemleri de bunlardan biridir. Bu yönüyle her iki konu da birbiriyle bir aykırılık değil birliktelik içindedir. Ayrıca güvenlik, organizasyonlar için başlı başına bir kalite hedefidir.

Bu meslekte hangi görevler var?

Bilgi güvenliğine ilişkin olarak bilgi güvenliği uzmanı, denetçisi, yöneticisi, ağ ve İnternet güvenlik uzmanı, bilgi güvenliği danışmanı, beyaz şapkalı hacker, risk ve iş sürekliliği yöneticisi, adli bilişim uzmanı şeklindeki görevleri sayabilirim.

Bunlara ilaveten yakın dönemde bu alanda siber risk istihbaratı, güvenlik verisi çözümleme, güvenlik verilerinin yönetimi, güvenlik risk danışmanlığı gibi yeni uzmanlık alanlarının gündeme gelebileceğini değerlendirebiliriz.

Şu anki faaliyet alanlarınız nelerdir?

Bilişim güvenliği ve kalite yönetimi temel başlıkları altında ikinci sorunuzda açıklamış olduğum sorumluluk alanlarını söyleyebilirim.

Peki sizin pozisyonunuzdaki birinin bir günlük işi nasıldır?

Güvenlik konusu çok hızlı değişen ve gelişen bir alan. Hızla değişen konulara çabuk uyum sağlamanız ve doğru kararları zamanında almanız, pek çok problemi önceden görüyor ve önlem geliştiriyor olmanız gerekiyor. O nedenle bir günüm mevcut önlemlerle ilgili değerlendirmelerle başlıyor, geleceğe yönelik yapılacakların gözden geçirilmesiyle, planlanmasıyla ve takibiyle devam ediyor. Yeni geliştirilecek projelerde güvenlik konusunu tasarım aşamasında değerlendirmek zorunluluğu var. Sonradan alınacak önlemlerin etkinliği tartışmalı. O nedenle projelerin tasarım aşamalarında güvenlik tarafı ile ilgili değerlendirmelere katılıyoruz, danışmanlık yapıyoruz. Bunlara güvenlik olayları analizleri ve koordinasyonu konusu eklenince günün sabahtan akşama kadar olan bölümü çok hızlı ve yoğun geçiyor. Bir plan dahilinde yapmış olduğumuz çalışmaların yanında bilişimde plansız olarak ortaya çıkabilecek olaylarla da gün içerisinde karşılaştığımız zamanlar oluyor. Bilişimin pek çok alanında olduğu gibi bu işte de zaman ve mekan bağımsız bir görev anlayışıyla hareket etme gerekliliği var.

Bundan (Bu pozisyon ve görev öncesi) öncesinde neler yaptınız? İş hayatına nasıl başladınız?

Bilgisayar mühendisi olarak mezun olduktan sonra Aselsan’da yazılım mühendisi olarak işe başladım. Burada muhasebe işlemlerinin otomasyonu projesinde çalıştım. Askerliğim sırasında da programcı subay olarak görev yaptım. Buradaki konum da askere alma işlemlerinin otomasyonu ile ilgiliydi. Bu nedenle mezuniyet sonrası ilk yıllarımı yazılım geliştirme alanında geçirmiş oldum. 1989 yılında Merkez Bankasında, sistem teknik destek bölümünde sistem programcısı olarak çalışmaya başladım. Kurumdaki sistem renovasyon projesinin en başından başlayarak kuruluş ve işletime geçiş safhaları dahil görev aldım. Bu çalışmalar o dönemde kurum uygulamalarının IBM’in büyük boy sistemlerinde, MVS işletim sistemleri üzerinde yapılandırılmasına yönelik çalışmalardı. Bir taraftan IBM’in diğer bir işletim sistemi olan VM’deki mevcut uygulamalara ait verileri barındıran biri hiyerarşik diğeri ilişkisel iki veri tabanı yönetim sisteminde sistem yöneticiliği yaparken diğer taraftan da MVS işletim sistemi üzerinde başka bir ilişkisel veri tabanı yönetim sisteminin ve bununla entegre çalışacak 4. Kuşak uygulama geliştirme ortamının kuruluşu, uyarlanması ve yönetimi çalışmalarında görev aldım. Sistemcilerin bazı çalışmalarını yürüyen işleri etkilemeden yapabilmeleri için işlerini mesai dışı zamanlar için planlaması gerekiyor. Sistem kuruluş uyarlama, test ve güncelleme gibi çalışmalar zaman alıcı çalışmalar. Bu nedenlerle sisteme yönelik pek çok işin otomasyonunu sağlayan büyüklü küçüklü yardımcı sistem yazılımlarını bu yıllarda yazdım. Örneğin, VM’deki ilişkisel bir veri tabanının verileri dahil tüm nesneleriyle MVS’deki diğer bir ilişkisel veritabanına migrasyonunu otomatize eden bir yazılım geliştirdim. Bu çalışma o dönemde sistem programcılarının deneyimlerini paylaştığı uluslararası bir yayın olan Xephon’da da yayımlandı. Buradan gençlere teknolojiyi kullanarak işleri kolaylaştıracak yeni çözümler üretmeye çalışmalarını tavsiye etmek istiyorum. Bu süreç kişinin yeni şeyler öğrenerek kendisini daha fazla geliştirebileceği bir süreç.

1995-1998 yıllarım veri tabanı sistem yöneticiliği ile geçti. Yine  bu dönemde bilişim teknolojilerinde problem yönetimi ve iş sürekliliği yönetimi disiplinlerinin koordinatörlüğü de yaptım. 1999-2004 yılları arasında sistem teknik destek müdürlüğü yönetici yardımcılığı görevine getirildim. Bu dönemde ülkemizdeki ilklerden sayılabilecek olan işyükü paylaşımlı tam yedekli bir sistem altyapısının kuruluşunda görev aldım. Aynı yıllarda bölümümüzde oluşturduğumuz bir bilişim güvenliği grubu ile bu günkü bilişim güvenliğine ilişkin politikaların temellerini o dönemde atmış olduk. 2004 yılında bilişim güvenliği ve kalite denetimi yöneticiliğine atandım. 2013 yılının sonunda ölçme ve değerlendirme ile risk yönetimi konuları da dahil edilerek müdürlük ismimiz bilişim güvenliği ve kalite yönetimi müdürlüğü olarak değişti.

Sektörün biraz da avantaj ve zor yanlarından bahsedersek, nelerdir bunlar?

Konuya bilişim sektöründeki avantajlar yönünden baktığımızda, son yıllarda bu alana yönelik olarak yeni üniversite ve yüksek okulların açılması ve kontenjanlarının artırılması ile eğitimli insan gücünde belirgin artışlar oldu. Bununla birlikte her geçen gün gelişen yeni teknolojiler yeni iş alanları açtığından bu konudaki işgücü ihtiyacı henüz giderilemedi. Evet belli bir işgücü kapasitesi oluştu ancak bunun mesleki yeterlilik tarafı da önemli. Bu yönüyle mevcut eğitim kurumlarının eğitim kalitelerinin artırılmasına, müfredatlarının değişen teknolojiler ve ihtiyaçlar paralelinde gözden geçirilip iyileştirilmesine ihtiyaç olduğunu değerlendiriyorum. Geliştirme çalışmalarının yapılması gereken eğitim konularından belli başlıcaları benim şu anki görev alanlarımla yakından ilişkili olan bilgi güvenliği, siber güvenlik, adli bilişim ve bilişim hukuku konuları.

Son dönemdeki teknolojik gelişme alanlarına, akıllı telefonları, mobil iletişimi, bulut bilişimi, sosyal ağları, çoklu işlemcileri, sayısal görüntülemeyi, insansız hava araçlarını örnek olarak verebilirim. Bu arada sektörü ivmelendiren bir diğer konu da iletişim teknolojilerindeki hızlı gelişmeler. Bu konu yukarıda ifade ettiğim yeni gelişme alanlarıyla paralel yürüyor. İletişimde bant genişliğindeki ve hızlardaki artış İnternet teknolojilerin kullanımını yaygınlaştırıyor. Bu gelişmeler geleceğimizi şekillendiriyor. Hal böyle olunca bilgi ve iletişim teknolojilerindeki yetişmiş kalifiye insan gücünün önemi azalmıyor, aksine artıyor.

Buradan bilgi güvenliği konusu özelinde konuşacak olursam, İnternet teknolojilerinin yaygınlaşması, basın, sigorta, sağlık, eğitim, finans konusundaki uygulamaların İnternet üzerinden kullanılmaya başlanması, e-ticaret, e-belediye, e-devlet hizmetlerinin elektronik ortamdan verilmesi, bu ortam üzerindeki tehditlerin sayısını ve kırılganlığı artırdı. Bu uygulamalar bize hız ve esneklik kazandırırken, beraberinde muhtemel tehditlere karşı önlem alınması zorunluğunu getirdi. Tehdit unsurlarının amaçları ve yöntemleri sürekli değişiyor. Artan donanım ve yazılım çeşitliliği ile karmaşıklığı işin yönetilmesi gereken bir başka yönü. Alınacak önlemler bakımından uzmanlaşma gerektiren pek çok saha var. Ağ güvenliği, sistem güvenliği ve uygulama güvenliği gibi.

Öte yandan güvenlik alanında en sık karşılaşılan sorunlardan biri güvenliğin yazılım ve donanım ürünleriyle sağlanabileceği yanılgısı. Teknik anlamda alınan önlemler, politika, kural ve düzenlemelerle güçlendirilmek zorunda. Güvenlik konusu insanın merkezinde olduğu, yönetilmesi gereken önemli bir süreç. Bu konudaki uluslararası standartlardan ve en iyi uygulamalardan yararlanılmalı, güvenliğin herkesin sorumluluğu olduğu konusundaki farkındalık ülke düzeyinde geliştirilmeli.

Yol haritanızda ilerlerken sizin için olmazsa olmazlarınız nelerdir?

Düzenli ve programlı çalışmak, mesleki bilgi altyapısını sürekli güncel tutmak.

Profesyonel hayatınızda karşılaştığınız zorluklara örnek verebilir misiniz?

İçinde yer aldığım projeler ağırlıklı olarak değişim ve dönüşüm projeleriydi. Belki bilişim projelerinin geneli için bu tanımlamayı yapmak daha doğru olabilir. Bilişimin geleceğimize yön vermek, geleceğimizi şekillendirmek gibi çok önemli bir gücü var. Diğer taraftan insanların sonradan dahil olacakları bir süreçte ortaya konan yeni bir fikre başında inanması en önemli ve zor aşaması işin. Farklı meslek gruplarıyla ya da bilişimci olup farklı görev alanlarında çalışmakta olanlarla fikirbirliği sağlamanız gereken konularda detaylardan arınmış ikna edici sade bir dil geliştirmeniz gerekiyor. Bu da zaman ve sabır isteyen bir süreç.

Peki bu zorlukların üstesinden nasıl geldiniz? Ya da şöyle soracak olursak; insan karşılaştığı engelleri aşmak için ne yapmalı, nasıl bir yol izlemeli?

Değişim ve gelişmeler dikkatli takip edilmeli, çok yönlü düşünülmeli, detaylar göz ardı edilmemeli, tüm paydaşların görüşleri alınmalı, asla ertelememeli, hatalardan ders çıkarılmalı, iyileştirme sağlayacak bir ilerlemeden asla vazgeçilmemeli, kişilere değil konulara odaklanılmalı.

Kariyeriniz boyunca sizin için kaldıraç ve kırılma anları var mıydı? Bunlar nelerdir? Dönüm noktalarınız?

Meslekteki kırılma noktalarını bilgi ve iletişim teknolojilerindeki kırılma dönemlerinden bağımsız düşünmem zor. Bilgisayar mühendisliği eğitimimimin başlangıç yılları (1982) bilgisayara girdi oluşturabilmek için delikli kartların kullanıldığı döneme denk geldi. O deste deste kartların içinden birinin eksik ve hatalı olması demek programınızın çalışmaması anlamına geliyordu. Zor ve zahmetli bir işti açıkçası. Okulda kısa bir süre sonra klavye ve terminal kullanımı ile birlikte büyük boy bilgisayarların kullanımına geçildi, ardından kişisel bilgisayarlarla tanıştığımız dönem sonrasında, 1986 yılında mühendislik eğitimimi tamamlamış oldum ve sonrasında iş hayatım başladı. Bu yıllar (1984-1993) multimedya dönemi olarak da bilinen CD-ROM yıllarıydı. 1994-1999 yıllarında e-posta, internet, intranet kavramlarıyla tanıştığımız web başlangıç dönemiydi. Düşük kalitede de olsa ses ve görüntü iletiminin yapılabildiği dönemdi bu dönem. 2000-2005 yılları ise yüksek kalite ses ve görüntü iletiminden bahsettiğimiz dönemdi. 2006 yılından başlayarak yüksek performanslı mobil iletişim ve uygulamalar hızla yaygınlaştı. İnternetin insanlık tarihini değiştiren gücü ile karşı karşıyaydık. Tüm ülkeler birbiriyle iletişim halindeydi. İnternet iletişim anlamında sınırları ortadan kaldırıyordu. Bu hızlı gelişmeler ve teknolojinin yaygın kullanımı bilgi güvenliğine yönelik tehditleri ve kırılganlığı artırdı.  Benim bilişim güvenliği ve kalite yönetimi altyapısı konusunda görevlendirildiğim yıl olan 2004 yılı da bu gelişmelerle paralellik taşıyor. Elbette bilişim güvenliği konusu bugünün konusu değil. Çok eskilere uzanıyor. Ancak roller ayrılığı gereği teknik destek ve işletim alanlarından bağımsız ele alınmayı gerektiriyor. Yakın zamana kadar bu alan sistem altyapı yönetiminden sorumlu bölümlerdeydi. Sistem uzmanlığı ile güvenlik uzmanlığı iç içeydi. Bugün pek çok kurum ve kuruluş artık bir gereklilik olarak bilgi güvenliği özelinde çalışan ayrı birimler oluşturuyorlar.

Sorunuza tekrar dönecek olursak, kariyer sürecimde önemli dönüm noktalarından ilki bilgisayar mühendisliği mesleğini seçmiş olmaktı. Mühendislik bilimin hayata uygulanmasıdır. Bilgisayar mühendisliği de bunu yapabilmek için bilgisayar teknolojilerini kullanan meslek dalıdır. İkinci önemli dönüm noktası olarak sistem teknik destek elemanı olarak çalışmaya başlamamı, üçüncü olarak da bilişimin diğer görev alanlarıyla olan ilgimi yıllar içinde kaybetmemiş olmamı söyleyebilirim. İş hayatım boyunca geçirmiş olduğum evrelerin tümünün bugünümde yeri vardır diyebilirim.

 

Peki bu mesleği seçecek gençler, yeni başlayanlar; hangi yollardan geçmeli ve hangi eğitimleri almalı? Önerileriniz nelerdir?

Üniversitede almış olduğum temel bilgisayar mühendisliği eğitimim matematik (türev, integral, ayrık matematik), pozitif bilimler (fizik, kimya), olasılık, istatistik, bilgisayar bilimleri, mühendislik bilgisi, yazılım ve donanım sistemleri (analiz, tasarım, geliştirme, doğrulama, geçerleme, uygulama, bakım) bilgilerinden oluşan müfredat üzerine kuruluydu. Güvenlik bilişimle ilgili pek çok alanı yatay kesen bir konu. İlave kurs ve seminerlerle desteklenen iş hayatım boyunca almış olduğum görevlerle hem uygulama geliştirici hem de sistemci bakış açılarına sahip olabildiğimi düşünüyorum. Problem yönetimi ve iş sürekliliği koordinasyonu görevim sırasında konulara bütüncül olarak bakabilme imkanım oldu. Yukarıda özetlemiş olduğum bilgi ve tecrübelerin bugünkü işim açısından büyük faydaları oldu.

Bugün bilgisayar mühendisliği eğitimi veren bazı üniversitelerimizde müfredata bilgi güvenliğine yönelik dersler konulmaya başlandı. Görünen o ki bunlar da şu an için yetersiz durumda. Bu yetersizlikler ilave eğitim programlarıyla giderilmeye çalışılıyor.

Bu eğitim programlarında bilgi güvenliği kavramları, işletim sistemleri, iletişim protokolleri, sosyal mühendislik, saldırı yöntemleri ve araçları, zafiyet tespit ve uygulama kodu güvenlik kontrolleri, güvenlik sistemlerinin yönetimi, içerik filitreleme, kablosuz ağların güvenliği ve şifreleme gibi konular ele alınıyor.

Bu mesleği seçecek arkadaşların işletim sistemleri, iletişim ağları, veri tabanı yönetim sistemleri, uygulama geliştirme ortamları, bilgi güvenliği temel kavramları konusunda bilgi altyapıları güçlü olmalı.

Neticede hangi alan olursa olsun okul zamanı ya da sonrası farketmiyor, kişinin kendisini geliştirmesi, bilgi bakımından sürekli yenilemesi gerekiyor.

Sizi bu noktaya getiren en önemli 3 özelliğiniz nedir?

Cevabı sihirli bir sayı ile sınırlandırmış olmak istemem ama şu üç özelliğim iş yaşamımda bana hep yardımcı oldu. Birincisi çok okumak. İkincisi probleme odaklanmak. Üçüncüsü problemi çözene kadar vazgeçmemek.

Okul yaşamınızda ne tür etkinlik ve eğitimlere katılıyordunuz?

Okul yaşamımda dersler dışında ilgi alanlarımı ağırlıklı olarak kitaplar, müzik, halk oyunları ve spor oluşturdu. Örneğin, Orta Doğu Teknik Üniversitesi Türk Halk Bilimleri Topluluğu üyesi olarak hazırlık sınıfından başlayarak mezun olduğum yıla kadar Bitlis, Adana, Artvin, Silifke ve Taşeli yörelerinin halk oyunlarını çalıştım, gösterilerine çıktım, bu arada bir halk oyunları yarışmasına katıldım. Bir dönem Taşeli yöresi oyunlarında ekip başı oldum, yöre araştırmalarına katıldım, ekip çalıştırıcılığı yaptım.

Peki bunlar size ne kazandırdı?

Öncelikle herkese derslerinin dışında bir faaliyetle uğraşmasını şiddetle tavsiye ederim. İş yaşamında da aynı tavsiyem geçerli. Bu bir spor dalıyla ilgilenmek olabilir, resimle, fotoğrafçılıkla, müzikle ilgilenmek olabilir ya da sivil toplum kuruluşlarında gönüllü olarak çalışmak olabilir. İş dışında ilgi duyulan farklı uğraşılar aslında günlük uğraşıların ağırlığını ya da yükünü dengeliyor. Zorluklara göğüs gerebilmekte bu tip uğraşıların büyük desteği olduğuna inanıyorum.

Hangi faaliyet alanı olursa olsun her faaliyet özünde derin detaylar barındırıyor. Her yeni konu yeni bir öğrenme süreci anlamına geliyor. İş yaşamım devam ederken binicilik sporuyla da uğraştım, lisanslı binici olarak engel atlama yarışmalarına katıldım. Halen Ankara Binicilik İhtisas Kulübü üyesiyim. İlaveten, bilinen adıyla savunma sporları literatür tanımlamasıyla savaş sanatları üzerine yoğun çalıştım. Bu arada müziğe ilgim nedeniyle dinleyici olmanın yanı sıra pek çoğumuzun bateri olarak bildiği davul dersleri aldım. Bu müzik aletiyle uğraşmak bugün de stresimi atmama yardımcı oluyor.

Bütün bunlar ne kazandırdı sorusuna gelince. Sporla olan ilgimden bahsetmiştim. Örneğin savunma sporları çalışan bir kişinin kendisini geliştirebileceği alanları şu şekilde özetleyebilirim;

  • Çalışma disiplini, güven duygusu ve cesaret kazanmak,
  • Mücadele gücünü artırmak,
  • Öfke kontrolü yapabilmek,
  • Sabırlı olmayı öğrenmek,
  • Vücuda çeviklik kazandırmak,
  • Vücudun güç ve dayanıklılığını, el ve ayak koordinasyonunu geliştirmek,
  • Olayları çabuk kavrayabilmek,
  • Doğru ve hızlı karar verebilme yetisini kazanmak,
  • Çevresine karşı saygılı ve hoşgörülü olabilmek,
  • Fiziksel performansı geliştirmek,
  • Zihinsel berraklık kazanmak,
  • Vücut dengesini geliştirmek,
  • Konsantrasyonu artırmak,
  • Zamanlama yeteneğini geliştirmek.

İşin ilginç yanı benzerlerini binicilik sporu için de listeleyebilirim. Bu arada şunu da söylemem lazım ki spor diğer uğraşılar için bir alternatif olarak görülmemeli, ruh ve beden sağlığı için olmazsa olmaz olarak kabul edilmeli. Herkes sağlığı elverdiği ölçüde ama aşırıya kaçmadan sporun bir dalıyla ilgilenmeli.

Bunlara ilaveten bir bilişimci olarak sivil toplum çalışmalarına da katılıyorum. Türkiye Bilişim Derneği ve Bilgisayar Mühendisleri Odası üyesi olarak gönüllülük esası çerçevesinde elimden gelen katkıyı sunmaya çalışıyorum.

Vakitsizlik nedeniyle bir faaliyetle uğraşamıyorum mazeretini ise asla kabul edemiyorum. Yapılan faaliyet ya da katılım sağlanan etkinlik içselleştirilemiyorsa, yaşamın bir parçası haline getirilemiyorsa insana yük olmasını da şaşırtıcı bulmuyorum.

Başarının sırrı diye soracak olsak?

Başarı konusunda tek tip bir reçete yok elbette. Başarıyı hedeflenen şeye ulaşmak, fark yaratmak olarak tarifleyebilirim. Elbette birinci şartı çalışmak. Çalışırken planlı olmak, değişimlere hızlı uyum sağlayabilmek önemli. Zaman ve koşullar temel belirleyiciler. Ama başarı için yapılabilecek yegane şey hatalardan ders çıkartmak olmalı.

Bilgi güvenliği yöneticiliğini meslek olarak edinmek isteyenlerde hangi özellikler olmalı? Kendilerini nasıl geliştirmeliler?

Gerekli eğitim altyapısına önceki sorularınızda değinmeye çalışmıştım. Güvenlik konusunda çalışacak arkadaşlar öncelikle iş displinine sahip olmalı, düzenli ve programlı çalışmalı, çalışma arkadaşlarıyla uyum içinde çalışabilmeli, yeniliklere açık olmalı, hızlı değişimlere çabuk uyum sağlayabilmeli, araştırmaya istekli olmalı, yenilikleri takip etmeli, deneyimlerini mesai arkadaşlarıyla paylaşmalı, çalışma alanlarıyla ilgili mevzuata hakim olmalı, işiyle ilgili edindiği bilginin gizliliğine uygun davranmalı, hızlı gelişen güvenlik olayları ile ağır işyükü ve stres altında iken dahi soğukkanlılığını koruyabilmeli, riskleri yönetebilme becerisine sahip olmalı, sözlü ve yazılı iletişimi güçlü olmalı.

Gençlere doğru mesleği bulmaları konusunda tavsiyeleriniz nelerdir?

En başta ilgi duydukları konuları okuyup, araştırmalarını, o konularda çalışan kişilerden fikir almalarını tavsiye ederim.

Zaman zaman iş görüşmelerinde bulunuyor musunuz?

Bazı görüşmelerde bulundum, evet.

İş görüşmelerinde sizi en çok etkileyen şey nedir?

İletişim kabiliyeti. Buna ilaveten, zamanını tecrübe kazanımı bakımından verimli geçirip geçirmediği, kendisine olan güveni, samimiyeti, sadeliği ve  doğallığı.

Peki bir CV’ de nelere bakarsınız?

CV’nin başvuruda bulunulacak işyerinin ihtiyaçlarına cevap verebilecek niteliklere sahip olunduğunu göstermesi birinci önemli unsur. Gereksiz ayrıntılardan arındırılmış, sade bir CV olması. Sizinle ilgili olarak hızlı bir şekilde bilgi sahibi olunmasını sağlaması bir CV’nin doğru hazırlanmış olduğunu gösterir.

Bugüne kadar başarılı bulmadığınız adaylarla ilgili aklınızda kalan nedir?

Özgüven eksikliği ve kendisini doğru ifade edememe.

İş hayatına başlarken, ilk gittiğiniz mülakatı hatırlıyor musunuz? Nasıl geçmişti?

Evet. Benim işe değil işin bana ihtiyacı var gibi bir özgüven içindeydim. Görüşme olumlu geçmişti.

Peki gençlere tavsiye edeceğiniz film ve kitap önerileriniz var mı?

Bilgi güvenliği konusunda çalışmak isteyen arkadaşlarıma izlemedilerse Matrix, Sword Fish ve Track Down filimlerini izlemelerini, okumadılarsa Bruce Schneier’in Secrets & Lies, Kevin D.Mitnick ve William L.Simon’un Aldatma Sanatı kitaplarını okumalarını tavsiye ederim.

Bunların dışında ayrıca Bill Gates’in Dijital Sinir Sistemiyle Düşünce Hızında Çalışmak, Jeffrey S.Young ve William L.Simon’un Steve Jobs, Guy Kawasaki’nin Girişimcinin El Kitabı ve Malcolm Gladwell’in Outliers, Jared Diamond’un Tüfek, Mikrop ve Çelik, James Gleick’in Kaos kitaplarını okumalarını öneririm.

Her okunan kitap okunmaya merak duyulacak başka bir kitabın kapısını aralar. O nedenle listeyi bununla sınırlı tutup bundan sonrasını arkadaşlarımın tercihlerine bırakıyorum.

Son olarak eklemek istediğiniz şeyler var mı?

Özellikle şunu söylemek istiyorum, ne iş yaparsanız yapın, nerede çalışırsanız çalışın, hedefiniz yaptığınız işin en iyisini yapmak, o işin hakkını vermek olsun. Hep kendinize şu soruyu sorun, “İstesem şu an yaptığım işten daha iyisini yapabilir miydim?” İlerlemek bu şekilde olur.

Hepinize kariyer yolculuğunuzda üstün başarılar, sağlıklı ve mutlu bir yaşam diliyorum.

Böyle bir çalışmada bana da yer verdiğiniz için ayrıca teşekkür ediyorum.

Çok teşekkür ederiz..