Kadının teknolojide kariyer yolculuğu-5
Kadının Teknolojide Kariyer Yolculuğu Serisi
Ayşim NİKSARLI – Siber Güvenlik Danışmanlık Hizmetleri Direktörü, Forcerta
Bursa Anadolu Lisesi ve sonrasında İTÜ Elektronik ve Haberleşme Mühendisliği mezuniyeti ardından, kazandığı 30 yıllık sektör deneyiminin yaklaşık 25 yılında finans kurumlarında CISO ve Bilgi Güvenliği Grup Yöneticiliği görevlerini üstlenmiştir. Çalıştığı kurumlarda, İcra Kurulu, BT Strateji Komitesi, Bilgi Güvenliği ve Risk Komitesi üyeliklerinde bulunmuştur.
Deneyimlerini, Forcerta şirketinde “CISO As A Service” kurgusuyla çeşitlenen siber güvenlik danışmanlık hizmetleri kapsamında ekibiyle birlikte sektöre aktarmaktadır.
Gönüllü mentorluk çalışmalarıyla, öğrencilere ve yeni mezunlara iş yaşamına hazır oluş ve kariyer gelişimi desteği sağlamaktadır. Teknoloji sektöründe kadın varlığının artmasına yönelik çeşitli etkinlik, panel ve atölye çalışmalarında görev almaktadır.
2018 IDC Teknolojide Kadın etkinliğinde En İyi Mentör ve Güvenlik Şampiyonu ödüllerine layık görülmüştür.
Ayşim NİKSARLI, Bilgi Güvenliği ve Siber Güvenlik alanında çok sayıda banka ve farklı sektör deneyimi olan, alanında tanınmış, başarılı, deneyimli bir kadın.
Bilgi Güvenliği ve Siber Güvenlik deyince çok geniş bir yelpaze var. Siber Güvenlik danışmanlığı neyi içerir ?
Doğru yelpaze geniş gerçekten de. Genelde bu kavramlardan söz ettiğimizde öncelikle beyaz şapkalı “hacker”lar akla geliyor. Bu alan sadece biri. Yeterince açıklayıcı olması için sanırım en uzun yanıt vereceğim soru bu olacak. Umarım okuyucularımız bu yanıtı görüp röportajın devamını okumaktan vaz geçmezler : )
Bilgi güvenliği dediğimizde temelde bilginin gizliliğinin, erişilebilirliğinin ve bütünlüğünün sağlanmasını anlıyoruz. Siber güvenlik ise bu üç ana unsuru siber dünyadan gelen her türlü iç ve dış tehdit karşısında korumayı ifade ediyor. Bunları sağlamak üzere tesis edilecek kontroller içinse belli teknolojileri kullanmak, süreçleri hazırlamak ve bunları yönetecek ve işletecek uzman kaynaklar gerekiyor.
Alanlara baktığımızda, politikalar, prosedürleri, bilgi varlıklarının yönetimi, bu varlıklar üzerindeki risklerin yönetimi, bilgi güvenliği olaylarının izlenmesi ve müdahalesi gibi süreçleri konuştuğumuz bilgi güvenliği yönetişimi, mobil, web ya da sunucu-istemci yapısında çalışan uygulamalarının analiz, geliştirme, test, üretime geçiş süreçlerinde karşımıza çıkan uygulama güvenliği, şirketlerin rekabet gücü için çok önemli olan, KVKK gibi regülasyonlarla da şirketlerin önceliğini alan veri güvenliği, tüm sistemlerin üzerinde çalıştığı ve verilerin aktığı sistemlerin ve ağların altyapı güvenliği, veri merkezleri, sistem odaları, arşiv alanları, fiziksel sunucu ve ağ cihazları, basılı belgeler, yedekleme medyaları, taşınabilir medyaların güvenliğini ele alan fiziksel güvenlik, sistemlere, uygulamalara ve veriye erişim izin ve kontrollerinin yönetildiği kimlik ve erişim güvenliği, şirketlerinfaaliyetlerini sürdürebilmek için hizmet aldıkları 3.partiler için tedarikçi güvenliği gibi alanlar sayabiliriz.
Rol ve sorumluluklar perspektifinden baktığımızda saydığımız alanlarda farklı güvenlik kontrollerini sağlamak için kullanılan teknolojilerin platform yönetimi ve operasyonu, sürekli izleme ve müdahale hizmeti sağlayan “SOC” kısaltmasıyla ifade edilen güvenlik operasyon merkezlerindeki “Red Team” olarak adlandırılan saldırı ekipleri, diğer tarafta “Blue Team” olarak adlandırılan L1, L2 gibi seviyelerdeki güvenlik analistleri, istihbarat analistleri, zararlı yazılımları analistleri, bir güvenlik olayı olduğunda kanıtları inceleyen, kaynağını ve tarihçesini çıkaran adli analistler, tehdit avcıları, gibi birçok farklı uzmanlıktaki savunma ekipleri, saldıran ekiplerin bulduğu boşluklarla savunma kanadını güçlendirmeye çalışan “Purple Team’ler, 27001, PCI/DSS, gibi standartlar, KVKK, regülasyon otoritelerinin çıkarttığı genel ye da sektörel mevzuata uyumu kontrol eden bilgi güvenliği uyumluluk yönetimi ekipleri, tesis edilen kontrollerin mevcut durumuyla ilgili riskleri kayıt altına alan, işleyen ve raporlayan bilgi güvenliği risk yönetimi ekipleri, ilgili kontrollerin doğru seçildiğini, tasarlanan süreçlere uygun işletildiğini, bilgi güvenliği yönetim sisteminin sürekli izlenerek iyileştirildiğini gözeten, tespit ettikleri bulguları raporlayan iç ve dış denetçiler gibi roller de söz konusu. Tabii tüm alanlarda deneyim sahibi olup bu alanda çokça projeler tamamlamış ve bu yolda rehberlik sağlayacak siber güvenlik danışmanlığı rolünü de sayabiliriz. Tam bu noktada bu rolü biraz daha açalım.
Siber Güvenlik Danışmanlığı şunları içeriyor:
Genel ve sektörel bazda güncel siber güvenlik tehditlerini, zafiyetlerini, trendleri, bağımsız raporları, regülasyonları yakın takip etmek,
Şirketlerin risk ve olgunluk analizini gerçekleştirip eksikliklerini tespit etmek,
Tespit edilen eksiklikler için iyileştirme önerileri hazırlamak,
Deneyim ve bilgilerine dayanarak mevcut risk ve olgunluk skorlarına göre önerilen iyileştirme aksiyonları için ölçekleme ve önceliklendirme yapmak,
Şirketlerin risk iştahı, bütçesi, kurum kültürü, uzman kaynaklarının nicelik ve niteliklerini de gözeterek uygulanabilir bir yol haritası çıkarmak,
Bu yol haritasında atacağı adımlarda yanında olmak,
Gelişimi ve durumu ölçebilecekleri metrikler sunmak ve takibini sağlamak
Tüm bunları yaparken de en başından itibaren üst yönetimi doğrudan ya da dolaylı olarak konunun içine almak, sürekli besleyerek liderliğini ve desteğini sağlamak en önemli başarı kriterleri arasında.
Sen bu alanı nasıl seçtin ve hangi özelliklerin bu alanda böyle başarılı olmana yardım etti?
Bu alana geçişim 2000 yılında eş zamanlı gerçekleşen iki olay sayesinde oldu. Biri o sene ilgili pozisyonun açılması ve diğeri de o günkü görevimde liderliğini yürüttüğüm tüm banka şubelerinin sistem dönüşüm projesinin başarıyla tamamlanması idi. Tam bu kesişimde genel müdür yardımcımın terfi teklifini aldım ve heyecanla kabul ettim. Önceki görevimde masaüstü, mobil ve sunucu sistemlerin donanım ve yazılımlarını yönetiminden sorumlu olmam bu sistemlerin hangi noktalarında ne gibi güvenlik açıkları olabileceğini hızlı kavramama çok yardımcı oldu. Kişisel özelliklerimden merakım, her daim öğrenme tutkum, bazen beni çok yoran detaycılığım ve yaptığım işin hakkını verme azmim ve yanı sıra tabii ki de omuz omuza çalıştığım ekip arkadaşlarım başarılı olmama yardım etti.
Bir kadın olarak teknoloji alanında ve çalıştığın spesifik alanda zorluklarla karşılaştın mı? Karşılaştıysan bunları nasıl aştın?
Kadın olarak spesifik bir alanda ciddi bir zorlukla karşılaşmadım. Aslında kadın olarak zorluk yaşanabilecek birçok konu var. Mesai saatinden bağımsız çalışma saatleri, alışılmadık saatlerde yollarda olmak, hamile ve doğum sonrası dönemler, aile içindeki roller, bu sebeplerle rol ve sorumlulukta geride tutulma, vb. Şanslıyım ki, eşimin ve ailemin anlayışı, ekip arkadaşlarımın ve yöneticilerimin desteği sayesinde bunları yaşamadım.
Kadınların hangi özellikleri bu sektörde avantaj sağlıyor ve sence kimler için bu alan uygun olur?
Kadınların bu sektörde avantaj sağlayabileceği birçok özelliğini sayabiliriz. Kadıların detaycılığını başta sayabilirim. Ne demişler: “Şeytan ayrıntıda gizlidir.” Ayrıntılı baktığınızda görebileceğiniz küçük bir eksiklik çok büyük bedellere sebep olabilir. Bunun yanı sıra kadınların güçlü iletişimi, organize olma ve etme kabiliyetleri, çoklu görevler için paralel çalışabilme yetenekleri gibi özellikleri de oldukça destekleyici oluyor. Bence azimli, sabırlı, meraklı kadınlar bu alanda başarılı olur.
Sektörün bu alanını tanımak ve bu alanda çalışmak isteyen veya çalışan kadınlara neler önerirsin?
Bu alanda çalışmak isteyen kadınlara hali hazırda çalışan kadınlarla bağlantı kurmalarını, mentörlük programlarına katılarak destek almalarını, farklı sektörlerde bu alanda kısa ve uzun dönem stajlarıyla öğrencilikten itibaren deneyim kazanmalarını ve bu alanın hangi uzmanlıklarında ilerleyeceklerine karar vermelerini öneririm. Çalışan kadınlara da kendilerini sınırlamamalarını, iletişim ağlarını güçlendirmelerini ve destek istemekten çekinmemelerini, her daim kendilerine aşacakları hedefler koymalarını ve bu hedefleri başardıkça haklarını elde etmek için tereddüt etmeden öne atılmalarını öneririm.