Bülent Tigin ile Bilgi Güvenliği Üzerine Sohbetler -1
Posted in Söyleşi on 12/14/2008 10:16 pm by AlperMerhaba,
Bilginin kendisi ve onun da ötesinde güvenliği hepimiz için önemlidir. Bu kişisel bilgiden tutunda şirketinizin bilgilerine, müşterilerinizin bilgisine kadar giden uzun ve değerli bir içerik topluluğunu oluşturuyor.
Bilgi Güvenliği konusunda uzun yıllardır danışmanlık hizmeti veren Bülent Tigin ile bu konuda biraz sohbet ettik. Laf lafı açarken belli başlı güncel konular üzerinde de fikirlerini aldık.
Şimdi sizi bu güzel sohbet ile baş başa bırakıyorum.
Görüşmek üzere,
alperkaynarkan.com
Bülent bize biraz kendinden bahseder misin ?
Bülent Tigin
Aslında kendimden bahsetmeyi biraz yüzsüzlük gibi görüyorum.
alperkaynarkan.com
Ama seni tanımayanlar olabilir.
Bülent Tigin
Özellikle bizim sektörde, güvenlik üzerine çalışan herhangi biri, yaptığı birkaç işin sonrasında öyle bir havaya giriyorlar ki sanırsın küçük dağları onlar yarattı, büyük dağlarda da hisseleri var. (gülüşmeler…) Ancak ben de başarılı olduğumu, bugüne kadar uzmanlık alanımda oldukça önemli işlere imza attığımı biliyorum. Aslında bunun kaynağı yurtdışına gönderdiğim özgeçmişlerimin sonrasında aldığım yanıtlara dayanıyor. Epey bir zaman önce yurt dışında bilgi güvenliği üzerine uzmanlaşmış önemli bir IT firmasına özgeçmişimi gönderdim. Sonra bana verdikleri yanıt aynen şöyle oldu; “bu özgeçmiş doğru değil” Söylemek istedikleri, orada bulunan yetkinlikler ve sertifikaların uydurmaca olduğu ve gerçeği yansıtmadığıydı. Ben de bunun üzerine tüm sertifika kimlik bilgilerimi kendilerine gönderdim. Sonrasında aldığım yanıt ise bu pozisyon için oldukça yüksek kapasiteye sahip olduğum ve malesef değerlendiremeyecekleriydi. Bundan sonra da karar verdim, kendimden dolu dolu bahsetmektense, yaptığım ve yapmak istediğim işleri ifade etmeye çalışmanın daha anlamlı olacağını düşünüyorum.
alperkaynarkan.com
Peki bu referanslarını nasıl sunuyorsun ?
Bülent Tigin
Aslında problem orda başlıyor. Çünkü kimse benim böyle bir açığım vardı, Tigin Danışmanlık geldi bu şekilde çözdü demiyor, demek istemiyor. Çünkü biz, firmaların, insanların görünmesini istemediği şeylerin düzenlenmesi ve hep o şekilde kalmasını sağlıyor, hedefliyoruz.
alperkaynarkan.com
O halde verdiğiniz hizmetleri hedef kitleniz nasıl tanıyacak ?
Bülent Tigin
Bu konuda aslında verdiğimiz birçok eğitim, seminer, röportaj, webcastler var. Bununla beraber özellikle üniversitelerde oldukça yoğun bir şekilde güvenlik üzerine seminerler, online sunumlar yapıyoruz. Bu online sunumlarda da oldukça detaylı çalışmalar sunarak aslında bilgi güvenliğinin önemini elimizden geldiğince ifade etmeye çalışıyoruz.
alperkaynarkan.com
En azından biraz bilgi alabilmek adına şunu sormak istiyorum. Halen hizmet verdiğin özel kurumlar var mı ? Devlet olabilir ya da stratejik açıdan çok önemli bir kurum olabilir ?
Bülent Tigin
Evet var ve uzun süredir devam ediyor.
alperkaynarkan.com
Nasıl faturalandırıyorsun bu çok özel görevleri merak ettim. (Gülüşmeler…)
Bülent Tigin
Aslında bu açıklayamayacağım bir konu o yüzden elimizden geldiğince destek oluyoruz diyebilirim.
alperkaynarkan.com
Peki aslında farklı bir konuya geçmek istiyorum. Bu benim daha önce de değindiğim bir konuydu. İnsanlar artık kendi bilgilerini, çalıştığı yer ile ilgili bilgileri internet üzerinden paylaşmaktan hiç çekinmiyorlar. Bu nasıl bir tehdit unsuru olabilir senin gözünde ? Özellikle bireyden kuruma doğru gittiğimizde ?
Bülent Tigin
Aslında şöyle söyleyebilirim. Bilgi sistemleri organizmasını tamamen otomasyona alabilsek ve herşeyi makinalar yapıyor olsa, açıklar çok daha az olacaktır. En önemli tehdit insandır. Çünkü insan düşünürken duygularını da işin içine katabiliyor. Bu düşünceleri başkaları tarafından manuplasyona kolaylıkla uğratılabiliyor. Çok iyi bildiğin Social Engineering adı altında bir teknik var. Sosyal mühendislik. Türkçe’de ağzından laf almak diye de adlandırılabilir. İnsanlarin düşüncelerini ve fikirlerini onlara farklı yaklaşımlarla yanaşarak kendi fikirlerimize çevirmemiz mümkün. Böylece insanların en büyük tehditi oluşturduğunu düşünürsek, internet üzerinde umarsızca verilen bilgiler de ciddi bir tehdit oluşturabiliyor. Bu işin paralelinde de internet üzerinde verilen bilgiler de pazarlama sektörü için altın değerinde oluyor. Bildiğimiz Facebook’ta paylaşılan tüm bilgiler bir pazarlama silahı olarak her gün karşımıza çıkıyor. Facebook sadece reklamla para kazanmıyor elbette. Bunun gibi daha yüzlerce örnek verebiliriz. Tabi bir de insan hatası dışında kurumların yaptığı hatalar da olabiliyor. Geçtiğimiz yıllarda büyük bir marketin kredi kartı skandalını herkes biliyordur, şimdi ismini vermeye gerek yok tabiki. Bildiğim kadarıyla market, müşterilerinin kullanım alışkanlıklarını ölçmek için alışverişleri kredi kartı numarası üzerinde tutuyor. Böylece kart bilgilerini bir yerlerde depolamak durumunda kalıyor. Bu kanunen yasak tabiki. :) Hatırlarsan ödeme sırasında kartı pos makinesinden geçirmeden önce oradaki kasanın, yanındaki manyetik okuyucudan geçiriyorlardı tabi kimse de en azından birçok müşteri bunun nedenini sormuyordu. Sonuç olarak böyle bir depolama, potansiyel bir açık haline geliyor, beklenen de gerçekleşiyor ve birisi bu numaraları ele geçiriyor. O numaralar kimbilir nerelerde kullanılıyor ya da ne yapılıyor. Hatta bazı yeraltı noktalarında (underground kara borsalar kredi kartı bilgilerinin değiş tokuş yapıldığı bile söylentiler içinde. Sende bin adet numara var bende de diyelim bin adet var, karşılıklı bilgileri verdiğimizde ikimizde de ikibin adet kredi kartı bilgisi oluyor. Artık nasıl kullanacağımız bize kalmış…
alperkaynarkan.com
Bunların dışında farklı bir konu daha var, önemini daha sonra herkesin çok daha iyi anlayacağı. 3G. Ne diyorsun 3G hakkında ? Bu altyapının oluşması, web 2.0 web 3.0’ın gün geçtikçe hayatımıza girmesiyle bilginin artık her yerde olacağı ve etkileşimin her an mümkün olduğu bir ortamdan bahsediyoruz. Mobil Elektronik ticaret ve mobil bankacılık işlemleri gibi uygulamalar da ciddi değer kazanacak. Bu aşamada mobil güvenlik ne durumda olacak, neler yapmamız gerekiyor ?
Bülent Tigin
3G gerçekten çok ciddi bir konu. Sağlayacağı yüksek hızlı wireless internet erişimi çok iyi kontrol edilmesi gereken bir oyuncak aslında. Düşündüğümüzde elimizdeki internete erişebilen her cihaz birer host olacak. Şu anda burada yaklaşık ikiyüz kişinin en kötü ihtimalle yüzellisinde cep telefonu bulunuyor. Bu ciddi bir potansiyel. Tabi bu potansiyel iyi mi yoksa kötü mü ? Elbette keşifler olacak, uygulamalar geliştirilecek ve bu yapı büyüyecek. Nasıl ki atomun çekirdeklerine ayrılması ile büyük ve faydalı işler yapılması hedeflenmiş ancak atom bombası ortaya çıkmış ise bu fırsatı da iyi yönde kullanmak biraz bizim elimizde.
alperkaynarkan.com
Aslında burda manidar bir söz kullanmanın yeri belki “kontrolsüz güç, güç değildir” (gülüşmeler…)
Bülent Tigin
3G ile gerekli güvenlik önlemleri alınmazsa sorunların çıkacağı çok belli. Bir de cep telefonu virüsü diye birşey var. Buradaki yüzelli kişinin kaçının telefonunda herhangi bir antivirüs uygulaması var ?
alperkaynarkan.com
Herhalde sadece senin. (Gülüşmeler…)
Bülent Tigin
En fazla yüzde beş diyebilirim.
alperkaynarkan.com
Onlar da fabrika çıkışı gelen, güncellenmemiş kurulumlardır diye düşünüyorum.
Bülent Tigin
Evet, zaten en büyük yanılgı da bu. Uygulama kurulması yeterli görülüyor. Oysaki en önemlisi son açıklarla ilgili güncellemelerin her an yapılması.
alperkaynarkan.com
Peki telekomünikasyon şirketleri bu konuda hazırlar mı sence ?
Bülent Tigin
Alınan bazı önlemler var ancak yeterliliği tartışılır. Her host, yani mobil internet erişimi olan cihaz için tek tek koruma mümkün değil. Bu konuda sorumluluğu kullanıcılara verecekler ve kendi önlemlerini almalarını isteyecekler.
alperkaynarkan.com
Anlaşılan 3G epey baş ağrıtacağa benziyor… Peki sen neler yapıyorsun ? İş hayatında yeni gelişmeler olduğunu zaten biliyorum.
Bülent Tigin
Evet kendi şirketimi sonunda kurdum. Tigin Danışmanlık Dört ana dalda aktif olarak hizmet veriyoruz. Bu şirketi kurmamın ve önüme gelen çok iyi teklifleri geri çevirmemin sebebi biraz idealist yaklaşmak. Bu işleri düzgün yapmak istiyorum. Kendi istediğim ve aradığım standartı verebileceğimi düşündüm ve kurdum. Diğer firmalar gibi ürün ismi altına saklanarak hizmet vermek yerine tam bir danışmanlık veriyoruz. Bu dört ana dal, Secure-IT – Bilgi Güvenliği, Admins4u – Altyapı Hizmetleri, A5B – Barındırma Hizmetleri, ITT –Bilgi Teknolojileri Eğitimleri. Aslında hedefimiz güvenlik odak noktasını hiç kaybetmeyerek kurumsal bir hizmet noktası olabilmek.
alperkaynarkan.com
Aslında güvenlik danışmanlığı dışında önemli bir konu da eğitim bence. CEH diye adlandırılan eğitimlerde Türkiye’de en iyi eğitmen olduğunu sektörün içinde olan herkes biliyor, bu konuda ne yapmayı düşünüyorsun ?
Bülent Tigin
Öncelikle teşekkür ederim. Birçok yer de aslında bazen direk cep telefonumdan arayarak bu eğitimi sınıflarımızda bizim için verebilir misiniz diyor. Bu eğitimlerde en önemli amaç farkındalık yaratmak. Elimden geldiğince sıkıcı laboratuvar çalışmaları yerine gerçek ortama, o ortamın iş akışını bozmayacak şekilde müdahelelerde bulunarak örnekler vermek tercihim oluyor. Tigin Danışmanlık olarak ise her an eğitim sınıfı açmak yerine yılda üç ya da dört kez sınıf açıp tam anlamıyla katılımcılara bu eğitimi vermeye çalışıyoruz.
alperkaynarkan.com
Peki bilgi güvenliği için ne yapmamızı öneriyorsun ?
Bülent Tigin
Bilgi Güvenliğini sağlamak hap içmek gibi değildir. Bu bir hayat döngüsü. Her şirketin bu konuda bir politikası olmalı ve mümkünse uluslararası alanda kabul görmüş poltikaları kendi iş dünyaları ile eşleştirerek her zaman kendilerini bu konuda güncel tutmaları gerekmektedir. Bilgi güvenliği yatırımlarında, neyi kime karşı nasıl koruduğumuzu çok iyi bilmeli ve anlamalıyız. Kimi zaman değeri bir birim olan bir bilgi için beş birimlik güvenlik yatırımı yapıyor olabilirsiniz, bu bize doğru bir analiz yapılmadığını ve bu konudaki politikaların yanlış kurgulandığını gösterir. Bunlardan kaçınmak için standartları iyi takip etmek, işimizi iyi bilmek en önemlisi. Bununla beraber yatırım planlarında da mutlaka Bilgi Güvenliği için de bir bütçe ayrılması gerektiğini düşünüyorum.
alperkaynarkan.com
Bülent, verdiğin bilgiler, güzel sohbet ve değerli yorumların için çok teşekkür ederim.
Bülent Tigin
Asıl ben teşekkür ederim.
