Türkiye İş Bankasında Bilgi Teknolojileri Müfettişliği yapan Selma Yılmaz Çakmak ile siber güvenlik alanında yüksek lisans hakkında ilham dolu bir röportaj yaptık, keyifli okumalar!
İstanbul.
Yüksek lisans mezunu.
Bilgi Teknolojileri Müfettişi.
2008 yılında ODTÜ Uluslararası İlişkiler Bölümünde üniversite hayatıma başladım. Üniversite boyunca farklı öğrenci kulüplerinde yer aldım. Üniversite boyunca ODTÜ Badminton Takımında lisanslı sporcu olarak turnuvalara katıldım. Son sınıfta Erasmus bursu ile Polonya'nın Krakov şehrinde bir dönem eğitim gördüm.
Yaklaşık 3 yıldır bilgi teknolojileri denetimi alanında çalışmalarıma devam ediyorum. Certified Information Systems Auditor (CISA) sertifikam ve Certified Information Systems Security Professional (CISSP) sınav başarım bulunuyor. İş ve okul dışında ise badminton ve masa tenisi oynamaktan, kadın çalışmaları hakkında araştırmalar yapmaktan, yurt içi ve yurt dışı seyahatlerine katılmaktan keyif alırım.
Eşitlik, optimizm, bilgi güvenliği, siber güvenlik, BT denetimi, teknoloji, kadın çalışmaları.
Ordu doğumluyum. ODTÜ Uluslararası İlişkiler Bölümü mezunuyum. 2013 yılında mezuniyetin hemen ardından 4 büyük denetim şirketinden birinde vergi denetçisi olarak göreve başladım. Dış denetimden iç denetime geçme kararım sonrası banka müfettişliğinde kariyerime devam ettim. Yaklaşık 3 yıl finansal denetim alanında görev aldıktan sonra BT denetimi alanına geçiş yaptım. Şu anda da özel bir bankada bilgi teknolojileri müfettişi olarak görev alıyorum. Eylül ayında da Sabancı Üniversitesi Siber Güvenlik Yüksek Lisans programından mezun oldum.
Üniversite yıllarımda bir bankanın üniversite öğrencilerine yönelik eğitim programına seçilmiştim. Program kapsamında tüm katılımcılara kişilik testi gerçekleştirdiler. Bu test sayesinde güçlü ve zayıf yönlerimi öğrenmiştim. Programın devamında her birimize bir mentor atandı. Mentorüm, güçlü yönlerim hakkında bilgiler verip zayıf yönlerimi de nasıl geliştirebileceğim hakkında fikirlerini paylaşmış ve kariyer haritamı çizmeme yardımcı olmuştu. Hem etik değerlere verdiğim önem, hem de detaycı bir bakış açısına sahip olmam sebebiyle denetime uygun olduğumu düşünmüştüm. Mezuniyet sonrası kariyerime ilk adımı denetim sektöründe atınca da denetim alanının karakterime uygun ve başarılı olabileceğim bir alan olduğunu daha iyi anladım.
Finansal denetim alanından BT denetime geçme kararımı ise ilk etapta birlikte çalıştığım ekip şefimin, sonrasında ise üst yöneticimin desteklemesi kariyer hayatımda dönüm noktası oldu. Kurum içinde bir alan değişikliği yaparken yöneticinizin sizin yeni alanda başarılı olacağınıza inanması çok büyük bir avantaj.
Yaklaşık 2 yıl şube denetimlerinde görev aldıktan sonra bilgi teknolojileri alanına geçmeye karar verdim. Bilgi teknolojileri alanı derya deniz bir alan ve bilgi teknolojileri denetçisi olabilmek için çok ciddi bir teknik bilgiye ve tecrübeye ihtiyaç var. Bunun için okullardaki programları araştırdım. Bu alanlarda; bilgi teknolojileri programı, bilişim hukuku programı, veri analitiği programı, yönetim bilişim sistemleri programı gibi farklı programlar olduğunu gördüm. İlgili alanların yanı sıra, 2 üniversitede siber güvenlik programının yakın zamanda açıldığını gördüm. Programın içeriğini araştırınca özellikle bazı teknik konularda eksiklerimi kapatabileceğimi düşündüm. Geçmiş dönemki öğrencilerin olumlu yorumlarını da okuyunca bu programa başvurmaya karar verdim.
Bilgi güvenliği ve siber güvenlik alanlarında kendilerini geliştirmek isteyen herkese siber güvenlik yüksek lisans programını tavsiye ederim. Programda; kriptografiden ağ güvenliğine, zararlı yazılım analizinden sızma testine ve hukuk derslerine kadar mevcut siber güvenlik risklerinin yoğunlaştığı alanlarda temel dersler bulunuyor. Bilgi teknolojileri denetim çalışmalarımı yürütürken, programdan edindiğim bilgi ve yetkinlikler, denetim kapsamındaki süreçleri çok daha derin analiz edebilmemi ve denetim raporlarımda çok daha kaliteli öneriler sunabilmemi sağladı. Örnek olarak, sızma testi raporlarını incelerken program kapsamında edindiğim sızma testine ilişkin bilgi ve beceri sayesinde, raporun sonuçlarının şirket için ne anlam ifade ettiğini artık çok daha emin bir şekilde yorumlayabiliyorum. Diğer bir somut örnek de, medyada bir siber saldırı haberi duyduğumda saldırının gerçekleşme yolundan saldırının kuruma ne gibi zararlar vereceğine kadar detaylı analiz gerçekleştirebiliyorum. Son olarak da, programın kişisel olarak da denetim yaparken özgüvenimi ciddi seviyede artırdığını söyleyebilirim.
Tabii ki. Program öncesinde herhangi bir programlama dilini bilmemem benim için bir dezavantajdı. İlk dersimiz, Python programlama dili üzerineydi. Başlangıçta bu derste çok zorlandım. Fakat her boş zamanımda Python çalışarak bu eksikliğimi gidermeye çalıştım. Derslerin ve ödevlerin yanı sıra online eğitim platformlarından (Udemy, Coursera vb.) çok faydalanmıştım.
İlaveten, siber güvenlik gelişmelerini çok yakından takip etmenin de bir gereklilik olduğunu yüksek lisansa başlayınca anladım. Ancak iş ve okul dışında bir vaktim kalmadığını düşününce bu alanda gelişim sağlamak için her anımı iyi değerlendirmem gerekiyordu. Bunun için yoldayken dinleyebileceğim siber güvenlikle ilgili podcast kanalları (Cyber Security Today, Siberin Günlüğü gibi) buldum. Ayrıca, günlük hazırlanan bilgi güvenliği bültenlerine (https://www.us-cert.gov/ncas/tips, https://thehackernews.com/ gibi) üye oldum. Bunların yanı sıra, sosyal medyada da siber güvenlikle ilgili paylaşım yapan kişi ve kurumları (örnek olarak; Linkedin'de: Haftanın Bilgi Güvenliği Haberleri, Youtube'da: turkiyesiberguvenlikkumelenmesi kanalında yer alan videolar, Twitter'da: siber_bulten hesabı gibi) takip ederek siber güvenliği günlük hayatımın bir parçası haline getirmeye çalıştım.
2020 yılı, işle birlikte okulu yürütebilmek açısından benim için zorlayıcı bir yıl oldu. Pandemi öncesinde iş çıkışı okula yetişebilmek için bir hayli stres yaşadım. Bunun için, gün içerisindeki iş planlamamı olabildiğince verimli hale getirmeye çalıştım ve günlük iş listesi yapmaya başladım. Etkin iş planlaması için One Note gibi araçlardan da destek aldım. Bu aşamada birlikte çalıştığım yöneticimin desteği de mutlaka gerekliydi. O açıdan da şanslı olduğum için belli bir aşamada iş-okul dengesini tutturabildim.
Ailem her daim en büyük destekçimdir. Bu açıdan kendimi şanslı hissediyorum. Üniversiteye gidene kadar eğitimimle çok yakından ilgilendiler. Çiftlerin ise kariyer hedeflerine ulaşmaları konusunda birbirlerini desteklemelerinin çok önemli olduğuna inanıyorum. Bu açıdan da her zaman desteklendiğim için kariyer hayatımda çok daha kolay ilerleyebiliyorum.
İş hayatında çok aktif İngilizce kullanmadığım için, İngilizce'mi canlı tutmak için online platformlarından dünyanın farklı yerindeki insanlarla günlük haberler üzerine tartışma seanslarına katılıyorum.
Ayrıca hem kişisel hem profesyonel gelişim için "rol model" kavramının çok önemli olduğunu düşünüyorum. Bu sebepten, olabildiğince kendime rol model alabileceğim değerli kadın meslektaşlarımın bulunduğu etkinliklere katılmaya çalışıyorum. Tanıştığım ve benimle benzer yollardan geçen, benzer zorlukları aşmış kadınların hikâyelerinden öğrendiklerim kendimi geliştirmemde ve zorlukların üstesinden gelmemde yardımcı oluyor. Bunlardan birisi ISACA bünyesinde yer alan kadın üyelerin oluşturduğu "SheLeadsTech" grubudur. Siber güvenlikle ilgilenen kadın arkadaşlara hem rol model alabilecekleri kişilerle tanışmak hem de sektörün dinamiklerini ilk ağızdan dinleyebilmek için bu grubu tavsiye ederim.
Profesyonel anlamda gelişim için ise sertifikaların çok yararlı olduğunu düşünüyorum. Özellikle benim gibi profesyonel gelişimi destekleyen bir kurumda çalışıyorsanız işiniz çok daha kolay. CISA ve CISSP sınavlarına hazırlanırken daha önce pratikte karşılaşmadığım ama teorik anlamda kritik düşünme becerime yardımcı olacak birçok konuyu öğrendim. Sertifika sahibi olmak zorlu bir süreç ancak düzenli çalışma ve kararlılıkla üstesinden gelinebilir.
Son zamanlarda ilham aldığım en önemli kişi Saadet Öğretmen olarak bilinen Saadet Özkan'dır. Tek başına cesaretine ve savunduğu doğrulara inanarak kurtardığı hayatları düşününce her şeyi yapabilecek gücü kendimde bulabiliyorum. Saadet Öğretmenin yanı sıra dünyanın en genç başbakanı unvanına sahip olan Finlandiya Başbakanı Sanna Marin'i de zaman zaman yöneticilik becerileri açısından örnek alıyorum. Ama en önemlisi Türkiye'de her gün her alanda toplumsal cinsiyet eşitliği için çalışan sayısız kadın, en büyük ilham kaynağım diyebilirim.
İlk olarak mutlaka okunması gerektiğini düşündüğüm kitaplardan başlamak isterim. Bunların arasında "Amaç – Sürekli İyileştirme Süreci" (Eliyahu M. Goldratt & Jeff Cox), "Sağduyu" (Thomas Paine) ve "Mülksüzler" (Ursula K. Le Guin) hayatıma oldukça etkili bir şekilde dokunan kitaplar. Öte yandan aklınıza gelebilecek neredeyse her konuda genellikle akademik olmasa da işlerinde profesyonel olan kişiler tarafından hazırlanan yazıların yer aldığı "medium.com" hem kişisel hem profesyonel gelişim için oldukça faydalı. İlginizi çeken konularda uygun zamanlarınızda buradan makaleler okuyarak oldukça faydalı ve güncel bilgiler edinebilirsiniz. Profesyonel hayat ile birlikte kişisel hayatta karşılan problemlerin çözümü için ise yol gösterici nitelikte olan podcast kanallarının ("Kendimiz İçin Yapıyoruz" gibi) da takibe değer yayınlar olduğunu düşünüyorum.
Siber güvenlik özelinde ise başlangıç aşamasında olanlara Harvard Business Review tarafından hazırlanan "Siber Güvenlik-Dijital Dönüşüm" kitabını tavsiye edebilirim. Yine bu alanda profesyonel açıdan gelişim sağlamak isteyenlerin mutlaka "cybermagonline.com" dergisini takip etmesini öneririm. İlaveten, genç kadınlara burs sağlayan Mosse Siber Güvenlik Enstitüsü'nde yer alan alıştırmalar da (https://platform.mosse-institute.com/#/dashboard) bu alanda çok faydalı dijital kaynaklar arasındadır.
Muhtemelen bir programlama dili öğrenmeyi tercih ederdim. 20 yaşında öğrenme çok daha kolay oluyor. Ayrıca hazır yeşil pasaportum varken ve pandemi de yokken daha çok yurtdışı seyahati yapardım :)
Bu mesleği seçmeyi düşünenlere tavsiyem; denetim, kurumsal şirketlerde çalışmak için en iyi alanlardan birisi ve direkt olarak yönetim kuruluna veya genel müdüre bağlı çalışıldığı için bağımsızlığın neredeyse en yüksek olduğu alan. Son yıllarda şirketlerin gündeminde olan dijital dönüşüm ve pandemi sebebiyle birçok şirketin pratik etmeye başladığı uzaktan çalışmanın da etkisiyle, bilgi teknolojileri denetiminin geleneksel denetim yöntemlerinin önüne geçmeye başladığını görüyoruz. Örneğin, bankacılık sektöründe şube sayılarının yıllar itibarıyla azalış trendine girdiğini ve işlemlerin yaklaşık %90'ının şube dışı dijital kanallardan gerçekleştirildiği biliniyor. Bu noktada işe yeni başlayacak arkadaşlar için, kariyerlerine bilgi teknoloji denetiminde başlamalarının büyük bir avantaj olacağını vurgulamak isterim.
Siber güvenlik ve BT denetimi alanı yalnızca ülkemizde değil dünyada da değer gören bir kariyer alanı. ISC2 tarafından gerçekleştirilen bir ankette[1] dünya genelinde 3.2 milyon kişilik bir siber güvenlik kadrosu açığı olduğu ifade ediliyor. Özellikle bulut bilişim güvenliği gibi alanlarda yetkin iş gücüne ihtiyacın gün geçtikçe arttığı düşünüldüğünde siber güvenlik ve BT denetimi yeni mezunlar için gelecek vadeden bir meslek. Tabii siber güvenlik deyince bilgi teknolojileri denetiminin yanı sıra bilgi güvenliği analisti, sızma testi uzmanı, network uzmanı, bulut bilişim güvenliği uzmanı, BT risk uzmanı, siber olay müdahale uzmanı gibi çok farklı meslekler de akla gelmeli. Cyber Seek tarafından yapılan bir araştırmada Amerika Birleşik Devletlerinde yalnızca 1 yıl içerisinde "Siber Güvenlik Mühendisi" arayan 54.838 adet iş ilanı olduğu belirlenmiş[2]. Bu unvanda yıllık ortalama maaşın da 99.000 USD olduğunu da düşünürsek finansal anlamda da oldukça tatmin edici olduğu söylenebilir. Ayrıca siber güvenlik alanında kariyer yapmak için mühendislik kökenli olmanın bir artı olduğunu ancak bir zorunluluk olmadığını da benim kendi hikâyemde de görebileceğiniz gibi vurgulamak isterim.
Siber güvenlik, her daim güncel olmanızı gerektiren dinamik bir alan. "Hayat boyu öğrenme" prensibine uygun bir kariyer yolu vaat etmesi ve yakın geleceğin gözde mesleklerinin siber güvenlik alanlarında olması bu alanı tercih etmemde etkili oldu. Ama en önemlisi, bilgi güvenliği ve siber güvenlikle ilgili olayların analiz edilmesi, risklerinin azaltılması için önerilerinin sunulması ve şirketlerin stratejik kararlarına etki edebilecek çıktılar sunması sebebiyle, bu alanın karakterime uygun olduğunu düşündüğüm ve dolayısıyla bu alanda çalışmaktan mutlu olacağımı bildiğim için bu alana yöneldim.
Siber güvenlik alanında, çoğunlukla "yaz okulu" gibi staj benzeri imkânlar mevcut. Ayrıca bazı firmaların "Bug Bounty" programları ile de ödüllü yarışmalar düzenleniyor. Hackathon gibi takımla birlikte çalışılan banka projeleri de bir hayli artmış durumda. Hatta Teknopark İstanbul Mesleki ve Teknik Anadolu Lisesi adında bir lisenin, yakın zamanda "siber güvenlik lisesi" olarak faaliyete geçerek hem eğitim hem staj imkânları sağlayacağı duyuruldu. İlerleyen zamanlarda siber güvenlik alanında iş imkânlarının yanı sıra staj imkânlarının da artacağına kuşkum yok.
Bu yazı Bin Yaprak misafir yazarlarından Rumeysa Karakış tarafından yazılmıştır.
2023 BinYaprak. Tüm hakları saklıdır. Bir TurkishWIN girişimidir
Yorum