BBC-John P. Mello Jnr
Dünya genelinde siber güvenlik alanında çalışacak işçi açığı oldukça yüksek bir seviyede. Peki yıllık maaşları 62 bin euro (636 bin TL) civarında olan bu sektöre nasıl girilebilir? BBC'den John P. Mello Jnr. sektörün önde gelen isimlerine sordu.
Oscar Anaya'nın ilk başarılı hacklemelerinden biri, 11 yaşında kız kardeşiyle paylaştığı bilgisayarında olmuş.
"Kardeşim ilginç bir oyun oynuyordu ve benim oynamamı istemiyordu. Bu yüzden oyuna şifre koymuştu" diyor.
Pes etmeyen Anaya, bilgisayarı pek çok defa üst üste açıp kapatarak Windows XP'nin Güvenli Mod'da açılmasını sağlamış.
"Bu sayede yönetici şifresiyle giriş yapıp programa koyulan şifreyi kaldırdım. Kardeşim eve geldiğinde çok şaşırmış, bunu nasıl başardığımı anlayamamıştı" diye anlatıyor.
Bu hackleme Anaya'nın bilgi teknolojileri (IT) sektöründe siber güvenlik uzmanı olarak çalışmasıyla sonuçlanan yolun ilk taşını döşemiş.
Bu, müzik prodüktörlüğünden güvenlik alarmı takmaya ve son olarak da program hacklemeye kadar giden bir yol olmuş.
"Her şeye 'Bu amacı dışında nasıl kullanılabilir' gözüyle bakarım. Dijital dünyada da bir şeyleri amaçlandığı şekilden farklı olarak kullanmak hackerlığın temelidir" diyor.
Siber güvenlik alanında çalışmanın hayalini kursa da, eşi onu bu konuda cesaretlendirene kadar bunu imkansız bir hayal olarak görüyormuş.
Fakat 2019'da IBM'in bir eğitim programına katıldıktan sonra şirketin X-Force Red adlı donanım hackleme ekibine katılmış.
Yeni işi, donanımları hacklemeye çalışarak zayıf noktalarını tespit etmek.
Araya'nın hikayesi farklı sektörlerden gelen insanların siber güvenlik sektöründe iş bulabileceğinin bir örneği.
Bu, maaşların iyi olduğu bir sektör.
Sertifikalı Bilgi Sistemleri Güvenlik Uzmanları (CISSP) sınavını hazırlayan ABD merkezli (ISC)² kuruluşuna göre Avrupa'da siber güvenlik uzmanlarının yıllık ortalama maaşı 62 bin euro (636 bin TL).
(ISC)²'ye göre 2019'da bu sektörde 4 milyon çalışan açığı vardı. Bu, bir sonraki yıl 3,1 milyona düşse de devam ediyor.
ABD merkezli danışmanlık şirketi Automation Workz'ün kurucusu ve yöneticisi olan Ida Byrd-Hill "Bu çok büyük bir sektör. Bütün bu siber saldırılar ve veri sızdırmalar, siber güvenlik çalışanlarına ne kadar ihtiyaç olduğunu gösteriyor" diye anlatıyor.
(ISC)² yöneticisi Clar Rosso da "Şirketlerin aradıkları özellikler değişmeye başlıyor. Siber güvenlik alanındaki yetenek eksikliğinin farkına varan şirketler kimi işe alacakları konusunda daha farklı düşünmeye başladı" diyor ve ekliyor:
"Siber güvenlik çalışanlarına teknik bilgilerin sonradan da öğretilebileceğini, o yüzden teknik bilgiler dışındaki şeylerin daha önemli olduğunu düşünüyorlar. Bunlar analitik ve eleştirel düşünebilme, problem çözebilme, birey ve takım olarak iyi çalışabilme gibi yetenekler."
Rosso, yakın zamanda yapılan bir araştırmanın, siber güvenlik çalışanlarının yarısının IT veya bilgisayar dışındaki alanlardan geldiğini gösterdiğini söylüyor.
Sektörün en büyük şirketlerinden bazıları da o yolda.
Denetim ve danışmanlık şirketi Deloitte'ın İngiltere siber güvenlik şefi Wil Wockall "Siber güvenliğe giriş yolları çok farklılaşabilir. Bazılarının teknik konularda eğitimi veya diploması var ama bizim işe aldığımız kişilerin çoğu teknik olmayan işlerden geliyor" diyor:
"Biz yetenek geliştirmeye odaklanıyoruz. Şirketimizde bir insanın kariyeri boyunca hem teknik hem diğer yeteneklerini geliştirebilmek için programlarımız var.
"Bu geniş bir sektör. Güvenlik alanında yapılabilecek birbirinden farklı işler var.
"Son 20 yılda sektör epeyce değişti. Artık çalışanlar bir hangarda kapüşonlarını takıp teknik şeyler yapan kişiler değil. Sonuçta bu bir işletme olduğu için işletme yetenekleri olan insanların önemi artıyor."
Sektöre dışardan gelen kişilerin arasında şirketlerin kendi güvenliklerini test etmek için tuttukları beyaz şapkalı (etik) hackerlar, güvenlik adımlarını denetleyen kişiler veya tehdit istihbarat analistleri de var.
Güvenlik hizmetleri sunan Red Canary şirketinin işe alım bölümünden Melanie Kruger "Bu farklı kariyerlerin farklı özellikleri oluyor. Bazılarında mühendislik bilgisi, bazılarında ise veri işleme ve analiz yetenekleri öne çıkıyor" diyor:
"Hangi yolun doğru olduğuna karar vermek için mevcut işinizde kullanmaktan en çok hoşlandığınız yeteneklerinizin bir listesini çıkarmanızı tavsiye ederim."
Siber güvenlik alanındaki işçi açığı kısa süre içinde kapanmayacağı için uzmanlar işe alımda değerlendirilen adayların sayısını artırmanın gerekliliğini vurguluyor.
Yüksek teknoloji işlerini listeleyen Dice'ın sahibi olan DHI Group'un teknoloji şefi Paul Farnsworth "Yakın disiplinlerden insanları alarak onları yeniden eğitmek bu açığı gidermek için daha iyi bir yöntem" diyor.
İşçi bulma şirketi Robert Half'tan Jim Johnson da şirketlerin bu alanda işçi bulmak için daha fazla şey yapması gerektiğini söylüyor:
"Şirketler kendi topluluklarıyla, okullarıyla ve yerel ağlarıyla ilişkiye geçerek daha fazla yetenek geliştirmeli.
"Bunun bir yolu da öğrencilere staj veya kısa süreli çalışma imkanı sunmak. Bu öğrencilerin gelişimini hızlandıracaktır."
IBM'in güvenlik departmanında yetenek avcılığı yapan Heather Ricciuto da IBM'in birkaç yıl önce, bu alanda önceden olduğu gibi sıradan bir şekilde işe alım yapmanın yeterli olmadığını fark ettiğini anlatıyor.
"En iyi okullardan mezun olan lisans ve yüksek lisans mezunlarını işe almanın yeterli olmadığını anladık. Geleneksel olarak değerlendirmediğimiz aday profillerine de yönelmemiz gerektiğini fark ettik" diyor:
"Lise, kolej, özel kurs ve ücretsiz online eğitim mezunlarını, kendi kendini yetiştirmiş kişileri de işe almaya başladık. Ayrıca bir staj programı başlattık.
"Dünyada o kadar çok siber güvenlik çalışanı açığı var ki bütün bu işleri üniversite mezunlarıyla dolduramıyoruz. Gerekli işler için aranan yeteneklere sahip yeterli mezun yok."
Deloitte'tan Wil Rockall da farklı arka planlara sahip kişileri işe almanın çok önemli olduğunu vurguluyor:
"Tek bir yanıtı olan tek bir problemle uğraşmıyoruz. Sürekli değişen dinamik bir ortamda çalışıyoruz. Saldırganlar müşterilerimizi hedef almanın birbirinden farklı yollarını buluyor.
"Bu yüzden değişik şekillerde düşünebilen, farklı yaklaşımlara sahip kişileri işe almak bu tehditlerle daha iyi başa çıkmamızı sağlıyor."