Dr. CISSP or How I Stop Worrying and Love The Hacker

Birkac gundur yabanci guvenlik bloglarinda ve portallarda ISC2 yeni yonetim secimi ilgili bazi haberler yer aliyor. Bu sefer ilk defa dile getirilen bazi konular var secim oncesinde. Hatta ilk defa yonetime gercekten guvenlik isinin “icineki” kisiler de aday. Mevcut ve daha onceki yonetimler cogunlukla CISO veya CTO gibi ust duzey yoneticileren olusuyordu. Yani aslinda adi cok havali olup da guvenlik ile ile ilgili bilgisi onune gelen raporlardan kaptigi kadar olanlardan 🙂

Mevcut ISC2 board’una bir goz atalim:

ihtiyar heyeti :))

Tabi bu sekilde risk yonetimi yapacak yoneticiler de gerekli lakin guvenlik konusunda birisinin yeterligini onaylayacak bir organizasyon soz konusu oldugunda; bu yoneticiler ancak onur uyesi yapilip mutlu edilerekhavastan izleyici koltuguna gonderilmeli.

Seerifikalada inancim olmadigini beni taniyan herkes bilir. Sebeplerinden bir kismi iceriklerinin duzgun olmayisi, bir kismi da olcmedeki yetersizlikleden kaynaklaniyor. Lakin en buyuk sebebi, kullanildigi alanla ispat ettigi seyin farkli olmasi. Ornegin penetrasyon testi yapacak bir red team’den CISSP istemek sacma. Firewall yonetecek bir adamdan “Guvenlik bilgisi olsun istiyoruz, o zaman CEH sertifikan olacak” demek mantiksiz.

Oncelikle, red team/penetration tester konusu sadece egitim alip sertifika sinavina girilerek asilabilecek bir sey degil. Bunun neredeyse tamami insanin surekli okumasi, surekli kendini guncel tutmasi, full dlsclosure’daki mailleri her gun gozden gecirmesi, her gun bir suru blogdan veya portaldan faydalanmasi, yeni cikan aciklari anlamasi, araclari denemesi, nmap cikar cikmaz yeniliklerini kendi sisteminde test etmesini, hem evasion hem de anti-evasion tekniklerindeki gelismeleri surekli takip edip canli ortamda denemesini(biraz yasadisi bir oneri olabilir, kabul ediyorum:) ); yani isin ozune tutkuyla istemeyi ve bikmadan azimle calismayi gerektirir. Alinan 40 saalik egitim icerisinde gosterilen guvenlik araclari ve ezberlenen parametreleri sonucunda girilen sinav ile alnacak bir sertifikaya baglarsaniz eger penetrasyon testini yapacak kisinin veya guvenliginizi emanet edeceginiz kisinin yeterliligini, 45 saat calisip ondan hepi topu  daha fazla bilgiye sahip bir genc tarafindan hack edilirsiniz ve “Nerde yanlis yaptik? Halbuki test de etmistim” deme hakkiniz olmaz 🙂

Yeni ISC2 yonetimine aday olan dort kisi, benim gibi sertifikaya inanci olmayanlari kazanmak icin reputasyonunun arttirilmasi icin calisilmasi gerektigini dusunerek ve bu yonetime C-Level yoneticilerden ziyade isin basindaki guvenlik uzmanlarnin girmesi gerektigine inanarak tasin altina ellerini koymuslar.
Bunlardan birisi Dave Lewis(@gattaca). Adayligiyla ilgili aciklamasi da su sekilde;
So, why am I doing this? Simple really. An email went out Aug 21 from (ISC)2 that announced a few of the people who were seeking election to the ISC2 board. I realized that this was my chance to make a change. It’s time for me to do something about it rather than to sit idly by on the sidelines.
If I’m chosen for the Board of Directors here is what I’m aiming to accomplish,
1.) I want to work to restore the CISSP exam and it’s place in the community as something to be respected.
2.) I want to help bring the (ISC)2 into the wider acceptance in the community and help make it a force for positive change.
3.) I want to ensure that the (ISC)2 is representative and accountable to it’s membership.
Dave ile birlikte agni sekilde isin icinden elen adaylar ise son olarak su sekilde[1] ;
Name Twitter Announcement/Petition Press Sig Count Last Updated
Dave Lewis @gattaca Vote for Dave @Gattaca running for (ISC)2 board, vows to restore integrity of CISSP exam 205 8/24 08:12
Scot Terban @krypt3ia ISC2 Board Candidacy  TBD 35 8/24 11:30
Boris Sverdlik @jadedsecurity Vote for Boris  TBD 130 8/24 10:37
Chris Nickerson @indi303 ISC4ThePeople  TBD >200 8/24 10:37 (unconfirmed)
Gattaca ve diger isin teknik tarafindan gelen adaylar, CISSP ve diger sertifikalara inancim neden yoksa, ayni sebepten oturu yonetime aday oluyor: saygi duymami gerektirecek kadar seviye belirleyici degil.
Turkiye’de durum nasil diye bakacak olursak.. henuz CISO kavramini zaten goremiyorum. Guvenlik C-Level duzeyde temsil edilmedigi icin pek boyle sorunlarimiz yok 🙂
Lakin sertifikalara bakis ve yaklasim, bunlari sanki sihirli degnek olarak gormek yonunde. Ayni adam dun hic bir sey bilmezken, 1 hafta sonra 40 saat egitim + sertifikayi kapinca adam yerine konuyorsa; orada bizim adamin da sertifikanin da sucu yok. Her elde gezeni sihirli degnek zannedenlerin kabahati 🙂
CISSP nisbeten daha zorlu bir surec, dogru. Fakat su CISSP sahiplerinden kaci benim genc, yetenekli, cocukluktan beri tutkuyla bu ise sarilan hacker ile basa cikabilir veya boy olcusebilir? Modern zamanlarda CISSP ve benzer sertifikalar, sadece ihalelerde dosyaya koyulan evrak, is basvurularinda bu mevzulardan anlamayan IK’nin gozune sokusturulan belge disinda bir sey degil. Umarim bu durum degisir ve benim coook eskiden imrendigim, saygi duydugum zamanlarindaki reputasyonuna sahip olur.
Nihayetinde, en guzel olcu, sizin kendinizi bilmeniz ve komunitenin sizi konumlandirdigi yer. Gerisi bos 🙂
Hepinize Chris Eng’den gelsin 🙂

Comments are closed.