Dr. CISSP or How I Stop Worrying and Love The Hacker
August 25, 2012 Leave a Comment
Birkac gundur yabanci guvenlik bloglarinda ve portallarda ISC2 yeni yonetim secimi ilgili bazi haberler yer aliyor. Bu sefer ilk defa dile getirilen bazi konular var secim oncesinde. Hatta ilk defa yonetime gercekten guvenlik isinin “icineki” kisiler de aday. Mevcut ve daha onceki yonetimler cogunlukla CISO veya CTO gibi ust duzey yoneticileren olusuyordu. Yani aslinda adi cok havali olup da guvenlik ile ile ilgili bilgisi onune gelen raporlardan kaptigi kadar olanlardan 🙂
Mevcut ISC2 board’una bir goz atalim:
Tabi bu sekilde risk yonetimi yapacak yoneticiler de gerekli lakin guvenlik konusunda birisinin yeterligini onaylayacak bir organizasyon soz konusu oldugunda; bu yoneticiler ancak onur uyesi yapilip mutlu edilerekhavastan izleyici koltuguna gonderilmeli.
Seerifikalada inancim olmadigini beni taniyan herkes bilir. Sebeplerinden bir kismi iceriklerinin duzgun olmayisi, bir kismi da olcmedeki yetersizlikleden kaynaklaniyor. Lakin en buyuk sebebi, kullanildigi alanla ispat ettigi seyin farkli olmasi. Ornegin penetrasyon testi yapacak bir red team’den CISSP istemek sacma. Firewall yonetecek bir adamdan “Guvenlik bilgisi olsun istiyoruz, o zaman CEH sertifikan olacak” demek mantiksiz.
Oncelikle, red team/penetration tester konusu sadece egitim alip sertifika sinavina girilerek asilabilecek bir sey degil. Bunun neredeyse tamami insanin surekli okumasi, surekli kendini guncel tutmasi, full dlsclosure’daki mailleri her gun gozden gecirmesi, her gun bir suru blogdan veya portaldan faydalanmasi, yeni cikan aciklari anlamasi, araclari denemesi, nmap cikar cikmaz yeniliklerini kendi sisteminde test etmesini, hem evasion hem de anti-evasion tekniklerindeki gelismeleri surekli takip edip canli ortamda denemesini(biraz yasadisi bir oneri olabilir, kabul ediyorum:) ); yani isin ozune tutkuyla istemeyi ve bikmadan azimle calismayi gerektirir. Alinan 40 saalik egitim icerisinde gosterilen guvenlik araclari ve ezberlenen parametreleri sonucunda girilen sinav ile alnacak bir sertifikaya baglarsaniz eger penetrasyon testini yapacak kisinin veya guvenliginizi emanet edeceginiz kisinin yeterliligini, 45 saat calisip ondan hepi topu daha fazla bilgiye sahip bir genc tarafindan hack edilirsiniz ve “Nerde yanlis yaptik? Halbuki test de etmistim” deme hakkiniz olmaz 🙂
So, why am I doing this? Simple really. An email went out Aug 21 from (ISC)2 that announced a few of the people who were seeking election to the ISC2 board. I realized that this was my chance to make a change. It’s time for me to do something about it rather than to sit idly by on the sidelines.If I’m chosen for the Board of Directors here is what I’m aiming to accomplish,1.) I want to work to restore the CISSP exam and it’s place in the community as something to be respected.2.) I want to help bring the (ISC)2 into the wider acceptance in the community and help make it a force for positive change.3.) I want to ensure that the (ISC)2 is representative and accountable to it’s membership.
Name | Announcement/Petition | Press | Sig Count | Last Updated | |
Dave Lewis | @gattaca | Vote for Dave | “@Gattaca running for (ISC)2 board, vows to restore integrity of CISSP exam“ | 205 | 8/24 08:12 |
Scot Terban | @krypt3ia | ISC2 Board Candidacy | TBD | 35 | 8/24 11:30 |
Boris Sverdlik | @jadedsecurity | Vote for Boris | TBD | 130 | 8/24 10:37 |
Chris Nickerson | @indi303 | ISC4ThePeople | TBD | >200 | 8/24 10:37 (unconfirmed) |

Recent Comments