Skip to main content
Size siber güvenlikte kariyer yapma yollarını ve kendi kişisel düşüncelerimi aktaracağım IT ile ilgili bölümlerden yeni mezun olanlar veya IT okumaya yeni başlayanlar, ne yapmak istediklerini az çok biliyorlar ya da öğretim görevlilerinden ve meslektaşlarından öğrenecekler. Hiçbir eğitim sizi gerçek bir işe hazırlayamaz, tabii öğretim üyesi olmazsanız ;) Yüksek öğrenim sadece bir giriş noktasıdır. Yanlış anlamayın, üniversite çok şey öğretir ve iyidir, sadece iş dünyasında bundan daha fazlasına ihtiyacınız vardır. Kendine saygı duyan her şirket, öğrenim görmüş kişileri işe alır veya staj sunar ve ardından iş piyasasından etkilenmemiş, sunulan koşullarda çalışacak ve belki de yıllar sonra başka yerlerin daha iyi olduğunu fark edecek taze beyinleri hemen işe alır. Her zaman değil, ama çoğu zaman. Şirketler genç çalışanlarını eğitir, yetiştirir ve iyi performans göstermelerini sağlar. Eğer üniversitede kendinizi teknik açıdan kanıtlayacak düzeydeysen(üniversite not ortalaman kimsenin sikinde değil) ve biryerde staja başladıysan, Türkiye’de iş bulmak zor diyorsun ya şirketlerden iş teklifleri aldığın zaman göt olacaksın nedenmi? Bu durum özellikle bir çalışanı belirli bir pozisyon için uzmanlaştırmak için çok para ve zaman gerektiren sektörlerde görülür. Örneğin, siber güvenlikte durum böyledir. SOC departmanında göreve başlayan çoğu yeni çalışan, sadece birkaç ay sonra diğer şirketlerden aynı veya daha iyi pozisyonlar için teklifler alır. Bunlar, zorlu bir işe alım sürecinden geçmiş, birkaç ay boyunca her yerde aynı olan temel bilgileri öğrenmiş ve tekliflerle boğulmaya başlayan 3-5 aylık kıdemsiz çalışanlardır. Siber güvenlik alanına giren herkes para için girer, bu yüzden böyle birine biraz daha fazla teklif ederlerse koşa koşa iş başı yapar.
Türkiye’de çoğu siber güvenlik çalışanın tek vasfı diploma ve sertifikalar, bunu şirketler çok iyi biliyor. Hiçbir proc ortamda etkileşimi olmamış pentester, darkweb hakkında tek bildiği baso izlemek olan CTI çalışanı, Blue alanında iş yapan adamın tek vasfı kod analizi… Bu dediklerimi aklınızda tutup linkedinde şirketlerde çalışan siber güvenlikçilere bakın kaçının githubu dolu? Kaçı sence “Ben illegal olacam” diyince birşeyler becerebilecek kişiler?
Siber güvenlik alanında değerli bir çalışan olmak için zorunlu sertifikaları almanız, süresi dolan sertifikaları yenilemek için CPE puanları toplamanız ve bir sonraki sertifikalar için ödeme yapmanız gerekir. İş, işi yönlendirir. Tüm kursları finanse eden bir şirkette çalışmıyorsanız, fiyatlar korkutucu olabilir. Zaten işe girmeyi başardıysanız, şirketin yıllık hedefleri gereği yılda en az iki sertifika almanız ve bunun ücretini ödemeniz gerekir. Sertifika almakmanın artıları ve eksileri vardır. Başlangıçta, sadece artıları vardır, çünkü bunları (eğitimleri ve sertifikaları) olduğu gibi kabul edersiniz ve şirketin eğitim oturumları ve sınavlar için size binlerce dolar ödediğinden mutlusunuzdur. Ayrıca, her sınav hazırlık kursunda neredeyse 1 hafta işten uzak kalırsınız :) Temel bilgi ve teori önemlidir. IOS/OSI katmanlarını, paketlerin nasıl oluşturulduğunu, kapsülleme nedir, ağ alt ağlarını nasıl hesaplayacağını veya Wireshark çıktısındaki tüm bu karmaşık şeyleri anlamadan iyi bir ağ mühendisi olamazsın. Bazı şirketlerde yine de ağ mühendisi olabilirsin, ama en iyisi olamazsın :) Sertifikalarınızı alın, kendinizi geliştirin. En önemli şey, bir kariyer yolu seçmektir. Bilgisayar bilimi o kadar geniş ki, her şeyi asla öğrenemezsiniz, daha ileri ve daha derine gidebilmek için temeller önemlidir. Üstelik, siber güvenliğe girdiğinizde, bunun da IT kadar geniş bir alan olduğunu görürsünüz. Süper bir malware analisti ve aynı zamanda bir tehdit avcısı, pentester olamazsınız ve ayrıca SOC olarak serbestçe işleyemezsiniz. Tabii ki, belki bir dahisiniz ve hepsini aynı anda uzman düzeyinde yapabilirsiniz, o zaman muhtemelen bu blogu okumuyorsunuz ve benim tavsiyeme ihtiyacınız yok. Temel bilgilerle başlayın, savunmanın nasıl çalıştığını, mekanizmaların neler olduğunu, SOC ların nasıl çalıştığını öğrenmek için blue team ile başlayın. Bu alanda temel analiz, araçlar ve prosedürlerle karşılaşacaksınız. Tüm hatların nasıl çalıştığını ve ekiplerin nasıl birlikte çalıştığını göreceksiniz. Ayrıca şirketin parasıyla bazı giriş sertifikaları ve kursları almak için zamanınız olacak. Böyle bir ortamda, hangi yöne gitmek istediğinize karar vermek için en iyi şansa sahipsiniz. Belki de hayatınız boyunca bir pentester olmak istediniz, ancak köşede aynı komut dosyalarını tekrar tekrar çalıştıran ve kimsenin okumadığı 100 sayfalık raporlar yazan sakallı, bira kokan adamı gördüğünüzde, malware analizinin daha ilginç ve dinamik olduğu veya socun hayatınızın tamamı olduğu sonucuna varacaksınız. Siber güvenlik kariyer yolunuzu oluşturmaya başladığınızda, Paul Jerimy tarafından oluşturulan bu Siber GüvnlikSertifikası Yol Haritası işinize yarayabilir. Zorluk seviyesine ve siber güvenlik yetkinlik alanına göre gruplandırılmıştır. Bağlantılar ve fiyatlar mevcuttur içlerinde ücretsiz olanlarda var. Seçici olup sadece teorik bilginizi değil, eJPT gibi pratik becerilerinizi de test eden pratik sertifikasyonları tercih edin. Ha birde “6 ay kurs sonunda işe sokuyoruz”, “Kariyer garantili” kurslara sakın inanmayın, verdikleri eğitimlerde berbat, yaptıkları koçluklarda. Bildiğiniz ve yapabileceğiniz tek şey, sıkı çalışmak, okumak ve yıllarca pratik yapmaktır. Yapacağınız işin hayatınızın bir parçası olduğunu, fakat en önemli parçası olmadığını unutmayın.
Enay sen ne yapacaksın soranlara
Bende o noktaya tam gelemedim, hangisinden tam anlamı ile zevk alıyorum bilmiyorum, elim boşken darkwebte boş boş gezmek, site patlatıp veri çekmek hoş geliyor(!)
Birgün şirketlerin birinde işe girersem o zaman düşünürüm hangi alanda çalışsam diye. Son tavsiyem, yaptığınız iş her ne olursa olur o işin felsefesini benimseyin, o iş sizin hayatınızın bir parçası olacak bunu unutmayın.

Felsefe bilmeyen insan, edebiyatçı da politikacı da olamaz. Felsefe bilmeyen bir asker, belki savaşı kazanabilir ama savaşı anlayamaz.
-Halaskar Gazi Mustafa Kemal Atatürk