Tuğba ÖZTÜRK – Bilgi Güvenliği Direktörü, Çalık Holding

1981 Adana doğumluyum. Öğrenim hayatımı 2002 yılında Doğu Akdeniz Üniversitesi Bilgisayar Mühendisliği’nde tamamladım, 20 yıldır telekomünikasyon, finans, e-ticaret ve perakende gibi alanlarda faaliyet gösteren kuruluşlarda Bilgi Güvenliği ve Siber Güvenlik alanında çalışıyorum.

Bilgi Teknolojileri Güvenliği deyince, çok kişinin aklına hacker’lık yapmak, saldırı testleri yapmak geliyor. Gerçekte Bilgi Teknolojileri Güvenliği neyi içerir?

Teknoloji, insan ve süreçten oluşan üçlü bir zincirin herhangi bir zayıf halkasından kaynaklanabilecek zafiyetleri zamanında fark etmeyi, bu zafiyetlerin tehditlerle buluşmasını yani riskin gerçekleşmesini engellemeyi içerir. Bilgi güvenliği alanı, sadece teknolojiden kaynaklanan risklerle ilgilenmez. Örneğin güvenli süreçler tasarlamamız, insanları güvenlik risklerine karşı eğitmemiz gibi faaliyetleri de kapsar. Elbette “Bilgi Teknolojileri Güvenliği” denince herkesin aklına “hack” gelmesi normal, güvenlik profesyonellerinin birincil görevidir siber dayanıklılığı sağlamak. Fakat sadece “Teknoloji’nin Güvenliğini Sağlama” faaliyeti ile sınırlandırılamaz. 

Sen bu alanı nasıl seçtin ve hangi özelliklerin bu alanda böyle başarılı olmana yardım etti?

80’lerde doğanlara nazaran bilgisayarla çok geç buluştuğumu söylemeliyim. En büyük avantajım matematiği çok sevdiğimi bilen eğitimli bir annenin evladı olmam ve üniversite tercihlerimi yaparken doğru yönlendirilmem. Üniversiteden mezun olduğumda güvenlik kavramları ülkemizde hala yeniydi, henüz bu boyutta siber saldırıları gazetelerde okumuyorduk. Bu nedenle kariyerime yazılım uzmanı olarak başladım, ama zaman içinde güvenliğin önemini bizzat fark edince kendi merakım ve yöneticilerimin de desteği ile bu alana yöneldim.  Bana bu alanda destek olan ve fırsat tanıyan yöneticilerim, sorularımı yılmadan yanıtlayan ekip arkadaşlarım bu alanda başarılı olmamı sağlayan en önemli faktörlerdir.

Bir Bilgi Teknolojileri Güvenliği Direktörünün bir günü nasıl geçer?

Ekiplerden güvenlik projelerinin gidişatını, iş listelerindeki görevlerin durumunu toplar değerlendiririz. Diğer yöneticiler ve paydaşlarla sürekli risk değerlendirme görüşme ve toplantılarımız olur. İhtiyaç duyduğumuz güvenlik teknolojileri ve servislerini bünyemize katabilmek için yaptığımız incelemeler, araştırmalar, kabul testleri, vendor görüşmeleri, satın alma ve sözleşme süreçleri zamanımızın çoğunu alıyor. Belirli bir seviyenin üzerine çıkan bir güvenlik alarmı veya açığı varsa üzerinde ekiple birlikte çalışır, araştırırız. Kurum güvenlik politikalarını belirleme, geliştirme, değişiklik yönetimi gibi süreçlere liderlik etme gibi günlük aktivitelerimiz de var. Bunlar bir siber saldırı veya sıfırıncı gün açığı olmadığında yürüttüğümüz günlük aktiviteler elbette 😊

Bir kadın olarak teknoloji alanında ve çalıştığın spesifik alanda zorluklarla karşılaştın mı? Karşılaştıysan bunları nasıl aştın?

En büyük zorluk aslında hem cinslerimizin hala bu alanda sayıca çok az olması. Maalesef toplumsal cinsiyet kodlarının etkisini ben de kariyer hayatımın ilk yıllarında çokça yaşadım. Hala erkek egemen bir çalışma ortamındayız her ne kadar 20 yıl öncesine nazaran sayıca artsak da; ağ, alt yapı, sistem yönetimi ya da güvenlik gibi uzmanlık alanlarında kadınlar sektörü, sektör de kadınları tercih etmiyor. Kadınlar teknolojide genellikle satış, analistlik, yazılım uzmanlığı gibi alanlara yöneliyor.

Bu durumun da özellikle fazla mesai, ev ve özel hayatın getirdiği sorumluluklar açısından dezavantaj sunduğu için böyle olduğunu düşünüyorum. Eve zamanında ulaşıp yemek, temizlik yapmak veya  eşe ve çocuğa bakım vermek gibi yükümlülüklerin sadece kadına yüklendiği bir döngüden farklı bir sonuç çıkmasını bekleyemeyiz.

Aslında sanılanın aksine canlı geçiş çalışmaları, büyük çaplı sistem değişiklikleri veya siber saldırı olmadıkça bizler de iş özel hayat dengesini kurabiliyoruz. Zaman içinde profesyonelleştikçe ve ekiplerimizi büyüttükçe bu tür sorunlarla daha az karşılaşıyoruz.

Kadınların hangi özellikleri bu sektörde avantaj sağlıyor ve sence kimler için bu alan uygun olur?

Kadınların özellikle detaycılıkta, bütünü ve parçayı ayrı değerlendirebilmekte ve işi takip etmekte avantajlı olduğunu düşünüyorum. Özellikle güvenlik politikalarını uygulatmada ve risklerin aktarımında ihtiyaç duyduğumuz ikna ve müzakere becerileri gelişmiş, araştırmacı, öğrenmeye açık kadınlar için çok doğru bir alan olduğunu düşünüyorum.

Sektörde, güvenlik  alanını tanımak ve bu alanda çalışmak isteyen veya çalışan kadınlara neler önerirsin?

2021 yılında yaklaşık 16 milyar dolarlık büyüklüğe sahip olan küresel siber güvenlik pazarı, nitelikli siber güvenlik uzmanı eksikliği nedeniyle krizde. Sadece ABD’deki siber güvenlik uzmanı açığı 464 bin, her üç siber güvenlik uzmanı pozisyonundan biri boş. Bu kadar istihdam olanağının bulunduğu bir pazarda mutlaka kadınlar olarak bizim de bulunmamız ve temsil edilmemiz lazım. Bu alanda çalışan her kadının da en az bir öğrenciye hem kariyer hem de teknik gelişim açısından destek olması gerektiğini düşünüyorum. Bu çalışmalarda ben de aktif görev alıyorum ve SheLeadsSec, SheLeadsTech gibi gruplarımızın böyle öğrenci ve genç meslektaşlarımızın bizlere ulaşabilmesine olanak sağlaması nedeniyle çok mutluyum.

Bu alanda çalışmak isteyen kadınlara önerim, mutlaka bu alanda araştırma yaparak başlamaları. Pek çok kuruluş siber güvenlik kampları, yarışmaları, burslu eğitimler veriyor. İngilizce okuduğunu anlayan, bilgisayara ve internete ilgi duyan, öğrenmeye açık herkese uygun bir alan, yeter ki sabır ve azim olsun.