13 Nisan 2012 Cuma

Güvenlik Yöneticisi

İş Tanımı
Güvenlik rolü kuruluşlar arasındaki sorumlulukları ve standart görevleri açısından sektörde en azından bir kısmı uyumlu olmasını tanımlar. Öncelikle bu rolün tarihsel evrimine göre bir zamanlar güvenlik becerilerine öncelik verildiğinden, daha derin teknik bilgisi olan iş adayları bulunmuştur. Günümüzde bazı roller doğasında daha teknik ve bazı roller ise politika tabanlı olabilir. Birçok durumda iki tür beceride istenebilir, fakat kuruluşlar arasında teknik derece, iş değişikliğine karşıdır.

Teknik Güvenlik
Sunucu ve bilgisayar anti-virüs, e-posta filtreleri, web içeriği filtreleri, yedekleme, güvenlik duvarları, saldırgan tespit/önleme sistemleri, yama yönetimi ve erişim listeleri gibi altyapı bileşenleri için destek, kurulum ve bakım hizmetlerini sağlamak.

Güvenlik Politikası
Güvenlik politikası, strateji, risk değerlendirmeleri, olaylar ve denetimlerde ilgili araştırmayı oluşturmak ve güncellemek.

Görev ve Faaliyetleri
  • Güvenlik araçlarını yapılandırmak, desteklemek ve değerlendirmek.
  • Mimari tasarımları gözden geçirin ve ilgili güvenlik standartlarına uygunluğunu değerlendirin.
  • Riskleri azaltman için güvenlik denetimleri yapmak ve öneriler sunmak.
  • Güvenlik standartları ve politikası konularında bilgi ve uygulama.
  • Güvenlik duvarları, İçerik Motorları, Saldırı Algılama veya Engelleme Sistemleri için çözüm tasarlamak, yapılandırmak veya destek sağlamak.
  • Anti-virüs yazılımı yapılandırmak ve destek sağlamak.
  • Yama yönetim sistemleri yapılandırmak ve destek sağlamak.
  • Dosya kurtarma ve iş sürekliliği uygulamaları hakkında bilgi.
  • İşletim sistemleri ve kurumsal yama yönetimi konusunda bilgi.
  • SNMP, HTTP, HTTPS, SMTP, NTP, LDAP, KERBEROS, RADIUS ve FTP gibi yaygın protokoller hakkında bilgi.
  • Değişiklik yönetimi uygulamalarını anlamak.

Genel Bir Bakışla Rolü

Beceri, Bilgi & Deneyim
  • Güvenlik duvarı  konusunda orta-uzman derecede bilgi.
  • IDS/IPS hakkında orta-uzman derecede bilgi.
  • Virüs koruması &  içerik filtreleme konularında orta-uzman derecede bilgi.
  • Güvenlik politikası hakkında orta-uzman derecede bilgi.
  • İş uygulamalarını anlamak.
  • Bilgi yönetimi ve veri sınıflandırma konularını anlamak.
  • Güvenlik olaylarla ilgili araştırma.
  • Güvenlik stratejisi.
  • Risk değerlendirmesi.
  • Politika geliştirme.
  • Denetimler.

Örgütsel Pozisyon
Bu pozisyon genellikle Sunucu Yöneticileri veya Ağ Yöneticileri gibi teknik uzmanlar veya diğer güvenlik uzmanlarıyla bir takım halinde çalışmalıdır. Bu rol aynı zamanda idari veya stratejik ekipler ile güçlü bir iletişim içermelidir.

Şekil 1. Organizasyonda Güvenlik Yöneticisi

Nitelikler & Sertifikalar
İşletim sistemleri ve BT donanım sertifikaları yararlı olabilir fakat genellikle gerekli değildir. Not: Sertifikaların çeşitliliği iş tanımı üzerindeki açıklanan güvenlik görevlerinin çeşitliliği yansıtıyor.

İlgili sektörler şu sertifikaları içerebilir;
  • SSCP (Systems Security Certified Practitioner)
  • CISSP (Certified Information Systems Security Professional)
  • CISA (Certified Information Security Auditor)
  • CISM (Certified Information Security Manager)
  • CompTIA Security+
  • RSA/CA (RSA Certified Administrator)
  • CCSA (Check Point Certified Security Administrator)
  • CCSP (Cisco Certified Security Professional)
Temel Yetkinlikler
Yargılama & Karar Verme
Durum Analizi
Özel Teknik Bilgi

Mükemmel Güvenlik Yöneticisinin Nitelikleri
1. Bu roller hemen hemen her zaman bir güven konumdadır, bu nedenle bir etik duygusu yüksek işveren tarafından aranabilir. Bu nedenle işveren tarafında etik duyguları yüksek kişiler aranabilir.

2. En başarılı güvenlik operasyonu bunu etkisiz hale getirdikten sonra araştırmanın yanında bu olayı önleyen, bu rol için önleyici tedbirlerin uygulanması için çalışmalıdır.

İşverenler İçin Pozisyon ve İş Tutma Stratejileri İçin Ortam
Bir süre için güvenlik işleri tabiri caizse ‘Hollwood büyüsü’ derecesindeydi. Ama birçok durumda çalışanların işin gerçeği konusunda fikir edindiklerinde hayal kırıklığı yaşanabilir. Bu nedenle, işverenler de iş adayları için günlük görevleri gerçekçi bir beklenti var.

Ayrıca güvenlik yöneticileri, diğer teknik mühendislik bölümleri ‘engel’ olarak görür ve dolayısıyla teknoloji toplumundan izole olabilir. İşverenler bölümler arasında görev ve sorumlulukları açıklığa kavuşturup, gruplar arasında iletişimi sağlayarak ekipleri arasında gerginlik önlemek için açık ve sağlıklı kalmasını sağlamalıdır.

Hiç yorum yok:

Yorum Gönder