Eğitimde Yeni Bir Soluk: Hackathon Formatıyla Kurumsal Kasları Geliştirmek

Yıllardır bu sektörün içindeyim, elimden binlerce gence, deneyimli profesyonele bilgi aktardım. Yazılımın mimarisinden, güvenliğin inceliklerine, operasyonun karmaşıklığından, ekip çalışmasının dinamiklerine kadar pek çok farklı alanda sahada gördüklerimi anlatmaya, öğretmeye çalıştım. Bu süreçte en net gördüğüm gerçeklerden biri şu oldu: Şirketlerimizin her birimi tek başına birer olimpiyat takımı gibi. Siber Güvenlik uzmanlarımız kale gibi, Yazılımcılarımız en karmaşık problemleri çözebiliyor, Monitöring ekiplerimiz sistemin nabzını tutuyor, SLA birimlerimiz müşteriyi memnun etmek için didiniyor, Analistlerimiz veri denizinde yol alıyor... Tek tek bakınca hepsi Olimpos'un zirvesinde.

Ama gel gör ki, bu güçlü kaslar bazen aynı anda, aynı yöne hareket etmede zorlanıyor. Herkes kendi alanında "haklı" olabilir, kendi perspektifinden bakınca "doğru"yu görüyor olabilir, ama resmin bütününe bakınca, o kurumsal bütünlükte çatlaklar oluşabiliyor. Bir fırtına çıktığında, o güçlü kasların birbiriyle koordineli çalışması şart. Aksi halde, en güçlü gemi bile alabora olabilir.

İşte tam da bu noktada, geleneksel eğitim modellerinin sınırlarını zorlamamız gerektiğini fark ettim. Sadece teknik bilgi aktarmak yetmiyor. Ekiplerin birbirinin dünyasına girmesi, birbirinin gözünden bakması, "neden" sorularının cevaplarını birlikte araması gerekiyor. Ve bunu en etkili sağlayan formatlardan biri, bence, Hackathon formatında kurgulanmış bir deneyimsel eğitim.

Bu bildiğimiz 'hadi sabaha kadar kod yazalım' hackathon'larından biraz farklı. Daha çok, bir sorunu veya krizi merkeze alan, 360 derece bakış açısıyla ele alan bir simülasyon ve iş birliği platformu.

Gelin, bu formatı bir örnek üzerinden, en sancılı alanlardan biri olan siber güvenlik krizi yönetimi üzerinden anlatalım. Senaryomuzun adı çarpıcı: "SUÇLU KİM?"

Şirketimizin başına gelmiş en kötü kabusu yaşıyoruz: Siber güvenlik ihlali! Sistemimizde bir sızıntı oldu, müşterilerimizin kritik bilgileri çalındı. Daha da beteri, haberlere çıktık, manşetlerdeyiz. Kurumsal itibarımız yerle bir olmak üzere. Elbette teknik ekiplerimiz hızla toparlanmak için seferber oldu, yamalar yapılıyor, erişimler kesiliyor. Ama asıl soru şu: Bu neden oldu? Nereden kaynaklandı? Bu duruma nasıl düştük?

Bu sorunun cevabını bulmak için aylarca süren, silo bazlı analizler yapabiliriz. Güvenlik ekibi kendi araçlarına bakar, yazılımcılar kodları didik didik eder, operasyon loglarda boğulur. Belki bir gün, olayın kök nedenini buluruz. Ama ya bir sonraki kriz? Müşteri güvenini kaybedersek, telafisi çok zor olur. İşte eğitim hackathon'umuz tam bu noktada devreye giriyor.

Senaryo bu sert girişle başlar. Tüm birimlerden temsilciler aynı odada, aynı sanal platformda, aynı "krizin" içinde buluşurlar. Ben, o deneyimli eğitmen/moderator olarak, o anki rollere göre mentorluk yaparım. Konumuz net: SUÇLU KİM?

İlk adımda, genellikle kod seviyesine ineriz. Örneğin, ihlale neden olabilecek OWASP Top 10 zafiyetlerinden birini barındıran temsili bir kod parçası açılır. Ben kodları yorumlamaya başlarım, sorular sorarım: "Burada Secret neden doğrudan kod içine yazılmış olabilir?", "Bu bilgi neden Environment değişkeninden okunmuyor?", "Şu küçücük kod satırı sizce ne tür bir güvenlik riski taşıyor?"

Yazılım ekibi kendi bakış açısını anlatır: Neden o kurala o an uyamadılar, zaman baskısı mı vardı, bilgi eksikliği mi? Diğer birimler dinler. İlk defa, bir yazılımcının dünyasındaki zorlukları, güvenlik kaygılarını veya gözden kaçırdıklarını birinci elden duymaya başlarlar. "Heh, demek kodun içinde bırakılan o küçücük debug satırı koskoca bir kapı aralayabiliyormuş!" aydınlanmasını yaşarlar.

Sonra aynı sorunu bir seviye yukarı taşırız: YAML dosyaları, container yapılandırmaları. Mükemmel görünen bir deployment tanımının içinde yatan güvenlik açıklarını inceleriz. Ve sonra... Test ve güvenlik araçlarını devreye alırız. Birden ekranlar on binlerce uyarı, kritik alarmla doluyor! Sistem sağlıklı görünürken, araçlar bambaşka bir dünya gösteriyor. Birlikte o alarmların bir kısmını yorumlarız. Hangisi yanlış pozitif? Hangisi gerçek tehdit? Neden bu kadar çoklar?

Sıra Monitöring ekibine gelir. Ve şok edici gerçek ortaya çıkar: Sistem yanıyor, ortalık yangın yeri ama Monitöring ekranları buz gibi, sular durgun! Yaprak kımıldamıyor. Neden mi? Çünkü yazılımcı ekipleri, hızla yayına alırken kritik metrikleri, logları sisteme entegre etmeyi "atlamışlar". Monitöring ekibi kör ve dilsiz kalmış. Onların da suçu yok, göremediklerini izleyemezler ki!

Derken Müşteri SLA ekipleri konuşur: "Biz sorunu ilk müşteriden duyduk! Onlar bize bağırmaya başladığında anladık bir şeyler olduğunu!" Onlara da sorun akışı tam ve zamanında sağlanamamış. Bilgi akışındaki kopukluk, krizin büyümesine zemin hazırlamış.

Peki tüm bunların SUÇLUSU KİM çıktı dersiniz? Odanın içindeki bir kişi mi? Bir ekip mi?

Hayır.

Genellikle suçlu, sistemin kendisi çıkar. Yıllar içinde birikmiş teknik borç, tepe yönetimden bir yöneticinin "O sistemi elleme, çalışıyor işte" dediği için güncellenmeyen, güvenlik açıkları zamanla birikmiş bir kritik bileşen... Mikro segmentasyonla bir şekilde izole kalmayı başarmış ama bir YAML dosyası güncellemesi, yeni bir deployment sonrası networkte gezinmeye başlayan bir solucan veya fidye yazılımı... Domino etkisi yaratan, sanallaştırma sistemlerindeki tek bir anlık hata...

Ya da en acı verici olanlardan biri: Cuma akşamı mesai bitimine doğru yapılan o "acil" deploymentlar... Deneyimsiz ekiplerin, zaman baskısıyla, gerekli testleri tam yapamadan yayına aldığı yamalar... Geride kalan o minik güvenlik açıklarının zamanla büyümesi...

İşte bu hackathon formatındaki eğitim, tüm sistemi eksiksiz görmemizi sağlar. Herkesin kendi "haklı" olduğu noktaları, ama aynı zamanda o haklılıkların bütüne nasıl zarar verdiğini, bilgi akışının nerelerde koptuğunu, süreçlerin nerede işlemediğini bizzat yaşayarak görmelerini sağlar.

1-2 gün süren bu yoğun, etkileşimli deneyim sonrasında, odaya giren her katılımcı artık bir diğerinin işine karşı tarif edilemez bir empati kurmuş olur. Yazılımcı operasyonun neden bu kadar titiz davrandığını anlar, güvenlik uzmanı iş birimlerinin neden hızlı ilerlemek istediğini görür, monitöring ekibi izlemesi gereken kritik noktaları öğrenir, yönetim ekibi ise teknik detayların işin bütününe etkisini idrak eder. Soruna sadece kendi penceresinden değil, tüm pencerelerden bakabilme yetisi kazanırlar.

Bu tür eğitimler, yılda 2-3 defa, farklı senaryolarla (belki bir performans krizi, belki yeni bir ürün lansmanının getirdiği operasyonel zorluklar) mutlaka uygulanmalı. Hatta ve hatta, şirkete yeni katılan her çalışanın, hangi pozisyonda olursa olsun, bu "kurumsal anayasa" niteliğindeki eğitime katılması sağlanmalıdır. Çünkü bu eğitimler, sadece teknik beceriyi değil, aynı zamanda kurumsal kültürü, iş birliğini ve kriz anında nasıl omuz omuza durulması gerektiğini öğretir. İşte gerçek etki burada yatar.