it-swarm.dev

Quali sono i percorsi di carriera nel campo della sicurezza informatica?

Che tipo di posti di lavoro ci sono, in quali organizzazioni, con quali tipi di responsabilità quotidiane?

Quali aree sono buone per le persone che escono da scuola, rispetto a quali sono le buone carriere di 2a persona per persone esperte che provengono da varie discipline?

85
nealmcb

Per quanto la nicchia sembri "sicurezza", in realtà comprende alcuni tipi principali di ruoli e un paio di aree di copertura. Questi sono in realtà abbastanza diversi ...

Ruoli comuni:

  • Dipartimento di sicurezza IT aziendale
    Questi ragazzi di solito si occupano principalmente di applicazione delle politiche, audit, consapevolezza degli utenti, monitoraggio, alcune iniziative a livello aziendale (ad es. SIEM, IdM, ecc.) E una risposta occasionale agli incidenti. Probabilmente fornisce anche un PoV di sicurezza sull'acquisto di prodotti di terze parti (COTS o FOSS) e in qualsiasi RFP in outsourcing.
  • Team di sicurezza nel gruppo di sviluppo (in azienda o nei negozi di sviluppo)
    Si occupa principalmente dell'istruzione e della formazione del programmatore, di alcuni test di sicurezza (o della gestione di test esterni, vedi sotto) - questo include sia il pentesting che la revisione del codice, forse la definizione delle funzionalità di sicurezza. Alcune organizzazioni avranno il team di sicurezza che gestisce anche i rischi, partecipa alla modellazione delle minacce, ecc.
  • Consulente esterno/revisore contabile/tester di sicurezza
    Questo di solito copre, in qualche modo, tutto quanto sopra, molto spesso con un'enfasi su test di penetrazione, revisioni del codice e audit per la conformità normativa (ad es. PCI). Inoltre, in qualità di esperto di sicurezza, si rivolge a ragazzi per gli altri tipi di organizzazioni, come fornire tutti i consigli pertinenti .... quindi di solito si aspettava (anche se non necessariamente il caso ;-)) di essere più aggiornato di chiunque altro.
  • Ricercatore
    Ciò può includere la ricerca a livello accademico, come i crittologi, e anche i dipartimenti di ricerca in alcuni dei maggiori fornitori di sicurezza, la ricerca e la ricerca di nuovi exploit/virus/attacchi/difetti/modelli di mitigazione/ecc. Questi possono effettivamente essere alquanto diverso, la ricerca del fornitore viene spesso trattata come sviluppo del prodotto, mentre la ricerca accademica - beh, non posso davvero parlarne, dal momento che non so ...

Allo stesso modo, in tutto quanto sopra ci sono diverse aree di competenza e un esperto in una non avrà necessariamente nulla di intelligente da dire in qualsiasi altra area:

  • Sicurezza di rete, ad es. router, firewall, segmentazione della rete e architettura, ecc.
  • Sicurezza O/S, che è ovviamente ulteriormente suddivisa in base al sapore O/S (vale a dire l'esperto di sicurezza di Windows e gli esperti di sicurezza di Linux potrebbero non sapere molto delle cose reciproche).
  • Sicurezza dell'applicazione - ovvero come programmare in modo sicuro (che potrebbe essere necessario per suddividere in base a lingua, tecnologia, ecc.), Ma anche attacchi a livello di applicazione, per esempio Attacchi Web, ecc.
  • Esperti di gestione del rischio: più focalizzati sul lato aziendale, meno su quelli tecnici
  • Responsabili della conformità: alcuni posti sono dedicati e sono esperti di tutte le normative pertinenti e simili (si noti che si tratta di un lavoro simile a quello di un avvocato limite!)
  • Architetti dell'identità: per organizzazioni più grandi e attente alla sicurezza, che hanno implementazioni IdM complesse e simili ...
  • Esperti di auditing e medicina legale, si occupano principalmente di SIEM/SIM/SOC, e anche di indagini dopo il fatto.

Inoltre, ci sono alcuni specializzati nella costruzione di sistemi sicuri (ad ogni livello dello stack) e altri che passano il loro tempo a romperli - e non è sempre competenza condivisa.

Probabilmente ci sono ancora più nicchie di nicchia su cui sto saltando, ma stai cominciando a ottenere l'immagine ... Come puoi vedere, ciò che un ragazzo o una ragazza della sicurezza fa ogni giorno è così ampio e variavano in base alle aziende in cui lavorano e ai sistemi su cui lavorano. Molto spesso, questo richiede di spostare diversi cappelli e lavorare principalmente su compiti brevi ... MA ciò che rimane lo stesso (di solito) è il requisito di concentrarsi sui rischi (e sulle minacce), sia che si tratti principalmente di un lavoro tecnico nel definire le regole del firewall o comunicare con i tipi di business e di avvocato sull'attuale posizione di sicurezza dell'organizzazione.

Come entrare nel campo? Idealmente, hai qualche esperienza (preferibilmente competenza) in qualche altro campo, che puoi specializzare in sicurezza.
Sei stato ingegnere di rete? Ottimo, inizia concentrandoti sulla sicurezza della rete e vai da lì.
Attualmente sei un amministratore di sistema? Fantastico, probabilmente hai già lavorato un po 'sulla sicurezza, inizia a imparare di più in quel campo.
Stai programmando da quando eri un bambino e vuoi passare alla sicurezza? Fantastico, avresti già dovuto conoscere la convalida dell'input, la crittografia, la mitigazione delle minacce, l'accesso sicuro al DB, ecc ... Ulteriori informazioni, scopri cosa ti perdi e quindi chiamami ;-).
E così via ... D'altra parte, se non hai un background e vuoi INIZIARE in sicurezza, è più difficile - perché come ho spiegato, il più delle volte i ragazzi della sicurezza dovrebbero essere l'esperto su qualunque cosa sia. Puoi provare a far parte di un team di pentesting e crescere da lì ... La parte importante è concentrarsi sulla gestione del rischio (e, per il tecnico, sulla modellizzazione delle minacce).

Consiglio vivamente anche di leggere molti libri e blog sulla sicurezza (mi piacciono le cose di Bruce Schneier) e provare anche OWASP per il lato applicativo delle cose.

80
AviD

Per riferimento futuro e completezza, vorrei anche aggiungere che il sito K Cyber ​​Security Challenge ha una bella lista di 8 diverse categorie di ruoli di sicurezza con spiegazioni su ciascuno e ruoli di esempio, come definito dal Institute of Information Security Professionals (IISP) (dopo uno studio suppongo).

http://cybersecuritychallenge.org.uk/careers/typical-roles/

Cito il contenuto qui:

Gestori di incidenti e minacce, esperti forensi.

In un modo o nell'altro, il tuo lavoro è proprio sulla faccia del carbone. Potresti gestire la sicurezza della rete della tua organizzazione e tenere fuori gli aggressori. Puoi lavorare per un'azienda che testa le reti di altri per valutare la loro sicurezza e consigliare come renderle meno vulnerabili agli attacchi. Nessuno è in grado di evitare tutti gli incidenti, quindi potresti anche essere un gestore degli incidenti, in grado di rispondere rapidamente in caso di crisi e gestirne l'impatto. Potrebbero esserci scelte difficili da fare per l'azienda. Dovrai collaborare con altri manager che potrebbero non avere la tua conoscenza tecnica di ciò che è accaduto o di ciò che deve essere fatto per ripristinare il funzionamento dei sistemi, ma conosceranno l'impatto sull'azienda se determinate funzioni vengono interrotte. Potrebbe essere necessario eseguire analisi forensi per vedere come è arrivato l'attaccante e cosa ha fatto. Pianificare cosa fare per rispondere a diversi incidenti, bilanciare tutte le diverse esigenze sarà importante per gestire bene una crisi e probabilmente sarai un membro importante del team di pianificazione della continuità aziendale. Ci sono alcuni lavori molto tecnici in quest'area che esaminano nuovi malware, elaborando contromisure e molto altro. Inoltre, ovviamente, non è tutto sulle reti ora poiché i dispositivi mobili conservano sempre più dati e svolgono funzioni che in precedenza erano possibili solo su un computer.

Ruoli di esempio in questa categoria: gestione e risposta di incidenti e minacce. Incident Manager, Threat Manager, Forensics - computer - mobile e rete - analista, CSIRT, investigatore di attacchi, analista di malware, tester di penetrazione, ripristino di emergenza, continuità aziendale.

Analisti e gestori del rischio.

Per fare questo è necessario capire come le diverse minacce avranno un impatto su un'azienda e consigliare su quali rischi coprire e quali assumere. Il Consiglio ascolterà i tuoi consigli e dovrai essere in grado di spiegare i rischi in un linguaggio non tecnico che mostra chiaramente l'impatto sull'attività. Alcuni gestori del rischio non sono tecnici e sono emersi attraverso il business, altri provengono dal lato tecnico del business. Alcune persone sono coinvolte nell'audit delle reti e assicurano che le problematiche di conformità siano comprese e affrontate. Una risposta al nostro sondaggio ha affermato che queste persone "vanno e parlano ai nostri clienti in merito a rischi e conformità, spiegando la legge, eventuali cambiamenti nella legislazione e identificando le debolezze e aiutando i clienti a conformarsi".

Ruoli di esempio in questa categoria: gestione dei rischi, verifica e conformità. Analista dei rischi, Valutatore dei rischi, Responsabile della sicurezza delle informazioni aziendali, Revisore, Revisore dei conti.

Politici e strateghi.

Queste sono le persone che escogitano le politiche di sicurezza che definiranno il modo in cui un'azienda affronta molti rischi per la sicurezza. Ottenere la giusta politica è un must per un'organizzazione per adempiere ai propri obblighi legali. Far sì che le persone attuino le politiche significa mostrare alle persone perché le politiche contano e sensibilizzare sulle potenziali conseguenze di non seguire i consigli. Nel settore privato ci sono CISO (Chief Information Security Officer) che guidano questo lavoro spesso supportato da un team. Nel governo ci sono ITSO (funzionari di sicurezza IT) e DSO (funzionari di sicurezza dipartimentali). Questi ultimi sono responsabili di problemi di sicurezza fisica, del personale e delle informazioni e il responsabile della sicurezza IT di solito riferisce loro.

Ruoli di esempio in questa categoria: strategia, politica, governance. Strategista, Policy Manager, ITSO, DSO, CISO.

Operazioni e gestione della sicurezza.

Potresti essere responsabile della protezione dei dati della tua organizzazione su reti, laptop o dispositivi mobili. Poiché tutti abbiamo scelto diversi modi di lavorare e lo sviluppo di nuove tecnologie sta creando nuove possibilità ogni giorno, dovrai aggiornarti. È possibile gestire la crittografia e altre misure di protezione come le regole su firewall, registri di sicurezza e segnalazione di incidenti.

Ruoli di esempio in questa categoria: Operazioni e gestione della sicurezza. Responsabile della sicurezza della rete, Responsabile della sicurezza dei sistemi, Responsabile della sicurezza delle informazioni, Custodi crittografici, Responsabili delle informazioni.

Ingegneria, architettura e design.

Se riesci a capire bene la progettazione di un sistema, allora puoi renderlo difficile per gli attaccanti. Ma la situazione cambia quotidianamente e se devi tenere il passo dovrai correre veloce. Potresti avere a che fare con hardware o software, progettazione e sviluppo o applicazioni sicure. Potresti essere un talentuoso scrittore di software sicuro - troppi dei nostri programmatori in passato sono stati spinti dalla pressione di essere i primi sul mercato e hanno avuto una consapevolezza insufficiente della sicurezza. È possibile progettare strumenti di sicurezza o venderli. Le vendite e il marketing sono una parte essenziale del business.

Ruoli di esempio in questa categoria: ingegneria, architettura e design. Architetto, Designer, Sviluppo, Codifica sicura, progettazione e sviluppo di software, sviluppo di applicazioni. Strumenti di sicurezza, implementazione.

Istruzione, formazione e consapevolezza.

Al giorno d'oggi, la formazione è un'esigenza costante per la maggior parte di noi nel mondo degli affari. Con l'avvento delle nuove tecnologie, il personale deve capire come utilizzarle in modo efficace per consentire all'azienda di sopravvivere e di procedere in modo sicuro in modo da gestire nuovi rischi. Anche gli esperti devono essere tenuti aggiornati per comprendere nuovi vettori di attacco, nuovi modi di gestire la sicurezza, nuovi modi di valutare e comunicare i rischi. Alcuni lavori di vendita sono strettamente allineati a questo lavoro mentre istruiscono i clienti su ciò di cui hanno bisogno nella loro attività. Esistono diverse società di formazione che si occupano di tutti i livelli di formazione e che lavorano al meglio per mantenere aggiornato il loro materiale. Uno degli intervistati nel nostro sondaggio ha descritto il suo lavoro come: “Sensibilizzare le questioni relative alla sicurezza informatica sia internamente che come servizio ad altre organizzazioni. Produrre, accreditare e fornire corsi di formazione sulla sicurezza informatica internamente e ad altre organizzazioni come servizio ”.

Ruoli di esempio in questa categoria: istruzione, formazione e sensibilizzazione. Responsabile del programma di sicurezza.

di ricerca.

Esistono molte aree di ricerca, alcune altamente tecniche e altre molto più orientate alla politica. Alcuni creano modelli complessi per aiutarci a capire situazioni che stanno cambiando più velocemente di quanto possiamo comprendere senza un aiuto tecnico. Altri stanno pensando alle tecnologie del futuro e a come potrebbero aiutarci a gestire meglio la sicurezza. I partecipanti al sondaggio hanno descritto i lavori come “Investigare nuove tecnologie per gestire il rischio e imparare a gestire il rischio con le nuove tecnologie. La maggior parte delle persone nella ricerca sulla sicurezza si concentra sul primo, sulla criptovaluta, sui firewall ecc. Eppure sul secondo, proteggere Internet 2.0 è molto più importante ”; "Alla ricerca della prossima" grande cosa "; “Ricerca del modo in cui gli attacchi vengono condotti nel mondo reale. Tracciamento di vari tipi di malware e di come cambiano, consentendo in tal modo di prevenire attacchi importanti contro i clienti. Inventa nuovi prodotti basati su ciò che si vede nel mondo reale e lavora con gli sviluppatori per produrre questi prodotti. "

Ruoli di esempio in questa categoria: Ricerca. Ricercatore di sicurezza.

Avvocati specializzati in consulenza e procedimenti giudiziari per criminalità su Internet e protezione dei dati.

Consulenza e azione penale in materia di sicurezza dei dati e criminalità su Internet. Non è facile perseguire gli autori di questi crimini e le aziende hanno bisogno di aiuto per comprendere le loro responsabilità e mettere insieme le prove. Dalla perdita di dati degli ultimi anni ci sono stati alcuni cambiamenti significativi nella legge. Ad esempio, le organizzazioni che non si occupano sufficientemente dei dati delle persone sui loro sistemi potrebbero essere multate fino a £ 0,5 milioni, quindi molti vogliono che le loro politiche di sicurezza vengano controllate per assicurarsi che siano idonee allo scopo.

Ruoli di esempio in questa categoria: Avvocato per consulenza e azione penale in materia di protezione dei dati e criminalità su Internet.

27
john

L'Istituto SANS offre una brochure sull'argomento per $ 5,00: I 20 lavori più interessanti nella sicurezza delle informazioni . Quella pagina web elenca i titoli insieme ad alcune descrizioni di esempio.

4
P3nT3ster