¿Cuál es la mejor hoja de ruta paso a paso para conseguir un trabajo en seguridad informática?

Hay muchos enfoques diferentes. Para empezar, obtenga un trabajo de nivel de entrada en la industria de TI y luego concéntrese en la seguridad una vez que llegue allí. Esto puede ser en general administración de sistema de rango medio (servidor), redes (enrutadores, conmutadores), programación o escritorio.

Busque un trabajo de nivel de entrada en la administración del sistema . Trate de exponerse a múltiples plataformas: UNIX, Windows Server, Linux, etc. Una vez que entre en esto, puede enfocarse en la administración de ID, antivirus, controles de acceso, etc. Si es posible, únase a una gran empresa que tiene una gran empresa. equipo de administradores. Cuando dirija su carrera, trate de cumplir con las responsabilidades de seguridad y manténgase alejado de los elementos que no le interesan mucho.

Otro enfoque es buscar trabajos en redes : administrar enrutadores, conmutadores, firewalls, dispositivos de capa 7, etc. En esta capacidad, puede buscar trabajos especialmente que se centren en las responsabilidades de seguridad como firewalls, IDS / IPS, TACACS, etc.

Otro enfoque es encontrar un trabajo de programación . Una vez que ingrese a la programación, asegúrese de que sus colegas estén utilizando enfoques de mejores prácticas para construir código seguro.

Otro enfoque es centrarse en entornos de escritorio en relación con la empresa. Los entornos de escritorio tienen una gran cantidad de problemas de seguridad, desde el cifrado hasta el antivirus, para mantener actualizados los niveles de parches, lo que garantiza que solo se permiten máquinas seguras en la red, solo se instala el software permitido, solo los activos corporativos entran en la red, etc.

Finalmente, también mencionas que tienes exposición a la gestión de proyectos . Este es otro enfoque: puede solicitar proyectos que tengan la seguridad como un objetivo comercial principal. Como gerente de proyecto, es posible que no necesite mucha experiencia en el tema siempre que pueda conducir el proyecto (hacer que las personas avancen en las tareas). A medida que avanza su proyecto, asegúrese de aprender sobre el tema de seguridad. Los trabajos de gerente de proyecto pueden convertirse en trabajos de gerente de programa.

Comencé a fines de los 90 haciendo cosas de administrador de sistemas estándar, y recuperé mi MCSE cuando representaba a Consultor de minas / experto en solitario (MCSE NT).

Conseguí un gran trabajo trabajando en sistemas Multi-Level Secure, que era un sistema basado en UNIX con algunos datos de etiquetado adicionales para archivos, tomas de red, etc. Tengo que decir que mi trabajo en SCO CMW, Trusted Solaris 8 y los protocolos que usaron para etiquetar paquetes en varios niveles de seguridad fueron invaluables para comprender los conceptos básicos de Seguridad de la Información (MAC, DAC, privilegios mínimos, separación de funciones, etc.).

Comencé a involucrarme en PHP a principios de la década de 2000 y, utilizando mi conocimiento de los controles de acceso discrecionales y obligatorios, construí un pequeño sitio web dinámico para un cliente local. La creación de controles de seguridad en un sitio web me enseñó a entrar en sitios web con controles mal diseñados.

Pasé a las pruebas de penetración con un enfoque en los sitios web, y obtuve algunos conciertos espectaculares. He trabajado para algunos clientes realmente geniales. Una vez más, la experiencia valió más que cualquier cantidad de dinero que me pagaron mientras lo hacía.

Utilicé mis habilidades de piratería para realizar investigaciones de violación de datos y he realizado análisis forenses de redes, análisis de registros y otros servicios relacionados. Mi capacidad para “pensar como un chico malo” ha ayudado a resolver un par de estos, porque encontramos la brecha después de perseguir todas las vulnerabilidades en un sistema. Poder ver cómo los mejores delincuentes logran una violación y filtran datos fue invaluable. Te convierte en un pentester aún mejor cuando ves cómo se hace de verdad.

Obtuve CISA y un CISSP certs durante todo esto, y honestamente me han ayudado hasta cierto punto, pero como ya se mencionó, los certs realmente no hacen mucho a menos que esté solicitando un trabajo. Realmente no te dan poderes especiales (aunque los alfileres de la solapa son bonitos …). Incluso si está solicitando un trabajo, su jefe potencial estará más interesado en lo que puede hacer que en la cantidad de siglas que puede apilar al final de su nombre. Asegúrate de impresionarlo. Aprender y aplicar habilidades que son directamente aplicables a la seguridad de la tecnología de la información es su mejor apuesta para el éxito.

Después de leer su breve biografía, podría sugerirle que analice el cumplimiento y la auditoría, si ese tipo de cosas le interesan, y puede ver una verdadera trayectoria de avance profesional en su empleador actual. La razón por la que digo esto es porque alguien con incluso una pizca de habilidad técnica generalmente siempre superará a alguien con un grado de conteo de frijoles en la auditoría de TI y comprenderá profundamente el punto de cumplimiento y cómo verificar los controles en TI.

Personalmente, trato con el cumplimiento como un mal necesario que proporciona a la gerencia una defensa del “peor de los casos” cuando se viola una empresa (“¡Pero tuvimos una auditoría limpia!”). El cumplimiento hoy es completamente atrasado; Las empresas gastan dinero en cumplimiento, no en seguridad. La forma en que debería funcionar, en mi opinión, es así:

El riesgo impulsa la seguridad, la seguridad impulsa el cumplimiento.

De todos modos, descubra cómo transmitir ese mensaje a la gerencia de nivel superior, y llegará lejos. También lo hará su empresa.

Hoy soy dueño de una pequeña empresa que se especializa en infracciones, pruebas de penetración e ingeniería social. Hago lo que amo y lo hacemos muy bien. Mucha suerte, necesitamos mucha más gente en Seguridad de la Información.