Para muchos de ustedes simplemente sucede en el camino. Somos parte de una organización que tiene un equipo de seguridad dedicado, solicita un puesto y simplemente lo toma desde allí. Su formación técnica debería abrirle puertas.
El mayor problema es elegir en qué áreas enfocarse. Encontrar un amplio profesional de seguridad de tipo CISSP no es nada difícil. Encontrar a alguien que tenga capacidades de respuesta a incidentes, habilidades forenses y sepa cómo diseccionar un pcap es más difícil. Encontrar a alguien con las últimas habilidades que también puede funcionar en una empresa (tiene habilidades de comunicación decentes): aún más difícil.
Vea, muchos profesionales de seguridad tienen mucho conocimiento. Estos son sus tipos de consultores, que revisan algún documento ISO para ver cuál es el nivel de madurez de las organizaciones, que escriben políticas basadas en ISO, que consultan proyectos sobre cómo implementar la seguridad durante el desarrollo y la implementación. No hay nada de malo en ello. Excepto cuando la brecha entre su conocimiento y el mundo real real es demasiado grande. Ahí es cuando terminas con sistemas * nix que ejecutan software antivirus o un requisito mínimo de “mejor práctica” de contraseñas de 8 caracteres, que es un remanente de los años 70 cuando eso era realmente suficiente.
- ¿Cómo manejaría la seguridad del punto final de la red?
- Para un desarrollador web junior, ¿cuál es el mejor cambio de carrera que puede hacer, seguridad cibernética o aprendizaje automático?
- ¿Pueden los coches Tesla ser pirateados como la gente piratea computadoras?
- Cómo evitar que un virus se reinstale
- ¿Qué piensa sobre las aplicaciones empresariales para salas de datos virtuales seguras?
Los últimos años de revelaciones sobre NSA, Lulszec, Anonymous y APT han demostrado que el documento es paciente. Puede tener todos los documentos que desee que describan cómo realizar evaluaciones de riesgos, establecer requisitos de seguridad, crear procesos y códigos de conducta que indiquen a los empleados que no visiten este y ese tipo de sitio web por razones de seguridad; Al final del día, cuando se trata de empujar, se necesitan personas con habilidades y botas en el suelo. Si tienes un intruso en tu red, todo ese papeleo no te ayudará en nada.
Supongo que no respondí tu pregunta en absoluto, excepto para decirte que en algún momento decidas qué tipo de profesional de seguridad quieres ser.
Comienza a leer sobre las áreas. Haga que su empleador pague un poco de educación. Aunque muchos de ellos solo le darán conocimiento, puede ayudarlo a obtener una visión general y una base para trabajar. Comience a rascar la superficie en los sistemas con los que se encuentra y desarrolle su propio pensamiento pensando “cómo aprovecharía esto para ingresar a la red”, “qué daño podría hacer aquí” y “Me pregunto si realmente es solo http que fluye a través de nuestro puerto de salida 80 “. Hay un montón de libros por ahí que pueden brindarle un amplio conocimiento sobre cómo se pueden usar mal los sistemas. Léelos y luego haz [1]. En lugar de solo leer sobre Wireshark, enciéndelo constantemente y disecciona tu propio tráfico. Obtenga una máquina virtual en funcionamiento e instale algún malware a propósito. Mira el trafico. Obtenga un analizador de malware. Haz algo forense. Cree su propia página web e intente desarrollarla teniendo en cuenta la seguridad evitando el OWASP top 20 (OWASP). Póngase cómodo con las herramientas de pan y mantequilla como nmap.
Espero que esto ayude.
[1] No manipules la mierda que no tienes permitido. Al rascar la superficie me refiero a “Me pregunto si puedo acceder a este PDF en nuestro propio sistema interno al vincularlo directamente en lugar de proporcionar una contraseña”. No vas a creer lo que encontrarás en el camino. Informar de manera responsable.
