it-swarm-id.com

Apa jalur karier di bidang keamanan komputer?

Apa jenis pekerjaan yang ada, di mana organisasi, dengan jenis tanggung jawab sehari-hari apa?

Apa bidang yang baik untuk orang-orang yang keluar dari sekolah, vs apa yang baik untuk karir ke-2 bagi orang-orang berpengalaman yang berasal dari berbagai disiplin ilmu?

85
nealmcb

Seperti ceruk "keamanan" tampaknya, sebenarnya mencakup beberapa jenis peran utama, dan beberapa area cakupan. Ini sebenarnya sangat berbeda ...

Peran umum:

Demikian juga, dalam semua hal di atas ada berbagai bidang keahlian, dan seorang ahli dalam bidang tersebut tidak perlu memiliki sesuatu yang cerdas untuk dikatakan dalam bidang lain:

Selain itu, ada beberapa yang berspesialisasi dalam membangun sistem yang aman (di setiap tingkat tumpukan), dan beberapa yang menghabiskan waktu untuk merusaknya - dan tidak selalu berbagi keahlian.

Mungkin ada ceruk-ceruk bahkan lebih yang saya lewati, tetapi Anda mulai mendapatkan gambar .... Seperti yang Anda lihat, apa yang dilakukan seorang petugas keamanan pada hari ke hari adalah sebagai lebar dan bervariasi seperti perusahaan tempat mereka bekerja, dan sistem tempat mereka bekerja. Paling sering, ini TIDAK memerlukan pengalihan beberapa topi, dan bekerja sebagian besar pada tugas-tugas pendek ... TETAPI yang tetap sama (biasanya) adalah persyaratan untuk fokus pada risiko (dan ancaman), apakah itu sebagian besar pekerjaan teknis sebagai mendefinisikan aturan firewall , atau berkomunikasi dengan tipe bisnis dan pengacara tentang postur keamanan organisasi saat ini.

Bagaimana cara masuk ke lapangan? Idealnya, Anda memiliki beberapa pengalaman (lebih disukai keahlian) di beberapa bidang lain, yang kemudian dapat Anda mengkhususkan diri untuk keamanan.
Anda pernah menjadi insinyur jaringan? Luar biasa, mulai dengan fokus pada keamanan jaringan, dan pergi dari sana.
Saat ini Anda adalah administrator sistem? Hebat, Anda mungkin sudah bekerja sedikit pada keamanan, mulai belajar lebih banyak di bidang itu.
Anda telah memprogram sejak Anda masih kecil, dan ingin pindah ke keamanan? Luar biasa, Anda seharusnya sudah belajar tentang validasi input, kriptografi, mitigasi ancaman, mengamankan akses DB, dll ... Pelajari lebih lanjut, cari tahu apa yang Anda lewatkan, dan kemudian telepon saya ;-).
Dan seterusnya ... Di sisi lain, jika Anda tidak memiliki latar belakang dan ingin MULAI dalam keamanan, itu lebih sulit - karena seperti yang telah saya jelaskan, paling sering petugas keamanan diharapkan orang ahli pada apa pun itu. Anda dapat mencoba untuk bergabung dengan tim pentesting, dan tumbuh dari sana ... Bagian yang penting adalah fokus pada manajemen risiko (dan, untuk teknis, pemodelan ancaman).

Saya juga sangat menyarankan membaca banyak buku keamanan dan blog (saya menikmati barang-barang Bruce Schneier), dan juga mencoba --- ([~ # ~] owasp [~ # ~] untuk sisi aplikasi.

80
AviD

Untuk referensi dan kelengkapan di masa mendatang, saya juga ingin menambahkan bahwa situs K Cyber ​​Security Challenge memiliki daftar yang bagus tentang 8 kategori peran keamanan yang berbeda dengan penjelasan tentang masing-masing dan contoh peran, sebagaimana didefinisikan oleh Institut Profesional Keamanan Informasi (IISP) (setelah studi saya kira).

http://cybersecuritychallenge.org.uk/careers/typical-roles/

Saya mengutip konten di sini:

Manajer Insiden dan Ancaman, Pakar Forensik.

Dengan satu atau lain cara, pekerjaan Anda tepat di permukaan batu bara. Anda mungkin mengelola keamanan jaringan organisasi Anda dan mencegah penyerang. Anda dapat bekerja untuk perusahaan yang menguji jaringan orang lain untuk menilai keamanan mereka dan menyarankan cara membuatnya lebih rentan terhadap serangan. Tidak ada yang bisa menghindari semua insiden, jadi Anda juga bisa menjadi manajer insiden, mampu merespons dengan cepat dalam krisis dan mengelola dampaknya. Mungkin ada pilihan sulit bagi bisnis untuk membuat. Anda perlu bekerja dengan manajer lain yang mungkin tidak memiliki pemahaman teknis tentang apa yang telah terjadi atau apa yang perlu dilakukan untuk membuat sistem kembali bekerja tetapi akan tahu tentang dampaknya pada bisnis jika fungsi-fungsi tertentu dihentikan. Anda mungkin perlu melakukan analisis forensik - untuk melihat bagaimana penyerang masuk dan apa yang dia lakukan. Merencanakan apa yang harus dilakukan untuk merespons berbagai insiden, menyeimbangkan semua tuntutan yang berbeda akan penting untuk mengelola krisis dengan baik dan Anda cenderung menjadi anggota penting dari tim perencanaan kesinambungan bisnis. Ada beberapa pekerjaan yang sangat teknis di bidang ini untuk memeriksa malware baru, mengatasi tindakan penanggulangan dan banyak lagi. Plus, tentu saja, tidak semua pada jaringan sekarang karena perangkat seluler semakin banyak memegang data dan menjalankan fungsi yang sebelumnya hanya mungkin pada komputer.

Contoh Peran dalam kategori ini: Manajemen Insiden dan Ancaman dan Respons. Manajer Insiden, Manajer Ancaman, Forensik - komputer - seluler dan analis jaringan, CSIRT, Penyelidik Serangan, analis Malware, Tester Penetrasi, Pemulihan Bencana, Kontinuitas Bisnis.

Analis dan Manajer Risiko.

Untuk melakukan ini, Anda perlu memahami bagaimana ancaman yang berbeda akan berdampak pada bisnis dan memberi saran tentang risiko yang harus ditutup dan yang harus diambil. Dewan akan mendengarkan saran Anda dan Anda harus dapat menjelaskan risiko dalam bahasa non-teknis yang menunjukkan dampak pada bisnis dengan jelas. Beberapa manajer risiko adalah non-teknis dan telah muncul melalui bisnis, yang lain datang dari sisi teknis bisnis. Beberapa orang terlibat dalam audit jaringan dan memastikan bahwa masalah kepatuhan dipahami dan ditangani. Satu jawaban untuk survei kami mengatakan bahwa orang-orang ini "pergi dan berbicara dengan klien kami tentang risiko dan kepatuhan, menjelaskan hukum, setiap perubahan dalam undang-undang dan mengidentifikasi kelemahan dan membantu klien untuk mematuhinya".

Contoh peran dalam kategori ini: Manajemen Risiko, Verifikasi dan Kepatuhan. Analis Risiko, Penilai Risiko, Petugas Keamanan Informasi Bisnis, Peninjau, Auditor.

Pembuat Kebijakan dan Ahli Strategi.

Mereka adalah orang-orang yang merancang kebijakan keamanan yang akan menentukan bagaimana perusahaan menghadapi banyak risiko keamanan yang berbeda. Mendapatkan kebijakan dengan benar adalah suatu keharusan bagi suatu organisasi untuk memenuhi kewajiban hukumnya. Membuat orang menerapkan kebijakan berarti menunjukkan kepada orang-orang mengapa kebijakan itu penting dan meningkatkan kesadaran akan konsekuensi potensial dari tidak mengikuti saran. Di sektor swasta Anda memiliki CISO (Kepala Petugas Keamanan Informasi) yang memimpin pekerjaan ini sering kali didukung oleh sebuah tim. Di pemerintahan ada ITSO (petugas keamanan TI) dan DSO (petugas keamanan departemen). Yang terakhir bertanggung jawab atas masalah keamanan fisik, personel dan informasi dan petugas keamanan TI biasanya melapor kepada mereka.

Contoh peran dalam kategori ini: Strategi, Kebijakan, Tata Kelola. Ahli Strategi, Manajer Kebijakan, ITSO, DSO, CISO.

Operasi dan Manajemen Keamanan.

Anda mungkin bertanggung jawab untuk melindungi data organisasi Anda di jaringan, laptop atau perangkat selulernya. Karena kita semua memilih cara yang berbeda untuk bekerja dan pengembangan teknologi baru menciptakan kemungkinan baru setiap hari Anda harus tetap up to date. Anda dapat mengelola enkripsi dan tindakan perlindungan lainnya seperti aturan tentang Firewall, log keamanan dan pelaporan kejadian.

Contoh peran dalam kategori ini: Manajemen Operasi dan Keamanan. Petugas Keamanan Jaringan, Petugas Keamanan Sistem, Petugas Keamanan Informasi, penjaga Crypto, Manajer Informasi.

Rekayasa, Arsitektur dan Desain.

Jika Anda bisa mendapatkan desain suatu sistem dengan benar maka Anda bisa mempersulit penyerang untuk masuk. Tetapi situasinya berubah setiap hari dan jika Anda ingin mengikuti Anda harus berlari cepat. Anda mungkin berurusan dengan perangkat keras atau perangkat lunak, desain dan pengembangan atau aplikasi yang aman. Anda mungkin seorang penulis perangkat lunak aman yang berbakat - terlalu banyak coder kami di masa lalu telah didorong oleh tekanan untuk menjadi yang pertama dipasarkan dan kurang memiliki kesadaran akan keamanan. Anda dapat merancang alat keamanan atau menjualnya. Penjualan dan pemasaran adalah bagian penting dari bisnis.

Contoh peran dalam kategori ini: Rekayasa, Arsitektur & Desain. Arsitek, Desainer, Pengembangan, Pengodean aman, desain dan pengembangan perangkat lunak, pengembangan aplikasi. Alat keamanan, Implementasi.

Pendidikan, Pelatihan dan Kesadaran.

Pelatihan adalah kebutuhan berkelanjutan bagi sebagian besar dari kita dalam bisnis saat ini. Ketika teknologi baru datang, staf perlu memahami bagaimana menggunakannya secara efektif untuk memungkinkan bisnis untuk bertahan dan berhasil dengan aman sehingga risiko baru dikelola. Para ahli juga harus selalu mendapat informasi terbaru sehingga mereka memahami vektor serangan baru, cara baru mengelola keamanan, cara baru menilai dan mengkomunikasikan risiko. Beberapa pekerjaan penjualan terkait erat dengan pekerjaan ini karena mereka mendidik pelanggan tentang apa yang mereka butuhkan dalam bisnis mereka. Ada sejumlah perusahaan pelatihan yang menangani semua tingkat pelatihan dan kerja keras terbaik untuk menjaga materi mereka tetap terbaru. Salah satu responden dalam survei kami menggambarkan pekerjaannya sebagai: "Untuk meningkatkan kesadaran dalam hal-hal terkait Keamanan Cyber ​​baik secara internal maupun sebagai layanan untuk organisasi lain. Untuk menghasilkan, mengakreditasi dan menyediakan kursus pelatihan Keamanan Cyber ​​secara internal dan ke organisasi lain sebagai layanan ”.

Contoh peran dalam kategori ini: Pendidikan, Pelatihan dan Kesadaran. Manajer Program Keamanan.

Penelitian.

Ada banyak bidang penelitian, beberapa sangat teknis dan lainnya lebih berorientasi kebijakan. Beberapa membuat model rumit untuk membantu kita memahami situasi yang berubah lebih cepat daripada yang dapat kita pahami tanpa bantuan teknis. Yang lain berpikir tentang teknologi masa depan dan bagaimana mereka dapat membantu kita mengelola keamanan dengan lebih baik. Responden survei menggambarkan pekerjaan itu sebagai “Untuk menyelidiki teknologi baru untuk mengelola risiko dan belajar mengelola risiko dengan teknologi baru. Kebanyakan orang dalam riset keamanan berkonsentrasi pada yang pertama, crypto, firewall dll. Namun yang terakhir, mengamankan Internet 2.0 jauh lebih penting ”; "Mencari 'hal besar' berikutnya" "; “Meneliti cara serangan dilakukan di dunia nyata. Pelacakan berbagai jenis malware dan bagaimana perubahannya sehingga memungkinkan untuk mencegah serangan besar terhadap pelanggan. Temukan produk baru berdasarkan apa yang terlihat di dunia nyata dan bekerjalah dengan pengembang untuk menghasilkan produk ini. "

Contoh peran dalam kategori ini: Penelitian. Peneliti Keamanan.

Pengacara yang mengkhususkan diri dalam saran dan penuntutan untuk kejahatan internet dan perlindungan data.

Saran dan penuntutan keamanan data dan kejahatan internet. Tidak mudah menuntut para pelaku kejahatan ini dan perusahaan membutuhkan bantuan untuk memahami tanggung jawab mereka dan mengumpulkan bukti. Sejak hilangnya data beberapa tahun terakhir, ada beberapa perubahan signifikan dalam undang-undang. Misalnya organisasi yang tidak cukup menjaga data orang pada sistem mereka dapat didenda hingga £ 0,5 juta, begitu banyak yang ingin agar kebijakan keamanan mereka diaudit untuk memastikan bahwa mereka sesuai dengan tujuan.

Contoh peran dalam kategori ini: Pengacara untuk saran dan penuntutan tentang perlindungan data dan kejahatan internet.

27
john

SANS Institute menawarkan brosur dengan topik $ 5,00: 20 Pekerjaan Paling Keren dalam Keamanan Informasi . Halaman web itu berisi daftar judul bersama dengan beberapa deskripsi sampel.

4
P3nT3ster