Programmatore per Security Professional

Questo è il percorso di carriera che ho appena intrapreso (o sono nel bel mezzo di, davvero). Come dice Guillaume, l'inizio migliore è concentrarsi sulla sicurezza nel tuo lavoro attuale. Questo potrebbe significare al tuo attuale lavoro, o potrebbe significare prendere un post di sviluppo simile in cui hai la possibilità di concentrarti sulla sicurezza.

Che cosa intendo per "concentrazione" sulla sicurezza? Se il proprio team di sviluppo segue già un ciclo di vita dello sviluppo della sicurezza, assumersi la responsabilità di alcune attività come parte di tale SDL. In caso contrario, inizia a introdurre tali compiti e guida l'adozione di un SDL.

Dove Guillaume e I differiscono è al punto 2: non ho avuto e ancora non ho un CISSP o qualsiasi altro certificato di settore, anche se ho una qualifica di ingegneria del software post-laurea che include contenuti di sicurezza. Non era necessario entrare nella sicurezza del software: la strada che ho intrapreso era uscire e trovare sviluppatori e parlare loro della sicurezza. Questo significa conferenze, podcast, post di blog ... Ho persino scritto un libro. Presto sarai riconosciuto come "il tizio della sicurezza" nel tuo campo prescelto e il lavoro ti arriverà.

Inoltre non sono d'accordo sul fatto che tu perdi la capacità di codificare. Molto di quello che faccio ora è la programmazione: implementando controlli di sicurezza per i prodotti client, scrivendo test per ricercare funzionalità di sicurezza della piattaforma o codice di esempio per dimostrare problemi di sicurezza ai colleghi sviluppatori.

Ho fatto la mossa circa 6 anni fa. In breve:

1. Lavora sulla sicurezza nel tuo attuale lavoro
2. Ottieni il tuo CISSP o equivalente
3. Trova un lavoro di sicurezza in un ambiente che conosci dalla tua programmazione (Java, .Net, Linux, ecc.)
4. Non guardare mai indietro

Ho iniziato ad occuparmi di tutti i compiti relativi alla sicurezza nei miei progetti di sviluppo (ero un team di allora).

Ho superato la mia certificazione CISSP e ho aspettato alcuni mesi.

C'era un'opportunità in cui un team di sicurezza aveva bisogno di qualcuno con una strong competenza tecnica, per bilanciare un team in cui c'erano per lo più esperti di reti o esperti di sicurezza.

Sono tornato allo sviluppo per un anno intero e ti avverto: è una strada a senso unico. Imparerai la perdita di nuove cose, ma perderai la possibilità di scrivere codice cieco piegato;)

Il mio background era in IT - sistema a lungo termine e amministratore di rete e mi sono in qualche modo impadronito della sicurezza, prendendo sempre di più il mio lavoro giornaliero ... ma non puoi contare su quello che ti sta succedendo;

Vorrei aggiungere ai punti di @ Guillaume con questo:

La rete, in senso lato, è la chiave.

Trova il tuo capitolo locale di OWASP, ISACA, ISSA, ISF a seconda di quale sia il tuo obiettivo e iscriviti alla mailing list, vai alle riunioni ... meglio ancora, fai il volontario per ospitare, siediti in seno al comitato, persino presenta un discorso (anche se sei un principiante nel settore avrai la tua prospettiva sulle tue aree di competenza)

Fatti conoscere - questo ti darà più opportunità. È sempre un dato di fatto: potresti avere ragione per un ruolo, ma se le persone non ti conoscono, non lo saprai mai ...

Per quanto riguarda i certs, CISSP è utile, così come lo è il CISM - entrambi hanno un punteggio molto alto tra i reclutatori (in realtà dovresti dare un'occhiata a questa domanda sulle certificazioni professionali )