Information Security sta diventando sempre più importante, ma perché è ancora così difficile iniziare?

5

Ad esempio, ho visto innumerevoli sprezzature da parte del governo britannico su quanto sia probabile un attacco informatico, in tal caso perché non offrono ulteriori incentivi per i nuovi professionisti della sicurezza.

Trovo frustrante come un laureato che la mia strada in InfoSec è stata così difficile, ma il governo dice che non ci sono abbastanza professionisti della sicurezza. C'è una ragione specifica per questo?

NOTA: Ho una laurea in informatica concentrata sulle basi della sicurezza. Posso praticamente entrare in qualsiasi altro campo, dato che la maggior parte fornisce ulteriore formazione. Eppure, anche se sono un laureato modellabile, è quasi impossibile riuscire a mettere piede in un campo di sicurezza, a causa della mia mancanza di esperienza.

    
posta Lunar 09.08.2012 - 15:55
fonte

7 risposte

5

Nell'affrontare i tuoi punti separatamente:

  • C'è un'iniziativa molto attiva, sponsorizzata dal governo britannico appositamente per coinvolgere i giovani nel settore della sicurezza: link

  • Le organizzazioni chiedono a gran voce le assunzioni a tutti i livelli, dai neolaureati ai professionisti esperti. Le schede di lavoro sono piene di esse. Quindi stai cercando nei posti giusti? Le persone che assumono includono le aziende di contabilità Big 4 (EY, PwC, KMPG, Deloitte), aziende di penne e boutique, così come le organizzazioni di utenti finali come le banche.

Se ti stai rifiutando per ruoli, hai fatto valutare il tuo CV? Trovo spesso che i neolaureati abbiano CV che sono molto accademici e che spengono molti datori di lavoro.

Sei un membro di IISP, ISACA, ISSA o ISC2? Partecipare a uno di questi è un'utile aggiunta al tuo CV sul tuo palco.

Hai guardato i corsi? O ottenere un certificato come CISSP? Questi ti aiuteranno a superare il firewall HR.

Guarda le altre domande taggate per maggiori informazioni.

Do un bel po 'di colloqui con le università sulla pianificazione della carriera. Uno dei miei recenti alla Napier University di Edimburgo era videoed come parte di un evento IISP .

    
risposta data 09.08.2012 - 18:15
fonte
4

Nel campo della sicurezza c'è una quantità infinita di vettori di attacco. Posso indirizzare qualsiasi utente, qualsiasi sistema, qualsiasi software. Potrei non essere in grado di penetrare in tutti, ma il potenziale esiste. Per questo motivo non esiste un corso o curriculum diretto per diventare un esperto di sicurezza. Di solito il difensore di successo è qualcuno che semplicemente sa di più su un sistema quindi sull'attaccante e viceversa. Ecco perché riconoscono la minaccia degli attacchi informatici, ma realizzano che non esiste un metodo preciso per rendere qualcuno esperto in ogni campo tecnico.

    
risposta data 09.08.2012 - 16:21
fonte
4

OP, hai detto di avere una conoscenza dei "fondamenti della sicurezza", allora sembra davvero che tu debba solo sporcarti le mani ed esplorare tutte le informazioni liberamente disponibili online. Ho deciso di conoscere la sicurezza qualche mese fa e sono ancora sopraffatto da tutti i contenuti che ho trovato finora.

Ecco un post del blog particolarmente valido su come iniziare: link

    
risposta data 09.08.2012 - 17:57
fonte
3

I politici sono abili a parlare di problemi senza fare nulla per loro. La sicurezza informatica è un argomento che tutti possono raccogliere e gridare, e quindi "guardare all'industria" per risolvere. Alla fine faranno la solita procedura del governo del Regno Unito, che è di spendere un sacco di soldi per consulenti esterni su progetti mal concepiti, mal guidati e in ultima analisi infruttuosi.

Se vuoi entrare in sicurezza, dovrai lavorarci da solo. C'è una grande quantità di auto-studio e certificazioni che è possibile ottenere senza alcun addestramento formale e con pochissima esperienza reale. Concentrati sull'ottenimento di una certificazione di sicurezza entry-level come un SSCP o un Security + e inizia da lì. Questi ti daranno un lavoro e il lavoro ti procurerà l'esperienza di cui hai bisogno per ottenere posti di lavoro migliori. Scopri la gestione del rischio e i processi aziendali relativi alla sicurezza in modo da non sembrare un idiota in un'intervista.

Certo, sarebbe bello avere un programma che aiuterebbe a finanziare nuovi professionisti della sicurezza, ma è un governo Tory che sta tagliando tutto e non conosce la definizione di investimento. Niente è gratuito, dovrai lavorare per questo.

    
risposta data 09.08.2012 - 16:15
fonte
2

Un articolo ha appena trovato Hacker News oggi su questo argomento esatto. Ecco il problema:

There have been quite a few stories about the dearth of security skills. Among them are quite a few commenters crying, "Bollocks! They won't hire us."

Can both things be true? Can there be a scarcity of infosec skills that coincides with a lack of entry-level jobs?

Oh, yes. Here's the problem: There's nothing whatsoever "entry level" about security.

Raccomando di iniziare in un campo IT più tradizionale, in particolare Networking, Sys. Amministratore. O simile. Qui puoi cercare di concentrarti sulle parti di sicurezza di quei campi e, nel frattempo, praticare le parti più difficili del mestiere, come i test delle penne, nel tuo tempo libero. Cerca opportunità di collaborare con il team di sicurezza ovunque tu vada a finire e fare connessioni, o anche contribuire a partecipare a una valutazione.

Brian Krebs ha eseguito una serie di interviste con infusi di grande impatto su come irrompere nel settore. Un tema comune è che quasi nessuna di queste persone ha iniziato un lavoro di "sicurezza", ma ha trovato la sua strada a causa di una vera passione per questo.

    
risposta data 09.08.2012 - 23:18
fonte
1

Per molte persone, concentrarsi sulla sicurezza delle informazioni è qualcosa che qualcun altro fa, che è esattamente il problema.

Le persone credono che la sicurezza sia gestita dalle "persone della sicurezza" e tutto andrà bene finché potremo trovare le persone giuste per la sicurezza e le persone della sicurezza che fanno il loro lavoro.

Ma fintanto che i programmatori PHP continuano a creare opportunità di iniezione SQL e fintanto che gli utenti continuano a utilizzare "12345" come password VPN e fanno clic su "Sì" in ogni finestra di dialogo senza leggerli e finché i manager continuano per acquistare "soluzioni chiavi in mano integrate" basate esclusivamente sul numero di punti elenco nel testo dell'annuncio, continuerà a non contare quanti professionisti della sicurezza ci sono o quanto bene sono stati formati.

Risolvere la crisi della sicurezza addestrando e assumendo professionisti della sicurezza è come risolvere l'epidemia di obesità addestrando e assumendo nutrizionisti.

    
risposta data 09.08.2012 - 18:36
fonte
0

Che cosa intendi per duro? La sicurezza è un campo dinamico in cui essere, è impossibile sapere tutto (che ti piaccia o no). Ciò che conta è l'area in cui si è esperti. Se la sicurezza fosse facile, tutti ci sarebbero dentro. Solo gli dedicati e persistenti sopravvivono in questo campo, quelli che non possono fare questo importante negli affari: P

    
risposta data 09.08.2012 - 16:14
fonte

Leggi altre domande sui tag