Information Security sta diventando sempre più importante, ma perché è ancora così difficile iniziare?

Nell'affrontare i tuoi punti separatamente:

• C'è un'iniziativa molto attiva, sponsorizzata dal governo britannico appositamente per coinvolgere i giovani nel settore della sicurezza: link

• Le organizzazioni chiedono a gran voce le assunzioni a tutti i livelli, dai neolaureati ai professionisti esperti. Le schede di lavoro sono piene di esse. Quindi stai cercando nei posti giusti? Le persone che assumono includono le aziende di contabilità Big 4 (EY, PwC, KMPG, Deloitte), aziende di penne e boutique, così come le organizzazioni di utenti finali come le banche.

Se ti stai rifiutando per ruoli, hai fatto valutare il tuo CV? Trovo spesso che i neolaureati abbiano CV che sono molto accademici e che spengono molti datori di lavoro.

Sei un membro di IISP, ISACA, ISSA o ISC2? Partecipare a uno di questi è un'utile aggiunta al tuo CV sul tuo palco.

Hai guardato i corsi? O ottenere un certificato come CISSP? Questi ti aiuteranno a superare il firewall HR.

Guarda le altre domande taggate formazione professionale per maggiori informazioni.

Do un bel po 'di colloqui con le università sulla pianificazione della carriera. Uno dei miei recenti alla Napier University di Edimburgo era videoed come parte di un evento IISP .

Nel campo della sicurezza c'è una quantità infinita di vettori di attacco. Posso indirizzare qualsiasi utente, qualsiasi sistema, qualsiasi software. Potrei non essere in grado di penetrare in tutti, ma il potenziale esiste. Per questo motivo non esiste un corso o curriculum diretto per diventare un esperto di sicurezza. Di solito il difensore di successo è qualcuno che semplicemente sa di più su un sistema quindi sull'attaccante e viceversa. Ecco perché riconoscono la minaccia degli attacchi informatici, ma realizzano che non esiste un metodo preciso per rendere qualcuno esperto in ogni campo tecnico.

OP, hai detto di avere una conoscenza dei "fondamenti della sicurezza", allora sembra davvero che tu debba solo sporcarti le mani ed esplorare tutte le informazioni liberamente disponibili online. Ho deciso di conoscere la sicurezza qualche mese fa e sono ancora sopraffatto da tutti i contenuti che ho trovato finora.

Ecco un post del blog particolarmente valido su come iniziare: link

I politici sono abili a parlare di problemi senza fare nulla per loro. La sicurezza informatica è un argomento che tutti possono raccogliere e gridare, e quindi "guardare all'industria" per risolvere. Alla fine faranno la solita procedura del governo del Regno Unito, che è di spendere un sacco di soldi per consulenti esterni su progetti mal concepiti, mal guidati e in ultima analisi infruttuosi.

Se vuoi entrare in sicurezza, dovrai lavorarci da solo. C'è una grande quantità di auto-studio e certificazioni che è possibile ottenere senza alcun addestramento formale e con pochissima esperienza reale. Concentrati sull'ottenimento di una certificazione di sicurezza entry-level come un SSCP o un Security + e inizia da lì. Questi ti daranno un lavoro e il lavoro ti procurerà l'esperienza di cui hai bisogno per ottenere posti di lavoro migliori. Scopri la gestione del rischio e i processi aziendali relativi alla sicurezza in modo da non sembrare un idiota in un'intervista.

Certo, sarebbe bello avere un programma che aiuterebbe a finanziare nuovi professionisti della sicurezza, ma è un governo Tory che sta tagliando tutto e non conosce la definizione di investimento. Niente è gratuito, dovrai lavorare per questo.

Un articolo ha appena trovato Hacker News oggi su questo argomento esatto. Ecco il problema:

There have been quite a few stories about the dearth of security skills. Among them are quite a few commenters crying, "Bollocks! They won't hire us."

Can both things be true? Can there be a scarcity of infosec skills that coincides with a lack of entry-level jobs?

Oh, yes. Here's the problem: There's nothing whatsoever "entry level" about security.

Raccomando di iniziare in un campo IT più tradizionale, in particolare Networking, Sys. Amministratore. O simile. Qui puoi cercare di concentrarti sulle parti di sicurezza di quei campi e, nel frattempo, praticare le parti più difficili del mestiere, come i test delle penne, nel tuo tempo libero. Cerca opportunità di collaborare con il team di sicurezza ovunque tu vada a finire e fare connessioni, o anche contribuire a partecipare a una valutazione.

Brian Krebs ha eseguito una serie di interviste con infusi di grande impatto su come irrompere nel settore. Un tema comune è che quasi nessuna di queste persone ha iniziato un lavoro di "sicurezza", ma ha trovato la sua strada a causa di una vera passione per questo.

Per molte persone, concentrarsi sulla sicurezza delle informazioni è qualcosa che qualcun altro fa, che è esattamente il problema.

Le persone credono che la sicurezza sia gestita dalle "persone della sicurezza" e tutto andrà bene finché potremo trovare le persone giuste per la sicurezza e le persone della sicurezza che fanno il loro lavoro.

Ma fintanto che i programmatori PHP continuano a creare opportunità di iniezione SQL e fintanto che gli utenti continuano a utilizzare "12345" come password VPN e fanno clic su "Sì" in ogni finestra di dialogo senza leggerli e finché i manager continuano per acquistare "soluzioni chiavi in mano integrate" basate esclusivamente sul numero di punti elenco nel testo dell'annuncio, continuerà a non contare quanti professionisti della sicurezza ci sono o quanto bene sono stati formati.

Risolvere la crisi della sicurezza addestrando e assumendo professionisti della sicurezza è come risolvere l'epidemia di obesità addestrando e assumendo nutrizionisti.

Che cosa intendi per duro? La sicurezza è un campo dinamico in cui essere, è impossibile sapere tutto (che ti piaccia o no). Ciò che conta è l'area in cui si è esperti. Se la sicurezza fosse facile, tutti ci sarebbero dentro. Solo gli dedicati e persistenti sopravvivono in questo campo, quelli che non possono fare questo importante negli affari: P