Disclaimer rapido: questi tipi di descrizioni del lavoro variano da azienda a società e talvolta anche tra reparti o personale delle risorse umane. Questa è solo la mia impressione generale dopo aver lavorato in questo campo da un po 'di tempo.

La distribuzione delle abilità richiesta (tecnologia vs non tecnologica) dipende in gran parte dal progetto su cui stai lavorando e dalla tua carriera, ma generalmente hai bisogno di un buon background tecnico, idealmente con esperienza in software dev, networking e altri campi rilevanti. E le competenze di gestione del progetto dovrebbero essere un must per chiunque lavori nel settore IT. Il cliente - o interpersonale in generale - le competenze saranno molto probabilmente più importanti per i consulenti, in quanto sono solitamente entità esterne con un sacco di contatto con il cliente.

Per quanto riguarda il pagamento, dalla mia esperienza personale di sicurezza interno viene pagato più di consulenti. Ma YMMV e - come la maggior parte di questo argomento - dipende in gran parte dalla tua azienda / potenziali datori di lavoro futuri.

Consultant

Generalmente, stai fornendo conoscenze di sicurezza IT per un cliente perché quel cliente non ha o non ha conoscenze sufficienti. Sei un esterno che aggiunge valore a un progetto. Per quanto riguarda il set di abilità, dipende dalla fase del progetto e dal tipo di progetto. Ad esempio, potresti lavorare per un cliente durante la fase di ideazione di un nuovo sito di e-commerce. In questa fase hai bisogno di un buon background tecnico e di una panoramica (conosci i principi di progettazione sicura, i metodi per raggiungere le parti rilevanti della CIA e così via). Le tue principali responsabilità saranno aiutare gli architetti di soluzioni, gli analisti di business e i professionisti del settore a creare un concetto di sicurezza per progetto e cercare di cogliere potenziali vulnerabilità prima ancora che entrino in esistenza.

Un altro esempio potrebbe essere che lavori durante la fase di implementazione di detto progetto. Quindi, a seconda della tua dichiarazione di lavoro con il cliente, avrai anche uno sguardo sull'effettiva implementazione del concetto che hai supportato. Quindi è necessaria una comprensione tecnica più approfondita, sapere come funziona il linguaggio di programmazione specifico, conoscere le sue insidie. Per esempio. se si tratta di un progetto C ++, è necessario sapere che esistono buffer overflow e come evitarli. Se si tratta di un sito Web JSP, è necessario sapere come funzionano XSS (e altri OWASP-Top 10) e come mitigarli.

Architetto

Questa posizione è per la maggior parte delle volte interna e potresti fondamentalmente anche fungere da versione interna di un consulente esterno. Ma proprio come qualsiasi posizione, questo può essere riempito da personale interno o personale esterno. Generalmente, questo è più in linea con la posizione comune di CISO o del dipartimento di sicurezza IT interno. In questa posizione, dovresti avere una panoramica completa dell'infrastruttura IT della tua azienda e dei meccanismi di protezione che sono in atto come IDS / IPS, firewall, configurazione di rete (topografia DMZ / Bastion) e così via. Sarai colui che cerca di pensare come un avversario, anticipando quali parti del tuo paesaggio sono i "frutti a bassa pendenza" e dove gli attaccanti potrebbero avere una superficie valida.

Aiuta anche a progettare e proteggere altre parti delle esigenze della tua azienda come l'infrastruttura di condivisione delle conoscenze, la gestione di identità e accessi e così via.

Specialist

TBH, ho solo sentito questo termine come un "catch-all". È simile a quando le stazioni TV intervistano un "% esperto di% di%" per un segmento breve. Non ho mai incontrato uno "specialista della sicurezza IT" in natura e la maggior parte del tempo qualcuno ha almeno un campo in cui si specializza.