Sono un leader tecnologico nello sviluppo di applicazioni web (Java / JEE) e mobili (Android) negli ultimi 12 anni (mobile nell'ultimo anno). Sono in qualche modo interessato alla sicurezza IT.
Vale la pena prendere la certificazione CISSP o CISA ed entrare nello stream di sicurezza? È prassi comune passare dall'architettura di programmazione / soluzione al controllo di sicurezza?
Ritengo che chiunque sia interessato a perseguire una carriera incentrata sulla sicurezza dovrebbe diventare CISSP nelle prime fasi del processo. Se si è interessati a rimanere concentrati sullo sviluppo e si desidera dimostrare competenza in materia di sicurezza, ci sono diverse altre certificazioni che sarebbero più appropriate. Raccomando caldamente le classi SANS e le certificazioni GIAC corrispondenti in quanto sono probabilmente le più tecnicamente perspicaci ed esigenti. Uno specialista con una o più certificazioni GIAC è in genere un professionista molto competente.
Direi che 12 anni di esperienza e il tuo uso del termine "architettura delle soluzioni" suggeriscono che sei un professionista senior. Vi esorto pertanto a considerare la possibilità di diventare Certified Lifecycle Professional (CSSLP) Certified Secure Software. Questa è una certificazione piuttosto rara e può essere un strong richiamo in una ricerca di lavoro di fascia alta. I CSSLP con poche altre certificazioni correlate sono rari e possono aspettarsi un'eccellente compensazione nell'attuale mercato del lavoro in cui il personale di sicurezza senior è molto richiesto.
Non intendo vantarmi, ma parlo per esperienza dato che ho 10 anni di mandato come CISSP, detengo il CSSLP, il CISA e ho una varietà di altri certificati. Mi viene chiesto di aprire un lavoro più di una volta alla settimana, anche se non sto cercando .
Passare dalla programmazione alla sicurezza è più raro che passare dalla rete alla sicurezza, secondo la mia esperienza. Questo sembra particolarmente vero per i possessori di CISSP. La sicurezza delle applicazioni è sempre più importante e c'è un enorme bisogno di persone con esperienza di sviluppo nella sicurezza delle applicazioni. Gli sviluppatori possono comunicare in modo più efficace con gli sviluppatori e capire come testare le applicazioni anziché le reti. Essere in grado di leggere il codice e le tracce di stack nei log ti metterà immediatamente in gioco.
Leggi altre domande sui tag programming cissp