Arquitecto de seguridad como trayectoria profesional. ¿Cómo lo hago?

Navega tus respuestas
4

Como dice, quiero convertirme en un Arquitecto de seguridad y no estoy seguro de la carrera a seguir. Ya hice algunas preguntas sobre las certificaciones y recibí una gran ayuda de esta comunidad. Decidir una carrera no es fácil, después de todo (al menos para mí).

He visto muchas listas de certificaciones ... algunos hilos, aquí here y aquí . Miré algunos temas de trayectoria profesional, aquí y aquí . E incluso atado a algunas personas, Avid en este sitio, por ejemplo ... y una más agradable site para un arquitecto de seguridad.

En este punto, estoy seguro de que debo acumular un conocimiento extremo y una buena experiencia. Pero ... ¿por dónde empezar? ¿Hay alguna certificación en línea con esta carrera? ¿Hay un camino específico que me llevará allí?

Actualmente, soy un probador de seguridad. Estoy aprendiendo cualquier cosa y todo lo que encuentro. Podría ser capaz de conectar los puntos más tarde, o tal vez no. Pero hay personas aquí, que están en excelentes posiciones con conocimientos que pueden ayudarme con lo que quiero.

Ayúdame con tu opinión, chicos ...

    
pregunta Karthik 15.02.2012 - 12:33
fuente

2 respuestas

3

Esta es mi experiencia trabajando con arquitectos de seguridad, por lo que YMMV, y el rol está evolucionando ... tal vez sea diferente para los nuevos arquitectos. Los "arquitectos de seguridad" tienen muchos conocimientos detallados obsoletos y muchos conocimientos actualizados de alto nivel. La mayoría parece ser promovida en el papel y sobrevive por pura arrogancia.

Los precios, la escala, la gestión de proyectos y la evaluación de riesgos no pueden ser subestimados para sus roles. Sin embargo, no pueden ser expertos en todo, por lo que el conocimiento detallado que pudieron haber tenido antes en su carrera se vuelve cada vez menos importante. Un arquitecto no debe ensuciarse las manos fuera del laboratorio. La razón es la separación de funciones y el riesgo de asumir demasiado trabajo.

La gerencia necesita tener a alguien con quien hablar. Los arquitectos de seguridad entienden las políticas, los riesgos, las decisiones comerciales, el presupuesto y los costos, y dirigen el liderazgo de los profesionales para implementar soluciones o cambios a tiempo y dentro del presupuesto.

Eventualmente, su conocimiento en profundidad se desvanece en la obsolescencia. Parece que algunos no pueden hacer frente a esto.

Aquellos con los que trabajé tenían CISSP con cierta capacitación empresarial, ITIL, experiencia en gestión de proyectos y muchos certificados técnicos recopilados de roles anteriores. También participan en toda la capacitación gratuita y los certificados proporcionados por los proveedores que intentan venderles soluciones.

Pero no olvides la arrogancia. Es importante. El trabajo es realmente imposible. Se le pide que brinde la perfección, pero le dan un presupuesto limitado y un alcance progresivo. Solo tienes razón el 90% del tiempo, pero desperdiciarás todo tu tiempo preocupándote por el 10% y te quemarás si no eres arrogante. Exagerar y luchar por mejoras presupuestarias o obtener una firma de riesgo, pero no admita que está inseguro. Tú eres el experto. Nadie sabe más que tú.

(no marque esta respuesta como correcta ... veamos si los arquitectos de seguridad están de acuerdo)

    
respondido por el mgjk 15.02.2012 - 17:27
fuente
1

El mejor seguimiento podría ser: ¿Qué desea diseñar? ¿Aplicaciones web? Redes? Servidores? ¿Móvil?

El rol del arquitecto es proactivo, lo que significa que necesita tener una visión. Tu valor será sobre lo que puedes ver que otros no pueden. En cuanto a las certificaciones, tendrá que dominar la construcción del área a la que apunta, y luego cómo romperla.

Para ser valioso, demuestre que puede construir algo de forma segura y poder demostrar que es seguro y cómo llegó allí. Ser capaz de hablar con empresas y desarrolladores igualmente bien. Sepa cómo escribir y mantener políticas que funcionen para el entorno en el que están escritas.

    
respondido por el schroeder 15.02.2012 - 19:25
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las mejores pautas de auditoría de TI para Red Hat Linux 5.x +, incluida la protección de datos críticos? ¿Decidir si el usuario ha abandonado el sitio sin cerrar sesión o simplemente ha dejado el sitio abierto para recibir notificaciones sin realizar ningún trabajo?