Programador a Profesional de Seguridad

Esta es la trayectoria profesional que acabo de tomar (o estoy en medio de, realmente). Como dice Guillaume, el mejor comienzo es concentrarse en la seguridad en su trabajo actual. Esto podría significar en tu trabajo actual, o podría significar tomar una publicación de desarrollo similar en la que tengas la oportunidad de concentrarte en la seguridad.

¿Qué quiero decir con 'concentrarme' en la seguridad? Si su equipo de desarrollo ya sigue un ciclo de vida de desarrollo de seguridad, asuma la responsabilidad de algunas de las tareas como parte de ese SDL. Si no es así, comience introduciendo esas tareas y liderando la adopción de un SDL.

Donde Guillaume y yo diferimos es en el paso 2: no obtuve ni tengo un certificado CISSP ni ningún otro certificado de la industria, aunque sí tengo una calificación de postgrado en ingeniería de software que incluye contenido de seguridad. Sin embargo, eso no era necesario para entrar en la seguridad del software: la ruta que tomé fue salir a buscar desarrolladores y hablarles sobre seguridad. Esto significa charlas de conferencias, podcasts, publicaciones de blog ... Incluso escribí un libro. Muy pronto serás reconocido como "el tipo de seguridad" en tu campo elegido, y el trabajo te llegará.

También no estoy de acuerdo con que pierdas la capacidad de codificar. Mucho de lo que hago ahora es la programación: ya sea implementando controles de seguridad para productos de clientes, escribiendo pruebas para investigar las características de seguridad de la plataforma o código de muestra para demostrar problemas de seguridad a otros desarrolladores.

Me mudé hace unos 6 años. En resumen:

1. Trabaja en seguridad en tu trabajo actual
2. Obtenga su CISSP o equivalente
3. Encuentre un trabajo de seguridad en un entorno que conozca de su programación (Java, .Net, Linux, etc.)
4. Nunca mires hacia atrás

Comencé a abordar todas las tareas relacionadas con la seguridad en mis proyectos de desarrollo (era líder del equipo en ese entonces).

Pasé mi certificación CISSP y esperé unos meses.

Hubo una oportunidad en la que un equipo de seguridad necesitaba a alguien con experiencia técnica sólida, para equilibrar un equipo en el que había principalmente expertos en redes o expertos en políticas de seguridad.

Regresé al desarrollo durante un año entero y dejé que te advierta: es una calle de sentido único. Aprenderás a perderte de nuevas cosas, pero perderás la capacidad de escribir código a ciegas;)

Mi experiencia era en TI: administrador de redes y sistemas a largo plazo y me caí en la seguridad a través de la toma de más y más de mi trabajo diario ... pero no puedes contar con que eso te suceda;

Yo añadiría a los puntos de @ Guillaume con esto:

La red, en el sentido de la gente, es clave.

Encuentre su capítulo local de OWASP, ISACA, ISSA, ISF, dependiendo de su enfoque, y únase a la lista de correo, vaya a las reuniones ... mejor aún, sea voluntario para ser anfitrión, siéntese en el comité, incluso presente una charla (incluso como un novato en la industria tendrá su perspectiva sobre sus áreas de especialización)

Hazte conocido - esto te dará más oportunidades. Siempre es un hecho simple: puede que tengas razón para un rol, pero si la gente no te conoce, nunca lo sabrás ...

En cuanto a los certificados, el CISSP es útil, al igual que el CISM: ambos tienen una puntuación muy alta entre los reclutadores (de hecho, debe consultar esta pregunta sobre certificaciones profesionales )