Soy un líder tecnológico en desarrollo de aplicaciones web (Java / JEE) y móviles (Android) durante los últimos 12 años (sin embargo, el año pasado fue móvil). De alguna manera estoy interesado en la seguridad de TI.
¿Vale la pena tomar la certificación CISSP o CISA e ingresar a Security stream? ¿Es una práctica común pasar de la arquitectura de programación / solución a la auditoría de seguridad?
Creo que cualquier persona interesada en seguir una carrera centrada en la seguridad debería convertirse en CISSP al principio del proceso. Si está interesado en permanecer enfocado en el desarrollo y desea demostrar su experiencia en seguridad, existen otras certificaciones que serían más apropiadas. Recomiendo encarecidamente las clases SANS y las correspondientes certificaciones GIAC, ya que son probablemente las más perspicaces y exigentes desde el punto de vista técnico. Un especialista con una o más de las certificaciones GIAC suele ser un profesional muy bien informado.
Yo diría que 12 años de experiencia y su uso del término "arquitectura de soluciones" sugiere que usted es un profesional superior. Por lo tanto, le insto a que considere convertirse en un Profesional Certificado del Ciclo de Vida del Software Seguro (CSSLP). Esta es una certificación bastante rara y puede ser un fuerte atrayente en una búsqueda de trabajo de alto nivel. Las CSSLP con algunas otras certificaciones relacionadas son poco comunes y pueden esperar una excelente compensación en el mercado laboral actual donde el personal de seguridad senior tiene una gran demanda.
No tengo intención de presumir, pero hablo por experiencia, ya que tengo más de 10 años como titular de CISSP, tengo el CSSLP, CISA y tengo una variedad de otros certificados. Me contactan para un puesto de trabajo más de una vez a la semana, aunque No estoy buscando .
En mi experiencia, pasar de la programación a la seguridad es más raro que pasar de la red a la seguridad. Esto parece especialmente cierto para los titulares de CISSP. La seguridad de las aplicaciones es cada vez más importante y existe una gran necesidad de personas con experiencia en desarrollo en la seguridad de las aplicaciones. Los desarrolladores pueden comunicarse más efectivamente con los desarrolladores y entender cómo probar aplicaciones en lugar de redes. Poder leer el código y las huellas de la pila en los registros te hará avanzar instantáneamente en el juego.
Lea otras preguntas en las etiquetas programming cissp