La seguridad de la información es cada vez más importante, pero ¿por qué sigue siendo tan difícil comenzar?

5

Por ejemplo, he visto innumerables discursos del gobierno del Reino Unido sobre la probabilidad de un ataque cibernético, si es así, ¿por qué no ofrecen más incentivos para los nuevos profesionales de la seguridad?

Al graduarme me parece frustrante que mi camino hacia InfoSec haya sido tan difícil, pero el gobierno dice que no hay suficientes profesionales de seguridad. ¿Hay alguna razón específica para esto?

NOTA: Tengo una Licenciatura en Ciencias de la Computación que se centró en los fundamentos de la seguridad. Casi puedo entrar en cualquier otro campo, ya que la mayoría proporciona capacitación adicional. Sin embargo, a pesar de que soy un graduado moldeable, es casi imposible poner mi pie en la puerta en cualquier campo de seguridad, debido a mi falta de experiencia.

    
pregunta Lunar 09.08.2012 - 15:55
fuente

7 respuestas

5

Al abordar tus puntos por separado:

  • Hay una iniciativa muy activa, patrocinada por el gobierno británico específicamente para que los jóvenes ingresen a la industria de la seguridad: enlace

  • Las organizaciones están pidiendo contrataciones en todos los niveles, desde recién graduados hasta profesionales con experiencia. Las juntas de trabajo están llenas de ellos. Entonces, ¿estás buscando en los lugares correctos? Las personas que contratan incluyen las firmas de contabilidad Big 4 (EY, PwC, KMPG, Deloitte), empresas y boutiques de pruebas de bolígrafos, así como organizaciones de usuarios finales como los bancos.

Si se te rechazan los roles, ¿te han evaluado tu CV? A menudo, los nuevos graduados tienen CV, que son muy académicos, y eso apaga a muchos empleadores.

¿Es usted miembro de IISP, ISACA, ISSA o ISC2? Unirse a uno de estos es una adición útil a tu CV en tu escenario.

¿Has visto cursos? ¿O conseguir un certificado como CISSP? Esto te ayudará a superar el firewall de recursos humanos.

Vea las otras preguntas etiquetadas para más información.

Doy bastantes charlas a universidades sobre planificación de carrera. Uno de mis últimos en la Universidad Napier en Edimburgo fue grabado en video como parte de un evento IISP .

    
respondido por el Rory Alsop 09.08.2012 - 18:15
fuente
4

En el campo de seguridad hay una cantidad infinita de vectores de ataque. Puedo apuntar a cualquier usuario, cualquier sistema, cualquier software. Puede que no sea capaz de romperlos todos, pero el potencial está ahí. Debido a eso, no hay un curso o plan de estudios directo para convertirse en un experto en seguridad. Por lo general, el defensor exitoso es alguien que simplemente sabe más sobre un sistema que el atacante y viceversa. Es por eso que reconocen la amenaza de los ataques cibernéticos, pero se dan cuenta de que no existe un método exacto para convertir a alguien en un experto en todos los campos técnicos.

    
respondido por el Chris Frazier 09.08.2012 - 16:21
fuente
4

OP, dijo que tiene conocimientos sobre los 'fundamentos de la seguridad', entonces realmente suena como que solo necesita ensuciarse las manos y explorar toda la información disponible gratuitamente en línea. Decidí aprender sobre seguridad hace unos meses y todavía estoy abrumado por todo el contenido que he encontrado hasta ahora.

Aquí hay una publicación de blog particularmente buena sobre cómo comenzar: enlace

    
respondido por el Trynity 09.08.2012 - 17:57
fuente
3

Los políticos son expertos en hablar sobre problemas sin hacer nada al respecto. La seguridad cibernética es un tema que todos pueden apoyar y gritar, y luego "buscar en la industria" para resolver. Al final, realizarán el procedimiento habitual del gobierno del Reino Unido, que consiste en gastar un montón de dinero en consultores externos en proyectos mal concebidos, mal dirigidos y, en última instancia, infructuosos.

Si quieres ponerte en seguridad, tendrás que trabajar en ello tú mismo. Hay una gran cantidad de autoestudio y certificaciones que puede obtener sin ninguna capacitación formal, y con muy poca experiencia real. Concéntrese en obtener una certificación de seguridad de nivel de entrada como un SSCP o un Security + y trabaje desde allí. Estos le conseguirán un empleo y el empleo le brindará la experiencia que necesita para obtener mejores empleos. Obtenga información sobre la gestión de riesgos y los procesos empresariales en torno a la seguridad para que no se vea como un idiota en una entrevista.

Claro, sería bueno tener un programa que ayude a financiar nuevos profesionales de seguridad, pero es un gobierno conservador que está eliminando absolutamente todo y no conoce la definición de inversión. Nada es gratis, tendrás que trabajar para ello.

    
respondido por el GdD 09.08.2012 - 16:15
fuente
2

Un artículo acaba de encontrar Hacker News hoy sobre este tema exacto. Aquí está el problema:

  

Ha habido bastantes historias sobre la escasez de seguridad   habilidades. Entre ellos hay bastantes comentaristas que gritan: "¡Bollocks!   no nos contratará ".

     

¿Pueden las dos cosas ser verdad? ¿Puede haber una escasez de habilidades infosec?   que coincide con la falta de puestos de trabajo de nivel de entrada?

     

Oh, sí. Aquí está el problema: no hay nada en absoluto "nivel de entrada"   sobre seguridad.

Recomiendo comenzar en un campo de TI más tradicional, especialmente en redes, Sys. Admin., O similar. Allí puede concentrarse en las partes de seguridad de esos campos, y mientras tanto, practique las partes más complicadas del comercio, como las pruebas con lápiz, en su propio tiempo. Busque oportunidades para colaborar con el equipo de seguridad donde sea que termine y haga conexiones, o incluso ayude a participar en una evaluación.

Brian Krebs ha estado ejecutando una serie de entrevistas con infosec heavy hitters sobre cómo entrar en la industria. Un tema común ha sido que casi ninguna de estas personas comenzó en un trabajo de "seguridad", pero encontró su camino allí debido a una verdadera pasión por él.

    
respondido por el queso 09.08.2012 - 23:18
fuente
1

Para la mayoría de las personas, centrarse en la seguridad de la información es algo que alguien más hace, que es exactamente el problema.

La gente asume que la seguridad está a cargo de las "personas de seguridad" y todo estará bien siempre y cuando podamos encontrar a las personas de seguridad adecuadas y a las personas de seguridad que hacen su trabajo.

Pero siempre y cuando los programadores de PHP continúen creando oportunidades de inyección de SQL, y mientras los usuarios continúen usando "12345" como su contraseña de VPN y hagan clic en "Sí" en todos los cuadros de diálogo sin leerlo, y mientras los administradores continúen para comprar "soluciones integradas llave en mano" basadas únicamente en la cantidad de viñetas en el texto del anuncio, entonces no importará cuántos profesionales de seguridad hay o qué tan bien capacitados estén.

Resolver la crisis de seguridad mediante la capacitación y la contratación de profesionales de la seguridad es como resolver la epidemia de obesidad mediante la capacitación y la contratación de nutricionistas.

    
respondido por el tylerl 09.08.2012 - 18:36
fuente
0

¿Qué quieres decir con duro? La seguridad es un campo dinámico, es imposible saberlo todo (te guste o no). Lo que cuenta es en qué área (s) es usted competente. Si la seguridad fuera fácil, todos estarían en ella. Solo los dedicados y persistentes sobreviven en este campo, los que no pueden hacer este gran negocio: P

    
respondido por el Jordan 09.08.2012 - 16:14
fuente

Lea otras preguntas en las etiquetas