Me gustaría ser un consultor / auditor de seguridad de TI independiente dentro de 10-15 años. ¿Cuál sería la perspectiva de tal carrera y cuál sería un buen camino para mí?

Hasta la fecha, la seguridad de TI ha sido un sector profesional gratificante para muchas personas. Hasta cierto punto, ha habido oportunidades para “encontrar un nicho y llenarlo” cuando se trata de establecer una trayectoria profesional. Algunas de esas cosas están cambiando, y es difícil saber hasta qué punto cambiarán los desequilibrios en la oferta y la demanda de talento.

Ha habido mucha “mercantilización” en los mercados de auditoría y consultoría de INFOSEC. Esto es conveniente, ya que hay innumerables títulos de trabajo hiper-específicos para su posible consideración. Es un desafío ya que mientras se está abriendo camino, es posible que tenga que hacer un esfuerzo especial para experimentar lo suficiente de esas especialidades que ha visto todo lo que necesita ver, para no quedar atrapado en una sin un plan sobre cómo ampliar tus horizontes

Si por “consultor” te refieres a alguien que asesora sobre arquitectura y diseño de seguridad, primero debes saber cómo construir cosas y también cómo construirlas de forma segura.

Como ya está trabajando al menos parte del tiempo “en el cable”, podría pensar seriamente en lo que necesitaría aumentar en su conjunto de habilidades para tener una perspectiva integral de la seguridad. Creo que eso podría traducirse en su caso a aprender mucho sobre los sistemas en los extremos del cable.

Es posible que ya tenga cierta base en algunas de estas categorías, pero si no la tiene, puede comenzar con:

– Comunicación y escritura efectiva de negocios. (Una gran parte del tiempo de un auditor se dedica a escribir los entregables del informe).
– Arquitecturas de sistemas host (hardware)
– Internos del sistema operativo (software)
– Mejores prácticas actuales para fortalecer un host en red (cliente o servidor)
– Metodologías de desarrollo de software seguras (si tiene que revisar un proyecto en desarrollo, debe hacerlo si se está haciendo correctamente)
– Problemas y controles de seguridad de aplicaciones.
(en el contexto del sistema operativo / idiomas / entornos que espera auditar)
– Mejores prácticas actuales para el desarrollo, implementación y revisión de políticas de seguridad.
– Comprender cómo piensan las personas sobre el riesgo y las probabilidades y cómo comunicarse de manera efectiva acerca de esas cosas.
– Cuestiones legales relacionadas con el riesgo, el cumplimiento y las pruebas de seguridad.

Hay un caso especial si quiere ser un auditor forense. Estos proporcionan servicios en la respuesta al incidente o contexto legal. Si quieres hacer eso, hay algunas herramientas y procesos particularmente populares que probablemente querrías aprender. También necesitaría estudiar las estructuras legales que son relevantes en su jurisdicción o las de sus clientes previstos.

¿Puedes arreglártelas sin algunas de esas cosas? Quizás. Todo es diversión y juegos hasta que llegas a un concierto en el que tienes que recurrir al área en la que estás débil.

Para algunos, el “auditor” tiene una connotación específica que implica un acoplamiento de su trabajo a los objetivos establecidos de la política del cliente, en lugar de realizar una evaluación de vulnerabilidad o pruebas de penetración en el vacío. Si desea convertirse en un auditor, puede consultar una asociación profesional llamada ISACA, además de las otras con las que podría estar familiarizado, como la AISS.

Si bien me gustaría hacer eco de los comentarios sobre la creación de redes profesionales con colegas, le sugiero enfáticamente que NO se centre mucho en “hacerse un nombre por sí mismo” en el contexto de Internet o los medios de comunicación.

La siguiente es solo mi opinión, pero se basa en observaciones a lo largo de una carrera: hay personas en el circuito de oradores de conferencias que podrían hacer una cosa bien, pero se derrumbarían si tuvieran que evaluar la seguridad general de Implementó sistemas dentro de una empresa real, operativa, (a diferencia de un laboratorio).

Es posible que no desee emular esos. Algunas de las mejores personas de seguridad de TI que conozco trabajan en gran medida en la oscuridad (por razones de ventaja competitiva u obligaciones de confidencialidad serias) en entornos muy importantes. A la inversa, hay más de unas pocas personas que se han centrado en una cosa hasta tal punto que podrían decirse que son expertos en esto pero que no tienen la experiencia suficiente para proporcionar una auditoría decente de una empresa desordenada, inconsistente y del mundo real.

En cuanto a las vías, si ya eres un analista de seguridad de red, te preguntaría “en qué tipo de tienda”. Si lo está haciendo en un MSSP (proveedor de servicios de seguridad administrados), existe la posibilidad de que al final del pasillo haya personas que salgan a probar cosas o arreglar las cosas. Por buenas razones, los auditores a menudo tienen restricciones para ser las personas que implementan o resuelven los problemas de seguridad, pero muchas firmas consultoras tienen equipos diferentes que hacen cada una de estas cosas.

Si ya está en una empresa que utiliza proveedores de servicios de auditoría de TI, mire quiénes son sus proveedores y hable con las personas que conoce sobre lo que hacen y cómo les gusta. Tenga en cuenta que existe la posibilidad de que, en función de su contrato con su lugar de trabajo, tenga prohibido contratar a cualquier persona que trabaje allí. Sin embargo, la restricción a menudo es contra el cliente que caza al personal de la empresa consultora, y no al revés.

Related Content

¿Qué computadora portátil debería comprar con un presupuesto de 25 k INR si lo necesito para la práctica de programación y el desarrollo de aplicaciones web, no para jugar?

Como ingeniero de TI (más fresco) y entusiasta de los viajes, ¿qué trabajo puedo buscar si quiero viajar por el mundo mientras trabajo?

¿Cuál es el mejor lenguaje en el mundo de hoy para obtener una buena oportunidad, PHP o Java o .NET?

¿Qué hacen realmente los ingenieros de TI de 8:00 am a 8:00 pm?

¿Cuáles son las probabilidades de obtener el trabajo después de esta entrevista (ver más abajo)?

Muchas buenas respuestas para que las lea aquí, así que seré diferente y le daré una mala respuesta.

No seas un consultor de seguridad independiente.

Bueno, vale, sé uno, pero solo conviértete en uno cuando tienes un cliente que paga de manera constante al principio.

¿Por qué? mucho de lo que hará, no podrá hablar ya que habrá firmado un acuerdo de confidencialidad. Esto significa que enumerarás muchas cosas en tu CV pero no podrás ser específico al respecto. Entonces, “Pen Tested Security en ACME X, una división de MEGACORP” y luego enumerar lo que hizo terminará como “Pruebas de penitración” y luego la fecha. Luego, cuando te entrevistan, tienes un mal olor porque no puedes decir por quién hiciste esto.

Además, a veces freelance lo haces a escala de un proyecto. Entonces, recibe un pago inicial, luego recibe un pago cuando se alcanzan los objetivos y, finalmente, cuando llega a la “Finalización Final” y al cheque de pago final, es sorprendentemente común que las compañías establecidas no paguen y reclamen que le pagaron lo suficiente. con tus otros cheques.

Entonces, ¿Qué haces? ¿Demandar? Tal vez tenga un futuro empleador que haga una verificación de antecedentes y diga “hmmmm … ya ha demandado a tres clientes diferentes, evitemos a este tipo” o No demandar y que nos paguen mucho menos de lo que vale y hasta que los abogados le recuerden que la NDA que firmó aun es válido.

El escenario que doy no siempre sucederá. Pero pensé que lo daría como mi “mala respuesta”, por lo que podría considerar otra posibilidad porque todo lo que he mencionado me ha pasado y he sido consultor como mi única forma de ingresos durante 4 años de mis 16 años en TI y Siempre han sido mis trabajos más interesantes pero menos agradables.

Rohan Malhotra

Bueno, empieza a construir una reputación en línea por lo menos. No seas anónimo en línea. Conviértase activo en foros de seguridad como Malware Tips o Wilders Security. Esos lugares suelen tener un montón de ida y vuelta cuando se trata de seguridad de TI. Comience a construir su marca personal involucrando a personas de ideas afines y ayudando a otros y las personas comenzarán a darse cuenta.

Aparte de eso, está el estudio habitual y seguir aprendiendo cosas nuevas. Mantente al tanto de las noticias de seguridad de TI y siempre que puedas contribuir a la conversación. Las cosas se mueven muy rápido hoy en día y mantenerse informado sobre todo puede ser desalentador, por lo que si tiene la mente puesta en un área de seguridad en particular, puede concentrarse y construir sobre eso. Considere asistir a conferencias locales también y reunirse con otras personas de ideas afines.

En términos de carrera, le ayuda si puede conseguir un trabajo que le permita publicar trabajos en su nombre, incluso si todavía es para la empresa. Todo vuelve a construir tu propia marca. Y, por supuesto, estar en condiciones de hacerse cargo de proyectos también aumentará su credibilidad a tiempo.

John Paul Tunay

Aprenda python, shell scripting, redes perl, criptografía, obtenga famalier con linux (kali linux) y siga los tutoriales de securitytube sobre piratería inalámbrica, metasploit y scripts web de python.
El hacking se trata realmente de la investigación, la depuración y la ingeniería inversa. Tome cursos de edx y coursera.

Rohan Malhotra

Necesitas estudiar. Estudia un montón. Aprenda cómo funcionan las cosas, aprenda las herramientas y tecnologías de seguridad existentes y existentes. Es fundamental conocer los aspectos internos de varios sistemas para conocer y comprender verdaderamente sus vulnerabilidades.

Desafortunadamente, muchas cosas que necesita saber no se aprenden fácilmente en el espacio de seguridad de la información, ya que el campo es muy amplio. Así que mejor para estudiar estos por su cuenta.

William Emmanuel Yu

Debe aprender a establecer redes, encontrar a las personas adecuadas que podrían estar interesadas en sus servicios. En línea, puedes probar LinkedIn. Vea 7 formas de dominar su búsqueda de empleo en LinkedIn.

También debe aprender a negociar el pago y debe tener una idea de cuánto debe cobrar. Vea esto para buscar información sobre salarios, Salarios promedio – Descripciones de trabajos – Salarios anuales de empleos.

Rohan Malhotra

Debe tratar de familiarizarse con Linux y comenzar a asistir a la conferencia de seguridad cibernética, agregar personas en el campo de seguridad de la información y siempre tener curiosidad por romper y arreglar cosas.

William Emmanuel Yu

More Interesting

¿Cómo será el sector de TI en la India después de diez años?

¿Cuáles son los pros y los contras de la supervisión del rendimiento del servidor sin agente frente al basado en agente?

¿Cuáles son las principales diferencias entre trabajar en una empresa basada en productos y en una empresa basada en servicios?

En IPv6, al crear la ID de interfaz de 64 bits a partir de la dirección de Mac, el bit U / L (el séptimo bit del byte más alto) se invierte. ¿Por qué se hace esto?

Veo mi trayectoria profesional orientada más hacia el marketing digital. ¿Debo obtener algo de TI o algún tipo de experiencia técnica para diversificar mi conocimiento y hacerme más comercial?

¿Cómo las industrias pornográficas impulsaron las industrias de TI?

¿Cómo pueden los empleados de TI hacer una transición de sus habilidades, dominio o tecnología sin tener que enfrentar una reducción salarial debido a su experiencia relativamente menor en la habilidad / tecnología / dominio en el que planean mudarse?

Si bien el progreso en la tecnología informática es exponencial, ¿por qué no ocurre lo mismo con la tecnología de baterías? ¿Cuál es la limitación?

¿Por qué es la computación en la nube importante para los negocios?

¿La subcontratación / la deslocalización llevará eventualmente a la desaparición de los trabajos de TI / software como una buena carrera?