Si uno aprendiera de cero la seguridad informática y la seguridad de Internet, ¿qué pasos debería tomar?

Las herramientas y técnicas son una de las tres o cuatro competencias, y cuanto más suba la escalera, menos importa.
– Conozca los principios, el “por qué”, pruebe el CISSP o cism, incluso si solo el ejemplo cuestiona boolket o el software que venden con ejercicios de perforación. Te ayudará al menos con entrevistas de trabajo.
– conexiones, un lobo solitario es inútil en la actualidad … Normalmente te metes en la seguridad porque estás en un trabajo que se expone a eso o con personas que trabajan en eso, OMI. Por lo tanto, muchas preguntas … En un trabajo, si puede obtener avisos o consejos de colegas y está bien conectado, le irá bien.
– Venta y habilidades blandas. No hay necesidad de elaborar. Pero la seguridad tiene mucho que ver con el convencimiento, el cambio de comportamiento, la concientización y el lenguaje corporal que demuestre que sabe lo que está haciendo o al menos cree en los principios.

La herramienta / técnicas … Esas evolucionaron rápidamente y se volvieron más rápidas. En 17 meses, tuvimos un conjunto completo de scripts para administrar los escáneres Qualys a través de api e integrarlos con el sistema de mesa de ayuda. saas por cierto.

Esta es una ruta, la otra es si ya viene con una pasión por algún aspecto de seguridad … Pruebas de red, programación en ensamblador, cosas así … En ese caso, la pregunta no se aplica ya que no es “desde el principio” y Te estarías dirigiendo a un camino muy específico … Ya evidente en la universidad, etc., etc.

En pocas palabras, aprenda lo básico, obtenga un trabajo que se exponga, incluso de manera indirecta, a infosec, elija una especialidad que le guste, obtenga un mentor y cree su red de colegas. Y sé social …

Espero eso ayude

He pensado en esta pregunta para awhiile. Enseño un curso de posgrado en seguridad de redes y obtengo este mucho. Mi respuesta inmediata es: “¿Qué te interesa? Busca eso y luego ven a hablar conmigo”. La razón es que hay docenas de áreas en las que la gente se especializa. Oh, sí, tú te especializas. ¿Estás en la seguridad de la red? seguridad del host? aplicación (qué tipo / tipo), vigilancia, prevención / detección de intrusos, pruebas de lápiz, políticas y procedimientos, criptografía, teléfonos móviles? ¿Quieres ser más técnico o directivo? ¿Quieres trabajar en el sector público o privado? ¿Qué pasa con los proveedores de servicios? Usted ve mi punto.

Mi respuesta generalizada sería obtener una base sólida y sólida para el riesgo y la gestión del riesgo porque las tecnologías van y vienen, pero siempre nos enfrentamos al riesgo y no cambia mucho (los detalles sí, pero los objetivos no cambian). ).

Comprenda qué es el riesgo y cómo reconocerlo, entonces podrá ver el mundo de manera diferente. Aprendes sobre el riesgo al leerlo y pensarlo. Para más información, los libros de Bruce Schneier o Ira Winkler te harán pensar en la dirección correcta.

Tome un curso de introducción a la seguridad de la información. Algo que le dará una visión general amplia de la seguridad informática de todas las facetas. No quieres ir a lo profundo, quieres ir a lo ancho.

A partir de ahí, reduce tu interés. Hay docenas para elegir que van desde las más técnicas hasta las más basadas en políticas y en todas partes. Tienes que adaptar tu educación hacia una meta.

Si desea centrarse en la seguridad de la aplicación, puede aprender sobre el último XSS o ataque de anclaje, pero en lugar de entender el ataque específico, comprender cómo se produce y luego aprender cómo escribir un código seguro bueno y sólido que sea resistente a esos ataques. O puede encontrar un producto como un firewall de aplicación WEB que pueda resistir el ataque. El punto es que tienes que entender la naturaleza del problema y cómo se manifiesta y luego encontrar una manera de resolverlo.

Comience de par en par, luego vaya estrecho.