Как стать специалистом по информационной безопасности?

Содержание

• Зачем становиться специалистом по информационной безопасности?
• Образование и обучение
• Сертификации и тренинги
• Опыт работы и стажировки
• Навыки и компетенции
• Знание законодательства и стандартов
• Инструменты и технологии
• Сеть профессиональных контактов
• Личные качества и характеристики
• Советы для начинающих

С активным развитием IT-сферы возникла такая проблема, что в отрасли чувствуется недостаток специалистов по кибербезопасности. Их основная задача – сохранить данные от утечки. Их можно сравнить со стражами, которые охраняют ваши пароли и данные от попадания в руки злоумышленников. Как стать специалистом по информационной безопасности и есть ли у этой профессии будущее? Сейчас разберемся.

На данный момент информационная безопасность является одним из самых востребованных направлений в айти. Специалист в этой области занимается не только стандартной защитой данных, но и формирует работу сервиса так, чтобы сохранялась целостность и доступность.

Самый простой пример – это банки. Сейчас у каждого есть онлайн-приложение, где он может наблюдать за своими расходами и действиями на счету. Но самое интересное, что в работе в работе банковской системы используется сразу три компонента информационной безопасности: целостность, конфиденциальность и доступность.

Как это выглядит:

• конфиденциальность – это пароли от банковских счетов, данные по транзакциям, привязанные номера телефонов;
• целостность – это строгий процесс проведения транзакций. Это значит, что ни при каких обстоятельствах средства не будут списывать просто так, что вся информация о транзакциях будет храниться в определенной структурированной системе, и что пользователь, который является владельцем счета, при необходимости сможет изучить эту информацию;
• доступность – это своевременная работа сайта банка. Специалист защищает его от внешних угроз, взломов и других внештатных ситуаций.

Все эти действия выполняет один человек или несколько? Все зависит от размеров компании. Если организация очень большая и ее клиентами является тысячи человек, то над каждым компонентом безопасности работает целый штат сотрудников.

В этой области также есть различные направления:

• инженер облачной безопасности занимается защитой облачных хранилищ;
• инженер по безопасности работы приложений занимается защитой информации на всех этапах;
• специалист по поиску уязвимостей на веб-сервисе, сайте или в приложении изучает сервис на предмет слабых мест и несовершенства кода;
• специалист по инфраструктурной безопасности разрабатывает полноценную систему защиты для каждого из отделов организации;
• реверс-инженер работает с программами-вирусами, чтобы выяснить, как они работают, и разрабатывает стратегию защиты от них;
• аудитор информационной безопасности отвечает за регулярную проверку компьютерных систем, которые используются для обеспечения работы компании и хранения данных;
• специалист по компьютерной криминалистике занимается исследованием улик и цифровых следов;
• технический пресейл информационной безопасности отвечает за сбор и хранение информации о клиентах, а также интеграция этих данных в работу;
• технический писатель систем информационной безопасности сотрудничает с другими отделами, где реагируют на неисправности и уязвимости системы;
• сотрудник отдела интеграции и анализа систем безопасности создает интегрируемые системы безопасности, которые будут работать во взаимодействии с разными отделами;
• руководитель отдела безопасности, которые курирует работу всех вышеуказанных специалистов.

Как видите, объем работы у специалистов очень большой. Может ли один специалист знать все? Теоретически, да, но как правило, в  таких вопросах гораздо удобнее, когда работой занимается целая команда, так как шанс на ошибку из-за человеческого фактора и усталости снижается.

Можно ли стать хорошим специалистом информационной безопасности с нуля и без образования? Можно, но работодатель может потребовать сертификаты, которые подтверждают образование. Для этого сейчас есть программы переподготовки, которые организованы на базе высших учебных заведений. На них приходят люди уже с опытом работы в айти сфере, поэтому, если такого опыта нет, придется несколько лет изучать языки программирования, циклы и функции, фреймворки и библиотеки и только потом переходить к изучению систем безопасности. Помимо этого нужно будет углубиться в тестинг, чтобы понять, как и где искать уязвимые места в работе сервиса.

Если есть желание и возможность, лучше поступить на эту специальность в вуз и там получать полноценное образование, которое в итоге сможет оценить работодатель. Информационные вузы Москвы принимают документы от абитуриентов, которые закончили 11 классов и сдали ЕГЭ по русскому языку, математике, физике и информатике. Последние три предмета являются приоритетными, поэтому за них необходимо постараться получить как можно более высокие баллы.

Какие проходные баллы на информационную безопасность? Институты Москвы и любых других городов могут предоставить информацию только за прошлый год, так как проходной балл меняется ежегодно. Он зависит от того, насколько хорошо школьники сдали ЕГЭ. В один год могут быть очень высокие баллы, а на следующий, преподаватели будут рады увидеть тех, кто дотянул хотя бы до 200 баллов.

Можно ли получать образование самостоятельно? Да, но если учиться в вузе, то на получении понимания специальности и нюансов из смежных областей, например, законодательства и юриспруденции, уйдет не более 5 лет, а для самостоятельного обучения придется потратить минимум 7-8 лет. Такой срок обучения складывается из того, что человеку никто не будет помогать. С документами, стандартами работы операционных систем и языков программирования, законодательством и другими процессами, которые обеспечивают кибербезопасность, он будет разбираться сам.

Получить подтверждающие сертификаты можно на базе высших учебных заведений. Также в интернете можно поискать лицензированные школы, которые проводят краткое обучение и тестирование по информационной безопасности. Как уже было сказано выше, в такие школы обращаются те, кто уже все умеет и им нужно лишь подтвердить свои знания.

Стоит ли проходить тренинги по информационной безопасности, если образование и работа уже есть? Да, обязательно. Айти сфера очень быстро и активно развивается, поэтому, чтобы за всем следить и обладать актуальными знания в области обеспечения безопасности и работы с необходимым инструментарием, придется регулярно посещать тренинги, вебинары или конференции.

На биржах фриланса вряд ли получится найти работу по этой специальности, но вот на агрегаторах по поиску работы вакансий огромное количество. Более того, они там на любой вкус и цвет, потому что компаний много, объем работы разный. Есть даже вакансии, где сразу указывают, что набирают стажеров и младших специалистов. Очевидно, что даже младший специалист уже должен обладать базовыми компетенциями и навыками, а также знанием хотя бы двух языков программирования.

Что должен знать и уметь специалист по информационной безопасности:

• работать с несколькими языками программирования: Java, C++, Python;
• иметь навыки работы в системе регулярных выражений;
• уметь работать со всеми существующими операционными системами и базами данных;
• знать конфигурацию системы и баз данных;
• уметь работать с компьютерными сетями и форматами маршрутизации;
• знать правила работы с протоколами вторжений.

Описывать все навыки и компетенции нет смысла, потому что ежегодно к ним добавляются новые. Это лишь базовый набор того, что специалист ИБ обязан знать.

Специалист в области информационной безопасности обязан ориентироваться в законодательстве и стандартах работы определенных систем. Это необходимо для того, чтобы он понимал, какие последствия несет уязвимость сайта, сервиса или хранилища.

Крупные компании осознают, что несут юридическую ответственность за хранение данных. Если так случится, что информация попадает в руки злоумышленников и будет доказано, что данные они получили именно из незащищенного хранилища определенной компании, организацию ждут суды и долгие разбирательства.

Для обеспечения безопасности используются следующие инструменты:

• программы мониторинга сетевой безопасности;
• инструменты сканирования веб-уязвимости;
• инструменты киберезопаности и защиты паролей;
• инструменты кибербезопасности защиты сети;
• инструмент тестинга на предмет проникновения и поиска уязвимостей;
• инструменты работы с шифрованием данных.

Для каждого из этих инструментов созданы программы, с которыми студенты знакомятся. В вузе учат их подбирать под потребности и формат компании.

Сеть профессиональных контактов в айти сфере очень обширная. Это блоги, форумы, социальные сети. Специалисты даже в этой области делятся друг с другом тем, как лучше защитить информацию. Об этом давно говорится и это стоит подтвердить еще раз – в IT-комьюнити очень комфортна атмосфера. И дело здесь не в том, что в программирование приходят самые прекрасные люди. Они бывают разные, но во время приобретения опыта каждый из них понимает, что знать все невозможно, поэтому придется научиться взаимодействовать с коллегами, задавать вопросы и самому помогать другим. Любой сотрудник айти знает, что если что-то непонятно, надо идти в интернет. Там с этим либо уже кто-то сталкивался, либо заинтересованные люди помогут решить вопрос.

Для всех работников в сфере айти действует стандартный набор характеристик:

• усидчивость;
• терпеливость;
• любознательность;
• высокая степень стрессоустойчивости;
• физическая выносливость;
• готовность постоянно учиться;
• умение работать в команде.

Кроме того, что работа физически и морально бывает тяжелой, специалист по безопасности должен осознавать, что он несет юридическую ответственность за свои действия. Здесь не получится списать все на банальную ошибку. Если говорить коротко, то этого сотрудника наняли для того, чтобы ошибок не было.

Что можно посоветовать тем, кто только решил начать путь в этой сфере? Быть готовым к тому, что учиться придется даже больше, чем обычному айтишнику, которые пишет код и создает приложения. Систем и инструментов для обеспечения безопасности очень много, с каждым нужно разобраться, подобрать под определенные потребности и модель компании. И самое главное – самому, исходя из собственного опыта и навыков, постараться обойти систему безопасности. В этом вопросе сотрудник отдела безопасности должен быть как Шерлок Холмс и доктор Ватсон.

Как стать специалистом по информационной безопасности? Поступить в вуз на эту специальность, смело предлагать свою кандидатуру для стажировок и не бояться сложностей.