İşverenler umutsuzca siber güvenlik pozisyonlarını doldurmaya çalışıyorlar. Mevcut siber güvenlik işlerinin sayısı ve Büyük İstifa nedeniyle hızlanan yıpranma, şirketlerin adayları etkilemek için gülünç derecede yüksek maaşlar, çok sayıda fayda ve ücretsiz eğitim ve sertifikalar sunmasına yol açtı. Buna rağmen aday havuzu sınırlıdır. İşverenler, işe alınabilmeleri için başvuranların deneyimlerindeki boşlukları doldurmalarına yardımcı olmanın yollarını araştırıyor.
Bir Mastercard şirketi olan NuData Security’de teknik baş ürün müdürü Justine Fox, “Siber güvenlik kariyerleriyle ilgilenen herkesin yapması gereken 1 numaralı şey başvuruda bulunmaktır” diyor. “Çoğu teknoloji becerisi, ihtiyaç duyulan siber güvenlik sürümlerine bitişiktir ve rolün gerektirdiği becerileri öğrenmenin rolden daha hızlı bir yolu yoktur. İster kendi kendini yetiştirmiş ister resmi eğitim almış olun, insanları başvurmaya teşvik ediyorum.”
Techstrong Research’ün müdürü Mitch Ashley, bu duyguyu yansıtıyor. “Siber güvenlik artık ağ merkezli bir beceri değil” diyor. “Yazılım dünyayı yemeye devam ederken, güvenlik işe alımları umutsuzca geride kalıyor.”
Siber liderlerin “yalnızca geleneksel siber güvenlik alanlarının ötesindeki yetenekleri” getirmek için “ağı genişletmesi” gerektiğini ve yöneticilerin “daha çok yazılım liderleri ve daha az ağ mühendisleri gibi düşünmesi gerektiğini” ekliyor.
İşe alım şirketleri ayrıca iş gereksinimleri konusunda daha esnek hale geliyor ve insanları sektöre hızlı bir şekilde sokmaya yardımcı olacak fırsatlar yaratıyor. Ayrıca, talep edilen tam iş başında deneyime sahip olmasalar bile, insanların iş başvurularını güçlendirmek ve ihtiyaç duydukları becerileri kazanmak için yapabilecekleri pek çok şey vardır.
Echelon Risk + Cyber CEO’su Dan Desko’ya göre, artan çaresizlik inkar edilemez bir şekilde işverenleri “rolleri doldurmaya ve rekabetçi kalmaya yardımcı olmak için yaratıcı olmaya” yönlendiriyor.
Gerçek, Hızlı Olun
Geleneksel olmayan adaylar için mevcut işe alım kılavuzlarındaki değişim göz önüne alındığında, kazanan bir özgeçmiş için en çok hangi beceri veya deneyim önemlidir? Gerçek dünya, uygulamalı deneyim. Ama nasıl deneyim kazanıyorsun? önce tarlada bir iş mi buldun?
“Güvenlik araçlarına ve projelerine katkıyı gösteren iyi stoklanmış bir GitHub sayfası, güvenlik araştırmaları aracılığıyla konuşan bir blog, bunların hata ödülü veya güvenlik açığı açıklamaları Onur Listesi listeleri – bunların tümü, gerçek dünyadaki becerileri bir işe alma yöneticisine göstermenin ve iletmenin pratik yollarıdır. çabuk,” diyor Bugcrowd’un kurucusu ve CTO’su Casey Ellis.
Ancak bunu yapmayı seçerseniz, mümkün olduğunca çabuk gerçek dünya deneyimi elde edin.
DNSFilter baş güvenlik araştırmacısı Peter Lowe, “Birçok siber güvenlik işinde eğitim gereksinimleri geçmişte kaldı. Bu nedenle, siber alana girmek isteyen insanlar diplomalardan ziyade gerçek dünya deneyimi ve becerileri edinmeye öncelik vermelidir.”
Açık Kaynak Projelerine Dalın
Gerçekten de, açık kaynak projeleri, ucuza uygulamalı deneyim elde etmek için en önemli yerlerdir.
Lowe, “Seviye atlamanın en basit yollarından ikisi, sosyal medya, yani Twitter aracılığıyla infosec topluluğuyla etkileşim kurmak ve küçük bir şekilde katkıda bulunmak” diyor.
Katkıda bulunmak için bir açık kaynak veya açık veri projesi seçmek, “başkalarıyla bağlantı kurmak ve profesyonel ortamlarda gerekli teknikleri ve becerileri geliştirmeye başlamak için harika bir yol” diye ekliyor. “Başlamak için büyük bir şey yok – sadece sizi insanlara ve fikirlere maruz bırakacak bir konu başlığına sahip olmanın bir yolu. Bonus olarak, sahip olduğunuz tüm kamu işleri ve/veya konuşmalar, potansiyel işverenlere gerçek bir potansiyeliniz olduğunu göstermek için harika kanıtlardır. siber güvenlik tutkusu.”
Bir Çıraklık Puanı Almayı Deneyin
Çıraklık eğitimleri daha popüler ve daha yaygın hale geliyor.
Güvenlik ve risk yönetimi şirketi Panorays’in CTO’su ve kurucu ortağı Demi Ben-Ari, “Çıraklık eğitimleri, pratik deneyim ve başkalarından öğrenme fırsatı sağladığı için siber beceri eğitimi için harika bir fırsat” diyor ve ekliyor: “Ayrıca, operasyonel siber güvenlik eğitimi Hem savunma hem de saldırganlık, aynı zamanda geniş bir beceri seti oluşturmanın harika bir yoludur. Artan ağ oluşturma, programlama ve kaynak kullanımına yönelik her türlü fırsat, siber güvenlik bilginizi ve yeteneklerinizi keskinleştirmek için çok önemlidir.”
İçeriden Uygula
Aynı şirketteki mevcut konumunuzdan siber güvenlik alanında kariyer değişikliği yapmayı düşünün. Birçok şirketin eğitime yardımcı olacak programları vardır. Daha fazla “bilinen” başvuru sahibi, iş performansı ve öğrenmeye isteklilik açısından genellikle yeni gelenlere göre tercih edilen işe alımlardır.
“1Password’de, bize katılan ve müşteri destek departmanımızda başlayan ve daha sonra müşterilerimizle yüz yüze rollerde oluşturdukları deneyim göz önüne alındığında güvenlik rollerine geçen birkaç kişi örneğimiz var,” diyor baş kişi sorumlusu Katya Laviolette 1Password, bir şifre yönetim şirketi.
Sahip Olduğunuz Teknik Becerilerden Yararlanın
Siber güvenlik, eskisinden çok daha büyük bir alandır ve artık artan sayıda uzmanlık içermektedir. Halihazırda sahip olduğunuz teknik becerileri oynayın çünkü birçoğu muhtemelen siber güvenliğe geçecek.
“Bugün, siber güvenlik becerileri, güvenlikte yeni olan, güvenliği bulutla birleştirerek, yazılım geliştirme, komut dosyası oluşturma, otomasyon, kod olarak altyapı ve [the] Techstrong’den Ashley,” diyor Techstrong’den Ashley. “Örneğin Cisco’nun DevNet’i yeni ve deneyimli mühendislere Python kursları, komut dosyası oluşturma ve düzenleme eğitimi, API’lerle çalışma, kod alışverişi, MLOps’a maruz kalma ve sanal alanlar öğrenme, test etme ve oynama konularında yardımcı oluyor. geleneksel siber güvenlik için yeni beceriler kullanmak.”
Kendi Kendine Yetiştirdiğin Programda Beceri Kazandır
Kendi kendine öğretmek harikadır, ancak sahip olduğunuz tek şey buysa, çoğu zaman yeterli değildir.
“Süre [capture-the-flag contests] Panorays’den Ben-Ari, “ve diğer kendi kendine öğretilen rota türleri, bir uygulayıcı olarak beceri setinizi genişletmenize yardımcı olabilir, ancak işe girme açısından eğitim ve deneyimin doğrudan yerini tutmaz” diyor. CTF’ler veya hata ödül programları gibi kendi kendine öğretilen yollar bilgiyi artırmaya yardımcı olur, ancak siber güvenlik endüstrisinde başarılı olmak için bu alıştırmaların genellikle sağlamadığı pratik deneyime ihtiyacınız var.
Güvenlik eğitim kamplarının da sınırları vardır.
Ben-Ari, “Orada pek çok eğitim kampı ve program var, ancak bunlar sizi ancak bir yere kadar götürebilir,” diye uyarıyor. Çoğu, sizi yalnızca sorunlu olan küçük pozisyonlara hazırlar çünkü işe almak isteyen çoğu şirket, işte anında mükemmelleşebilmeniz için pratik deneyim ister.
İyi haber şu ki, birçok güvenlik şirketi daha yapılandırılmış eğitim almanıza yardımcı olabilecek programlar da sunuyor.
Analitik yazılım şirketi SAS’ın CISO’su Brian Wilson, “Pek çok güvenlik şirketi, bilgi güvenliği kariyerine başlayan ve ‘ne kadar öde’ eğitimi sunanlara hitap ediyor” diyor.
Ücretsiz Hack Kaynaklarından Çekin
Siber güvenliğin daha çok zihniyet ve problem çözme ile ilgili olduğu söylenir çünkü gerisi sadece öğretilebilir becerilerdir. Yani zihne ve iradeye sahipseniz, becerileri kazanabileceğiniz birçok ücretsiz kaynak var.
Wilson, “İnternette tonlarca ücretsiz bilgisayar korsanlığı kaynağı ve bunları küratörlüğe adamış güçlü bir insan topluluğu var” diyor. Müthiş Hack Kaynakları GitHub’da.”
“Farklı güvenlik alanlarında gerekenlere sahip olup olmadığınızı görmek” için becerilerinizi sanal olarak test etmek için birkaç makul sızma testi laboratuvarı web sitesi de var. HackTheBox popüler bir örnek olarak.
Kendi Mentorunuzu Bulun
Tecrübeli mentorlar, hevesli profesyoneller, orta kariyer profesyonelleri ve mentorlar için de çok değerlidir. Birçok şirket, yeni işe alınanlara mentorlar atar ve bu programlar genellikle altın olarak veya en azından şirket varlıkları için daha iyi güvenlik açısından ağırlıklarına değer. Ancak henüz çalışmıyorsanız veya işvereniniz bir mentorluk programı sunmuyorsa, başka kaynaklar da mevcuttur.
Wilson, “Harika bir strateji, ISC2 gibi yerel güvenlik kuruluşları veya bölgesel Defcon kuruluşları aracılığıyla mentorluk fırsatları aramaktır” diyor ve ekliyor: “Benzer şekilde, çoğu ücretsiz olan siber güvenlik odaklı Meetup.com gruplarına göz atmayı düşünün. Bu yollar, becerilerini geliştirirken saha ağına yeni katılanlara yardımcı olabilir.”
Sertifikalardaki Düşüş
Sertifikaların değerlerini mi merak ediyorsunuz? Neredeyse herkes, bunların yeni işe alma gereksinimlerine nerede uyduğunu bilmek istiyor.
“Sertifikalar, ilk işleri alırken kesinlikle yardımcı olabilir, [but] Ben-Ari, sahada ne kadar uzun süre kalırsanız o kadar önemsiz hale gelirler” diyor ve ekliyor: “Ayrıca sektördeki deneyiminiz hızla siber güvenlik özgeçmişinizin en değerli yönü haline gelecek.”
Bununla birlikte, bazı sertifikalar pirzolalarınızı diğerlerinden daha iyi kanıtlar.
Echelon’da eski iletişim uzmanı ve siber güvenlik danışmanı olan Lily Clark, “İşverenim sertifikamı, eJPT’yi becerimi göstermek için uygulamalı bir temel olarak kabul etti. Bunu CTF deneyimi ve HackTheBox gibi platformlardaki etkinliklerle eşleştirmek” diyor. ve TryHackMe bana bir sonraki adıma hazır olduğum konusunda güven verdi.”
Yapıldığın Şeyleri Göster
Sonuç olarak, ihtiyacınız olan “kanıt” kağıt veya piksel olarak belgelenmemiştir.
Echelon Risk’ten Desko, “Evin yetenek geliştirme tarafında, bizim gibi bir firma için kritik olduğunu düşündüğümüz temel değerleri sergileyen ve bunu güçlü bir öğrenme yeteneğiyle birleştiren kişileri arıyoruz” diyor. bu insanları siber süper yıldızlara dönüştürmeye yardım ediyoruz.
Clark, “hepimiz için inanılmaz bir ilham kaynağı, aynı zamanda başkalarına neyin mümkün olduğunu gösteren büyük bir başarı hikayesi. Ayrıca, özellikle, şu anda kıdemli bir siber güvenlik danışmanı olan eski bir aile danışmanımız var” diyor.