Comment obtenir un emploi en cybersécurité

Cette histoire fait partie de l'initiative ** How to get a job in tech ** de Hacker Noon. La série est destinée aux professionnels de la technologie de tous les domaines pour partager leur expérience de la construction d'une carrière dans la technologie et aider à briser les mythes courants auxquels les techniciens débutants sont confrontés.

Si vous aussi vous souhaitez partager votre expérience, Vous pouvez le faire ici .

Quel est votre poste actuel ?

Diriger ma propre entreprise en faisant du conseil, de la formation et de l'enseignement, de la parole, de l'écriture, beaucoup d'apprentissage.

De nos jours, il est difficile de définir sous une seule étiquette car c'est le chevauchement entre tout ce que je trouve intéressant et tout ce qui apporte de la valeur aux clients. Cela apporte certainement des défis lorsque les gens me demandent ce que je fais.

Depuis combien de temps travaillez-vous dans la tech ?

Plus de deux décennies maintenant, donc ça fait un moment. Jusqu'aux deux dernières années, c'était toujours en tant qu'employé, jusqu'à ce que je devienne raisonnablement indépendant peu de temps après l'entrée en vigueur du verrouillage au Royaume-Uni. À titre indicatif, je ne recommanderais pas de quitter volontairement un emploi stable, sûr et agréable au milieu d'une crise mondiale pour essayer de reprendre et de gérer votre propre entreprise. Cela a fonctionné pour moi, mais j'ai passé de nombreuses nuits anxieuses à penser à ce qui pourrait mal tourner.

Au fil du temps où j'ai été dans la technologie, j'ai fait du support technique, de la réparation d'ordinateurs portables sur le terrain, du développement, de l'architecture, de la surveillance SOC, de l'ingénierie, de la gestion, des risques, de la conformité et un certain nombre d'autres choses. Il n'y a pas eu de plan de carrière ou de chemin soigneusement tracé, simplement saisir avec impatience la prochaine opportunité quand je sentais que le moment était venu - même si cela signifiait que je devais sprinter pour rattraper mon retard.

Quel est votre parcours scolaire et comment êtes-vous arrivé dans la cybersécurité ?

Décrochage universitaire à l'origine, avec une poignée de niveaux A. J'ai fini par retourner à l'université pour obtenir une maîtrise en 2017, mais pendant la majeure partie de ma carrière, ma formation était davantage basée sur des certificats professionnels et l'auto-éducation - ou le soutien de personnes que je considérerais comme des mentors.

Mon parcours dans la sécurité est vraiment difficile à juger. On peut dire que j'y ai été impliqué au début de ma carrière, en gérant les réseaux scolaires peu de temps après l'entrée en vigueur de la deuxième loi britannique sur la protection des données - la sécurité de l'information était donc fraîche dans l'esprit de tout le monde. À ce moment-là, la sécurité de l'information était encore le nouveau mot à la mode et le cyber était loin à l'horizon.

De nos jours, je dis généralement que je suis dans la sécurité, sans me limiter à un domaine spécifique comme l'information ou la cyber, mais jusqu'à il y a quelques années, je me décrivais encore comme étant dans la cybersécurité. Pointer vers un point précis où cela s'est produit est plus un défi.

C'est une chose que je suggère fortement maintenant à ceux qui essaient d'entrer dans la sécurité, il est plus facile de s'introduire par accident que volontairement. Si vous êtes dans quelque chose de même périphérique et que vous pouvez vous impliquer dans l'équipe de sécurité d'une organisation, vous pouvez vous retrouver sur le terrain avant même de vous en rendre compte.

Nous aimerions en savoir un peu plus sur les mentors, était-ce un arrangement de format ?

Très peu formelle - les meilleures relations mentor/mentoré ne le sont souvent pas.

Il y a cependant deux personnes que je désignerais comme mentors tout au long de ma carrière, et travailler avec eux correspond à mes deux plus longs mandats.

Le premier était dans l'un de mes premiers rôles, un gars qui a vu en moi le potentiel de faire plus que de s'asseoir sur le service d'assistance et m'a amené à aider avec l'architecture et la virtualisation, ce qui m'a donné un énorme coup de pouce au début.

Le second était bien plus tard, quelques années avant de devenir indépendant, et a vraiment rempli les pièces manquantes. Elle avait travaillé avec mon employeur à l'époque pendant 17 ans, et ses conseils sur la façon de fonctionner à travers les organisations, de jongler avec la politique et d'engager l'intérêt personnel des gens là où c'était nécessaire ont été extrêmement efficaces depuis.

Quel a été le meilleur conseil que vous ayez reçu au cours de votre carrière ?

"N'oubliez pas que ce n'est qu'un modèle."

Il existe différentes formes de cela, mais cela a été vital au fil des ans. Bien trop souvent, dans ce domaine, nous glissons dans le piège de penser que nous avons les réponses parce que nous avons décidé qu'un modèle ou un autre est la « vérité ». Cette petite phrase est un rappel que, quel que soit le modèle que nous utilisons, nous ne devons pas nous attacher trop - ce n'est qu'un guide de réflexion et de compréhension, pas un livre de règles.

J'ai rencontré bien trop souvent des gens qui se sont accrochés à une idée comme étant la vérité et qui ne peuvent pas l'abandonner. Qu'il s'agisse de la triade de la CIA, de conseils sur les mots de passe obsolètes, de modèles de risque particuliers, d'approches de test ou de toute autre chose, il est extrêmement important de pouvoir lâcher prise et repenser les choses sous un angle différent.

Une chose que je n'arrête pas de dire à mes propres étudiants, au point où c'est devenu une blague (bien qu'il y en ait assez de nos jours, ce n'est pas vraiment une blague), c'est qu'il n'y a pas de bonnes réponses, juste des moins bonnes mauvais. C'est désinvolte, mais en matière de sécurité, c'est vrai, il n'y a pas d'objectif final ou de réponse parfaite - nous travaillons sur un mélange d'amélioration continue et d'amélioration continue. S'arrêter et décider qu'une seule réponse est la bonne , c'est là que les problèmes commencent.

L'importance de l'auto-apprentissage en cybersécurité

Mixte. J'ai suivi une formation professionnelle, une formation académique et beaucoup d'auto-apprentissage. Je ne dirais pas que l'un d'entre eux était plus ou moins important que les autres, c'est le mélange qui a été précieux et m'a amené là où je suis. Mélangez et assortissez, ne vous consacrez pas à une seule façon d'apprendre.

Vous obtiendrez de nombreux conseils sur des plates-formes telles que HacktheBox et TryHackMe , et elles sont extrêmement utiles si vous souhaitez vous lancer dans les tests d'intrusion. Là où cela ne va pas, c'est que les tests d'intrusion sont un petit sous-ensemble du domaine de la cybersécurité, et c'est l'un des plus compétitifs à aborder car il est considéré comme la voie «sexy». Emprunter ces voies à l'exclusion de tout le reste ne vous aidera pas avec la GRC (gouvernance, risques et conformité), l'architecture de sécurité, la cryptographie, l'architecture, la criminalistique ou l'une des dizaines d'autres options qui s'offrent à vous.

Security Blue Team et Immersive Labs sont deux organisations qui fournissent une mesure du matériel d'auto-formation de l'équipe bleue, et il existe de nombreuses vidéos YouTube disponibles sur des domaines techniques tels que la réponse aux incidents et la criminalistique que vous pouvez trouver.

C'est lorsque vous sortez de la technique que les choses peuvent devenir difficiles, et le meilleur conseil ici est de vous tourner vers les livres et les conseils de ceux qui sont déjà sur le terrain. Compte tenu de la vaste gamme, je ne vais pas fournir une liste complète des livres que je recommanderais (ce serait beaucoup trop long, peut-être un autre article), mais beaucoup d'entre nous dans l'industrie sont toujours heureux de parler à ceux qui cherchent à entrer et fournir quelques recommandations. Je vais fournir quelques-uns que je suggère toujours cependant.

1. L'oeuf de coucou par Cliff Stoll

   L'un des premiers récits de cyberespionnage, il suit une enquête et illustre les fondements de la criminalistique et des enquêtes numériques modernes.

2. Le but par Eliyaho M. Goldratt

   Alors que de nos jours, The Phoenix Project est peut-être mieux connu, The Goal est le travail sur lequel il est basé et il y a quelque chose dans les exemples beaucoup plus concrets de fabrication qui, je trouve, le rendent plus relatable et grokky.

3. Influence de Robert Cialdini

   Souvent recommandé par les ingénieurs sociaux, le travail de Cialdini vaut la peine d'être lu pour tout le monde car vous rencontrerez de nombreuses situations dans votre carrière où il est pertinent - c'est aussi un excellent travail pour reconnaître les principes utilisés contre vous.

4. Les 7 habitudes des personnes très efficaces par Stephen R. Covey

   Un de ces livres dont les gens peuvent être un peu cyniques, 7 habitudes est un classique pour une raison et a encore beaucoup à ajouter. Vaut vraiment la peine d'être lu.

5. Théorie de l'information : une introduction au didacticiel par James V Stone

   Alors que tout le monde connaît un peu la cryptographie, les travaux de Shannon sur la théorie de l'information sont souvent négligés. Bien que la plupart des gens de la sécurité ne l'utiliseront jamais directement, prendre le temps de le comprendre peut vous donner une vision complètement différente des choses qui feront la différence tout au long de votre carrière.

Sachant ce que vous faites maintenant, où pensez-vous qu'on devrait commencer à apprendre s'ils veulent travailler à votre poste un jour ?

Partout où vous le pouvez. Cela dit, je dis toujours que les écoles sont un excellent point de départ - pas pour étudier, mais pour gérer des systèmes. Les écoles sont souvent sous-financées, disposent d'une vaste gamme de technologies, prennent la sécurité au sérieux au niveau de la gestion et constituent un excellent moyen de plonger dans les profondeurs et d'apprendre très rapidement.

Les certificats sont un sujet difficile - il y a beaucoup de marketing et d'huile de serpent autour d'eux, et beaucoup ne sont finalement évalués que par des tests à choix multiples, ce qui les rend moins utiles pour mesurer les capacités, et beaucoup trop faciles à abuser. . Certains ont des connaissances utiles dans leur programme, mais vous n'avez pas besoin du certificat pour cela, il est donc souvent préférable de les traiter comme des clés pour déverrouiller des rôles là où ils sont nécessaires - mais ne cherchez pas à obtenir des informations d'identification à moins que vous ne deviez le faire (idéalement une fois vous êtes et une entreprise paie pour votre formation et votre examen).

Quelques choses que je suggérerais sont d'essayer d'apprendre à abandonner l'orgueil - cela m'a pris quelques bonnes années et m'a coûté beaucoup pendant cette période - et de toujours me réserver le droit de me tromper complètement sur les choses. Soyez également prêt et disposé à échouer, à apprendre et à essayer quelque chose de différent - ne vous accrochez pas aux situations d'échec, c'est parfaitement bien d'abandonner quand quelque chose ne fonctionne pas.

Quelle est la réalisation professionnelle dont vous êtes le plus fier ?

Que l'entreprise familiale que j'ai reprise continue de se renforcer après deux ans à sa tête. Il est même en croissance, malgré (ou peut-être grâce à) notre façon de travailler plutôt unique. Continuer aurait été un triomphe, mais la façon dont nous avons évolué depuis que j'ai pris mes fonctions est quelque chose dont je suis vraiment fier.

Selon vous, quel est le plus grand mythe concernant le démarrage d'une carrière dans la cybersécurité ?

Que les formulaires de demande sont la voie à suivre. Alors que toute l'idée du système ATS qui examine les mots-clés est un peu un mythe, le grand nombre d'applications auxquelles vous vous heurtez pour les rôles d'entrée de gamme annoncés vous met en mauvaise posture. Il est de loin préférable de réseauter et de contourner le système en se faisant déposer avec un mot personnel pour quelqu'un.

Sur une note moins sérieuse : Qu'écoutez-vous en travaillant ?

C'est assez éclectique - beaucoup de trucs instrumentaux quand je fais quelque chose qui demande beaucoup de réflexion car je trouve que les voix me distraient. Sinon, ça passe par le country, le jazz, la transe et tout ce qui surgit.

Merci beaucoup d'avoir pris le temps de nous en dire plus sur votre parcours professionnel. Des mots de sagesse pour les techniciens en herbe?

Oubliez de suivre votre passion. Lorsque la plupart des gens parlent de suivre votre passion dans une carrière, ils la regardent à l'envers. Les passions que vous avez au début ne seront pas les mêmes que plus tard, ce sont des caprices changeants et essayer d'en respecter strictement une - ou pire, croire qu'il y a quelque chose qui ne va pas si vous n'en avez pas - est un bon moyen de tuer les morts, vite.

Au lieu de cela, laissez-vous aller à votre curiosité. Suivez ce qui vous intéresse et ne vous tenez pas lié à ces intérêts au fur et à mesure qu'ils changent.

La vraie passion suit la curiosité et l'effort pour la satisfaire, et non l'inverse.