サイバーセキュリティで仕事を得る方法

このストーリーは、Hacker Noon の ** How to get a job in tech ** イニシアチブの一部です。このシリーズは、あらゆる分野の技術専門家が技術分野でキャリアを築いた経験を共有し、初心者の技術者が直面している一般的な神話を打ち破るのに役立つことを目的としています.

あなたもあなたの経験を共有したい場合は、あなたはここでそうすることができます.

現在のポジションは？

自分の会社を経営して、少しのコンサルティング、少しのトレーニングと教育、少しのスピーチ、少しの執筆、多くの学習を行っています。

最近では、私が面白いと思うものとクライアントに価値を提供するものとが重なっているため、1 つのラベルの下で定義するのは難しいです。人々が私に何をしているのかと尋ねるとき、それは確かに挑戦をもたらします。

テクノロジー業界でどのくらい働いていますか？

もう20年以上経ちますので、お久しぶりです。ここ数年まで、それは常に従業員としてでしたが、英国でロックダウンが行われた直後に賢明に独立しました.念のために言っておきますが、世界的な危機の真っ只中に、安定した安全で楽しい仕事を自発的に辞めて、自分のビジネスを引き継いで経営しようとすることはお勧めしません.それは私にとってはうまくいきましたが、何がうまくいかないのかを考えて不安な夜をたくさん過ごしました.

技術に携わっている間、技術サポート、フィールド ラップトップの修理、開発、アーキテクチャ、SOC 監視、エンジニアリング、管理、リスク、コンプライアンス、およびその他の多くのことを行ってきました。キャリアプランも入念に計画された道筋もありませんでした。次の機会が来たと感じたとき、追いつくために全力疾走しなければならなかったとしても、熱心に次のチャンスをつかみました。

あなたの学歴はどのようなもので、どのようにしてサイバーセキュリティにたどり着きましたか?

もともと大学中退で、A レベルがわずかにありました。私は 2017 年に修士号を取得するために大学に戻ることになりましたが、私のキャリアのほとんどで、私の教育は、専門的な資格と自己教育、またはメンターとして数えられる人々からのサポートに基づいていました。

私のセキュリティへの旅は、判断するのが本当に難しいです。間違いなく、私はキャリアの最初の頃から関与しており、英国の第 2 のデータ保護法が施行された直後に学校のネットワークを管理していました。そのため、情報セキュリティは皆の心に新鮮なものでした。その時点では、情報セキュリティはまだ新しいバズワードであり、サイバーははるか先のことでした。

最近は、情報やサイバーといった特定の領域に絞らずに、セキュリティを担当していると言うことが多いのですが、数年前までは自分のことをサイバーセキュリティと呼んでいました。それが起こった特定のポイントを指摘することは、より困難です。

これは、セキュリティを強化しようとしている人に強くお勧めすることの 1 つです。意図的に侵入するよりも、偶然に侵入する方が簡単です。周辺に関連するものであっても、組織のセキュリティ チームに参加できる場合は、知らないうちに現場にいることに気付くことができます。

メンターについてもう少し知りたいのですが、それはフォーマットの取り決めでしたか?

非常に正式ではありません - 最高のメンター/メンティーの関係はしばしばそうではありません.

しかし、私のキャリアを通じてメンターとして挙げたいと思う人が 2 人います。

1 人目は、私の初期の役割の 1 つで、ヘルプデスクに座っている以上のことができる可能性があると考えた人で、アーキテクチャと仮想化を手伝うように私を連れてきてくれました。

2 つ目は、かなり後になって独立する数年前のことで、不足している部分を実際に埋めました。彼女は当時私の雇用主と 17 年間働いていました。それ以来、組織を通じて運営する方法、政治とうまくやりくりする方法、必要に応じて人々の私利私欲に関与する方法についての彼女のガイダンスは非常に効果的でした。

キャリアを通じて得た最高のアドバイスは何ですか?

「これは単なるモデルであることを忘れないでください。」

これにはさまざまな形がありますが、長年にわたって重要な役割を果たしてきました。この分野では、あるモデルや別のモデルが「真実」であると判断したために、答えがあると考える罠に陥ることがあまりにも多い.このサウンドバイトは、使用しているモデルに関係なく、執着しすぎてはならないことを思い出させてくれます。これは、ルールブックではなく、思考と理解のガイドにすぎません.

私は、一つの考えを真実として捉え、それを手放すことができない人にあまりにも頻繁に出くわしました.それが CIA のトライアド、時代遅れのパスワードに関するアドバイス、特定のリスク モデル、テストへのアプローチ、またはその他すべてであっても、手放して別のレンズを通して物事を再考できることが非常に重要です。

私が自分の生徒たちに言い続けていることの 1 つは、冗談になるほどです (最近は十分な数の生徒がいますが、それは単なる冗談ではありません)。違う。ばかげていますが、セキュリティには本当のことです。最終目標や完璧な答えはありません。私たちは、十分な改善と継続的な改善を目指して取り組んでいます。立ち止まって、いずれか 1 つの答えが正しいと判断することは、問題の始まりです。

サイバーセキュリティにおける自己学習の重要性

混合。私は専門的なトレーニング、アカデミックなトレーニング、そして多くの自己学習を経験してきました。それらのどれかが他より多かれ少なかれ重要だったと言うつもりはありません。それは価値があり、私がいる場所に私を導いてくれたブレンドです. 1 つの学習方法に専念しないでください。

HacktheBoxやTryHackMeなどのプラットフォームについて多くのアドバイスを得ることができます。これらは、侵入テストを行いたい場合に非常に役立ちます。これが間違っているのは、侵入テストがサイバーセキュリティ分野の小さなサブセットであり、「セクシーな」経路と見なされているため、最も競争の激しい分野の 1 つであることです。他のすべてを排除してこれらの道を進むことは、GRC (ガバナンス、リスク、およびコンプライアンス)、セキュリティ アーキテクチャ、暗号化、アーキテクチャ、フォレンジック、または利用可能な他の数十のオプションのいずれにおいても役に立ちません。

Security Blue TeamとImmersive Labsは、ブルー チームのセルフ トレーニング資料を提供する 2 つの組織であり、インシデント対応やフォレンジックなどの技術分野に関する YouTube ビデオがたくさんあります。

物事が困難になる可能性があるのは、技術分野の外に出たときです。ここでの最善のアドバイスは、本やその分野の専門家からのアドバイスに目を向けることです。範囲が広いため、推奨する書籍の完全なリストを提供するつもりはありません (長くなりすぎるため、別の記事になる可能性があります)。割り込んで、いくつかの推奨事項を提供します。私はいつも提案するいくつかを提供します。

1. クリフ・ストールのカッコウの卵

   サイバー スパイの最も初期の物語の 1 つであるこの記事は、調査を追跡し、現代のデジタル フォレンジックと調査の基礎を示しています。

2. エリヤホ・M・ゴールドラットのゴール

   最近では The Phoenix Project の方がよく知られているかもしれませんが、The Goal はそのベースとなっている作業であり、製造業のより具体的な例については、より関連性があり、不愉快なものになっていると思います。

3. ロバート・チャルディーニの影響

   多くの場合、ソーシャル エンジニアによって推奨される Cialdini の著作は、キャリアの中で関連する多くの状況に出くわすので、誰にとっても読む価値があります。また、あなたに対して使用されている原則を認識するための優れた著作でもあります。

4. スティーブン・R・コヴィーによる非常に効果的な人々の7つの習慣

   人々が少し皮肉を込めることができる本の1つである7つの習慣は、理由から古典であり、まだ追加することがたくさんあります.間違いなく読む価値があります。

5. 情報理論: James V Stone によるチュートリアルの紹介

   誰もが暗号について少し知っていますが、情報理論に関するシャノンの研究は見過ごされがちです。ほとんどのセキュリティ担当者は、これを直接使用することはありませんが、少し時間をかけて理解することで、キャリア全体に違いをもたらすものについて、まったく異なる見方をすることができます。

あなたが今何をしているのかを知って、いつかあなたの立場で働きたいと思ったら、どこから学び始めるべきだと思いますか?

できるところならどこでも。そうは言っても、学校は勉強を始めるのではなく、システムを管理するのに最適な場所だと今でも言います。多くの場合、学校は資金不足であり、膨大な範囲のテクノロジーを備えており、管理レベルでセキュリティを真剣に考えており、ディープエンドに飛び込んで非常に速く学習するための優れた方法です.

証明書は難しいトピックです。多くのマーケティングやスネーク オイルが周りにあり、多くは最終的に多肢選択式テストによってのみ評価されるため、能力を測定する方法としてはあまり役に立たず、悪用するのは簡単すぎます。 .カリキュラムに有用な知識を持っている人もいますが、そのための証明書は必要ありません。そのため、必要な役割のロックを解除するための鍵としてそれらを扱うことが最善の方法です。あなたが入っていて、会社があなたのトレーニングと試験の費用を支払っています)。

私が提案するいくつかのことは、プライドを手放すことを学ぼうとすることです-それには私はかなりの数年を要し、その間に多くの費用がかかりました-そして常に物事について完全に間違っている権利を留保します.また、失敗すること、学ぶこと、そして何か違うことに挑戦することをいとわず、進んで準備を整えてください。失敗した状況に固執しないでください。

あなたが最も誇りに思っている仕事関連の成果は何ですか?

私が引き継いだ家族経営の会社は、私が 2 年間経営した後も、ますます勢いを増しています。私たちのかなりユニークな働き方にもかかわらず（またはおそらくそれが原因で）、それはさらに成長しています.それを続けるだけでも勝利だったでしょうが、私が引き継いで以来、私たちが発展してきた方法は私が本当に誇りに思っているものです.

サイバーセキュリティのキャリアを始めることについての最大の神話は何だと思いますか?

その申請書は行く方法です。キーワードを参照する ATS システムの全体的なアイデアは少し神話ですが、宣伝されているエントリー レベルの役割を求めて対抗しようとしている膨大な数のアプリケーションを考えると、不利な状況に置かれます。ネットワークに接続してシステムをバイパスする方が、誰かの個人的な言葉で立ち寄る方がはるかに優れています。

真面目な話ですが、仕事中に何を聞きますか?

それはかなり折衷的です - 私がボーカルが私の気を散らすことがわかったので、私が多くの思考を必要とする何かをしているときは、多くのインストルメンタルなものです.それ以外の場合は、カントリー、ジャズ、トランス、その他ポップアップするものすべてに及びます。

キャリアパスについて詳しく教えていただき、ありがとうございます。技術者志望者へのアドバイスはありますか?

情熱に従うことを忘れてください。キャリアにおいて自分の情熱に従うことについて話すとき、ほとんどの人はそれを後ろ向きに考えています。あなたが最初に持っている情熱は、後で同じになるわけではありません。それらは変わりやすい気まぐれであり、1つに厳密に固執しようとします.彼らは死んだ、速い。

代わりに、好奇心を満喫してください。興味のあることに従い、興味が変わったときにそれに縛られないようにします。

真の情熱は、好奇心とそれを満たすための努力に続くものであり、その逆ではありません。