paint-brush
A segurança cibernética é difícil? Como encontrar o seu caminhopor@jamesbore
9,482 leituras
9,482 leituras

A segurança cibernética é difícil? Como encontrar o seu caminho

por James Bore8m2022/11/02
Read on Terminal Reader
Read this story w/o Javascript

Muito longo; Para ler

A segurança cibernética é um campo enorme e em rápida evolução, com uma ampla variedade de caminhos. Existem altas barreiras para novos participantes, com a competição por cargos de entrada sendo acirrada e as habilidades necessárias sendo muito mais amplas do que simplesmente aprender testes de penetração. Embora difícil possa ser usado, uma descrição melhor é que o campo é desafiador e complexo.
featured image - A segurança cibernética é difícil? Como encontrar o seu caminho
James Bore HackerNoon profile picture
0-item

É uma pergunta comum e difícil de dar a resposta certa. A resposta fácil, ironicamente, é apenas dizer 'sim' e deixar por isso mesmo. Embora não seja a resposta certa.


Isso não quer dizer que seja fácil, porque não é, mas é direto. O problema é que ele também se move rápido e é grande.


Já vi muitas pessoas dizerem que a segurança cibernética é difícil devido ao conhecimento técnico necessário, enquanto outras dizem que habilidades técnicas não são necessárias e, portanto, é fácil. Muitos lutam até mesmo para separar a segurança cibernética da segurança da informação da segurança como um todo, o que confunde ainda mais o quadro.


Neste artigo, falaremos sobre:

  1. Encontrando seu caminho
  2. Modo fácil de segurança cibernética: o guia de truques
  3. A parte mais difícil da segurança cibernética: definindo-a
  4. Mais definições: o que significa 'difícil' em segurança cibernética?


Vou guardar a dor para mais tarde, então vamos começar com maneiras de iniciar uma carreira em segurança cibernética.


Imagem creditada a Abrahama Tansini e criada para o concurso OpenIDEO Cybersecurity Visuals

Encontrando seu caminho na segurança cibernética

Um dos primeiros desafios a superar é descobrir qual caminho você deseja seguir - ou pelo menos almejar. A segurança cibernética não é apenas um teste de penetração (apesar do que Hollywood quer que as pessoas acreditem). Várias organizações apresentam diferentes números de caminhos, com números comuns variando de menos de meia dúzia a dezenas de opções diferentes.


As mais conhecidas são funções de equipe vermelha e equipe azul, testes de penetração ou monitoramento do Security Operations Center (SOC). Por causa disso, eles tendem a ser os mais competitivos para entrar, com caminhos definidos e bem sinalizados que significam a maioria dos que procuram um chefe de função de nível inicial nessa direção.


Para obter uma vantagem enorme, olhe para fora desses dois. As funções de Governança, Risco e Conformidade (GRC) são insuficientes, têm menos barreira técnica à entrada e, francamente, têm mais perspectivas. Há também funções de segurança de aplicativos para os mais interessados em desenvolvimento, funções de arquitetura, perícia, operações, especialidades em abundância e - quando terminar de escrever isso - provavelmente algumas dúzias que ninguém ouviu falar antes.


Você ouvirá muitas pessoas dizendo para seguir sua paixão. Sou contra esse conselho - as paixões podem ser passageiras e, em um campo onde muitos já estão sobrecarregados e com poucos recursos, persegui-los pode levar rapidamente ao esgotamento. Em vez disso, costumo sugerir uma curiosidade indulgente.


Imagem creditada a Abrahama Tansini e criada para o concurso OpenIDEO Cybersecurity Visuals


Não há vantagem maior em segurança cibernética do que estar disposto e ser capaz de aprender rapidamente, e seguir os tópicos de seu interesse é uma ótima maneira de fazer isso. É quase garantido que você terá que girar várias vezes ao longo de uma carreira de qualquer duração e, como diz o ditado, 'Planejamos, Deus ri'. Não se comprometa muito com os planos e aprenda a seguir o fluxo e aproveitar as oportunidades à medida que surgem.


Modo fácil de segurança cibernética: o guia de truques

Um dos maiores obstáculos é conseguir um papel em primeiro lugar. Tenho relatos em primeira mão de pessoas enviando centenas de aplicativos e chegando a lugar nenhum.


Por mais que eu odeie dizer isso, há uma razão para isso.


A maioria das funções de segurança cibernética não é anunciada.


Aqueles que o fazem geralmente têm um número ridículo de aplicativos para trabalhar. Portanto, mesmo com o melhor currículo, você enfrenta poucas probabilidades. Em vez disso, os maiores sucessos que vejo nas pessoas são quando elas seguem caminhos diferentes.

rede

Construir uma rede e conectar-se com as pessoas é extremamente eficaz. Não é simplesmente um jogo de números - ter 50.000 conexões não lhe dará muita vantagem sobre ter algumas que são as certas para você. Olhe para as pessoas em funções que você deseja desempenhar ou em posições para contratar para essas funções e peça (sinceramente, isso é importante) seus conselhos. Mantenha contato e deixe as pessoas saberem o que você está tentando fazer e que está ouvindo seus conselhos.


Existem abordagens cínicas para networking. Eu não recomendo isso. Embora você não deva tentar fazer de cada conexão um melhor amigo para toda a vida, manter contato e oferecer ajuda (ou uma cerveja/café) é muito melhor do que tomar constantemente.


Seguir esta dica dá a você toda uma rede de pessoas procurando oportunidades para você, sabendo que você está desenvolvendo as habilidades certas e podendo falar em seu nome quando as coisas surgirem. Lembre-se de que só funciona se os relacionamentos que você constrói dessa maneira forem genuínos - ser insincero ou manipulador não funcionará a favor de ninguém por muito tempo, mas pedir ajuda aberta e respeitosamente é o caminho a percorrer.

Conteúdo e Apresentação

Escrever postagens, artigos, blogs ou qualquer outra coisa sobre sua jornada e o que você está aprendendo é outra maneira não apenas de construir sua rede, mas também de marcar áreas de especialização. Melhor ainda é montar uma apresentação, para pontos de bônus em uma conferência de novatos ou em uma pista de novatos em uma conferência estabelecida, como BeerCon ou FAÇA CON , ou um local B lados evento.


Aproveite as oportunidades para apresentar sempre que elas surgirem. É uma ótima experiência e uma ótima maneira de construir seu perfil.


Dar uma primeira palestra sobre um tema de seu interesse ajuda a atrair pessoas interessadas em encontrar soluções, que é exatamente o tipo de pessoa que você deseja que perceba. A maioria das pessoas não vai continuar falando no palco, mesmo que as faixas de novato forneçam suporte e orientação durante todo o processo e, portanto, uma apresentação simples pode realmente colocá-lo como o especialista em uma área.


Muitos desses eventos são remotos, mas quando são presenciais, você também tem outra oportunidade de construir sua rede para capturar novas oportunidades.

Uma vez que você está dentro: a oportunidade bate

Depois de encontrar a primeira função, você ouvirá as pessoas dizerem que você deve passar x ou y anos em uma função para provar que é estável e leal. Meu próximo conselho não é popular (com os empregadores) e não é para todos.


Não para todos. Não há nada de errado em permanecer em uma função por muito tempo. Existem empregadores que darão oportunidades de crescimento e desenvolvimento enquanto estiverem em uma função. Da mesma forma, você pode ser feliz em uma função e ter outras prioridades. Não há nada de errado com nenhum deles e o próximo conselho não tem a intenção de sugerir que haja.


Mantenha os olhos abertos para as oportunidades. Embora existam discussões sobre o que é conhecido como lacuna nas habilidades de segurança cibernética, definitivamente há demanda por aqueles que já conseguiram invadir (a parte mais difícil é entrar, para começar). Vale a pena ficar de olhos e ouvidos atentos e olhar para as novas oportunidades que surgirem.


A lealdade a uma função é muito boa, mas as oportunidades não devem ser negligenciadas por causa da lealdade equivocada. Se não há espaço para crescer e você deseja se desenvolver ainda mais, a mudança é a maneira mais fácil de fazer isso na maioria dos casos. Seja franco e aberto e não permita que uma função limitada limite seu crescimento.


Você ouvirá pessoas argumentando contra a troca de empregos por princípio, acusando qualquer um que mude de função tão raramente quanto a cada poucos anos de falta de comprometimento. Minha própria experiência é anedótica, mas durante duas décadas de minha carreira antes de me tornar independente, meu tempo médio em uma função foi de dez meses - e isso nunca foi um problema. Eu não diria mudar simplesmente por mudar, mas sugiro fortemente que não aproveitar novas oportunidades por medo de ser rotulado de desleal é um erro.

A parte mais difícil da segurança cibernética: definindo-a

Você encontrará muitas definições. Alguns são úteis, a maioria não é.


Por exemplo, o NCSC dá uma definição que começa com 'segurança cibernética é como indivíduos e organizações reduzem o risco de ataque cibernético'. É uma definição precisa, mas é completamente inútil porque não explica aquela peça 'cibernética'.


Então, vamos começar por decompô-lo. Se você estiver nos EUA, provavelmente verá mais segurança cibernética do que segurança cibernética, que é apenas uma variação regional. O que é segurança? A melhor e mais simples definição que encontrei que é útil para nós é que é a proteção de ativos contra ameaças (realisticamente, os ativos e as ameaças são, em última análise, pessoas - mesmo no ciberespaço - e às vezes são as mesmas pessoas). Ótimo, estamos na metade do caminho, definimos a disciplina com a qual estamos trabalhando.


Agora, o que é cibernético? Bem, muitas definições lá fora novamente, mas a maioria delas se resume a ser um domínio composto de redes interdependentes, infraestruturas de tecnologia e os dados que vivem nelas. Melhor ainda, agora temos o domínio com o qual estamos trabalhando.


Isso significa que a segurança cibernética está aplicando a disciplina de segurança dentro do domínio cibernético.


É por isso que as pessoas ficam tão confusas sobre o que é segurança cibernética e ela é confundida com segurança da informação e outras seguranças. Todos estão aplicando os mesmos princípios fundamentais de segurança, a mesma disciplina, apenas em domínios diferentes.


Existem muitos outros domínios de segurança - podemos falar sobre segurança alimentar, bio, financeira, econômica e muito mais, mas vamos nos concentrar por enquanto. O diagrama mostra física, informações, segurança cibernética e sua relação entre si. Você verá rapidamente por que…

Crédito da imagem ao autor

…limites e definições ficam confusos com muita facilidade.


Eu teria incluído tecnologia da informação nisso, mas isso requer dimensões extras que não posso representar em um formato 2D. TI, computação, tecnologia ou qualquer termo que queiramos usar contém segurança cibernética da mesma forma que a informação, enquanto com segurança da informação ela se sobrepõe, mas não a contém.


Mais definições: o que significa 'difícil' em segurança cibernética?

Há um problema quando começamos a usar a palavra difícil, que volta às definições novamente (desculpe, sei que isso está se transformando em um dicionário, mas esse material é importante para dar sentido à pergunta). Quando dizemos que algo é difícil, muitas vezes queremos dizer que é frustrante. Embora a segurança cibernética possa ser (geralmente é) frustrante de invadir, isso é diferente de ser difícil em si.


Uma descrição melhor é que a segurança cibernética é desafiadora. Pode ser aprendido, você pode melhorar, requer certas formas de pensar, habilidades para pesquisar e aprender rapidamente e uma série de outras habilidades dependendo da área que você está olhando. Pode haver áreas em que você se destaca, pode haver outras com as quais você luta, e encontrá-las moldará o resto de sua carreira.


Uma maneira ainda melhor de dizer é que alcançar um estado seguro é complexo. Há muitas partes móveis envolvidas e, quanto maior a organização ou o ambiente, mais complexo ele se torna. Os princípios que estão sendo aplicados são diretos, mas devem ser aplicados completamente em todos os lugares, sem perder nada, para uma gama extremamente diversificada de tecnologias e sistemas, todos os quais são alvos móveis.

Além disso, você terá recursos limitados e precisará traduzir constantemente entre diferentes áreas da empresa para que entendam não apenas sua necessidade de segurança, mas também o que isso significa.




Pode parecer que estou alertando você sobre uma carreira em segurança cibernética ou em segurança em geral. Eu absolutamente não sou - existem poucos campos onde você pode ter um impacto positivo (ou negativo) tão grande, mesmo que seja invisível. Pode ser frustrante e cansativo; também pode ser incrivelmente gratificante.


Se você está procurando uma carreira em segurança, estou sempre feliz em tentar ajudar. Conecte-se e diga oi em Twitter ou LinkedIn .