هر کارشناس حوزه امنیت دوست دارد بهترین موقعیت شغلی را پیدا کند، اما این امر مستلزم پیشینه، تجربه و دریافت مدارک معتبری است که نشان میدهند فردی که درخواستی برای احراز یک شغل ارسال کرده شایستگی احراز آن شغل را دارد. بهطور کلی در دنیای امنیت فناوریاطلاعات چهار گرایش اصلی وجود دارد که هر یک دستمزدهای خوبی عاید متخصصان میکند.
این گرایشهای مهم به شرح زیر هستند:
- Security Architect (معمار امنیت)
- Security Consultant (مشاور امنیت)
- Penetration Tester/Ethical Hacker (کارشناس تست نفوذ/ هکر اخلاقمدار )
- (Chief Information Security Officer (CISO (مدیر ارشد امنیت اطلاعات)
چگونه در مسیر شغلی تبدیل شدن به یک متخصص امنیت سایبری گام برداریم؟
هیچ مسیر مستقیمی وجود ندارد که شما را یک متخصص امنیت سایبری مجرب کند و لازم است به مرور زمان و از طریق حضور در دورههای آموزشی بینالمللی و کار در شرکتها و موقعیتهای شغلی مختلف سطح مهارتهای خود در دنیای امنیت شبکه را ارتقا دهید. برخی از مردم پس از فارغالتحصیلی از دانشگاه مستقیما به حوزه امنیت وارد میشوند، در حالی که برخی دیگر ابتدا به سراغ مشاغل فناوریاطلاعات میروند و پس از کسب تجربه به سراغ مشاغل امنیت میروند. اهمیتی ندارد نقطه شروع کجا است، تمامی مشاغل امنیت سایبری با تجربه عمومی فناوریاطلاعات آغاز میشوند. اصل مهمی که باید به آن دقت کنید این است که پیش از محافظت و ایمنسازی فناوریها با نحوه کارکرد آنها آشنا شوید. بهطور مثال، اگر ندانید عملکرد سامانه نام دامنه چیست، هیچگاه موفق نخواهید شد از سرور DNS در برابر هکرها محافظت کنید. برخی از مشاغل فناوریاطلاعات نقش دروازه ورود به دنیای امنیت سایبری را بازی میکنند.
این مشاغل عبارتند از:
- Systems administrator (مدیر سیستم)
- Database administrator (مدیر بانک اطلاعاتی)
- Web administrator (مدیر وب)
- Web developer (توسعهدهنده وب)
- Network administrator (مدیر شبکه)
- IT technician (تکنسین فناوریاطلاعات)
- Security administrator (مدیر امنیت)
- Network engineer (مهندس شبکه)
- Computer software engineer (مهندس نرمافزار کامپیوتر)
در دنیای امنیت سایبری، دانشپژوهان باید دانش عملی و تئوری را همزمان با یکدیگر فراگیرند. به بیان دیگر، در دنیای امنیت به ۳۵ درصد دانش تئوری و ۷۵ درصد دانش عملی و فنی نیاز دارید. دقت کنید بیشتر مشاغل امنیت سایبری در سطح مدیریتی و ارشد کاملا تخصصی هستند. شکل ۱ هرم مسیرهای منتهی به مشاغل امنیت سایبری را نشان می دهد.
مسیر تبدیل شدن به معمار امنیت (Security Architect)
اگر علاقهمند به حل مسائل و ساخت برنامههای راهبردی بزرگ هستید، مسیر شغلی معمار امنیت گزینه مناسبی است. معمار امنیتی وظیفه طراحی، ساخت و پیادهسازی امنیت شبکه و سامانههای یک سازمان را عهدهدار است. معماران امنیت مسئولیت ایجاد ساختارهای امنیتی پیچیده و حصول اطمینان از کارکرد صحیح آنها را عهدهدار هستند. این افراد مسئول هستند تا سامانههای امنیتی برای مقابله با تهدیدات مخرب، هکرها و حملات منع سرویس انکار شده را طراحی و پیادهسازی کنند. سایت Indeed اعلام کرده در ایالات متحده متوسط حقوق سالانه یک معمار امنیت ۱۱۸ هزار دلار است. دقت کنید معماران ارشد باید ۵ تا ۱۰ سال تجربه کار مرتبط داشته باشند که ۳ تا ۵ سال باید در حوزه امنیت باشد.
تبدیل شدن به معمار امنیت، مسیر شغلی که پیش روی افراد قرار دارد به شرح زیر است:
- دانشآموخته مقطع کارشناسی در علوم کامپیوتر، فناوریاطلاعات، امنیت سایبری یا سایر حوزههای مرتبط با علوم کامپیوتر باشند. البته افراد میتوانند با شرکت در دورههای فناوریاطلاعات تجربهای معادل با مدارک فوق کسب کنند.
- به عنوان مدیر امنیت، مدیر سیستم یا مدیر شبکه در حوزه فناوریاطلاعات تجربه کار داشته باشند.
- به عنوان مهندس امنیت اطلاعات یا تحلیلگر امنیت دانش خود در حوزه امنیت را ارتقا داده باشند تا بتوانند به معمار امنیت تبدیل شوند.
یک معمار امنیت اطلاعات لازم است مهارتها و تواناییهای زیر را داشته باشد:
- توانایی برنامهریزی، تحقیق و طراحی معماریهای امنیت همسو با پروژههای مختلف فناوریاطلاعات را داشته باشد.
- توانایی توسعه مکانیزمهای امنیتی شبکهها، دیوارهای آتش فیزیکی و مجازی، محافظت از ماشینهای مجازی و دستگاههای شبکه را داشته باشد.
- توانایی پیادهسازی آزمونهای شناسایی آسیبپذیریها، ارزیابی امنیتی و تحلیل ریسک را داشته باشد.
- علاقهمند به تحقیق و پیادهسازی جدیدترین فناوریها، استانداردهای امنیتی و بهترین الگوهای آزمایشی باشد.
دورهها و آموزشهای مورد نیاز معماران امنیت
با توجه به اینکه معمار امنیت به تخصص سطح بالایی نیاز دارد، سازمانها علاقهمند هستند مدارک و دورههای امنیتی متخصصانی که قرار است به عنوان معمار امنیت در سازمانی مشغول به کار شوند را بررسی کنند. دورهها و گواهینامههای حرفهای در حوزه امنیت سایبری به معمار شبکه کمک میکند تا به سرعت در مسیر شغلی خود پیشرفت کند و به موقعیتهای شغلی بالاتری دست پیدا کند. یک معمار امنیت شبکه برای آنکه در حوزه کاری خود عملکرد قابل قبولی داشته باشد باید سطح دانش خود در ارتباط با مواردی همچون امنیت شبکه، پیادهسازی معماریهای راهبردی، آزمایش آسیبپذیری و مدیریت ریسک را بهبود بخشیده و ارتقا دهد.
به همین دلیل پیشنهاد میشود معماران امنیت به فکر حضور در دورههای زیر باشند:
مقدماتی
- CompTIA Security+
متوسط
- Certified Ethical Hacker (CEH)
سطح پیشرفته
- EC-Council Certified Security Analyst (ECSA)
سطح خبره
- Certified Information Systems Security Professional (CISSP)
مشاور امنیت سامانهها و اطلاعات
مشاور امنیت سامانهها در ابتدا یک متخصص امنیت سایبری است. مشاور امنیت سامانهها مخاطرات سایبری و راهحلهای مربوط به امنیت سایبری را برای سازمانها ارزیابی میکند و به سازمانها در محافظت از زیرساختهای ارتباطی و کاهش تهدیدات امنیتی راهنماییهای لازم را ارائه میکند. دقت کنید در برخی موارد یک مشاور امنیت به عنوان مشاور امنیت اطلاعات، مشاور امنیت سامانهها، مشاور امنیت بانکهای اطلاعاتی و مشاور امنیت شبکه استخدام میشوند. یک مشاور امنیت سامانهها فردی منعطف و با ذکاوت است. مشاوران امنیتی در زمان ارزیابی سامانههای امنیتی سازمانها و صنایع مختلف باید انواع مختلفی از پارامترهای محیطی را ارزیابی کنند. حقوقی که مشاوران امنیت اطلاعات دریافت میکنند ثابت نیست و بسته به تجربهای که دارند ممکن است پایه حقوق مختلفی داشته باشند. با این حال، یک مشاور ارشد امنیتی با ۳ تا ۵ سال تجربه کار مفید بهطور میانگین ۱۰۶ هزار دلار در سال درآمد دارد.
مسیر شغلی که برای تبدیل شدن به یک مشاور امنیت پیش روی شما قرار دارد به شرح زیر است:
- دانشآموخته مقطع کارشناسی در علوم کامپیوتر، فناوریاطلاعات، امنیت سایبری یا سایر حوزههای مرتبط با علوم کامپیوتر باشید.
- به عنوان یک کارشناس در یکی از شاخههای فناوریاطلاعات یا امنیت تجربه لازم را کسب کرده باشید.
- به عنوان یک کارشناس سطح متوسط در یکی از مشاغل مدیر امنیتی، تحلیلگر امنیتی، مهندس یا حسابرس تجربه لازم را کسب کنید.
- مهارتهای امنیت سایبری خود را بهبود بخشیده و گواهینامههای پیشرفته امنیت اطلاعات را دریافت کنید.
- به عنوان یک مشاور امنیتی در سازمانی مشغول به کار شوید.
یک مشاور امنیتی، همانند سایر حوزههای فناوریاطلاعات یکسری کارهای روزانه دارد که از مهمترین آنها به موارد زیر میتوان اشاره کرد:
- تعیین بهترین راه برای محافظت از سامانهها، شبکهها، دادهها و سامانههای اطلاعاتی در برابر تهدیدات احتمالی سایبری
- انجام آزمایشهای آسیبپذیری و ارزیابیهای امنیتی
- تعامل با کارمندان و مدیران بخشهای مختلف برای شناسایی و کشف مشکلات امنیتی
- آزمایش راهحلهای امنیتی با استفاده از الگوهای استاندارد تجزیه و تحلیل امنیت
- ارائه راهنماییهای لازم به دپارتمان امنیت اطلاعات
مشاوران امنیتی میتوانند با پشت سر گذاشتن دورهها و اخذ مدارک حرفهای سطح مهارتهای خود را بهبود بخشیده و به فکر ارتقا موقعیت شغلی خود باشند. دورههای آموزشی به مشاوران امنیت اطلاعات کمک میکند در مواجه شدن با تهدیدات مدرن بهترین راهکارها را پیشنهاد داده و مانع از آن شوند تا نقضهای دادهای خسارتهای مالی سنگینی به بار آورند.
فردی که به عنوان مشاور امنیت سایبری عهدهدار شغلی در یک سازمان میشود باید دورههای زیر را پشت سر گذاشته باشد:
مقدماتی
- CompTIA Security+
متوسط
- Certified Ethical Hacker (CEH)
- Cybersecurity Analyst (CySA+)
سطح پیشرفته
- EC-Council Certified Security Analyst (ECSA)
- Certified Information Systems Auditor (CISA)
- Certified Information Security Manager (CISM)
سطح خبره
- Certified Information Systems Security Professional (CISSP)
کارشناس تست نفوذ/ هکر اخلاقمدار- متوسط تا ارشد
کارشناس تست نفوذ که گاهی اوقات بهنام هکر اخلاقمدار معروف است با استفاده از دانش و تکنیکهایی که هکرها از آنها استفاده میکنند به دنبال پیدا کردن ضعفها و آسیبپذیریهای مستتر در سامانههای فناوریاطلاعات، شبکهها و برنامههای کاربردی است. کارشناسان تست نفوذ از ابزارهای خاصی برای شبیهسازی حملات هکری در دنیای واقعی استفاده میکنند تا نقاط ضعف سامانهها را شناسایی کرده و به سازمانها در بهبود وضعیت امنیت زیرساختها کمک کنند. یک کارشناس تست نفوذ بهطور میانگین ۷۹ هزار دلار در سال درآمد دارد.
مسیری که اغلب افراد برای تبدیل شدن به کارشناس تست نفوذ و هکر اخلاقمدار پشت سر میگذارند به شرح زیر است:
- دانشآموخته مقطع کارشناسی در علوم کامپیوتر، فناوریاطلاعات، امنیت سایبری یا سایر حوزههای مرتبط هستند.
- لازم است برای مدت زمانی به عنوان کارشناس امنیت، سرپرست سیستم یا مهندس شبکه در شرکتی مشغول به کار شوند.
- مهارتهای تخصصی هک اخلاقی و آزمونهای نفوذ را کسب کنند.
- در کلاسها و دورههای مربوطه شرکت کنند و مدارک معتبر کسب کنند.
- و در نهایت به عنوان یک کارشناس تست نفوذ یا هکر اخلاقمدار در سازمانی مشغول به کار شوند.
سازمانها از یک کارشناس تست نفوذ انتظار دارند کارهای زیر را بدون مشکل انجام دهد:
- انجام آزمایشهای دورهای تست نفوذ برای شناسایی آسیبپذیریهای مستتر در برنامههای وب، شبکهها و سامانهها.
- شناسایی باگهای امنیتی و روشهایی که هکرها میتوانند از آنها برای بهرهبرداری از آسیبپذیریهای مستتر در سیستمها استفاده کنند.
- تحقیق و پژوهش، مستندسازی و پیدا کردن راهحلهای ایمن در تعامل با تیمهای فناوریاطلاعات و مدیران ارشد سازمان.
- طراحی و پیادهسازی آزمونهای تست نفوذ و در صورت نیاز ساخت ابزارهایی که روند پیدا کردن آسیبپذیریها را تسهیل میکند.
برای آنکه به عنوان یک کارشناس تست نفوذ در کار خود موفق شوید، باید دانش خود در ارتباط با مباحث امنیتی و روشهای نوینی که هکرها برای نفوذ به سامانهها از آنها استفاده میکنند را ارتقا دهید. بهترین راهکار برای ارتقا سطح دانش حضور در دورههای آموزشی است که برای متخصصان امنیت در نظر گرفته شده است. این دورهها مباحث جدید پیرامون هک اخلاقی، سیستمعاملها، نرمافزارها، ارتباطات و پروتکلهای شبکه را آموزش میدهند.
سازمانها انتظار دارند یک کارشناس تست نفوذ مدارک زیر را داشته باشد:
مقدماتی
- CompTIA Security+
متوسط
- Certified Ethical Hacker (CEH)
سطح پیشرفته
- CompTIA Advanced Security Practitioner (CASP)
- EC-Council Certified Security Analyst (ECSA)
سطح خبره
- Certified Information Systems Security Professional (CISSP)
مدیر ارشد امنیت اطلاعات (CISO) – سطح ارشد
اگر دوست دارید مدیر دپارتمان امنیت فناوریاطلاعات سازمانی شوید باید سطح مهارتهای خود را به اندازهای ارتقا دهید که شایستگی احراز چنین شغلی را داشته باشید. گام بر داشتن در مسیر یک مدیر ارشد امنیت اطلاعات کار پیچیده، هزینهبر و پر چالشی است، اما در مقابل درآمد خوبی دارد. مدیر ارشد امنیت اطلاعات مسئولیتها و توانایی زیادی دارد. این فرد باید تیم یا تیمهای امنیتی ایجاد کند، بر تمامی خطمشیهای امنیتی سازمان نظارت کند و گزارش خود را به شکل مستقل به مدیر ارشد فناوری یا مدیر سازمان ارائه کند. بهطور میانگین یک مدیر ارشد امنیت اطلاعات ۱۵۶ هزار دلار در سال حقوق دریافت میکند. افرادی که دوست دارند به عنوان مدیر ارشد امنیت اطلاعات در سازمانی مشغول به کار شوند دستکم باید ۷ تا ۱۲ سال سابقه کار در حوزه فناریاطلاعات و امنیت داشته باشند که از این میزان دستکم باید ۵ سال در ارتباط با مدیریت عملیات امنیت باشد.
مسیری که اغلب افراد برای تبدیل شدن به مدیر ارشد امنیت اطلاعات پشت سر میگذارند به شرح زیر است:
- دانشآموخته مقطع لیسانس در علوم کامپیوتر، فناوریاطلاعات، امنیت سایبری یا سایر حوزههایی هستند که مرتبط با علوم یاد شده است.
- ابتدا باید به عنوان یک برنامهنویس یا تحلیلگر به این حوزه وارد شوید.
- کار خود را به عنوان یک کارشناس امنیت، مهندس یا مشاور امنیت آغاز کنید.
- به دنبال کسب گواهینامهها و آموزشهای پیشرفتهتر فناوریاطلاعات باشید.
- یک موقعیت مدیریتی که سرپرستی یک تیم امنیتی را به شما محول میکند بهدست آورید.
- در نهایت به دنبال کسب موقعیت شغلی مدیر ارشد امنیت اطلاعات باشید.
سازمانها از یک مدیر ارشد امنیت اطلاعات انتظار دارند روزانه فعالیتهای زیر را انجام دهد:
- استخدام و مدیریت تیمی از متخصصان امنیت فناوریاطلاعات.
- طراحی و پیادهسازی برنامههای راهبردی به منظور بهکارگیری فناوریهای امنیتی با هدف بهبود مکانیزمهای امنیتی فعلی.
- نظارت بر تدوین خطمشیها و روالهای امنیتی سازمان.
- تعامل با مدیران ارشد به منظور ساخت یک برنامه محافظتی با هدف مقابله با مخاطرات امنیتی.
مدیران ارشد فناوری اطلاعات برای آنکه در کار خود موفق شوند باید به فکر بهبود سطح مهارتهای مدیریتی، فنی و حل مسائل باشند.
یک مدیر ارشد فناوری اطلاعات برای تثبیت موقعیت شغلی خود باید به فکر حضور در دورههای زیر باشد:
سطح متوسط
- Certified Information Systems Auditor (CISA)
سطح پیشرفته ( آموزش متمرکز بر مدیریت)
- Certified Information Security Manager (CISM)
سطح خبره
- Certified Information System Security Professional (CISSP)
بهتر است بخوانید :
- چگونه یک مهندس امنیت شبکه شویم؟
- فیشینگ چیست؟ چگونه سایتهای کلاهبرداری را شناسایی کنیم؟
- فایروال یا دیوار آتش چیست؟
منبع : مجله شبکه