چگونه متخصص امنیت شویم؟

کسانی که در حوزه امنیت اطلاعات فعالیت می کنند بارها به صورت های مختلف با افرادی مواجه می شوند که علاقه مند به کار در این حوزه هستند و به دنبال یافتن سرنخ ها و نکات کلیدی برای ورود و ادامه فعالیت در این زمینه هستند. من قبلاً در این یادداشت، تفاوت میان تحصیلات دانشگاهی و تجربیات عملی غیر دانشگاهی در زمینه امنیت را تا حدودی بیان کرده بودم. اما چه کسی برای پاسخ به این سؤال، بهتر از Bruce Schneier که هم در دانشگاه و هم در بازار امنیت یکی از بزرگ ترین نام ها را دارد؟ Schneier در یادداشتی، سه فاکتور اصلی برای کسی که می خواهد به حوزه امنیت وارد شود را بیان می کند:

  • Study. Studying can take many forms. It can be classwork, either at universities or at training conferences like SANS and Offensive Security. (These are good self-starter resources.) It can be reading;there are a lot of excellent books out there — and blogs — that teach different aspects of computer security out there. Don’t limit yourself to computer science, either. You can learn a lot by studying other areas of security, and soft sciences like economicspsychology, and sociology.
  • Do. Computer security is fundamentally a practitioner’s art, and that requires practice. This means using what you’ve learned to configure security systems, design new security systems, and — yes — break existing security systems. This is why many courses have strong hands-on components; you won’t learn much without it.
  • Show. It doesn’t matter what you know or what you can do if you can’t demonstrate it to someone who might want to hire you. This doesn’t just mean sounding good in an interview. It means sounding good onmailing lists and in blog comments. You can show your expertise by making podcasts and writing your own blog. You can teach seminars at your local user group meetings. You can write papers for conferences, or books.
در بخش دیگری به موضوع بسیار جالب و پر اهمیت security mindset و لزوم برخورداری از آن برای موفقیت در رشته امنیت اشاره می کند:
security also requires a particular mindset — one I consider this essential for success in this field.
این عامل را شاید بتوان فلسفه زندگی یا نوعی طرز تفکر نامید. ایشان اشاره می کند که این نوع فلسفه و نگاه به محیط اطراف، احتمالاً قابل آموزش هم نیست. اگر چه به طور کلی، آنچه که security mindset نامیده می شود به نظر ذاتی می رسد، اما به نظر من بخشی از آن را هم می توان با مطالعه یا تجربه یاد گرفت.
“This kind of thinking is not natural for most people. It’s not natural for engineers. Good engineering involves thinking about how things can be made to work; the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal. You don’t have to exploit the vulnerabilities you find, but if you don’t see the world that way, you’ll never notice most security problems.” 
یکی از دوستانم می گفت که دلیل نگاه نه چندان محبت آمیز به پرسنل امنیت توسط  دیگر متخصصان IT  آن است که امنیتی ها اساساً کار مفیدی انجام نمیدهند، چون کارشان یافتن ایرادهای دیگران و برجسته کردن نقاط ضعف و اشتباهات آنها است!
اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.