Lembrar que você sempre pode girar e mudar sua carreira, e que tudo o que aprendeu até agora é apenas um modelo, não a verdade (junto com qualquer coisa que aprenderá no futuro), dá a você uma capacidade vital de se adaptar e mudar conforme Você vai.
Esta história faz parte da iniciativa ** How to get a job in tech ** do Hacker Noon. A série é destinada a profissionais de tecnologia em qualquer campo para compartilhar sua experiência de construir uma carreira em tecnologia e ajudar a quebrar os mitos comuns que os iniciantes em tecnologia enfrentam.
Dirigindo minha própria empresa fazendo um pouco de consultoria, um pouco de treinamento e ensino, um pouco de palestra, um pouco de escrita, muito aprendizado.
Hoje em dia é difícil definir sob um rótulo, pois é a sobreposição entre o que eu acho interessante e o que agrega valor aos clientes. Certamente traz desafios quando as pessoas me perguntam o que eu faço.
Há quanto tempo você trabalha com tecnologia?
Mais de duas décadas agora, então já faz um tempo. Até os últimos dois anos, sempre foi como funcionário, até que me tornei sensatamente independente logo após o bloqueio entrar no Reino Unido. Apenas como observação, eu não recomendaria deixar voluntariamente um emprego estável, seguro e agradável no meio de uma crise global para tentar assumir e administrar seu próprio negócio. Funcionou para mim, mas passei muitas noites ansiosas pensando no que poderia dar errado.
Ao longo do tempo em que estive em tecnologia, fiz suporte técnico, reparo de laptop em campo, desenvolvimento, arquitetura, monitoramento SOC, engenharia, gerenciamento, risco, conformidade e várias outras coisas. Não houve plano de carreira ou caminho cuidadosamente traçado, simplesmente agarrando ansiosamente a próxima oportunidade quando senti que era o momento certo - mesmo que isso significasse que eu teria que correr para alcançá-lo.
Qual é a sua formação educacional e como você acabou na segurança cibernética?
Abandono universitário originalmente, com um punhado de A-levels. Acabei voltando para a universidade para obter um mestrado em 2017, mas durante a maior parte da minha carreira minha educação foi mais baseada em certificados profissionais e autodidatismo - ou apoio de pessoas que considero mentores.
Minha jornada para a segurança é realmente difícil de julgar. Indiscutivelmente, eu estava envolvido nisso desde o início da minha carreira, gerenciando redes escolares logo após a segunda Lei de Proteção de Dados do Reino Unido - então a segurança da informação estava fresca na mente de todos. Nesse ponto, a segurança da informação ainda era a nova palavra da moda e o ciberespaço estava muito além do horizonte.
Hoje em dia costumo dizer que estou em segurança, não me restringindo a um domínio específico como informação ou cibersegurança, mas até alguns anos atrás eu ainda me descrevia como em segurança cibernética. Apontar para um ponto específico onde isso aconteceu é mais um desafio.
É uma coisa que sugiro fortemente agora para aqueles que tentam entrar em segurança, é mais fácil invadir por acidente do que de propósito. Se você estiver em algo relacionado, mesmo que perifericamente, e puder se envolver com a equipe de segurança de uma organização, poderá se encontrar no campo antes mesmo de perceber.
Adoraríamos saber um pouco mais sobre os mentores, foi um arranjo de formato?
Muito pouco formal - os melhores relacionamentos mentor/aprendiz geralmente não são.
No entanto, há duas pessoas que eu indicaria como mentores ao longo da minha carreira, e trabalhar com elas corresponde aos meus dois mandatos mais longos em cargos.
O primeiro foi em uma das minhas primeiras funções, um cara que viu potencial em mim para fazer mais do que apenas sentar no helpdesk e me trouxe para ajudar com arquitetura e virtualização, o que me deu um grande impulso no começo.
A segunda foi muito mais tarde, alguns anos antes de se tornar independente, e realmente preencheu as peças que faltavam. Ela trabalhou com meu empregador na época por 17 anos, e sua orientação sobre como operar por meio de organizações, fazer malabarismos com a política e envolver o interesse próprio das pessoas onde necessário tem sido extremamente eficaz desde então.
Qual foi o melhor conselho que você recebeu ao longo de sua carreira?
“Lembre-se que é apenas um modelo.”
Existem várias formas disso, mas tem sido vital ao longo dos anos. Muitas vezes neste campo caímos na armadilha de pensar que temos as respostas porque decidimos que um modelo ou outro é a 'verdade'. Esta frase de efeito é um lembrete de que não importa qual modelo estejamos usando, não devemos nos apegar demais - é apenas um guia para pensar e entender, não um livro de regras.
Muitas vezes já encontrei pessoas que se agarraram a uma ideia como a verdade e não conseguem abandoná-la. Quer seja a tríade da CIA, conselhos de senhas desatualizados, modelos de risco específicos, abordagens para testes ou qualquer outra coisa, é de vital importância ser capaz de deixar ir e repensar as coisas através de uma lente diferente.
Uma coisa que continuo dizendo aos meus próprios alunos, a ponto de se tornar uma piada interna (embora hoje em dia haja muitos deles, não seja apenas uma piada) é que não há respostas certas, apenas aquelas que são menos errado. É irreverente, mas em segurança é verdade, não há meta final ou resposta perfeita - trabalhamos em uma mistura de apontar para bom o suficiente e melhoria contínua. Parar e decidir que qualquer resposta é certa é onde os problemas começam.
A importância da autoaprendizagem em segurança cibernética
Misturado. Passei por formação profissional, formação acadêmica e muito auto aprendizado. Eu não diria que nenhum deles foi mais ou menos importante que os outros, é a mistura que tem sido valiosa e me levou até onde estou. Misture e combine, não se dedique a uma forma de aprendizado.
Você receberá muitos conselhos sobre plataformas como e , e eles são incrivelmente úteis se você quiser fazer testes de penetração . Onde isso dá errado é que o teste de penetração é um pequeno subconjunto do campo de segurança cibernética e é um dos mais competitivos para se entrar, pois é visto como o caminho 'sexy'. Seguir esses caminhos excluindo todos os outros não ajudará você com GRC (Governança, Risco e Conformidade), arquitetura de segurança, criptografia, arquitetura, análise forense ou qualquer uma das outras dezenas de opções disponíveis para você.
e são duas organizações que fornecem uma medida de materiais de autotreinamento da equipe azul, e há muitos vídeos do YouTube disponíveis em áreas técnicas, como resposta a incidentes e forense, que você pode encontrar.
É quando você sai do técnico que as coisas podem se tornar desafiadoras, e o melhor conselho aqui é recorrer a livros e conselhos daqueles que já estão na área. Dada a vasta gama, não vou fornecer uma lista completa de livros que recomendo (seria muito longo, talvez outro artigo), mas muitos de nós na indústria sempre ficamos felizes em conversar com aqueles que procuram invadir e fornecer algumas recomendações. Vou fornecer alguns que sempre sugiro.
O Ovo do Cuco de Cliff Stoll
Uma das primeiras narrativas de espionagem cibernética, acompanha uma investigação e ilustra os fundamentos das investigações e perícias forenses digitais modernas.
O Gol de Eliyaho M. Goldratt
Embora hoje em dia o Projeto Phoenix possa ser mais conhecido, The Goal é o trabalho no qual se baseia e há algo nos exemplos muito mais concretos de fabricação que acho que o torna mais identificável e grokky.
Influência de Robert Cialdini
Frequentemente recomendado por engenheiros sociais, vale a pena ler o trabalho de Cialdini para todos, pois você encontrará muitas situações em sua carreira em que é relevante - também é um ótimo trabalho para reconhecer os princípios que estão sendo usados contra você.
Os 7 Hábitos das Pessoas Altamente Eficazes de Stephen R. Covey
Um daqueles livros sobre os quais as pessoas podem ser um pouco cínicas, 7 hábitos é um clássico por um motivo e ainda tem muito a acrescentar. Definitivamente vale a pena ler.
Teoria da Informação: Um Tutorial de Introdução por James V Stone
Embora todos saibam um pouco sobre criptografia, o trabalho de Shannon sobre teoria da informação é frequentemente esquecido. Embora a maioria das pessoas em segurança nunca o use diretamente, dedicar algum tempo para entendê-lo pode fornecer uma visão completamente diferente sobre coisas que farão a diferença em sua carreira.
Sabendo o que você faz agora, por onde você acha que alguém deve começar a aprender se quiser trabalhar na sua posição um dia?
Onde quer que você possa. Dito isso, ainda digo que as escolas são um ótimo lugar para começar - não estudar, mas gerenciar sistemas. As escolas geralmente têm pouco financiamento, têm uma grande variedade de tecnologias, levam a segurança a sério em nível de gerenciamento e são uma maneira brilhante de mergulhar fundo e aprender muito rápido.
Os certificados são um assunto difícil - há muito marketing e óleo de cobra em torno deles, e muitos são avaliados apenas por testes de múltipla escolha, o que os torna menos úteis como uma forma de medir a capacidade e muito fácil para as pessoas abusarem . Alguns têm conhecimento útil em seu currículo, mas você não precisa do certificado para isso, então é melhor tratá-los como chaves para desbloquear funções onde são necessários - mas não vá atrás de credenciais, a menos que seja necessário (idealmente uma vez você está dentro e uma empresa está pagando por seu treinamento e exame).
Algumas coisas que eu sugeriria são tentar aprender a abandonar o orgulho - isso me levou alguns bons anos e me custou muito naquele tempo - e sempre reservar o direito de estar completamente errado sobre as coisas. Também esteja pronto e disposto a falhar, aprender e tentar algo diferente - não se prenda a situações de falha, é perfeitamente normal desistir quando algo não está funcionando.
Qual é a conquista relacionada ao trabalho da qual você mais se orgulha?
Que a empresa familiar que assumi ainda está indo de vento em popa depois de dois anos em que a dirigi. Está até crescendo, apesar (ou possivelmente devido a) nossa forma bastante única de trabalhar. Apenas mantê-lo funcionando seria um triunfo, mas a maneira como nos desenvolvemos desde que assumi é algo de que estou realmente orgulhoso.
Qual você acha que é o maior mito sobre começar uma carreira em segurança cibernética?
Que os formulários de inscrição são o caminho a percorrer. Embora toda a ideia do sistema ATS que analisa as palavras-chave seja um pouco mito, o grande número de aplicativos que você está enfrentando para as funções de nível de entrada anunciadas o coloca em uma situação ruim. É muito melhor fazer networking e burlar o sistema sendo informado com uma palavra pessoal para alguém.
Em uma nota menos séria: o que você ouve enquanto trabalha?
É bastante eclético - muitas coisas instrumentais quando estou fazendo qualquer coisa que exija muito pensamento, pois acho que os vocais me distraem. Caso contrário, varia de country, jazz, trance e tudo o mais que aparecer.
Muito obrigado por reservar um tempo para nos contar mais sobre sua trajetória profissional. Alguma palavra de sabedoria para aspirantes a técnicos?
Esqueça seguir sua paixão. Quando a maioria das pessoas fala sobre seguir sua paixão em uma carreira, elas estão olhando para trás. As paixões que você tem no início não serão as mesmas de mais tarde, são caprichos mutáveis e tentar aderir estritamente a um - ou pior, acreditar que algo está errado se você não tiver um - é uma boa maneira de matar eles mortos, rápido.
Em vez disso, satisfaça sua curiosidade. Siga o que lhe interessa e não se prenda a esses interesses quando eles mudarem.
A verdadeira paixão segue a curiosidade e o esforço para satisfazê-la, e não o contrário.