На первом курсе университета была надежда и святая вера в то, что преподаватели сами всему научат.
На втором пришло разочарование.
На третьем полностью убедился в необходимости самообразования, а также в том, что грамотный безопасник может получиться только из грамотного сисадмина- и началась совмещенная с учебой работа. Учебным полигоном являлся офис с несколькими серверами, windows и linux, с умными и не очень пользователями. В это время в университете читались дисциплины по правовому обеспечению безопасности, закон о ПДн и т.п. Получив долгожданный диплом устроился на работу, где практически не было администрирования, зато была физическая безопасность объектов- видеонаблюдение, контроль периметра, контроль доступа… Освоив эти (не очень нужные безопаснику) отрасли, я, уволившись с этой работы, наконец-то устроился по специальности. Где меня ждало очень много бумажной работы… Уважаемые хабрапользователи, связанные с безопасностью в IT, очень вас прошу, подскажите, в какую сторону смотреть безопаснику, чтоб не превратиться в бумажную крысу. И если можно, со ссылками на хорошие курсы. Заранее спасибо.
В ширину — CISSP, CISA, CISM и им сопутствующие курсы-книжки.
В глубину — вендорские курсы и сертификация (вендоров, производящих продукты ИБ). Тут простор очень обширен, от CCNP(AE) Security до AESA.
Ну и полевой опыт.
А вот насчет
Освоив эти (не очень нужные безопаснику)
Я бы не утверждал так, это довольно важные security-темы. И то, что ты называешь бумажной работой — тоже неотъемлемая часть работы безопасника. Ведь безопасность это процесс, который без документации (политики, процедуры, регламенты) никак не наладишь. Понимаю, что это плохо вяжется с романтическим образом white hat из фильмов, но тем не менее. Если хочешь в будущем стать CISO — бумажки придется как знать (законы, стандарты, etc.) так и писать.
Про бумажную работу не спорю, важна и нужна… но простая бумажка- это фикция, следует следить за её исполнением, а также использовать другие средства, не организационные, а скорее технические… А в целом, спасибо за совет!
Я бы сказал бы, что безопасники безопасникам рознь. Направлений много, почти как в ИТ. Можно специализироваться и на видео наблюдении, технических каналах утечки информации, оформление работы по законам (например о персональных данных), построение безопасной сети и противодействие вторжениям, расследование инцидентов (техническая и людская сторона), аудит персонала, конкурентная разведка, длинные связи со структурами и многое другие. Каждой организации нужно свои направления и все их охватить не реально. Выбирайте что Вам выгоднее или ближе.
Если вопрос звучит «как развиваться в конкретном направлении», то укажите в вопросе направление. Хотя, наверное, если укажите, то ответ будет очевиден.
Направлений действительно много, но есть один общий принцип — все эти книжки, статьи и прочие теоретические знания без практики не стоят и ломаного гроша…
Короче — внедряйте в жизнь полученные знания. С умом, разумеется, а не сломя голову все подряд и как попало. Полученный опыт дополнит теорию, вот тогда и будет толк. Заодно и будет возможность определиться с тем что ближе к душе и легче дается.