Сначала прочитайте что вы будете изучать в следующие 2-3 курса. Далее определитесь что вам интересно (я для себя это выделил так):
- Устанавливать/настраивать СКЗИ/СЗИ - в малых конторах часть ИТ работы могут свалить на ИБ
- Разрабатывать СКЗИ
- Расследовать инциденты/следить за состоянием ИТ и ИБ в организации/мониторить действия пользователя, сопровождать СЗИ/СКЗИ - эдакий инфобезник "все в одном"
- Быть оператором удостоверяющего центра (убого)
- Работать в интеграторе (в зависимости от отдела, работа будет разделяться, т.е. выполнение работ для внешней организации):
- полный комплекс услуг по созданию системы защиты информации
- внешний аудит
- внедрение СЗИ/СКЗИ
- пентесты
- Подготовка документации
- Фриланс (участие в bug-bounty)
Развивайтесь/работайте в нужном направлении пока не поймете что все изучили/получили опыт и можно менять направление.
В любом случае знание основ:
ISO/OSI и протоколы, нормативка надо знать как отче наше, даже на собеседованиях в крупные компании новичков гоняют по этим основам
Средний
