چگونه یک متخصص امنیت سایبری شویم؟ نقشه راه و دوره های مورد نیاز

متخصص امنیت سایبری کیست؟
متخصص امنیت سایبری در هر شرکت و صنعت بزرگی کار می کند تا سازمان ها را از نقض امنیت داده ها و حملات محافظت کند. تقاضا برای حوزه کاری متخصص امنیت سایبری با سرعت بی نظیری در حال رشد است. در سالهای اخیر پست های شغلی برای موقعیت های امنیت سایبری سه برابر سریعتر از فرصت های شغلی در زمینه فناوری اطلاعات افزایش یافته است. قبل از ورود به دنیای گستره امنیت شما باید بدانید که یک مسیر حرفه ای در امنیت سایبری چیست. در این مقاله ما چهار گرایش امنیتی معروف و محبوب را بررسی میکنیم و آموزش های لازم برای رسیدن به آنها را نیز مرور خواهیم کرد این ۴ گرایش عبارتند از:

• معمار(طراح) امنیت Security Architect
• مشاور امنیت Security Consultant
• کارشناس تست نفوذ / هکر اخلاقی Penetration Tester/Ethical Hacker
• مدیر ارشد امنیت اطلاعات (Chief Information Security Officer (CISO

نحوه شروع مسیر شغلی در جهت متخصص امنیت سایبری شدن

هیچ مسیر مستقیمی برای رسیدن به تخصص امنیت سایبری وجود ندارد. برخی افراد مستقیماً پس از دانشگاه وارد حوزه امنیت می شوند در حالی که برخی دیگر از شغل های فناوری اطلاعات وارد این حرفه میشوند.

مهم نیست که از کجا شروع کنید، همه مشاغل امنیت سایبری با تجربه و دانش عمومی در زمینه فناوری اطلاعات شروع می شوند. شما باید بدانید که چگونه فن آوری کار می کند قبل از اینکه بیاموزید چگونه باید آن را ایمن و محافظت کنید.

مشاغل IT در سطح ورودی که راه را برای متخصص امنیت سایبری شدن را فراهم می کند عبارتند از:

• مدیر سیستم Systems administrator
• مدیر پایگاه داده Database administrator
• مدیر وب Web administrator
• توسعه دهنده وب Web developer
• مدیر شبکه Network administrator
• تکنسین فناوری اطلاعات IT technician
• مدیر امنیت Security administrator
• مهندس شبکه Network engineer
• مهندس نرم افزار کامپیوتر Computer software engineer

در حرفه متخصص امنیت سایبری شما باید دانش عملی را به همراه دانش تئوری بیاموزید به نحوی که در واقع در این حرفه شما نیاز به ۳۵ درصد دانش تجربه عملی دارید که این میزان در مشاغل دیگر فناوری اطلاعات ۲۳ درصد است.

بیشتر مشاغل مربوط به امنیت سایبری در سطح مدیریت بسیار تخصصی هستند.

مسیر حرفه ای معمار امنیت Security Architect:

اگر علاقه مند به حل مسئله و ایجاد پالیسی و استراتژی های بزرگ هستید ، مسیر شغلی معمار امنیتی برای شما مناسب است.

یک معمار امنیتی وظیفه طراحی، ساخت و اجرای امنیت شبکه و سیستم ها را برای یک سازمان دارد. معماران امنیت وظیفه ایجاد ساختارهای امنیتی پیچیده و اطمینان از عملکرد صحیح آنها را بر عهده دارند. آنها سیستم های امنیتی را برای مبارزه با نرم افزارهای مخرب ، هکرها و حملات DDoS طراحی می کنند.

در آمریکا متوسط حقوق برای این حرفه ۱۱۸هزار دلار در سال است. در نظر داشته باشید که معماران امنیت باید ۵ تا ۱۰ سال تجربه مرتبط داشته باشند که ۳-۵ سال از آن سال ها به امنیت اختصاص می یابد.

برای تبدیل شدن به یک معمار امنیت ، ممکن است مسیر شغلی شبیه به این را دنبال کنید:

1. یک مدرک لیسانس در علوم کامپیوتر ، فناوری اطلاعات ، امنیت سایبری یا یک زمینه مرتبط کسب کنید. یا با گذراندن دوره های فنآوری اطلاعات تجربه ای معادل آنرا کسب کنید.
2. به عنوان مدیر امنیت ، مدیر سیستم یا مدیر شبکه در حوزه فناوری اطلاعات کارکرده باشید
3. به عنوان یک مهندس امنیت اطلاعات یا تحلیلگر امنیت دانش خود را ارتقا داده و معمار امنیت شوید .

به عنوان یک معمار امنیتی شما باید توانایی هایی داشته باشید از جمله:

• برنامه ریزی ، تحقیق و طراحی معماری های امنیت با برای پروژه های مختلف فناوری اطلاعات.
• توانایی توسعه شبکه ها، فایروال ها، روترها و دستگاه های شبکه.
• تست آسیب پذیری، ارزیابی امنیتی و تحلیل ریسک را انجام دهید.
• تحقیق و اجرای آخرین استانداردهای امنیتی، سیستم ها و بهترین شیوه ها.

آموزشهای لازم برای معماران امنیت:

از آنجا که نقش معمار امنیت نیاز به تخصص سطح بالایی دارد، کارفرمایان شما به دوره های  امنیتی معتبر گذرانده شده توسط شما کنجکاو خواهند بود. آموزشهای لازم و گذراندن دوره های حرفه ای در زمینه امنیت سایبری به شما کمک می کند تا پیشرفت در مسیر شغلی خود را تسریع کرده و در مقابل موقعیت های کاری سطح بالا قرار بگیرید. این گواهینامه ها مهارت های اساسی مورد نیاز برای نقش معمار امنیت مانند امنیت شبکه و معماری، آزمایش آسیب پذیری و مدیریت ریسک را تقویت می کنند:

سطح مقدماتی :

•  CompTIA Security Pluse

سطح متوسط:

• (Certified Ethical Hacker (CEH

سطح پیشرفته :

• EC-Council Certified Security Analyst (ECSA)

سطح خبره :

• Certified Information Systems Security Professional (CISSP)

مشاور امنیت

یک مشاور امنیت در مرحله اول یک متخصص امنیت سایبری است. این افراد خطرات سایبری و راه حلهای مربوط به امنیت سایبر را برای سازمانهای مختلف ارزیابی می كنند و آنها را در محافظت و تضمین امنیت شبکه و داده های خود راهنمایی می كنند. از این موقعیت همچنین می توان به یک مشاور امنیت اطلاعات، مشاور امنیت سیستم ها، مشاور امنیت پایگاه داده یا مشاور امنیت شبکه اشاره کرد.

مشاوران امنیتی باید انعطاف پذیر و باهوش باشند آنها هنگام ارزیابی سیستم های امنیتی در شرکت ها و صنایع مختلف، با طیف گسترده ای از متغیرها سروکار دارند.

دامنه حقوق برای مشاوران امنیت IT بسته به تجربه گسترده است، اما یک مشاور ارشد امنیتی با تجربه ۳ تا ۵ ساله به طور متوسط ۱۰۶ هزار دلار درسال در ایالات متحده درامد کسب می کند.

برای تبدیل شدن به یک مشاور امنیت، شما ممکن است یک مسیر شغلی شبیه به این را دنبال کنید:

1. یک مدرک لیسانس در علوم کامپیوتر، فناوری اطلاعات، امنیت سایبری یا یک زمینه مرتبط کسب کنید. یا با گذراندن دوره های مرتبط تجربه ای معادل آنرا کسب کنید.
2. یک موقعیت کارشناس را به طور کلی در فناوری اطلاعات یا امنیت دنبال کنید.
3. نقش یک کارشناس سطح متوسط را به عنوان یک مدیر امنیتی، تحلیلگر، مهندس یا حسابرس بدست آورید.
4. مهارت های امنیت سایبری خود را با آموزش و گواهینامه های پیشرفته افزایش دهید
5. نقش مشاور امنیتی را بدست آورید

به عنوان یک مشاور امنیتی، کارهای روزانه شما ممکن است شامل موارد زیر باشد:

• تعیین بهترین راه برای محافظت از سیستم ها، شبکه ها، داده ها و سیستم های اطلاعاتی در برابر حملات احتمالی
• انجام تست های آسیب پذیری و ارزیابی های امنیتی
• مصاحبه با کارمندان و روسای بخش های مختلف برای کشف مسائل و مشکلات امنیتی
• آزمایش راه حل های امنیتی با استفاده از روش های استاندارد تجزیه و تحلیل امنیت
• ارائه نظارت فنی و راهنمایی به تیم امنیت
• آموزش موارد توصیه شده برای مشاوران امنیت

گذراندن دوره ها و کسب تجربه آنها به شما کمک می کند تا با بالا رفتن از نردبان شغلی  اعتبار شغلی خود را نیز ایجاد کنید. این دوره های آموزشی شما را در برای مهارت های اساسی که هر مشاور امنیتی به آن احتیاج دارد، از هک اخلاقی گرفته تا فناوری های رمزگذاری و پروتکل های جلوگیری از نقض داده ها آماده میکنند. یک متخصص امنیت سایبری که در نقش مشاور فعالیت میکند باید به دوره های زیر مسلط باشد:

سطح مقدماتی :

•  CompTIA Security Pluse

سطح متوسط :

• Certified Ethical Hacker (CEH)
• Cybersecurity Analyst (CySA+)

سطح پیشرفته :

• EC-Council Certified Security Analyst (ECSA)
• Certified Information Systems Auditor (CISA)
• Certified Information Security Manager (CISM)

سطح خبره :

• Certified Information Systems Security Professional (CISSP)

کارشناس تست نفوذ/هکر اخلاقی – سطح متوسط ​​تا ارشد

کارشناسان تست نفوذ (همچنین به عنوان هکرهای اخلاقی نیز شناخته می شوند) با استفاده از دانش و تکنیکهای مشابه هکرها به دنبال نقاط ضعف در سیستم های IT، شبکه ها و برنامه های کاربردی هستند. کارشناسان تست نفوذ، از یک سری ابزار برای شبیه سازی حملات سایبری در زندگی واقعی، شناسایی نقاط ضعف و کمک به سازمان ها برای بهبود وضعیت امنیتی خود استفاده می کنند.متوسط ​​حقوق برای یک تستر نفوذ ۷۹۰۰۰ دلار است.

بسیاری از کارشناسان تست نفوذ و هکرهای اخلاقی یک مسیر شغلی را دنبال می کنند که به شرح زیر است:

1. یک مدرک لیسانس در علوم کامپیوتر، فناوری اطلاعات، امنیت سایبر یا یک زمینه مرتبط کسب کنید. و یا با گذراندن دوره های مرتبط تجربه ای معادل کسب کنید.
2. تحت عنوان کارشناس  امنیت، سرپرست سیستم یا مهندس شبکه کار خود را دنبال کنید.
3. مهارت های تخصصی هک اخلاقی و تست نفوذ را با آموزش این
4. مهارت دوره های مربوط رو کسب کنید
5. به عنوان یک کارشناس نفوذ یا هکر اخلاقی وارد دنیای کار شوید
6. جهت رسیدن به موقعیت شغلی کارشناس ارشد تست نفوذ، مشاور امنیت یا معمار امنیت موقعیت و دانش خود را ارتقاء دهید.

در استخدام کارشناس تست نفوذ به چه مواردی توجه میشود؟

• تست های نفوذ را در برنامه های وب ، شبکه ها و سیستم های رایانه ای انجام دهید.
• باگ های امنیتی را کشف کرده و روش هایی را که مهاجمان می توانند از آنها برای سوء استفاده از نقاط ضعف سیستم استفاده کنند را کشف کنید.
• تحقیق، مستندسازی و یافتن راهکارهای امن سازی و همکاری با تیمهای دیگر فناوری اطلاعات.
• ابزارها و تستهای جدید نفوذ را طراحی و پیاده سازی کنید.

آموزش توصیه شده برای متخصصین تست نفوذ:

حملات سایبری همیشه در حال تحول است، بنابراین دانش شما نیز باید مرتبا بروز باشد.

این دوره های آموزشی هر آنچه را که باید در مورد شیوه های هک اخلاقی مدرن، سیستم عامل ها، نرم افزار، ارتباطات و پروتکل های شبکه بدانید به شما یاد می دهند:

سطح مقدماتی:

•  CompTIA Security Pluse

سطح متوسط:

• Certified Ethical Hacker (CEH)

سطح پیشرفته:

• CompTIA Advanced Security Practitioner (CASP)
• EC-Council Certified Security Analyst (ECSA)

سطح خبره :

• Certified Information Systems Security Professional (CISSP)

مدیر ارشد امنیت اطلاعات (CISO) – سطح ارشد

اگر شما مایل به رهبری یک تیم امنیت IT در یک سازمان بزرگ هستید تبدیل شدن به CISO یک مسیر شغلی پیچیده، پرچالش و پر درآمد برای شما خواهد بود.

نقش مدیر ارشد امنیت اطلاعات با قدرت و مسئولیت بالایی همراه است. CISO تیم های امنیتی را ایجاد می کنند و بر همه سیاست های مربوط به امنیت یک سازمان نظارت می کنند. گزارش CISO به صورت مستقیم به CIO یا مدیرعامل سازمان میباشد.

متوسط حقوق برای این شغل هزار ۱۵۶ دلار است. شما باید انتظار داشته باشید که ۷-۱۲ سال در حوزه IT و امنیت کار کنید قبل از اینکه واجد شرایط برای نقش یک CISO شوید. حداقل پنج سال از این سال ها باید برای مدیریت عملیات امنیت صرف شود.

برای تبدیل شدن به یک CISO، شما ممکن است یک مسیر شغلی شبیه به این را دنبال کنید:

1. یک مدرک لیسانس در علوم کامپیوتر، فناوری اطلاعات، امنیت سایبر یا یک زمینه مرتبط کسب کنید. و یا با گذراندن دوره های مرتبط تجربه ای معادل آنرا کسب کنید
2. به عنوان یک کارشناس امنیتی، مهندس ویا مشاور امنیت وارد این حوزه شوید
3. گواهینامه ها و آموزش های پیشرفته تر IT را بدست آورید
4. یک موقعیت مدیریتی را که سرپرستی یک تیم امنیتی است را بدست آورید
5. و در نهایت به نقش CISO ارتقاء پیدا کنید

به عنوان رئیس امنیت فناوری اطلاعات، فعالیت های روزانه شما شامل موارد زیر خواهد بود:

• استخدام و مدیریت تیمی از کارشناسان امنیت IT
• ایجاد برنامه های استراتژیک برای به کارگیری فن آوری های امنیت اطلاعات و بهبود برنامه های موجود
• نظارت بر تدوین سیاستها و رویه های امنیتی سازمان
• همکاری با ذینفعان اصلی برای ایجاد یک برنامه مدیریت ریسک امنیت

آموزش توصیه شده برای CISO:

هنگام تلاش به این سمت و این سطح از مدیریت امنیت داشتن تجربه و توانایی های امنیتی کاملا ضروری است. گذراندن دوره های مختلف و بدست آوردن مهارت آنها توانایی شما را در این جایگاه تثبیت خواهد کرد:

سطح متوسط:

• Certified Information Systems Auditor (CISA)

پیشرفته (آموزش متمرکز بر مدیریت امنیت):

• Certified Information Security Manager (CISM)

سطح خبره :

• Certified Information System Security Professional (CISSP)

سوالات معمول برای مصاحبه شغلی متخصص امنیت سایبری چیست؟

استخدام متخصصان امنیتی اغلب می تواند کار دشواری باشد. بسته به ساختار سازمان شما ممکن است به دنبال یک متخصص با مهارت بسیار خاص باشید ، اما اکثر سازمانها به دنبال یک شخص حرفه ای هستند که مجموعه ای از مهارت های امنیتی را داشته باشد و همچنین قابل اعتماد باشد.سوالات بسته به موقعیت شغلی و آنچه شرکت به دنبال آن است ، متفاوت است. در یک مقاله به صورت کامل به سوالات مصاحبه شغلی امنیت پرداختیم پیشنهاد میکنم اون مقاله رو هم مطالعه کنید.

ممکن است این سوال مطرح شود که چگونه میتوان حملات DDoS را مهار کرد؟

و سوالاتی شبیه به موارد زیر:

• حمله MITM چیست و چگونه می توان از آن جلوگیری کرد؟
• حمله XSS چیست و چگونه کار می کند؟
• چگونه میتوان جلوی SQL-Injection را گرفت؟

و انواع حملات لایه ۲ شبکه و راه های جلوگیری از آنها. و مواردی شبیه به این. مثلما انتظار ندارین که تمام سوالات رو اینجا ببینید.

همچنین سوالاتی مانند میزان پیگیری اخبار امنیتی هم معمولا پرسیده میشه.

خوشحال میشیم که نظرات و پیشنهادهای خوبتان را در قسمت نظرات با در میان بگذارید.