👢 🤣 👩🏽‍🚀 Especialista en Seguridad de la Información. Qué gana y cuánto gana 🔷 🤗 🏿

Un especialista en seguridad de la información no es la profesión de TI más fácil, pero exige. Asusta con muchos términos y herramientas peculiares, aunque en realidad es accesible para personas sin antecedentes técnicos. Después de estudiar IS, trabajará con corporaciones estatales, bancos, medianas y grandes empresas, servicios en la nube y nuevas empresas. En pocas palabras, siempre que haya una posibilidad de piratería.

Este artículo explica en detalle quién es ese especialista en seguridad de la información, qué hace, cuánto gana y cómo convertirse en uno. Bono: una selección de libros para explorar la profesión.

¿Quién es un especialista en seguridad de la información ahora?

Por lo general, un especialista en seguridad de la información significa una persona que puede implementar y mantener la protección contra el acceso no autorizado. Configure una red, anticipe errores y posibles errores, implemente y ejecute tecnologías de monitoreo de conexión.

Pero ya hay especialidades más limitadas dentro de la esfera:

Los pentesters son los llamados piratas informáticos "blancos" o "éticos". No piratean los recursos comerciales ilegalmente. En cambio, trabajan para empresas y buscan vulnerabilidades que los desarrolladores luego corrigen. Sucede que esas personas trabajan con un salario o participan en los programas Bug Bounty, cuando una empresa solicita verificar su protección, prometiendo una bonificación por los errores encontrados.
Especialistas en desarrollo : estos especialistas participan en la creación de aplicaciones y programas. En pocas palabras, estudian la arquitectura y el código listo para usar y sugieren que puede haber un error o una "ventana" para hackear. Un ejemplo común es dejar la capacidad de enviar una inyección SQL en el formulario de entrada del sitio.
Especialistas en redes : buscan vulnerabilidades potenciales y conocidas en hardware y sistemas de red. En pocas palabras, saben cómo, utilizando Windows, Linux u otros sistemas, un atacante puede ingresar a su computadora e instalar el software necesario. Ambos pueden encontrar una oportunidad de piratería y crear un sistema en el que será difícil entrar.

Hay otra opción para la división de especialistas:

Los que rompen, y no importa qué, redes o programas. Su especialización es la búsqueda de errores y vulnerabilidades, piratería ética.
Quienes construyen y mantienen un sistema de seguridad. Es esta opción la que los empleadores ahora implican cuando buscan especialistas en seguridad de la información.

Tal división es condicional. Por ejemplo, en una pequeña empresa que desarrolla aplicaciones móviles, un especialista en seguridad de la información participará en todo el ciclo, desde el desarrollo hasta la implementación. Y en una gran corporación en la nube, solo puede trabajar con Kubernetes, sin tocar nada más.

Un especialista en seguridad de la información ahora es aquel que implementa un sistema de seguridad en una empresa y lo respalda de los intentos de penetración desde el exterior.

Debido a los términos inestables, existe una ligera confusión en los nombres de las vacantes: las empresas buscan especialistas en seguridad de la información, administradores de seguridad, ingenieros de seguridad de redes informáticas y otros nombres, lo que implica el mismo especialista.

¿Qué hacen los expertos en seguridad de la información?

Las tareas principales de un especialista en seguridad de la información son configurar herramientas de protección y monitoreo, escribir scripts para automatizar procesos y, de vez en cuando, realizar pentests, sintiéndose como un hacker. Monitoree el rendimiento general del sistema y administre herramientas de seguridad de la información.

Estas son las tareas típicas de un especialista en seguridad de la información:

Examine el sistema de seguridad de la información en la empresa, descubra dónde hay vulnerabilidades obvias.
Vea la situación general, descubra quién, en principio, puede estar interesado en piratear una empresa.
Crear un programa de implementación de protección. Decida qué solucionar primero: por ejemplo, configure los protocolos de acceso, registre los scripts de seguridad, configure un sistema de generación de contraseñas.
Trate con el producto: encuentre vulnerabilidades en el código, elabore una tarea técnica para su eliminación.
Evalúe el sistema de seguridad: realice ataques consistentes a los recursos de la red.
Analice el monitoreo: descubra quién estaba interesado en el sistema, de qué maneras, con qué frecuencia.
Introducir protección para nodos particularmente débiles.

Además, la esfera de la seguridad de la información: puede trabajar durante varios años, pero nunca encontrará algo desconocido e incomprensible. Por supuesto, no hay estadísticas exactas, pero generalmente se conocen todas las vulnerabilidades y métodos de piratería.

Condicionalmente, alrededor del 80–90% del tiempo de funcionamiento está ocupado por la protección contra métodos de piratería ya conocidos. Otro 10% es algo nuevo que aún no se ha prescrito en manuales y documentación.

Un especialista en seguridad de la información no siempre es una profesión creativa. Por lo general, por el contrario, no es necesario inventar nada y reinventar la rueda. Un especialista toma una lista de verificación o instrucciones listas para usar, y luego implementa un sistema de seguridad. Lo prueba, encuentra errores, los corrige. Y luego una nueva iteración.

Cómo convertirse en un especialista en seguridad de la información

El camino hacia la profesión de un especialista en seguridad de la información es similar al estándar para TI: primero cursos o autoformación, luego una pasantía y transferencia a un trabajo de pleno derecho.

A juzgar por las revisiones de los ingenieros en los sitios profesionales, se necesitan entre 9 y 12 meses para comenzar una profesión, de los cuales se toman medio año por cursos.

¿Necesito una formación técnica?

No se necesita experiencia en TI y programación: esta es una profesión especial en la intersección de la administración, el desarrollo y la consultoría de sistemas. Por supuesto, si usted es un desarrollador o ingeniero novato, será más fácil: no tiene que comprender los principios generales de los procesos en TI. Pero no mucho, porque en cualquier caso, la seguridad de la información tiene muchas de sus sutilezas y tecnologías.

Un plan de capacitación ideal en el campo de la seguridad de la información es un mínimo de teoría y un máximo de práctica. Es inútil estudiar la lista de vulnerabilidades populares, debe intentar implementar protección contra ellas en un producto que funcione y encontrarse con limitaciones del sistema.

Necesito ingles

Al principio, no es necesario un buen conocimiento del idioma: es suficiente comprender el mínimo necesario para no perderse en la interfaz del programa y leer la documentación con el traductor de Google.

Pero entonces vale la pena practicar el idioma. La literatura de alta calidad, revistas, blogs y foros de seguridad de la información son en su mayoría extranjeros, y las buenas traducciones al ruso no aparecen de inmediato. Para estar constantemente "en el tema", debe recurrir a la fuente.

Al elegir los cursos del IB, preste atención a si las clases de inglés técnico están incluidas en ellos. En tales clases, no pasará tiempo trabajando en temas extraños como vacaciones, cocina o cualquier otra cosa no relacionada con TI. En cambio, familiarícese con el vocabulario especial que se utiliza para probar, desarrollar y leer documentación.

Lo que necesitas saber para comenzar

El problema de muchos cursos que capacitan a especialistas en seguridad de la información es el énfasis en una de las áreas de la esfera:

Una gran cantidad de teoría . Por ejemplo, los cursos dicen mucho sobre las características de diseño, sobre posibles vulnerabilidades, pero no hay tareas prácticas. Esto es malo: es importante que puedas intentar atacar o defenderte de inmediato.
— , , . , - . , , DevOps. . .
— , . , , .

Si planea desarrollar una carrera en el campo de la seguridad de la información, vale la pena buscar cursos que enseñen la implementación completa del sistema de seguridad. Además, aprenda a usar vulnerabilidades para pentests. Y seguramente hablarán sobre cómo hacer todo esto legalmente: debe comprender el marco regulatorio y los detalles de la legislación.

Es decir, las leyes y la configuración de la red, y la piratería, y la protección contra la piratería.

Pila de habilidades

Aquí hay una lista de muestra de lo que necesita saber y poder comenzar:

Configurar una pila de red.
Realice una auditoría del sistema, analice qué lugar es vulnerable.
Ataca los recursos de red de formas populares y configura un sistema de protección contra tales ataques.
Configure un sistema de monitoreo y un sistema de advertencia sobre problemas.
Considere el factor humano en la protección del edificio.

Además, una comprensión de los métodos criptográficos y otros métodos de protección será útil. Además, comprenda los actos legales regulatorios en el campo de la seguridad de la información, la esfera de responsabilidad de las estructuras estatales (FSTEC, FSB, Ministerio de Defensa, Banco Central).

Pila de herramientas

Esto es lo que debe probar antes de solicitar un pasante:

Linux: cree su propio ensamblaje, lea sobre las vulnerabilidades populares del sistema y de los programas internos.
Windows: la capacidad de personalizar las soluciones de usuario y servidor es útil. Sepa cómo realizar ataques a través de actualizaciones, falsificación de controladores o utilidades de servicios públicos.
DLP: pruebe las populares tecnologías de protección de fuga de datos. En pocas palabras, estos son programas que pueden bloquear la escritura en una unidad flash USB o enviar ciertos tipos de datos a las redes sociales o al correo. Por ejemplo, Sophos o McAfee DLP
IDS — . , , . , .
SIEM — , . , , - , — , . Splunk, IBM LogRhythm.
Kubernetes. Kubernetes, , .

Todavía útil conocimiento de metodologías. Comprenda cómo funciona DevSecOps. Esta es una filosofía moderna que le permite implementar protección en cualquier etapa del desarrollo del producto. Le resultará útil si trabaja como especialista en seguridad de la información en una empresa de desarrollo de productos.

Para comenzar una carrera, no es necesario conocer todas las tecnologías a nivel profesional. Es suficiente tener una idea general del sistema, no perderse en la configuración y la documentación. Si es condicional, debe saber cómo hacerlo y no qué hacer.

¿Cuánto ganan esos especialistas y cuánto demandan?

El ingreso promedio de los especialistas en protección de datos según las " Carreras Habr " es de aproximadamente 125 mil rublos. Pero esta es la cantidad total para todos los niveles y empresas. Hay quienes comienzan con 50 mil rublos, y también hay vacantes para gerentes con ingresos de 300-400 mil.

Crecimiento salarial

Aquí hay una imagen típica en los sitios de trabajo:

Un especialista novato en Moscú gana alrededor de 50-60 mil, este es un interno sin experiencia laboral.
Posición junior: hay vacantes de 60-80 mil.
Un especialista en seguridad de la información completo con experiencia de 1-2 años: 100-150 mil.
Un especialista con experiencia en 3-5 años - 150-200 mil.
Cabeza - 200 mil y más.

Demanda

La demanda de especialistas en seguridad de la información es alta: solo en HeadHunter suelen buscar entre 800 y 900 personas. Si agrega otros nombres de la profesión, por ejemplo, administradores de seguridad o "seguridad" de la computadora, obtendrá aproximadamente 2,000 vacantes.

Principalmente ofrece desde 150 mil en Moscú o San Petersburgo. En las regiones, un especialista con experiencia de 1-2 años puede contar con 50-120 mil.

Solo especialistas altamente calificados ofrecen trabajar de forma remota; por ejemplo, hay vacantes con ingresos de 250 a 350 mil rublos. Básicamente, un ingeniero de seguridad trabaja en una oficina.

Ejemplo de un trabajo remunerado remoto

Qué leer sobre el tema

Aquí hay una selección de literatura que lo ayudará a comprender mejor el campo de la seguridad de la información. Pero vale la pena leer en paralelo con los cursos, solo en la teoría para llegar al nivel del aprendiz no funcionará.

Scott Donaldson Ciberseguridad empresarial: cómo construir un programa exitoso de ciberdefensa contra amenazas avanzadas - plantilla / manual de capacitación para crear un plan para implementar un sistema de seguridad de la información. Es relevante para grandes empresas y empresas industriales. Pero incluso si trabaja en una pequeña empresa, es útil para comprender la imagen general de la creación de protección.
Jim Bird DevOpsSec : el libro habla sobre cómo construir procesos de implementación de IS sin causar sufrimiento a los desarrolladores y evaluadores.
RTFM: Red Team Field Manual : una selección de scripts de piratería para pentesters de una empresa que gana dinero en piratería blanca.
La seguridad para desarrolladores web son métodos populares para piratear y proteger páginas web.
Michael Kofler "Linux. Instalación, configuración, administración ” : ayudará a comprender los principios de operación y administración en Linux.

Dónde estudiar como especialista en seguridad de la información

Puede obtener conocimiento estructurado en el curso " Especialista en Seguridad de la Información " en Netología.

Aprenderás:

construir un proceso para identificar vulnerabilidades en todas las etapas de desarrollo;
determinar dónde esperar amenazas, cómo minimizarlas e investigar las consecuencias de los ataques;
Estudiar la legislación necesaria para actuar dentro de la ley.

El material fue preparado por Dmitry Kuzmin.

Especialista en Seguridad de la Información. Qué gana y cuánto gana