Карьерный путь в информационной безопасности

[Flash-04]

Это если только в какую-нибудь TAO при NSA записываться, а так infosec - большая область, полно непрограммистов. В SOC analysts вроде берут сетевых инженеров/админов после соответствующих курсов. Но это массовые позиции, там супер денег не платят.

человек спрашивал про начало карьеры. вы же не ожидаете $100/h на старт?

Крутым консультантом ИМХО можно стать только после N лет работы на профильную фирму девелопером или типа того, ну или имея в резюме конторы, в которым не-юс-ситизенам даже заборы мыть разрешают только с наружной стороны..

N лет - да. А вот быть US citizen быть вовсе не обязательно. Это только если надо на government работать. Всё остальное - NDA подписал, и вперёд. В своё время я будучи ещё только российским гражданином, писал софт которым пользовалась US Army. Правда они об этом не знали

[Flash-04]

GRC и тп.

скукотища. нужно соотвествущий склад ума иметь, иначе на стенку полезешь. Хотя кому как, есть бывшие коллеги которые именно этим занимаются и вполне счастливы, и даже теперь в больших начальниках.

[Big Cheese]

человек спрашивал про начало карьеры. вы же не ожидаете $100/h на старт?

нет, конечно, не ожидаю. Я в том смысле, что infosec в плане распределения зарплат ИМХО не отличается от других отраслей - значительная часть работ имеют вполне приличную, но не заоблачную зарплату и достаточно ограниченный карьерный рост.

Крутым консультантом ИМХО можно стать только после N лет работы на профильную фирму девелопером или типа того, ну или имея в резюме конторы, в которым не-юс-ситизенам даже заборы мыть разрешают только с наружной стороны..

N лет - да. А вот быть US citizen быть вовсе не обязательно. Это только если надо на government работать. Всё остальное - NDA подписал, и вперёд.

Ну, может и не везде надо гражданство/клиранс, но (как мне представляется) много где - на крупные telco, в боинги и прочую оборонку тоже сложно без гражданства попасть и т.п. И потом, у меня складывается впечатление, что в security consulting понты играют очень важную роль - типа, втирать клиенту с умным видом про kill chain и lateral movement намного легче, когда у тебя есть green badge. Но это мое дилетантское мнение, могу (даже буду рад) ошибаться...

В своё время я будучи ещё только российским гражданином, писал софт которым пользовалась US Army. Правда они об этом не знали

Такая фигня тут сплошь и рядом - я в свое время рулил разработкой продукта, который использовала контора, занимающаяся надзором за утилизацией ядерных отходов. Софт при этом на 80 процентов писался командой в Китае и это никого не напрягало, от слова совсем. В то же время, для PS/on-site support туда надо было посылать только истинных арийцев, причем даже их сопровождали 100% времени и за клаву не пускали (надо было местному чуваку давать команды, что печатать). То же самое на моей текущей работе - софт, который моя команда ваяет используется в том числе во всяких трехбуквенных местах, но мое гражданство никого не интересует. Но! это разработка, для security consulting требования другие

[Flash-04]

Про зарплаты согласен. Про Security clearance согласен частично. Где-то надо, где-то нет, например в мой тим специально нанимали американца с Security clearance чтобы он мог работать с DHS (собсно он там до нас и работал) и прочими FBI и пр. Но это весьма специфичная область и опять же если задаться целью, вполне достижимо. Я например Security clearance не оформлял ни разу. Хотя сейчас мог бы.

[Grand Canyon]

А насчет всякой секретности и гражданства: прокатит ли натурализованный гражданин, или им нужен прям такой чтоб тут родился в США изначально?

[Flash-04]

смотря куда. В NSA не всякого native citizen возьмут. Была замечательная статья одного американца как он эплаился в NSA в патриотическом порыве, и как его туда не взяли Поищу, выложу линк. Там просто эпическая история
Но в другие места вроде и "натурализованого" хватит. Всё зависит от степени секретности. Тот же телеком, ему нафиг не надо в каком вы поколении американец. Опять же на Lockheed Martin свет клином не сошёлся.

[DMAlex]

Наши открытые позиции можно глянуть тут http://jobs.dell.com/search/advanced-se ... nyName/-1/" onclick="window.open(this.href);return false; если кому что приглянется то могу рефернуть. Ну и сертификаты всякие на SOC позиции приветствуются, хотя entry level думается там не заоблачный - типа продвинутого пользователя всяких security portal что умные программеры им наваяли

[Grand Canyon]

А мне сегодня какой-то индус прислал вакансию именно в информационной безопасности. Ничего там про диплом не говорится. Надо будет поторговаться, может вдруг попаду туда без опыта и образования в этой сфере

[Flash-04]

попробуй, чем чёрт не шутит.
почитай вопросики:
http://resources.infosecinstitute.com/t ... questions/" onclick="window.open(this.href);return false;

[Grand Canyon]

попробуй, чем чёрт не шутит.
почитай вопросики:
http://resources.infosecinstitute.com/t ... questions/" onclick="window.open(this.href);return false;

Спасибо, полезая статья. Но мне еще рановато на ту позицию...

[anarchist]

я "вырос" из программиста.

Шо, и так можно?
Я думал, туда только со своим трактором ботнетом и базой эксплойтов, перебежчиков с другой стороны баррикад, так сказать , пускают.

Там куча вообще случайых людей. Я общаюсь плотно с ифосековским лидом, китаеза, тупой как валенок, и борзый как блак флай.
Судя по общению его наняли по знакомству, и никакого опыта ранее в этой области у него не было. Работы у них действительно много, потому что секьюрити тулы все кривые и либо падают, либо выдают кучу фолс позитивс, ну а манагемент все новые тулы заказывает, видать откаты жирные.

[rgx]

Кстати, халява: https://mkto.cisco.com/security-scholarship" onclick="window.open(this.href);return false;

[rgx]

http://www.forbes.com/sites/stevemorgan ... s-in-2016/" onclick="window.open(this.href);return false;

[NYgal]

Без сертифицатов, минимум CISSP, по-моему, никто и разговаривать не будет.

Область большая. Кто-то с шашкой наперевес борется с хакерами, наверное
Но большинство занимается аудитами, собирает статистику и отслеживает волнарабилитиес и тд и тп.

Если что - у меня муж давно в етой области.

[Flash-04]

Будут. Ежели есть релевантный опыт.

[numberfive]

Коллеги из ИБ, помогите точнее сформулировать зарплатные ожидания для НЙ.

У меня 11 лет опыта в ИБ, ИТ-аудите, BCP&DR. 5 лет управленческого опыта, почти весь опыт в крупнейших американских и европейских финансовых структурах. Сертификаты CISM, CISA, ISO 27001, 22301 и всякая мелочь.
Несколько лет назад перестал заниматься глубоко техническими вещами, сейчас занимаюсь больше стратегией, анализом рисков, менеджментом ИБ, awareness.
Работать планирую не консультантом, а инхаус.

Я полагаю, вы лучше ориентируетесь в рынке ИБ-специалистов и зарплат в штатах, подскажите, какую нижнюю границу можно обозначить для офферов в NY и что можно считать хорошим предложением?
+ имеет ли смысл заморачиваться с CISSP или ISACA тоже пойдет?

Спасибо.

[erix]

я б сказал ~160к. А гласдор чего-нибудь показывает?

[NYgal]

Обычно в фин конторах надо учитывать бонус минимум 10, максимум 50%

[numberfive]

я б сказал ~160к. А гласдор чего-нибудь показывает?

http://swz.salary.com/SalaryWizard/Chie ... rk-NY.aspx" onclick="window.open(this.href);return false;
глассдор показывает схожие цифры, как раз 160.
от сферы и тайтла тоже сильно зависит.