Bezpieczeństwo IT w Polsce to dynamicznie rozwijająca się branża, a zapotrzebowanie na specjalistów nadal przewyższa liczbę dostępnych ekspertów. Praca w dziedzinie IT security nie tylko przynosi satysfakcję, ale również zapewnia jedne z najlepiej płatnych stanowisk w sektorze informatycznym. Jeśli zastanawiasz się nad rozpoczęciem kariery jako specjalista ds. bezpieczeństwa IT, ten artykuł pokaże Ci, jak zacząć i zdobyć niezbędną wiedzę oraz doświadczenie.
Język angielski
Zacznijmy od komunikacji w języku angielskim. Znajomość komunikacji w tym języku jest wymagana, wszystkie opisy i dokumentacje pisane są w języku angielskim. Niewykluczone, że w zespole też trzeba będzie komunikować się po angielsku. Z reguły wystarczy podstawowa znajomość, ale dobrze jest posiadać potwierdzenie w postaci certyfikatu.
Zrozumienie podstaw IT
Zanim zaczniesz specjalizować się w bezpieczeństwie IT, ważne jest, aby zdobyć podstawową wiedzę o działaniu i budowie systemów informatycznych. Aby umieć “zepsuć”, czy ochronić jakiś komponent IT, trzeba wiedzieć jak on działa. Nie bez powodu, bardzo często najlepszymi specjalistami ITsec, są byli programiści, administratorzy, devopsi czy testerzy.
Jeżeli nie masz wykształcenia IT, nic straconego! Istnieją świetnie przygotowane darmowe kursy i programy, które pomogą ci od podstaw zrozumieć kolejne gałęzie informatyki. Niektóre z nich są opracowane na podstawie najlepszych, bardzo przystępnych wykładów z najbardziej rozpoznawalnych uczelni na świecie, np.: https://teachyourselfcs.com/
Podstawy bezpieczeństwa IT
Gdy już opanujesz podstawy IT, możesz skierować swoją uwagę na bezpieczeństwo IT. Istnieje wiele platform edukacyjnych, które prowadzą przez podstawy różnych obszarów bezpieczeństwa IT. Możesz korzystać z takich platform jak np.: tryHackMe (https://tryhackme.com/), Portswigger Academy (https://portswigger.net/web-security), czy OverTheWire Wargames (https://overthewire.org/wargames/). Konkretne umiejętności są tam ułożone w ścieżki, które krok po kroku budują wiedzę na dany temat. W sporej części są to także materiały dostępne bez opłat.
Certyfikaty
Certyfikaty są ważne, ponieważ dają solidną podstawę wiedzy i podnoszą prestiż na rynku pracy. Na początku warto zwrócić uwagę na certyfikaty takie jak: CEH (Certified Ethical Hacker), CompTia Security+ oraz eJPT (eLearnSecurity Junior Penetration Tester).
Z późniejszej perspektywy mogą wydawać Ci się one bardzo łatwe, ale spełniają bardzo ważną funkcję – układają i ugruntowują podstawową wiedzę, która jest niezbędna do dalszego rozwoju. Braki w podstawach powodują potknięcia dalej, co powoduje stratę czasu i frustrację podczas nauki i ćwiczeń.
CEH jest podstawowym certyfikatem teoretycznym, który dość często pojawia się w ofertach o pracę. Dosyć dobrze realizuje zadanie ugruntowania podstawowej, teoretycznej wiedzy, jednakże sam certyfikat jest dosyć drogi. Dużo tańszy, zyskujący na rynku popularność, jest praktyczny certyfikat eJPT. Niedawno doczekał się on drugiego wydania, i jest dobrym narzędziem do zdobycia konkretnych podstaw w pentestingu.
Doskonalenie umiejętności
Pokaż na co Cię stać! Internet oferuje wiele miejsc, gdzie możesz szlifować umiejętności związane z bezpieczeństwem IT, i konkurować z innymi specjalistami. Trzema popularnymi wyborami, są: CTFtime (CTF), HackTheBox oraz programy bugbounty.
CTFy to konkursy organizowane cyklicznie, w których można spróbować swoich sił rozwiązując zadania. Konkursy są ogłaszane na platformie CTFTime, na której można dołączyć do drużyny, albo walczyć solo. CTFy są ograniczone czasowo (najczęściej jeden lub dwa dni), a zadania które się na nich pojawiają, posiadając odpowiednie umiejętności, można z reguły rozwiązać w miarę szybko (do kilku h). Na CTFach często można nauczyć się różnego rodzaju ciekawostek, o które trudno np. w pracy. Warto podkreślić, że CTFy prawie zawsze są bezpłatne.
HackTheBox to platforma, w której można ćwiczyć umiejętności na specjalnie przygotowanych serwerach, lub nawet dużych ich sieciach, symulujących np. całą korporację. Jest to świetne miejsce do szlifowania praktycznych umiejętności związanych z pentestowaniem, w bezpiecznym środowisku. Tutaj, maszyny czy sieci można robić tygodniami. HTB jest dobre o tyle, że symuluje zadania czy serwery, które faktycznie można spotkać w realnych środowiskach. Doświadczenie tu nabywane, można potem łatwo przełożyć na praktykę w pracy. Jest też względnie na bieżąco z nowymi lukami czy głośnymi podatnościami, które przewijają się w Internecie. W podstawowym zakresie bezpłatny dostęp.
Platformy bugbounty to natomiast miejsca, w których legalnie można szukać luk bezpieczeństwa w infrastrukturach firm, które wyraziły na to zgodę. Po znalezieniu błędów, często można liczyć na nagrodę. Przykładowymi platformami są Intigriti, czy HackerOne.
Praktyczne doświadczenie
Nic nie zastąpi praktycznego doświadczenia. Poszukaj praktyk lub pracy na stanowisku juniorskim w firmach zajmujących się bezpieczeństwem IT lub w działach IT security innych przedsiębiorstw. To jest też moment, kiedy należy zastanowić się co dokładnie w IT security chciał(a)bym robić. Być może, nie od razu zaczniesz pracę w kwestiach związanych z ITsec – zatrudnienie jako administrator, wsparcie IT, programista czy tester absolutnie nie powinno być traktowane jako strata czasu czy niepowodzenie – stanowi to bowiem świetną bazę doświadczenia do dalszego rozwoju.
Bądź na bieżąco z najnowszymi trendami i zagrożeniami
Bezpieczeństwo IT to dziedzina, która ciągle ewoluuje. Śledź najnowsze trendy, technologie i zagrożenia, czytając blogi, artykuły i książki związane z bezpieczeństwem IT. Śledź popularne platformy i osoby ze środowiska na twitterze. Uczestnicz w konferencjach branżowych i dołącz do społeczności online, aby pozostać na bieżąco i rozwijać swoją wiedzę.
Rozwijaj umiejętności komunikacyjne i interpersonalne
Praca jako specjalista ds. bezpieczeństwa IT wymaga współpracy zespołowej i komunikacji z klientami oraz zarządem. Rozwijaj umiejętności interpersonalne, aby umieć efektywnie przekazywać informacje i rozwiązywać problemy. Bezpieczeństwo IT bywa newralgiczne i może budzić sporo emocji – ważne jest to, aby umieć odpowiednio przekazać informacje, nie wprowadzając zamieszania oraz nieprzyjemnej atmosfery. Pamiętaj, że to IT (security) jest dla biznesu, a nie na odwrót.
Kontynuuj naukę i rozwijaj się zawodowo
Nie przestawaj się rozwijać. Uczestnicz w szkoleniach, zdobywaj kolejne certyfikaty, czytaj specjalistyczne publikacje i bierz udział w projektach związanych z bezpieczeństwem IT.
Jednym z popularniejszych, bardziej zaawansowanych certyfikatów jest Offensive Security Certified Professional (OSCP). Jest on też dosyć często pożądany/zalecany przez pracodawców z sektora IT security. Pamiętaj, że rozwijanie się zawodowo jest kluczowe dla osiągnięcia sukcesu w tej dziedzinie.
Podsumowując, aby rozpocząć karierę jako specjalista ds. bezpieczeństwa IT, warto zrozumieć podstawy IT, skierować swoją naukę na bezpieczeństwo IT, zdobywać certyfikaty, szlifować umiejętności praktyczne, być na bieżąco z trendami i zagrożeniami oraz rozwijać kompetencje komunikacyjne. Praca w bezpieczeństwie IT to dynamiczna dziedzina, która wymaga ciągłego rozwoju i nauki, ale także przynosi wiele satysfakcji i możliwości rozwoju zawodowego.
Zapraszamy na studia podyplomowe na kierunku Pentester – Tester Bezpieczeństwa w Collegium Da Vinci