Чтение онлайн

Меня, как наставника людей, желающих построить карьеру в сфере кибербезопасности, часто спрашивают, какую программу обучения или сертификации следует пройти. Готовясь начать карьеру, человек в первую очередь думает о технических навыках, необходимых для трудоустройства. В предыдущей главе вы научились проводить самоанализ, выбирать подходящее для себя карьерное направление и выявлять пробелы в навыках. Теперь, когда у вас есть четкое представление о том, какие технические способности требуют совершенствования, пришло время изучить способы устранить эти пробелы.

Ранее я уже говорила, что сообщество специалистов по безопасности не может предоставить тем, кто желает работать в этой сфере, четкого представления о том, как это сделать. Спросив разных специалистов, с чего лучше всего начать, вы наверняка получите разные ответы. Я считаю, что многие из этих людей искренне хотят помочь, но, к сожалению, не обладают достоверной информацией.

На протяжении многих лет лидеры в сфере кибербезопасности полагали, что талантов не хватает, поскольку нет соответствующих академических программ. Чтобы решить эту проблему, темы кибербезопасности включили в планы учебных курсов различных уровней вплоть до начального. Колледжи и университеты запустили полноценные программы, направленные на получение ученой степени в сфере кибербезопасности, а в некоторых случаях даже посвященные конкретным направлениям этой сферы. Однако из-за самой природы таких программ знания выпускников часто оказывались слишком общими или устаревшими.

В связи с этим некоторые опытные и благонамеренные наставники стали рекомендовать начинающим специалистам пройти сертификацию, чтобы получить навыки, необходимые для трудоустройства. И люди принялись получать сертификаты по кибербезопасности. Если это не давало нужного результата, они получали дополнительные сертификаты. Довольно быстро отрасль наводнили кандидаты на должности начального уровня, обладающие множеством сертификатов, но не имеющие опыта работы. В результате специалисты стали говорить им, что в сертификатах нет смысла без опыта, и рекомендовать применять знания на практике.

В последнее время опытные профессионалы советуют новичкам участвовать в учебных мероприятиях. Зачастую — в соревнованиях типа CTF (Capture the Flag), где участники или команды пытаются использовать уязвимости, чтобы найти скрытые флаги и заработать тем самым очки. Еще одна распространенная рекомендация — участвовать в хака-тонах, где, как правило, целые группы реализуют инициативу, связанную с обеспечением безопасности. Некоторые специалисты предлагают новичкам создавать собственные виртуальные лаборатории, чтобы экспериментировать с защитными технологиями и методами наступательной безопасности.

К сожалению, в корпоративной среде, где описания должностей содержат требование опыта, рекрутеров интересует стаж, который трудно подтвердить участием в этих неформальных образовательных мероприятиях. В результате люди, желающие начать карьеру в сфере, где им не хватает навыков, не понимают, куда им идти.

Головоломка под названием «Мне нужен опыт, чтобы получить работу, но мне нужна работа, чтобы получить опыт» десятилетиями осложняла поиск талантов в сфере кибер безопасности. К сожалению, несмотря на усилия многих специалистов, из-за громких случаев утечки данных требования компаний к кандидатам ужесточились, что только усугубило ситуацию.

Эта глава поможет вам взглянуть на такие трудности с точки зрения соискателя и преодолеть их. В частности, мы поговорим о навыках и опыте, представляющих наибольшую ценность для кандидата на должность начального уровня, и о лучших способах продемонстрировать эти навыки потенциальным работодателям.

Если вы задумывались о карьере в сфере кибербезопасности, то наверняка знаете о существовании бесчисленного множества сертификатов. Различные звания, присваиваемые сторонними организациями профессионалу и подтверждающие его владение навыком или набором навыков, упоминаются в описаниях множества должностей. Многим новичкам кажется, что получить один, два или даже десять сертификатов — отличный способ подготовиться к работе. Однако, как было сказано в главе 3, результаты моего опроса свидетельствуют, что корреляции между наличием отраслевого сертификата и более коротким периодом трудоустройства нет.

Несмотря на это, сертификат играет большую роль при поиске работы, особенно первой. В конце концов, большинство работодателей просят, а многие даже требуют его наличия по тому или иному направлению — это ли не веская причина его получить. С учетом всего кажется, что пройти сертификацию — очевидный первый шаг для начинающего специалиста. Однако не все так просто.

В огромном количестве доступных вариантов очень легко запутаться. Чтобы выбрать сертификат, недостаточно найти самое часто упоминаемое звание в описаниях должностей. Во многих программах сертификации есть требования к знаниям, опыту и имеющимся сертификатам. Следующая диаграмма [9] может дать вам некоторое представление о сложности выбора подходящего сертификата по кибербезопасности.

Рис. 5.1. На этой диаграмме перечислено множество распространенных сертификатов по кибербезопасности, актуальных на разных этапах карьерного роста

Выбрать сертификат гораздо сложнее, чем кажется, но этот выбор может стать важным шагом при поиске первой работы в сфере кибербезопасности. Поэтому имеет смысл рассмотреть наиболее распространенные сертификаты и понять, как они вписываются в общий процесс построения карьеры.

Прежде чем обсуждать конкретные сертификаты, давайте поговорим о целях программ и о том, почему их так много. Кибербезопасность и ее предшественница информационная безопасность не всегда были общепризнанными дисциплинами, какими считаются сейчас. Многих из доступных сегодня формальных обучающих программ просто не существовало. Даже теперь они часто не позволяют должным образом подготовить специалистов по кибербезопасности, поскольку все меняется слишком быстро, а спектр тем в этой области чрезвычайно широк.

Из-за недостатка формальных образовательных программ такие организации, как (ISC)2, ISACA и другие, стали искать способы формализовать знания, генерируемые ИБ-специалистами, и распространять их среди участников сообщества. В конце концов были разработаны программы сертификации, позволяющие профессионалам продемонстрировать свое владение предметом путем сдачи экзамена. Человек, набравший проходной балл, признается сертифицированным специалистом.

С развитием кибербезопасности возникало множество специализированных областей знания. Чтобы выделять профессионалов с опытом в этих областях, были учреждены дополнительные программы сертификации. Их разработали такие организации, как Ассоциация производителей вычислительной техники (CompTIA), SANS, Международный совет консультантов по электронной коммерции (EC–Council) и Offensive Security; их программы затрагивали не только специализированные темы, но и область общих знаний. В результате появился установленный способ оценки и подтверждения профессиональных навыков. Сертификаты превратились в инструмент, позволяющий рекрутерам и менеджерам по найму искать и оценивать потенциальных кандидатов.

Помимо этих организаций (многие из которых, будучи некоммерческими, имеют целью повысить уровень образования в области кибербезопасности) специальные программы сертификации учредили поставщики коммерческих средств защиты. Так, компания Cisco Systems предлагает множество сертификатов, подтверждающих умение не только профессионально обращаться с ее продуктами, но и использовать их в контексте конкретных дисциплин, например кибербезопасности. Некоторые из них перечислены на рис. 5.1.

По мере развития сферы кибербезопасности растет спрос на людей, обладающих подобными сертификатами, а также появляются образовательные программы и контент, призванные помочь профессионалам подготовиться к сдаче сертификационных экзаменов. Множество материалов и программ предоставляют сами сертифицирующие организации. Однако существуют и сторонние образовательные организации, построившие бизнес на помощи людям в подготовке к таким экзаменам. Материалы, курсы и программы, направленные на получение сертификатов по кибербезопасности, теперь все больше фокусируются не только на подготовке к экзамену, но и на отработке навыков, необходимых для его сдачи. Из-за такого смещения фокуса прохождение программ начали воспринимать как образовательный процесс, а не как возможность доказать владение навыками.