آشنایی با چهار شغل مهم و پردرآمد در حوزه امنیت اطلاعات

هر کارشناس حوزه امنیت دوست دارد بهترین موقعیت شغلی را پیدا کند، اما این امر مستلزم پیشینه‌، تجربه و دریافت مدارک معتبری است که نشان می‌دهند فردی که درخواستی برای احراز یک شغل ارسال کرده شایستگی احراز آن شغل را دارد. به‌طور کلی در دنیای امنیت فناوری‌اطلاعات چهار گرایش اصلی وجود دارد که هر یک دستمزدهای خوبی عاید متخصصان می‌کند. این گرایش‌های مهم به شرح زیر هستند:

•  Security Architect  (معمار امنیت) 
•  Security Consultant (مشاور امنیت) 
•  Penetration Tester/Ethical Hacker (کارشناس تست نفوذ/ هکر اخلاق‌مدار ) 
•  (Chief Information Security Officer (CISO (مدیر ارشد امنیت اطلاعات) 

چگونه در مسیر شغلی تبدیل شدن به یک متخصص امنیت سایبری گام برداریم؟

هیچ مسیر مستقیمی وجود ندارد که شما را یک متخصص امنیت سایبری مجرب کند و لازم است به مرور زمان و از طریق حضور در دوره‌های آموزشی بین‌المللی و کار در شرکت‌ها و موقعیت‌های شغلی مختلف سطح مهارت‌های خود در دنیای امنیت شبکه را ارتقا دهید. برخی از مردم پس از فارغ‌التحصیلی از دانشگاه مستقیما به حوزه امنیت وارد می‌شوند، در حالی که برخی دیگر ابتدا به سراغ مشاغل فناوری‌اطلاعات می‌روند و پس از کسب تجربه به سراغ مشاغل امنیت می‌روند. اهمیتی ندارد نقطه شروع کجا است، تمامی مشاغل امنیت سایبری با تجربه عمومی فناوری‌اطلاعات آغاز می‌شوند. اصل مهمی که باید به آن دقت کنید این است که پیش از محافظت و ایمن‌سازی فناوری‌ها با نحوه کارکرد آن‌ها آشنا شوید. به‌طور مثال، اگر ندانید عملکرد سامانه نام دامنه چیست، هیچ‌گاه موفق نخواهید شد از سرور DNS در برابر هکرها محافظت کنید. برخی از مشاغل فناوری‌اطلاعات نقش دروازه ورود به دنیای امنیت سایبری را بازی می‌کنند. این مشاغل عبارتند از:

•  Systems administrator (مدیر سیستم) 
•  Database administrator (مدیر بانک اطلاعاتی) 
•  Web administrator (مدیر وب) 
•  Web developer (توسعه‌دهنده وب) 
•  Network administrator (مدیر شبکه) 
•  IT technician (تکنسین فناوری‌اطلاعات) 
•  Security administrator (مدیر امنیت) 
•  Network engineer (مهندس شبکه) 
•  Computer software engineer (مهندس نرم‌افزار کامپیوتر) 

در دنیای امنیت سایبری، دانش‌پژوهان باید دانش عملی و تئوری را همزمان با یکدیگر فراگیرند. به بیان دیگر، در دنیای امنیت به 35 درصد دانش تئوری و 75 درصد دانش عملی و فنی نیاز دارید. دقت کنید بیشتر مشاغل امنیت سایبری در سطح مدیریتی و ارشد کاملا تخصصی هستند. شکل 1 هرم مسیرهای منتهی به مشاغل امنیت سایبری را نشان می دهد. 

مسیر تبدیل شدن به معمار امنیت (Security Architect)

اگر علاقه‌مند به حل مسائل و ساخت برنامه‌های راهبردی بزرگ هستید، مسیر شغلی معمار امنیت گزینه مناسبی است. معمار امنیتی وظیفه طراحی، ساخت و پیاده‌سازی امنیت شبکه و سامانه‌های یک سازمان را عهده‌دار است. معماران امنیت مسئولیت ایجاد ساختارهای امنیتی پیچیده و حصول اطمینان از کارکرد صحیح آن‌ها را عهده‌دار هستند. این افراد مسئول هستند تا سامانه‌های امنیتی برای مقابله با تهدیدات مخرب، هکرها و حملات منع سرویس انکار شده را طراحی و پیاده‌سازی کنند. سایت Indeed اعلام کرده در ایالات متحده متوسط حقوق سالانه یک معمار امنیت 118 هزار دلار است. دقت کنید معماران ارشد باید 5 تا 10 سال تجربه کار مرتبط داشته باشند که 3 تا 5 سال باید در حوزه امنیت باشد. برای تبدیل شدن به معمار امنیت، مسیر شغلی که پیش روی افراد قرار دارد به شرح زیر است: 

•  دانش‌آموخته مقطع کارشناسی در علوم کامپیوتر، فناوری‌اطلاعات، امنیت سایبری یا سایر حوزه‌های مرتبط با علوم کامپیوتر باشند. التبه افراد می‌توانند با شرکت در دوره‌های فناوری‌اطلاعات تجربه‌ای معادل با مدارک فوق کسب کنند. 
•   به عنوان مدیر امنیت، مدیر سیستم یا مدیر شبکه در حوزه فناوری‌اطلاعات تجربه کار داشته باشند. 
•  به عنوان مهندس امنیت اطلاعات یا تحلیل‌گر امنیت دانش خود در حوزه امنیت را ارتقا داده باشند تا بتوانند به معمار امنیت تبدیل شوند.

یک معمار امنیت اطلاعات لازم است مهارت‌ها و توانایی‌های زیر را داشته باشد:

•  توانایی برنامه‌ریزی، تحقیق و طراحی معماری‌های امنیت همسو با پروژه‌های مختلف فناوری‌اطلاعات را داشته باشد.
•  توانایی توسعه مکانیزم‌های امنیتی شبکه‌ها، دیوارهای آتش فیزیکی و مجازی، محافظت از ماشین‌های مجازی و دستگاه‌های شبکه را داشته باشد.
•  توانایی پیاده‌سازی آزمون‌های شناسایی آسیب‌پذیری‌ها، ارزیابی امنیتی و تحلیل ریسک را داشته باشد.
•  علاقه‌مند به تحقیق و پیاده‌سازی جدیدترین فناوری‌ها، استانداردهای امنیتی و بهترین الگوهای آزمایشی باشد. 

دوره‌ها و آموزش‌های مورد نیاز معماران امنیت

با توجه به اینکه معمار امنیت به تخصص سطح بالایی نیاز دارد، سازمان‌ها علاقه‌مند هستند مدارک و دوره‌های امنیتی متخصصانی که قرار است به عنوان معمار امنیت در سازمانی مشغول به کار شوند را بررسی کنند. دوره‌ها و گواهی‌نامه‌های حرفه‌ای در حوزه امنیت سایبری به معمار شبکه کمک می‌کند تا به سرعت در مسیر شغلی خود پیشرفت کند و به موقعیت‌های شغلی بالاتری دست پیدا کند. یک معمار امنیت شبکه برای آن‌که در حوزه کاری خود عملکرد قابل قبولی داشته باشد باید سطح دانش خود در ارتباط با مواردی همچون امنیت شبکه، پیاده‌سازی معماری‌های راهبردی، آزمایش آسیب‌پذیری و مدیریت ریسک را بهبود بخشیده و ارتقا دهد. به همین دلیل پیشنهاد می‌شود معماران امنیت به فکر حضور در دوره‌های زیر باشند:
مقدماتی

• CompTIA Security+

متوسط

• Certified Ethical Hacker (CEH)

سطح پیشرفته 

• EC-Council Certified Security Analyst (ECSA)

سطح خبره

• Certified Information Systems Security Professional (CISSP)

مشاور امنیت سامانه‌ها و اطلاعات

مشاور امنیت سامانه‌ها در ابتدا یک متخصص امنیت سایبری است. مشاور امنیت سامانه‌ها مخاطرات سایبری و راه‌حل‌های مربوط به امنیت سایبری را برای سازمان‌ها ارزیابی می‌کند و به سازمان‌ها در محافظت از زیرساخت‌های ارتباطی و کاهش تهدیدات امنیتی راهنما‌یی‌های لازم را ارائه می‌کند. دقت کنید در برخی موارد یک مشاور امنیت به عنوان مشاور امنیت اطلاعات، مشاور امنیت سامانه‌ها، مشاور امنیت بانک‌های اطلاعاتی و مشاور امنیت شبکه استخدام می‌شوند. یک مشاور امنیت سامانه‌ها فردی منعطف و با ذکاوت است. مشاوران امنیتی در زمان ارزیابی سامانه‌های امنیتی سازمان‌ها و صنایع مختلف باید انواع مختلفی از پارامترهای محیطی را ارزیابی کنند. حقوقی که مشاوران امنیت اطلاعات دریافت می‌کنند ثابت نیست و بسته به تجربه‌ای که دارند ممکن است پایه حقوق مختلفی داشته باشند. با این حال، یک مشاور ارشد امنیتی با 3 تا 5 سال تجربه کار مفید به‌طور میانگین 106 هزار دلار در سال درآمد دارد. مسیر شغلی که برای تبدیل شدن به یک مشاور امنیت پیش روی شما قرار دارد به شرح زیر است:

•  دانش‌آموخته مقطع کارشناسی در علوم کامپیوتر، فناوری‌اطلاعات، امنیت سایبری یا سایر حوزه‌های مرتبط با علوم کامپیوتر باشید. 
•   به عنوان یک کارشناس در یکی از شاخه‌های فناوری‌اطلاعات یا امنیت تجربه لازم را کسب کرده باشید. 
•  به عنوان یک کارشناس سطح متوسط در یکی از مشاغل مدیر امنیتی، تحلیل‌گر امنیتی، مهندس یا حسابرس تجربه لازم را کسب کنید.
•  مهارت‌های امنیت سایبری خود را بهبود بخشیده و گواهی‌نامه‌های پیشرفته امنیت اطلاعات را دریافت کنید. 
•  به عنوان یک مشاور امنیتی در سازمانی مشغول به کار شوید. 

یک مشاور امنیتی، همانند سایر حوزه‌های فناوری‌اطلاعات یکسری کارهای روزانه دارد که از مهم‌ترین آن‌ها به موارد زیر می‌توان اشاره کرد:

•  تعیین بهترین راه برای محافظت از سامانه‌ها، شبکه‌ها، داده‌ها و سامانه‌های اطلاعاتی در برابر تهدیدات احتمالی سایبری
•  انجام آزمایش‌های آسیب‌پذیری و ارزیابی‌های امنیتی
•  تعامل با کارمندان و مدیران بخش‌های مختلف برای شناسایی و کشف مشکلات امنیتی
•  آزمایش راه‌حل‌های امنیتی با استفاده از الگوهای استاندارد تجزیه و تحلیل امنیت
•  ارائه راهنمایی‌های لازم به دپارتمان امنیت اطلاعات

مشاوران امنیتی می‌توانند با پشت سر گذاشتن دوره‌ها و اخذ مدارک حرفه‌ای سطح مهارت‌های خود را بهبود بخشیده و به فکر ارتقا موقعیت شغلی خود باشند. دوره‌های آموزشی به مشاوران امنیت اطلاعات کمک می‌کند در مواجه شدن با تهدیدات مدرن بهترین راهکارها را پیشنهاد داده و مانع از آن شوند تا نقض‌های داده‌ای خسارت‌های مالی سنگینی به بار آورند. فردی که به عنوان مشاور امنیت سایبری عهده‌دار شغلی در یک سازمان می‌شود باید دوره‌های زیر را پشت سر گذاشته باشد:
مقدماتی

• CompTIA Security+

متوسط

• Certified Ethical Hacker (CEH)
• Cybersecurity Analyst (CySA+)

سطح پیشرفته 

• EC-Council Certified Security Analyst (ECSA)
• Certified Information Systems Auditor (CISA)
• Certified Information Security Manager (CISM)

سطح خبره

• Certified Information Systems Security Professional (CISSP)

کارشناس تست نفوذ/ هکر اخلاق‌مدار- متوسط تا ارشد

کارشناس تست نفوذ که گاهی اوقات به‌نام هکر اخلاق‌مدار معروف است با استفاده از دانش و تکنیک‌هایی که هکرها از آن‌ها استفاده می‌کنند به دنبال پیدا کردن ضعف‌ها و آسیب‌پذیری‌های مستتر در سامانه‌های فناوری‌اطلاعات، شبکه‌ها و برنامه‌های کاربردی است. کارشناسان تست نفوذ از ابزارهای خاصی برای شبیه‌سازی حملات هکری در دنیای واقعی استفاده می‌کنند تا نقاط ضعف سامانه‌ها را شناسایی کرده و به سازمان‌ها در بهبود وضعیت امنیت زیرساخت‌ها کمک کنند. یک کارشناس تست نفوذ به‌طور میانگین 79 هزار دلار در سال درآمد دارد. مسیری که اغلب افراد برای تبدیل شدن به کارشناس تست نفوذ و هکر اخلاق‌مدار پشت سر می‌گذارند به شرح زیر است:

•  دانش‌آموخته مقطع کارشناسی در علوم کامپیوتر، فناوری‌اطلاعات، امنیت سایبری یا سایر حوزه‌های مرتبط هستند. 
•  لازم است برای مدت زمانی به عنوان کارشناس امنیت، سرپرست سیستم یا مهندس شبکه در شرکتی مشغول به کار شوند. 
•  مهارت‌های تخصصی هک اخلاقی و آزمون‌های نفوذ را کسب کنند. 
•  در کلاس‌ها و دوره‌های مربوطه شرکت کنند و مدارک معتبر کسب کنند.
•  و در نهایت به عنوان یک کارشناس تست نفوذ یا هکر اخلاق‌مدار در سازمانی مشغول به کار شوند. 

 سازمان‌ها از یک کارشناس تست نفوذ انتظار دارند کارهای زیر را بدون مشکل انجام دهد:

•  انجام آزمایش‌های دوره‌ای تست نفوذ برای شناسایی آسیب‌پذیری‌های مستتر در برنامه‌های وب، شبکه‌ها و سامانه‌ها.
•  شناسایی باگ‌های امنیتی و روش‌هایی که هکرها می‌توانند از آن‌ها برای بهره‌برداری از آسیب‌پذیری‌های مستتر در سیستم‌ها استفاده کنند. 
•  تحقیق و پژوهش، مستندسازی و پیدا کردن راه‌حل‌های ایمن در تعامل با تیم‌های فناوری‌اطلاعات و مدیران ارشد سازمان.
•  طراحی و پیاده‌سازی آزمون‌های تست نفوذ و در صورت نیاز ساخت ابزارهایی که روند پیدا کردن آسیب‌پذیری‌ها را تسهیل می‌کند. 

برای آن‌که به عنوان یک کارشناس تست نفوذ در کار خود موفق شوید، باید دانش خود در ارتباط با مباحث امنیتی و روش‌های نوینی که هکرها برای نفوذ به سامانه‌ها از آن‌ها استفاده می‌کنند را ارتقا دهید. بهترین راهکار برای ارتقا سطح دانش حضور در دوره‌های آموزشی است که برای متخصصان امنیت در نظر گرفته شده است. این دوره‌ها مباحث جدید پیرامون هک اخلاقی، سیستم‌عامل‌ها، نرم‌افزارها، ارتباطات و پروتکل‌های شبکه را آموزش می‌دهند. سازمان‌ها انتظار دارند یک کارشناس تست نفوذ مدارک زیر را داشته باشد:

مقدماتی

• CompTIA Security+

متوسط

• Certified Ethical Hacker (CEH)

سطح پیشرفته 

• CompTIA Advanced Security Practitioner (CASP)
• EC-Council Certified Security Analyst (ECSA)

سطح خبره

• Certified Information Systems Security Professional (CISSP)

مدیر ارشد امنیت اطلاعات (CISO) – سطح ارشد

اگر دوست دارید مدیر دپارتمان امنیت فناوری‌اطلاعات سازمانی شوید باید سطح مهارت‌های خود را به اندازه‌ای ارتقا دهید که شایستگی احراز چنین شغلی را داشته باشید. گام بر داشتن در مسیر یک مدیر ارشد امنیت اطلاعات کار پیچیده، هزینه‌بر و پر چالشی است، اما در مقابل درآمد خوبی دارد. مدیر ارشد امنیت اطلاعات مسئولیت‌ها و توانایی زیادی دارد. این فرد باید تیم یا تیم‌های امنیتی ایجاد کند، بر تمامی خط‌مشی‌های امنیتی سازمان نظارت کند و گزارش خود را به شکل مستقل به مدیر ارشد فناوری یا مدیر سازمان ارائه کند. به‌طور میانگین یک مدیر ارشد امنیت اطلاعات 156 هزار دلار در سال حقوق دریافت می‌کند. افرادی که دوست دارند به عنوان مدیر ارشد امنیت اطلاعات در سازمانی مشغول به کار شوند دست‌کم باید 7 تا 12 سال سابقه کار در حوزه فناری‌اطلاعات و امنیت داشته باشند که از این میزان دست‌کم باید 5 سال در ارتباط با مدیریت عملیات امنیت باشد. مسیری که اغلب افراد برای تبدیل شدن به مدیر ارشد امنیت اطلاعات پشت سر می‌گذارند به شرح زیر است:

•  دانش‌آموخته مقطع لیسانس در علوم کامپیوتر، فناوری‌اطلاعات، امنیت سایبری یا سایر حوزه‌هایی هستند که مرتبط با علوم یاد شده است. 
•  ابتدا باید به عنوان یک برنامه‌نویس یا تحلیل‌گر به این حوزه وارد شوید. 
•  کار خود را به عنوان یک کارشناس امنیت، مهندس یا مشاور امنیت آغاز کنید.
•  به دنبال کسب گواهی‌نامه‌ها و آموزش‌های پیشرفته‌تر فناوری‌اطلاعات باشید.
•  یک موقعیت مدیریتی که سرپرستی یک تیم امنیتی را به شما محول می‌کند به‌دست آورید. 
•  در نهایت به دنبال کسب موقعیت شغلی مدیر ارشد امنیت اطلاعات باشید. 

سازمان‌ها از یک مدیر ارشد امنیت اطلاعات انتظار دارند روزانه فعالیت‌های زیر را انجام دهد:

•  استخدام و مدیریت تیمی از متخصصان امنیت فناوری‌اطلاعات.
•  طراحی و پیاده‌سازی برنامه‌های راهبردی به منظور به‌کارگیری فناوری‌های امنیتی با هدف بهبود مکانیزم‌های امنیتی فعلی.
•  نظارت بر تدوین خط‌مشی‌ها و روال‌های امنیتی سازمان.
•  تعامل با مدیران ارشد به منظور ساخت یک برنامه محافظتی با هدف مقابله با مخاطرات امنیتی.

مدیران ارشد فناوری اطلاعات برای آن‌که در کار خود موفق شوند باید به فکر بهبود سطح مهارت‌های مدیریتی، فنی و حل مسائل باشند. یک مدیر ارشد فناوری اطلاعات برای تثبیت موقعیت شغلی خود باید به فکر حضور در دوره‌های زیر باشد:

سطح متوسط 

• Certified Information Systems Auditor (CISA)

سطح پیشرفته ( آموزش متمرکز بر مدیریت)

• Certified Information Security Manager (CISM)

سطح خبره 

• Certified Information System Security Professional (CISSP)