Setiap tahun ribuan lulusan dalam keamanan informasi atau ilmu komputer lulus dari perguruan tinggi dan universitas, sama sekali tidak siap untuk pekerjaan nyata. Di sini kita melihat hasil survei terbaru yang menyoroti kesenjangan keterampilan terbesar untuk alumni dan bagaimana kandidat kerja menonjol dari yang lain.
Hampir setiap minggu saya menerima setidaknya satu surat dari seorang pembaca yang meminta nasihat tentang bagaimana memulai karir di bidang keamanan informasi. Dalam kebanyakan kasus, pencari kerja menanyakan sertifikasi mana yang harus mereka peroleh atau spesialisasi mana yang memiliki masa depan paling cerah.
Jarang ditanyakan keterampilan praktis apa yang perlu Anda kuasai untuk menjadi kandidat yang lebih menarik. Saya selalu memperingatkan Anda bahwa saya sendiri tidak memiliki sertifikat atau diploma, tetapi saya secara teratur berbicara dengan kepala departemen keamanan informasi dan perekrut - dan sering menanyakan kesan tentang kandidat modern.
Jawaban khasnya adalah begitu banyak kandidat yang kurang berpengalaman dengan masalah praktis.
Tentu saja, kebanyakan lulusan tidak memiliki pengalaman praktis. Namun, untungnya, aspek unik dari keamanan informasi adalah pengalaman dan pengetahuan dasar dapat diperoleh dengan metode trial and error yang baik.
Salah satu tip utamanya adalah mempelajari dasar-dasar tentang bagaimana komputer dan perangkat lain berinteraksi satu sama lain. Saya mengatakan ini karena jaringan adalah keterampilan mendasar yang menjadi dasar banyak bidang pembelajaran lainnya dibangun. Mendapatkan pekerjaan di bidang keamanan tanpa pemahaman mendalam tentang cara kerja paket data mirip seperti mencoba menjadi insinyur kimia tanpa terlebih dahulu mempelajari tabel periodik.
Tolong jangan percaya kata-kata saya untuk itu. SANS Research Institute baru-baru ini mensurvei lebih dari 500 praktisi keamanan siber di 284 perusahaan yang berbeda dalam upaya untuk mengetahui keterampilan mana yang menurut mereka paling berguna untuk calon pekerjaan dan mana yang paling sering hilang.
Selama survei, responden diminta untuk menentukan peringkat keterampilan yang berbeda dari "kritis" hingga "opsional". 85% kekalahan mengutip pengetahuan jaringan sebagai keterampilan kritis atau "sangat penting", diikuti oleh Linux (77%), Windows (73%), teknik eksploitasi umum (73%), arsitektur komputer dan virtualisasi (67%), pengolahan data dan kriptografi (58%). Cukup mengherankan, hanya 39% yang menyebutkan pemrograman sebagai keterampilan penting atau sangat penting (kita akan membahasnya sebentar lagi).
Bagaimana profesional keamanan siber menilai calon pelamar kerja berdasarkan keterampilan yang sangat penting dan sangat penting ini? Hasilnya tampak luar biasa:
| Keterampilan | Berapa banyak kandidat yang tidak dapat menyelesaikan bahkan masalah mendasar | Berapa banyak kandidat yang telah menunjukkan keahlian |
|---|---|---|
| Teknik peretasan umum | 66% | 4,5% |
| 47% | 12,5% | |
| 46% | 4% | |
| Linux | 40% | 14% |
| 32% | 11,5% | |
| 30% | 2% |
βPemberi kerja melaporkan bahwa pelatihan keamanan siber untuk siswa sebagian besar tidak memadai dan membuat mereka frustrasi karena mereka harus menghabiskan waktu berbulan-bulan untuk mencari sebelum mereka menemukan karyawan tingkat awal yang memenuhi syarat, jika ada,β kata Alan Paller, direktur penelitian di Institut. TANPA. βKami menyarankan bahwa untuk mulai mengatasi tantangan ini dan menutup kesenjangan, kami perlu mengartikulasikan keterampilan yang diharapkan pemberi kerja tetapi tidak ditemukan pada lulusan.β
Sebenarnya, beberapa profesional keamanan komputer terpintar, paling cerdik, dan berbakat yang saya tahu tidak memiliki sertifikasi atau gelar ilmu komputer atau ilmu komputer. Faktanya, banyak dari mereka tidak pernah kuliah atau lulus dari universitas.
Sebaliknya, mereka menjadi aman karena mereka sangat tertarik dengan topik tersebut, dan keingintahuan ini memaksa mereka untuk belajar sebanyak mungkin - terutama dengan membaca, mencoba dan membuat kesalahan (banyak kesalahan).
Saya tidak mengecilkan hati pembaca untuk mengejar pendidikan tinggi atau sertifikasi di bidang ini (yang mungkin merupakan persyaratan dasar di banyak perusahaan), tetapi hanya agar mereka tidak melihatnya sebagai jaminan pekerjaan yang stabil dan bergaji tinggi.
Tanpa menguasai satu atau lebih dari keterampilan ini, Anda tidak akan dianggap sebagai kandidat yang sangat menarik atau luar biasa.
Tapi bagaimana caranya?
Jadi di mana harus fokus dan di mana tempat terbaik untuk memulai? Pertama, meskipun ada banyak cara untuk mendapatkan pengetahuan dan hampir tidak ada batasan untuk kedalaman yang dapat Anda jelajahi, cara tercepat untuk belajar adalah dengan mengotori tangan Anda.
Saya tidak berbicara tentang meretas jaringan seseorang atau situs yang buruk. Tolong jangan lakukan ini tanpa izin. Jika Anda merusak layanan dan situs pihak ketiga, pilih yang menawarkan hadiah melalui program bug bounty , dan kemudian pastikan Anda mengikuti aturan program ini.
Tapi hampir semuanya bisa dimainkan secara lokal. Ingin menguasai teknik umum untuk meretas dan mengeksploitasi kerentanan? Ada banyak sekali sumber daya gratis yang tersedia ; alat yang dirancang khusus seperti Metasploit dan WebGoat , dan distribusi Linux seperti Kali Linux dengan banyak tutorial dan tutorial online. Selain itu, ada sejumlah alat pengujian penetrasi dan deteksi kerentanan gratis seperti Nmap , Nessus , OpenVAS, dan Nikto . Ini bukan daftar lengkap.
Atur lab peretas Anda sendiri. Anda dapat melakukan ini di komputer atau server cadangan, atau di PC lama, yang banyak dijual dengan harga murah di eBay atau Craigslist. Alat virtualisasi gratis seperti VirtualBox, sederhanakan pekerjaan dengan berbagai sistem operasi tanpa perlu memasang peralatan tambahan.
Atau pertimbangkan membayar seseorang untuk menyiapkan server virtual tempat Anda dapat bereksperimen. Amazon EC2 adalah opsi biaya rendah yang bagus. Jika Anda ingin menguji aplikasi web, Anda dapat menginstal sejumlah layanan web pada komputer di jaringan lokal Anda sendiri, seperti versi lama WordPress, Joomla, atau mesin toko online seperti Magento.
Ingin menjelajahi jaringan? Mulailah dengan buku yang layak tentang TCP / IP , dapatkan pemahaman yang baik tentang tumpukan jaringan dan bagaimana semua lapisan berinteraksi satu sama lain .
Saat Anda mengasimilasi informasi ini, belajarlah menggunakan beberapa alat yang akan membantu Anda mempraktikkan pengetahuan Anda. Misalnya, lihat Wireshark dan Tcpdump , alat praktis yang digunakan oleh administrator jaringan untuk memecahkan masalah jaringan dan keamanan, dan untuk memahami cara kerja aplikasi jaringan (atau tidak). Mulailah dengan memeriksa lalu lintas jaringan Anda sendiri, penjelajahan web, dan penggunaan komputer sehari-hari. Cobalah untuk memahami apa yang dilakukan aplikasi di komputer Anda dengan melihat data apa yang mereka kirim dan terima, bagaimana dan di mana.
Tentang pemrograman
Pengusaha mungkin atau mungkin tidak memerlukan keterampilan pemrograman dalam bahasa seperti Go , Java , Perl , Python , C, atau Ruby . Terlepas dari ini, pengetahuan tentang satu atau lebih bahasa tidak hanya akan membuat Anda menjadi kandidat yang lebih menarik, tetapi juga memfasilitasi studi lebih lanjut dan maju ke tingkat kemahiran yang lebih tinggi.
Bergantung pada spesialisasi, di beberapa titik Anda mungkin menemukan bahwa kemungkinan untuk pelatihan lebih lanjut dibatasi justru oleh pemahaman pemrograman.
Jika Anda terintimidasi oleh gagasan belajar bahasa, mulailah dengan alat baris perintah Linux dasar. Hanya mempelajari cara menulis skrip dasar untuk mengotomatiskan tugas rutin sudah merupakan langkah maju yang bagus. Terlebih lagi, kemahiran dalam pembuatan skrip shell akan memberikan keuntungan besar sepanjang karier Anda dalam hampir semua peran teknis yang terkait dengan komputer (apakah Anda sedang mempelajari bahasa pemrograman tertentu atau tidak).
Mendapatkan bantuan
Jangan salah: seperti mempelajari alat musik atau bahasa baru, memperoleh keterampilan keamanan siber memakan waktu dan stres. Tapi jangan berkecil hati jika Anda kewalahan dan kewalahan dengan banyaknya informasi. Luangkan waktu Anda dan terus berjalan.
Inilah mengapa kelompok pendukung membantu. Sungguh. Dalam industri keamanan informasi, sisi manusia jaringan mengambil bentuk konferensi dan pertemuan lokal. Sulit untuk melebih-lebihkan betapa pentingnya bagi kewarasan dan karier Anda untuk terhubung dengan orang yang berpikiran sama secara semi-reguler.
Banyak dari acara ini gratis, termasuk Rapat BSides , Grup DEFCON , dan Rapat OWASP... Dan karena industri teknologi masih didominasi laki-laki, ada sejumlah pertemuan keamanan siber dan grup yang berfokus pada wanita seperti Cyberjutsu Sorority dan lainnya yang tercantum di sini .
Jika Anda tidak tinggal di antah berantah, kemungkinan ada beberapa konferensi dan pertemuan keamanan informasi di daerah Anda. Tetapi bahkan jika Anda berada di luar jalur, banyak dari pertemuan ini sekarang diadakan secara virtual karena pandemi COVID-19.
Singkatnya, jangan berharap gelar atau sertifikat memberi Anda keterampilan yang diharapkan pemberi kerja dari Anda. Ini mungkin adil atau mungkin tidak, tetapi Anda harus mengembangkan dan meningkatkan keterampilan yang akan melayani calon pemberi kerja dan peluang kerja di lapangan.
Saya yakin para pembaca memiliki ide mereka sendiri tentang apa yang harus mereka fokuskan untuk pemula dan siswa. Silakan berbicara di kolom komentar.
Lihat juga:
- " IBo nefig: pengungkapan keamanan siber terbaik tahun 2020 menurut JSOC "
- " Institute of Cybersecurity telah didirikan di St. Petersburg Polytechnic Institute "
- β Outsourcing keamanan informasi, keamanan internal. Ke mana harus pergi ke pelanggan "