Az előző gondolatébresztő folytatása, ismét Dave Schacklaford blogjából, ezúttal 1-1 fordításban. Most arról olvashatjuk el a tutit, hogy mire kell figyelnie az egyszeri IT biztonsággal foglalkozni kívánó kockának/menedzserjelöltnek, aki szeretne előbb vagy utóbb feljebb jutni a ranglétrán. Kicsit ájtíbiznisz szagú, de mond okosokat a fickó, olvassátok:

Lépj ki a termékek világából! Nagyon könnyű elkövetni ezt a hibát, én is elkövettem már régebben. "Sourcefire 3D szakértő vagyok" vagy "Három éve foglalkozom Symantec XYZ-vel" - ezek azok a mondatok, amik kirohasztják az agyadat egy idő után. Tisztában vagy a behatolásanalízis valódi alapjaival? Ez egy jobb kérdés. A lényeg az, hogy tanuld meg a biztonság alapjait, és lásd át a koncepciót ahelyett, hogy mélyreható ismeretekre tennél szert egy ilyen vagy olyan termékben. Persze, szükséged lesz némi termékspecifikus tudásra a munkád során, de ne hagyd, hogy ez uralja a képességeidbe vetett hitedet. 

Nincs olyan dolog a CISSP-ben, ami segíteni fog elvégezni a munkádat [a szerző a tanúsításokkal is foglalkoző SANS munkatársa ;)]. Elnézést hogy annak hívom a CISSP-t ami - tudományos elmélet, szinte teljesen. Jó tisztában lenni vele? Biztosan. És azok kedvéért, akik ismernek, nagy híve vagyok az önmarketingnek. ugyanakkor már szinte minden lehetséges biztonsági munkát végeztem, és még soha nem kellett a CISSP gyakorlatokon szerzett tapasztalataimhoz nyúlnom. Soha. Ha bárki valaha a Bell-LaPadula modellre hivatkozik, verd be képét. Durván [Monty Python FTW :D].

Tégy szert némi Linux ismeretre! Ha már rendelkezel ilyennel, dolgozz tovább rajta. Azt vettem észre, hogy Linux és Unix operációs rendszereken dolgozni más gondolkodásmódot kíván mint a Microsoft környezetek, és ez a jó gondolkodásmód a biztonsággal foglalkozók számára. Heggeszthetsz, bütykölhetsz, szkriptelhetsz, és kipróbálhatsz új dolgokat, csupán az oprendszer alapvető ismeretére és egy kis script-fu-ra támaszkodva. A Microsoft nem ad lehetőséget erre, még ha feljövőben is van a PowerShell (ami egy remek cucc, félre ne értsetek). Mindkettőre szükséged van, de vannak olyanok, akik folyton kifogásokat keresnek, hogy miért nincs szükségük Linux ismeretekre, és ezt nem lehet a végtelenségig csinálni.

Olvass többet! Ha nem vagy hajlandó életed végig tanulni, szállj ki ebből a szakmából! Komolyan. Minden olyan gyorsan történik, és annyit kell tanulni, hogy nem engedheted meg, hogy ne szívd magadba folyamatosan a tudást. Az olyan bibliofileknek mint én, ez a terület tökéletes - mindig van mit olvasni és tanulni a biztonsággal kapcsolatban. És ne csak biztonsági témájú könyvekre gondolj! Olvass a hálózati vagy programfejlesztési újdonságokról stb. Minél többet tudsz, annál jobbá válsz.

Ti, akik a szabályzatok mögé rejtőztök:  szert tennétek némi műszaki ismeretre is? Még ha menedzser is vagy - én is többször voltam, és most is az vagyok - tudnod kell némi Kung-Fu-t, hogy elnyerd a műszaki emberek tiszteletét. Ha büszke vagy rá, hogy benyaltad Charles Cresson Wood "Információbiztonsági Szabályzatok Egyszerűen" című művét, jobb lennél könyvelőnek. Szét kell tudnod kapni egy csomagfejlécet és tudnod kell hardcore szkripteket írni? Nem. De nem is leszel több egyszerű papírtologatónál. A nem-technikai szakértők élettartamát 2-3 évre becsülöm, vagy még kevesebbre. 

Szokd meg, hogy emberek előtt írsz és beszélsz. Még ha ezek a képességek nem is illenek hozzád jelenleg, ez meg fog változni - és minél jobb vagy bennük, annál tovább fogsz jutni a karrierben. Valójában a legtöbb felvételről és előléptetésről szóló döntés alapja a személyiség és az emberekhez való hozzáállás, nem a műszaki ismeretek. Az emberek szemébe nézel, mikor azok beszélnek hozzád? El tudsz magyarázni egy biztonsági projekttervet üzleti nyelven, és felvázloni az előnyöket az egységvezetők számára, hogy azok tudják, miért költik a pénzt a) a projektre b) a te fizetésedre?

Néha kapcsold ki a számítógépedet! Tényleg! Nem, komolyan gondolom. Menj ki a levegőre! Fuss, mássz, sétálj! Töltsd az idődet a gyerekekkel és a családdal. Amikor visszamész a géphez, az összes idióta biztonsági próbléma ami arra vár hogy rádmásszon, mint Linus takarója, még mindig ott lesz. Megígérem. De frissebbnek érzed majd magad, és a tested meg fogja köszönni mindezt.