معرفی زمینۀ شغلی امنیت اطلاعات | از سیر تا پیاز + مصاحبه با متخصص کاربلد این حوزه

چگونه متخصص امنیت شویم؟

در سال ۲۰۱۶، تاکسی اینترنتی اوبر (Uber) اعلام کرد اطلاعات ۵۷ میلیون از کاربران این شرکت توسط هکرها دزدیده شده است. Under Armour هم در سال ۲۰۱۸ اعلام کرد اپلیکیشن مخصوص این شرکت، “My Fitness Pal”، توسط هکرها هک شده و ۱۵۰ میلیون کاربر این شرکت تحت تاثیر این مسئله بودند. تمام این آمارها نشون میده که در جهان پیش روی ما یکی از چالش‌های جدی، امنیت اطلاعات و تهدیدات سایبری خواهند بود؛ چالشی که برای مقابله‌ی با آن شرکت‌های بزرگ حاضر به پرداخت هزینه‌های هنگفت هستند.

به همین دلیل، متخصص امنیت اطلاعات درآینده میتونه یکی از مهمترین مشاغل مورد نیاز شرکت ها باشه.

در این مقاله در مصاحبه با یک متخصص امنیت اطلاعات خواهیم فهمید که:

  امنیت اطلاعات چیست و چه کاربردهایی داره.

  مباحث امنیت اطلاعات چیا هستن.

  چگونه متخصص امنیت شویم.

  توانایی‌های لازم برای تبدیل شدن به یک متخصص امنیت اطلاعات رو از کجا بدست بیاریم.

  و همه چیز درباره‌ امنیت اطلاعات

پس با ما همراه باشید:

سلام لطفا خودتون رو معرفی کنین؟

سلام من مرتضی حسین آبادی هستم، فوق لیسانس مهندسی کامپیوتر از دانشگاه شهید بهشتی. مقطع لیسانس رو در رشته مهندسی کامپیوتر دانشگاه امیرکبیر گذروندم. لیسانس و فوق لیسانس در گرایش سخت افزار تحصیل کردم.

به دلیل بازار کار محدود سخت افزار در ایران، تصمیم گرفتم وارد حوزه‌ امنیت اطلاعات بشم. این تصمیم رو در مشورت با دوستانی که در این حوزه فعال بودند، گرفتم. حوزه امنیت اطلاعات نیاز به دانش قوی داره و دوره‌های لازمه رو باید بگذرونیم و من تاجایی که تونستم این کار رو کردم.

متخصص امنیت اطلاعات

دوران سربازی رو به صورت امریه در سازمانی به عنوان متخصص امنیت سایبری گذروندم. بعد از پایان سربازی، وارد شرکت پرداخت الکترونیک پارسیان که در خصوص درگاه پرداخت اینترنتی، پایانه‌های فروش و کلا خدمات پرداخت بانکی فعالیت می‌کرد، شدم.

ما تیم امنیت سایبری این شرکت رو شکل دادیم و الزامات بالادستی در بحث امنیت رو در شرکت سر و سامان دادیم. اتفاقات خیلی مثبتی توی مجموعه افتاد و اقدامات لازم برای پیشگیری از حملات هکرها انجام گرفت.

در این شرکت، بعد از ۳ ماه حضور، تونستم مسئول یکی از واحدهای امنیت شرکت بشم. این موضوع در اولین تجربه‌ی جدی کاری، برای من خیلی جذاب بود.

من با رعایت تمام جوانب همیشه دنبال موقعیت‌های شغلی بهتر هستم؛ هم از لحاظ فنی و هم از لحاظ مالی. با تمام وجود پروژه‌های سیستم رو انجام میدم ولی وقتی احساس کنم که مسئولیت‌ام تموم شده، سعی می‌کنم به گزینه‌های کاری بهتر فکر کنم.

در موقعیت بعدی کاری، به عنوان مسئول بخش امنیت، وارد شرکتی وابسته به به ایران خودرو شدم. این شرکت کارهای IT و امنیت زیرساخت فناوری اطلاعات ایران خودرو را برعهده داشت. کار جدید هم برای من خیلی جذابیت داشت، هم در بخش امنیت سایبری ایران خودرو اتفاقات خوبی افتاد. در این مجموعه حدود ۳۰ پروژه‌ی امنیتی تعریف شده بود که با موفقیت انجام پذیرفت.

بعد از این شرکت‌ها با مجموعه‌ی سازمان بورس آشنا شدم که یک نفر در حوزه‌ی امنیت نیاز داشتن. وارد مراحل مصاحبه شدم و در آخر هم جذب این سازمان شدم.

مجموعه‌ی سازمان بورس و اوراق بهادار یک نهاد نظارتی است و با توجه به وجود بخش مهمی برای نظارت بر امنیت کل زیرساخت‌های سایبری بازار سرمایه، اقدامات و فعالیت‌های سطح بالایی در حوزه امنیت سایبری در اون اتفاق می‌افته. در این سازمان، از قبل تیم بسیار قوی امنیتی شکل گرفته بود. در این چندسال، تجربه‌ی کاری خوبی به دست آوردم. امیدوارم که تا جایی که امکان داره، بتونم تجربیات‌ام در این حوزه رو به شما منتقل کنم. 

برای ما در مورد امنیت اطلاعات بگو. می‌خوایم بدونیم چجوری با امنیت اطلاعات آشنا شدی و کارت از کجا شروع شد.

امنیت سایبری

معمولا بچه‌های کامپیوتر و IT از گرایش‌های این رشته باخبرند. امنیت در دانشگاه یکی از گرایش‌های سخت این رشته‌ها محسوب می‌شد. تا وقتی که دانشگاه بودم اطلاعی از بازار کار این گرایش نداشتم.

بعداز کارشناسی، در مشورت با دوستانی که در حوزه امنیت کار می‌کردن، حیطه‌های کاری این حوزه رو متوجه شدم. حس علاقه‌مندی خوبی به امنیت سایبری پیدا کردم و علیرغم اینکه رشته‌ام سخت افزار بود، تصمیم به دنبال کردن بحث امنیت گرفتم.

نقشه راهی که برای رسیدن به بازار کار ایران در امنیت اطلاعات بود رو پیدا کردم. یکسری دوره‌ها رو گذروندم و هرچی جلوتر می‌رفتم، چه در یادگیری و چه در کار، علاقه‌ام به امنیت بیشتر می‌شد.

شما در این حوزه تقریبا نقش پلیس رو بازی می کنید.

شما ابتدا باید ایده‌های یک هکر رو داشته باشید. بدونید که چجوری میشه وارد یک سیستم شد و چه کارهای مخربی میتونه انجام بده. حالا وظیفه‌ی شما اینه که راه نفوذ هکرها رو ببندید.

این مسئله باعث شده، حوزه‌ی امنیت اطلاعات یکی از حوزه‌های کاری هیجان انگیز و لذت بخش باشه.

خیلی‌ها شاید اسم امنیت اطلاعات و یا هک رو شنیده باشن. میشه به زبان ساده به ما توضیح بدی که «امنیت اطلاعات چیست». 

امنیت اطلاعات سه ضلع اصلی داره:

  محرمانگی

  یکپارچگی 

  دسترس پذیری
اقداماتی که برای امنیت اطلاعات انجام میشه عملا مجموعه اقداماتی هستند که برای حفاظت از اطلاعات مهم و حیاتی به کار گرفته می‌شوند.
حفاظت از اطلاعات شامل اقدامات متعددی میشه، از جمله این اقدامات میشه به راهکارهای جلوگیری از دسترسی غیر مجاز، جلوگیری از افشاء اطلاعات مهم، دستکاری اطلاعات، حذف یا تخریب اطلاعات، شنود اطلاعات، ضبط اطلاعات و اقداماتی از این جمله اشاره کرد.

شغل امنیت اطلاعات

برای رسیدن به هدف امن شدن اطلاعات، لازمه که ابزارها، فرایندها و زیرساخت‌هایی تهیه و به کار گرفته بشه و افراد متخصص امنیت اطلاعات با استفاده از امکانات ایجاد شده، برای امنیت و حفاظت از اطلاعات اقداماتی رو انجام بدن.

امنیت اطلاعات تقریبا یک مقوله‌ی نوپایی هست.

در خیلی از مجموعه‌های مبتنی بر IT ایران، امنیت اطلاعات زیاد شناخته شده نیست. البته منظورم از نوپا اینه که ۷-۸ سال بیشتر از عمرشون نمی‌گذره و تکنولوژی در ۷-۸ سال مسئله‌ی نوپایی به حساب میاد.

تا همه‌گیر شدن امنیت سایبری و پی بردن سازمان‌ها به اهمیت این مسئله زمان میبره ولی مجموعه‌های بانکی و نهادهای مالی با توجه به اینکه دیتاهای حساس‌تری دارند زودتر به سمت این مسائل میروند.

امنیت اطلاعات شامل چه مواردی میشه؟ انواع امنیت سایبری رو برای ما توضیح بدین.

شغل امنیت اطلاعات

در بحث امنیت، در هر حوزه‌ای که گرایش‌های کامپیوتری وجود داره، در همون حوزه هم بحث امنیت هست.

 ما در بحث سخت افزار، امنیت سخت‌افزار، در بحث نرم افزار، امنیت نرم‌افزار، در بحث شبکه، امنیت شبکه و دربحث‌های فرآیندی IT، امنیت فرآیندی داریم.

در حال حاضر که در سازمان بورس کار می‌کنم، با بحث امنیت شبکه و امنیت نرم‌افزار درگیر هستم. سعی می‌کنم در هر یک از این حوزه‌ها، توضیح کاملی در اختیارتون بذارم.

در بحث امنیت شبکه، اول باید کمی درباره‌ی شبکه بدونیم.

شما یک زیرساخت مبتنی بر فناوری اطلاعات رو ایجاد می‌کنید که افراد از جایی به اسم سرورها سرویس بگیرند. مثلا یک سایت داره به شما سرویس میده و عده‌ای هم از کامپیوترهای مختلف به سایت متصل میشن. برای اینکه این ارتباط برقرار بشه، باید تیم‌هایی تحت عنوان تیم‌های شبکه، این موضوع رو فراهم کنند. بحث هایی مثل سخت افزار و نرم افزار و راه های ارتباطی، این ارتباط رو برقرار می‌کنند و به شما سرویس می‌دهند.

حالا متخصص امنیت شبکه چیکار میکنه؟

متخصص امنیت شبکهدر شبکه تجهیزاتی مثل سوئیچ، مسیریاب، router و …. برای برقراری ارتباط استفاده می‌شوند.

متخصص امنیت شبکه، با استفاده از راهکارهایی سعی می‌کنه امنیت شبکه‌ای که ایجاد شده رو برقرار کنه و با روش‌های مختلف، مشکلات امنیتی شبکه رو مرتفع میکنه.

مثلا تجهیزات اضافه‌ای رو در نظر می‌گیره یا از تجهیزات پیشگیری از نفوذ استفاده میکنه.

معمولا متخصص امنیت شبکه از این به بعد نگاه میکنه که تیم شبکه چه دسترسی‌هایی روی سرور برای همه باز کردند و فرض‌ بر این هست که این دسترسی‌ها برای هکر هم باز هست. تا اونجایی که ممکنه دسترسی‌ها رو به حداقل می‌رسونه یعنی شبکه سرویس لازم رو به مخاطب میده ولی چیزهایی که لازم نیست رو می‌بنده، چون هکرها معمولا از دسترسی‌های اضافه‌تر باز به سیستم نفوذ می‌کنند.

یکی دیگه از حوزه‌های کاری در امنیت، کار در مرکز عملیات امنیت و مراکز رسیدگی به رخداد هست.

متخصص امنیت شبکه

در ایران هم در برخی از سازمان‌ها و شرکت‌ها این مرکز راه افتاده و به اسم (SOC:security operations center) شناخته میشه. در خیلی از شرکت‌ها و سازمان‌ها یک تیم به این نام ایجاد میشه. این تیم وظیفه داره که کل رویدادهای امنیتی در سازمان رو جمع بکنه.

 این سیستم بر اساس هوشمندی خاصی که داره، یکسری تحلیل‌ها رو روی این رخدادها انجام میده و از روی این تحلیل‌ها ممکنه مشکلات جدیدی رو شناسایی بکنه که تا حالا دیده نشده.در تیم SOC یک گروه، مانیتورینگ رو انجام میدن. در مرحله‌ی بعدی اگر گروه اول مشکلی به نظرشون بیاد به گروه دوم کار رو می‌سپرند تا تحلیل امنیتی اولیه انجام بگیره و اگر این گروه نتونه مشکل رو مرتفع بکنه به دست تیم سوم می‌رسونه که تیم امنیتی پیشرفته هستن. این گروه روی مشکل کار می‌کنند تا بتونن اون رو برطرف کنند.

بحث امنیت نرم افزار، خودش شامل چند شاخه میشه.

در امنیت نرم افزار بحثی تحت عنوان کدنویسی امن هست. تیم‌های نرم افزاری در شرکت‌ها و سازمان‌ها وجود دارند که یکسری نرم افزارها و اپلیکیشن‌ها رو توسعه میدن و ارائه می‌کنن. کدنویسی امن یعنی اینکه فرآیند توسعه نرم‌افزار یا اپلیکیشن امن باشه، که این مسئله رو متخصص امنیت نرم افزار ایجاد می‌کنه.

یکی از راهکارها این هست که وقتی شما دارید یک نرم‌افزار رو توسعه میدید، به ازای هر ماژولی که می‌نویسید یا به ازای هر تغییری که نسبت به نسخه‌ی قبلی اعمال می‌کنید، باید یک تست امنیتی روی نرم افزار انجام بدید. با این کار در نهایت، محصولی که تولید میشه چندین بار در چندین مرحله تست امنیتی شده و نرم افزار امنی از کار درمیاد.

این یکی از حوزه های امنیت نرم افزار هست

یکی دیگه از ابعاد امنیت نرم‌افزار تست نفوذ پذیری (Penetration test) هست. این بحثی هست که من خیلی بهش علاقه‌مندم و در ایران پروژه‌های زیادی در این حوزه داره انجام میشه. کار به این صورت هست که شما یک سیستم رو به طور قانون‌مند هک می‌کنید.

امنیت سایبری

 مثلا یک شرکت خاص در یک زمان مشخص به تیمی که باهاشون قرارداد بسته اجازه میده که به سامانه‌ی شرکت نفوذ کنید و راه‌های نفوذ رو شناسایی کنند. بعد تیم نفوذ، راه‌های نفوذ به سیستم رو به شرکت اعلام می‌کنه و راه‌های بستنش رو هم مشخص می‌کنه.

در تست نفوذ ۳ حالت وجود داره:

  Black box: در این حالت به شما هیچ username و password داده نمیشه و فقط به شما سایت رو نشون میدن و به شما اجازه‌ی نفوذ به سیستم رو میدن.

  Grey box: یکسری اطلاعات محدود رو در اختیارتون قرار میدن و به شما اجازه میدن که به سیستم نفوذ کنید.

  White box: در این حالت به شما خود سایت و کل اطلاعات سایت رو میدن و عملا شما رو در این سیستم وارد می‌کنن و با این فرض باید راه‌های نفوذ رو شناسایی کنید.

بعد دیگه‌ی امنیت نرم‌افزار، hardening یا امن سازی هست. به طور مثال یک سیستم عامل قابلیت‌هایی داره که خیلی از اون‌ها قابل فعال و غیر فعال کردن هستن.

 این مسائل رو تیم امن سازی به شما اعلام می‌کنن که شما کدوم قابلیت‌ها رو در سیستم‌تون غیر فعال کنید که سیستم‌تون امن‌تر بشه یا یکسری دسترسی‌ها که روی سیستم شما به صورت پیش فرض باز هست رو ببندید تا سیستم‌تون امن‌تر بشه بدون اینکه کارایی سیستم شما پایین بیاد.

یکی دیگه از ابعاد امنیت سایبری، امنیت فرآیندی هست. 

به طور مثال ما یک گواهی به اسم (ISMS: Information security management system) داریم. بر این اساس سعی می‌کنیم یکسری فرآیندها رو در داخل یک سازمان امن می‌کنیم. معمولا این کار یک تیم ارزیابی کننده و یک تیم اقدام کننده داره.

تیم ارزیابی کننده کل دارایی‌های سازمان رو لیست می‌کنه، بعد یکسری فعالیت‌های امنیتی رو به شما معرفی می‌کنه که اگر این فرآیندها رو در سازمان خودتون جاری بکنید سازمان شما امن‌تر میشه. 

 آیا در ایران شغلی به اسم متخصص امنیت اطلاعات به معنای اینکه شرکت ها به دنبال متخصص این حوزه باشند، جا افتاده؟

امنیت سایبری

 

در نهاد‌های مالی، پولی و بازار سرمایه عملا مسئله‌ی امنیت اطلاعات جا افتاده. مراکز نظامی و اطلاعاتی هم با توجه به امنیت و بحرانی بودنشون، توجه بالایی به امنیت اطلاعات دارند. اما نهادهای زیادی هستند که نسبت به امنیت اطلاعات غافل‌اند. اگر برای این نهادها در این حوزه اتفاق بدی بیوفته، اون لحظه دیگه نمیشه کاری کرد.

مسئله‌ی اصلی در امنیت اطلاعات پیشگیری هست. وقتی که اطلاعات درز پیدا کرد، دیگه هرکاری که انجام بگیره اطلاعات به دست افراد دیگه افتاده و کار خاصی نمیشه انجام داد.

بحث امنیت اطلاعات هنوز در ایران نوپاست و لازمه که خیلی از سازمان‌ها به سمت امن سازی سیستم‌هاشون حرکت کنند.

از طرفی، نگاه به امنیت سایبری هم باید اصلاح بشه. خیلی از افراد وسازمان‌ها تصور می‌کنند که امنیت، یک مانع جدی در راه توسعه‌ست. در نگاه درست، شما باید امنیت رو بخشی از توسعه ببینید. شما وقتی که سیستم امنی تولید می‌کنید، امکان خسارت دیدن شما بخاطر مسائل امنیتی به حداقل می‌رسه.

مثلا وقتی دو شرکت رقیب در بازار کار می‌کنند، اگر سیستم یکی از این شرکت‌ها هک بشه، شاید مشتریان به شرکت رقیب روی بیارند و شرکت آسیب جدی ببینه. در ایران و خیلی از کشورهای دیگه این نگاه غلط وجود داره.

ولی در همین شرایط ایران و با همین معدود شرکت‌ها و سازمان‌هایی که به مسئله امنیت اطلاعات و امنیت سایبری اهمیت می‌دهند، در سازمان‌ها با بحث کمبود نیرو در این حوزه مواجه هستند.

به همین دلیل، اگر کسی سراغ امنیت سایبری بیاد و با گذروندن دوره‌های آموزشی در حوزه امنیت متخصص بشه، مطمئن باشید که هیچ وقت بیکار نمی‌مونه.  این قضیه خاص ایران نیست بلکه برای کل دنیا هست.

درآینده نزدیک سازمان‌ها و شرکت‌ها به تعداد زیادی متخصص امنیت اطلاعات احتیاج دارند که در حال حاضر وجود نداره.

کسایی که رشته‌ی خاصی رو خوندن می‌تونن برن سمت آموزش امنیت اطلاعات یا یادگیری امنیت اطلاعات ربطی به رشته نداره؟ آیا گرفتن مدرک علمی بالاتر توی امنیت امتیاز محسوب میشه؟

چگونه متخصص امنیت شویم

کسی که کامپیوتر خونده باشه مسلما مسیر راحت‌تری برای فهمیدن مطالب امنیت سایبری خواهد داشت. ولی افراد زیادی هستند که بدون مدرک دانشگاهی کامپیوتر در حوزه‌ی امنیت اطلاعات کار می‌کنند.

 اگرکسی زبان انگلیسی رو در سطح متوسطی متوجه بشه و پشتکار خوبی داشته باشه، میتونه در امنیت اطلاعات موفق باشه. البته این افراد پیشنیازهایی احتیاج دارند. مثلا اگر شما تصمیم دارید که در امنیت شبکه موفق باشید، باید از شبکه هم اطلاعات داشته باشید. کسی که میخواد تست نفوذ انجام بده یا امنیت نرم افزار رو برقرار کنه باید به یک زبان برنامه نویسی تا حد زیادی آشنا باشه بعد به سمت امن سازی نرم افزار بیاد.

مسلما این راه شدنی‌ست. این راه برای کسی که رشته‌اش کامپیوتر هست، شاید سریعتر قابل دستیابی باشه و برای کسی که این رشته رو نخونده، زمان بیشتری ببره، همین. 

من رشته‌ی خودم سخت‌افزار بود. ما گرایشی داریم به اسم امنیت که جدیدا اسمش به رایانش امن تغییر کرده. این گرایش مرتبط با بحث امنیت و یکی از گرایش‌های رشته‌ی IT هست و اصلا گرایش من این نبود. من خیلی از درس‌های این حوزه رو نخونده بودم، اما وقتی با دوستانی که در اون رشته درس خوندن صحبت کردم، گفتن که بحث‌ها خیلی به صورت تئوری و عمیق بررسی میشه و در صنعت و بازار کار مسئله به این صورت نیست.

شما اگر چند دوره در حوزه‌ی امنیت، بیرون دانشگاه بگذرونید خیلی راحت‌تر در بازار کار می‌تونید کار پیدا کنید تا اینکه در دانشگاه این گرایش رو خونده باشید. اگر در دانشگاه این گرایش رو هم بخونید، باید این دوره‌ها رو بگذرونید تا بتونید وارد بازار کار بشید.

 ولی اون کسی که این رشته رو خونده قاعدتا نگاه تخصصی‌تری در این حوزه داره اما به نظرم شرط لازم نیست.

اصل داستان اینجاست که درآمد متخصص امنیت اطلاعات در ایران حدودا چقدره؟

درآمد متخصص امنیت اطلاعات در ایران

 

اگر در چارت سازمانی، واحد امنیت اطلاعات درست قرار گرفته باشه، این واحد مستقیما زیر نظر مدیرعامل و رئیس شرکت یا سازمان کار می‌کنه.

خیلی‌ها فکر می‌کنن این واحد زیرمجموعه‌ی واحد IT باشه ولی اینجوری نیست. واحد امنیت اطلاعات یک واحد نظارتی هست و بر واحد IT نظارت می‌کنه؛ بنابراین باید سطح اختیارات بالایی داشته باشه که بتونه به واحدهای مختلف خطاهایی که دارن رو گوشزد کنه. به همین دلیل معمولا مسئولین امنیت اطلاعات در سازمان‌ها جایگاه بالایی دارند.

از لحاظ بحث حقوقی و درآمدی، هم در ایران و هم توی کل دنیا، کسانی که تخصص خوبی در حوزه‌ی امنیت دارند، درآمد خیلی بالایی دارند. سازمان نظام صنفی رایانه ای، سازمانی هست که در حوزه‌ی IT خدمت‌های مختلف رو قیمت‌گذاری می‌کنه. این سازمان مشاوره امنیتی که افراد به شرکت‌ها میدن رو ساعتی ۳۰۰ هزار تومان قیمت‌گذاری کرده.

 در بحث تست نفوذ، اصلا قیمت‌گذاری انجام نشده و به صورت توافقی قیمت‌گذاری انجام می‌گیره و می‌تونه سطح خیلی بالایی داشته باشه.

توی حوزه امنیت اطلاعات باید حتما برای جایی کار کنیم یا می‌تونیم به صورت آزاد و فریلنسر هم کار کنیم یا اینکه برای خودمون شرکت امنیتی بزنیم؟

متخصص امنیت اطلاعات

در ایران دو بعد کار جاافتاده:

  •  کار برای یک سازمان
  • کار کردن به صورت مشاور

در بیشتر اوقات لازم نیست شما برای جایی کار بکنید. می‌تونید هم‌زمان به چند شرکت سرویس بدید و ساعات خالی زیادی داشته باشید و درامد خوبی هم کسب کنید. ما در حوزه امنیت اطلاعات شرکت‌های خصوصی هم داریم.

این شرکت‌ها برای اینکه بتونن با سازمان‌ها کار کنند اول باید مجوزهای مربوطه رو از افتا دریافت کنن. افتا، نهادی هست که  مجوزهای حوزه‌های مختلف امنیت رو صادر می‌کنه. البته این مجوزها بیشتر برای کار با سازمان‌هاست و در بخش خصوصی شرکت‌ها می‌تونن با هر تیمی که خواستن کار کنن؛ چه مجوز داشته باشن یا نداشته باشن.

جایزه برای باگ

یکی از بحث‌های جالب در امنیت نرم‌افزار «جایزه برای باگ» یا Bug bounty program هست. باگ حفره‌ای هستش که در سامانه وجود داره و هکر از این حفره برای نفوذ استفاده می‌کنه.

در ایام مختلف سال شرکت‌ها سیستم خودشون رو به مدت محدود در اختیار تیم برگزار کننده bug bounty و شرکت‌کننده‌ها قرار می‌دهند و تعیین می‌کنند به ازای هر باگی که در سیستم پیدا کردن،  یک مقدار مشخصی پول پرداخت می‌کنند.

چرا امنیت اطلاعات

در دنیا، کار خیلی‌ها فقط شرکت در این سری مسابقات‌ها شده. در ایران هم بعضی شرکت‌ها دارن به این سمت میرن و سازمان‌ها رو قانع می‌کنن که تست نفوذ رو به این صورت انجام بدن.

باز علیرغم تحریم‌هایی که وجود داره، هنوز ایرانی‌ها می‌تونن در مسابقات خارجی به نحوی شرکت کنن و از جوایزش بهره‌مند بشن.

گروهی به نام کلاه سفید در حال حاضر دارن چنین کاری می‌کنن و با سازمان‌ها مذاکره می‌کنن که سایت‌شون رو در اختیار اون‌ها قرار بدن و در صورت پیدا کردن باگ با توجه به اهمیت اون به افراد پول پرداخت کنن. ولی مبالغ در ایران خیلی پایین‌تر از مبالغی هست که در خارج از کشور پرداخت میشه و هنوز در ایران این موضوع نوپاست. 

چه آینده‌ی شغلی رو برای امنیت سایبری در ایران و جهان متصور هستی؟

قبلا می‌گفتن هر شرکتی که تاسیس میشه یک حسابدار احتیاج داره. امکان نداشت شرکتی رو ببینیم که حسابدار نداشته باشه؛ حالا یا به صورت پاره وقت یا تمام وقت. 

بعدها که شرکت‌ها  IT محور شد و شرکت‌ها در حوزه‌ی IT هم وارد شدن، امکان نداشت در شرکت یک واحد انفورماتیک وجود نداشته باشه. هر چقدر که استفاده شرکت‌ها از سامانه‌های IT و سرویس دهی مبتنی بر خدمات فناوری اطلاعات بیشتر میشه نیاز به بحث امنیت هم بیشتر احساس میشه. 

در کل در سازمان‌ها خدمات حضوری و دستی به طور کامل داره جاش رو به خدمات مبتنی بر IT میده. هرچه این نوع خدمات هم بیشتر بشه باید پایداری و امنیت این خدمات بیشتر برقرار بشه بنابراین به تیم‌های امنیتی بیشتری احتیاج خواهد بود.

این یعنی در آینده نزدیک، در خیلی از شرکت‌ها و سازمان‌ها، امنیت به یکی از نیازهای اصلی برای توسعه تبدیل خواهد شد.

امکان نداره کسی اپلیکیشنی بنویسه و تیم امنیتی رو کنار خودش نبینه.

ما هر قدری که در دنیای حاضر به جلو حرکت می‌کنیم، نیاز به متخصص امنیت رو بیشتر احساس می‌کنیم، در حالی که متخصص مورد نظر وجود نداره. من این اطمینان رو میدم که اگر کسی تخصص امنیت داشته باشه هیچ وقت بیکار نمی‌مونه.

ما می‌دونیم که هرکاری سختی‌های خودش رو داره، سختی‌هایی که خودت توی دوره یادگیری امنیت و کار دراین حوزه کشیدی یا دیدی که دوستانت ازش رنج میبرن، چیا بوده؟

 من اسمش رو مشکلات نمیذارم، اسمش رو بیشتر تلاش میذارم. راهش راه خیلی سختی نیست. واقعا این هست که یک مسیر مشخص یا Road Map برای تبدیل شدن به متخصص امنیت وجود داره.

این مسیرها برای حوزه‌های مختلف راه‌های متفاوتی هم هست. اگر شما این مسیر رو مرحله به مرحله پیش ببرید و پشتکار داشته باشید حدودا ظرف یک سال به یک نیروی خوب در این حوزه تبدیل می‌شوید.

حالا از سختی‌هاش گفتی، اما شغل امنیت اطلاعات خیلی جذاب هم می‌تونه باشه، معمولا کسایی که امنیت سایبری کار می‌کنن چه چیز هیجان انگیزی به دست میارن؟

چگونه متخصص امنیت شویم

یک بعد پررنگ قضیه‌ی امنیت اون حس کنجکاوی هستش که مخصوصا توی تست نفوذ اقناع میشه.

بحث بعدی قسمت اخلاقی و وجدانی کار هست. وقتی شما یک سیستم رو امن می‌کنی، یه حس خوب داری که تونستی خطری رو برطرف بکنی.

از طرفی یک فضای چالشی هم داره و در یک سازمان شما با واحدهای مختلف سازمان چالش‌های متفاوتی خواهید داشت که این هم برای خیلی‌ها می‌تونه جذاب باشه.

حالا من دوره‌های آموزشی امنیت اطلاعات رو دیدم و تبدیل به متخصص امنیت اطلاعات بدون سابقه شغلی شدم، چجوری می‌تونم شغل پیدا کنم؟

یکی از جذابیت‌های این گرایش همینه که مثلا اگر شما در آموزشگاه‌ها آموزش ببینید ممکنه حتی در حین آموزش بهتون کار معرفی بشه.

یکی دیگه از راه‌ها اینه که واقعا خیلی از شرکت‌ها و سازمان‌ها در طول سال استخدامی امنیت دارن. مثلا سازمان بورس که الان خودم در این سازمان مشغول هستم، الان استخدام امنیت داره و این قضیه در آینده بیشتر هم میشه.

به نظرم کسی که توی این گرایش متخصص باشه، فکر نکنم بیش از ۳ ماه لازم باشه دنبال کار بگرده. معمولا توی هر فصل چندین موقعیت کاری خوب در بحث امنیت هست.

یکی از راه‌های دیگه اینه که برای شرکت‌هایی که در حوزه‌ی IT کار می‌کنن، رزومه‌تون رو بفرستین. احتمال داره متخصص در این حوزه احتیاج داشته باشن، بدون اینکه آگهی زده باشن.

متخصص امنیت شبکه

یکی از راه‌های جذاب دیگه برای پیدا کردن موقعیت کار Linkedin هست. به نظرم داشتن اکانت لینکدین یکی از ضروریات کسی هست که در IT کار می‌کنه. سعی کنید در شبکه‌های اجتماعی معتبر حضور فعال داشته باشید. توی لینکدین شما می‌تونید ارتباط خوبی با متخصصین در هر حوزه‌ای داشته باشید. هم از علم روز باخبر بشین و هم از آگهی استخدام شرکت‌ها باخبر بشین.

من خودم آگهی استخدام سازمان بورس رو در لینکدین دیدم و بعد از اون تونستم به سازمان جذب بشم. تعداد زیادی هم آگهی استخدام بوده که توی لینکدین دیدم. این موقعیت خوبی هست که ازش استفاده کنین و جذب بشین.

سایت های کاریابی هم توی ایران کم نیستن، توی اونها هم میشه کارهای خوبی رو پیدا کنیم.

در کل در حوزه‌ی امنیت کار پیدا کردن خیلی سخت نیست.

چه نکاتی رو توی مصاحبه‌ی اولیه در حوزه‌ی امنیت سایبری باید رعایت کنیم؟

شغل امنیت اطلاعات

در رزومه خیلی مهمه که توانایی‌هاتون رو به طور کامل بنویسید و اگر تسلط دارید، بنویسید که مسلط هستین و اگر آشنایی اولیه هم دارید، قید کنید که آشنایی با فلان چیز رو هم دارید.

نکته‌ی مهمتر اینه که اگر برای مصاحبه‌ی حضوری دعوت شدید، حتما اون مطالبی رو که بلدید رو یکبار دوره کنید؛ چون ممکنه به طور تخصصی ازتون بپرسن. بهتره که روی مسائلی که نوشتید مسلط هستین، کاملا مسلط باشید.

این رو قید کنید که زبان‌تون در چه حدی هست. اگر روحیه‌ی یادگیری رو دارین توی توانمندی‌هاتون بنویسید که توانایی یادگیری چیزهای جدید رو هم دارید. این می‌تونه نکته‌ی مثبت شما تلقی بشه و مسئله‌ی مهمی هم هست.

یک نکته‌ی دیگه اینه که در امنیت فرم و ساختار گزارشی که قراره بابت تستی که انجام دادین، تحویل بدین خیلی مهمه. برای همین خیلی وقتا قالب رزومه‌ای که برای کارفرما می‌فرستین هم خیلی مهم میشه. پس به این موضوع هم دقت کنید.

در کل نکات عمومی که باید در مصاحبه شغلی رعایت کنید، هم خیلی مهمه.

[مطلب مرتبط: مصاحبه کاری موفق]

 ممکنه شما فرد توانمندی باشی و این مسائل رو در مصاحبه رعایت نکنی و رد بشی. از طرفی، کسی که توانمندی پایین‌تری داره در مصاحبه نکات رو رعایت کنه و بتونه استخدام بشه.

پس حتما این نکات رو رعایت کنید.

سعی کنید که قبل از مصاحبه با کارهایی که شرکت انجام میده و حوزه‌ی کاریش آشنا بشین. این می‌تونه راهنمای خوبی باشه برای اینکه بدونید این شرکت تا حدودی از شما چه چیزهایی می‌خواد.

سابقه‌ی کاری چقدر توی حوزه‌ی امنیت اطلاعات مهمه؟ قبل از اینکه جایی سر کار بریم می‌تونیم نمونه کار ارائه بدیم؟

نمیگم که سابقه‌ی کاری مهم نیست، ولی خیلی جاها آدم باسابقه نمی‌خوان. مخصوصا توی قسمت SOC و کارهای شیفتی و نظارتی، اکثرا از افراد با سابقه‌ی کم استفاده میشه.

اگر سابقه کار هم نداشته باشید ولی مسلط باشید، این مسئله در مصاحبه‌ی اولیه قابل اثبات هست.

امنیت سایبری

البته بعضی شرکت‌ها هم هستند که الزام دارن به اینکه تعداد سال معینی سابقه کار داشته باشید؛ که این شرکت‌ها مورد بحث من نیست.

توی همه‌ی گرایش های امنیت قابلیت این وجود نداره که قبل از استخدام در جایی، بتونیم نمونه کار داشته باشیم.

توی بحث امنیت نرم افزار در دوبعد این قابل اعمال هست.

  • یکی اگر شما برنامه‌ای رو با رعایت اصول امن نویسی نوشته باشید، این می‌تونه نمونه کار شما باشه.
  • بخش دوم هم توی بحث تست نفوذ هست.

در تست نفوذ سایت‌هایی مثل Zone-h.org هستن که در دنیا پذیرفته شده است.

افرادی که به سایتی نفوذ می‌کنن، در این سایت نفوذشون رو بر اساس تبادلات فنی اثبات می‌کنن. اگر این مسئله اثبات بشه، یک موقعیت در اون سایت برای فرد در نظر می‌گیرن.

هرچی سایت‌های بیشتری رو بهش نفوذ کنید، رتبه بالاتری در این سایت‌ها خواهید داشت. شما با داشتن رتبه در این سایت‌ها می‌تونید توانایی خودتون در تست نفوذ رو نشون بدین.

ولی من اینو توصیه نمی‌کنم، چون ممکنه این براتون از لحاظ امنیتی مشکل ایجاد کنه.

آیا به روز بودن توی این حوزه اهمیت داره؟ منبع‌هایی برای به روز بودن به ما معرفی می‌کنی؟

در بحث امنیت واقعا باید بروز باشید. این موضوع رو من جذابیت میبینم. شما باید هر چند وقت یکبار یا حتی هر روز مطالبی که در حوزه‌ی خودتون منتشر میشه رو بخونید. این کمک می‌کنه که اگر راه‌های جدیدی برای هک اومده متوجه بشین و بتونین جلوگیری کنین.

سایت‌های خبری متعددی برای امنیت سایبری در دنیا هست که مرجع خیلی‌ از متخصصین همین سایت‌ها هست.

 کسی که در حوزه‌ی امنیت کار می‌کنه، گوگل همیشه کنار دستش هست. چون وقتی که حمله‌ یا مشکل جدیدی رو در سیستم میبینه، بتونه با سرچ، راه‌های جلوگیری رو پیدا کنه. شما با سرچ کردن  cyber security news، در همون صفحه‌ی اول آپدیت‌ترین خبرها رو خواهید داشت.

ولی برای اینکه توانمندی‌هاتون رو بروز بکنید، موسسات معتبری در دنیا وجود دارند که دوره‌های مختلفی برگزار می‌کنن. میشه دنبال منابع این دوره‌ها رفت و اون‌ها رو مطالعه کرد.

هر شغلی روحیات مختلفی رو می‌طلبه، کار امنیت اطلاعات با چجور روحیه‌ای سازگاره؟

متخصص امنیت اطلاعات

 صبور بودن، روحیه‌ای هست که در امنیت سایبری واقعا لازمه. مخصوصا در تست امنیت نرم افزار، باید خیلی صبور باشید. بعضی وقتا ۳ روز تست می‌کنی و هیچ راه نفوذی پیدا نمی‌کنی ولی روز ۴ام شاید پیدا بکنی.

بعد دیگه‌ای که مخصوصا در بحث‌های عملیاتی خیلی پررنگ هست، توانایی کار در محیط‌های پراسترس و پرفشار هست. ممکنه شب به شما زنگ بزنند و اعلام کنند که سیستم هک شده. شما باید به سرعت برید و مشکل سیستم رو حل کنید. از این مسائل ممکنه پیش بیاد.

در این کار روحیه‌ی کنجکاوانه هم خیلی کمک می کنه؛ مخصوصا در پیدا کردن جاهای آسیب پذیر و نقاط ضعف می تونه خیلی موثر باشه.

یه نکته‌ی مهم که خیلی‌ها دوست دارن بدونن اینه که، چه توانایی‌هایی برای پول درآوردن در حوزه‌ی امنیت اطلاعات لازمه؟ و از کجا می‌تونیم به دستش بیاریم؟

برای آموزش مطالب زیادی در اینترنت به صورت آزاد هست و کسی که زبانش خوب باشه، راحت‌تر می‌تونه یادگیری امنیت اطلاعات رو خودش جلو ببره. اگر کسی هستید که چیزی در مورد شبکه و نرم افزار اطلاعات نداره، بهتره که اول براساس علاقه‌ای که دارید، اول در دوره‌های آموزش‌های اولیه شرکت کنید.

مثلا کسی که می‌خواد در حوزه‌ی امنیت شبکه فعالیت کنه اول باید با شبکه آشنا بشه. کسی که می‌خواد در حوزه‌ی امنیت نرم‌ افزار کار کنه باید تا حدودی با برنامه نویسی آشنا بشه. در مرحله‌ی بعد هم با دیتابیس آشنا بشه.

بعد از اینکه تا حدی فهمید اوضاع از چه قراره، می‌تونید سراغ امنیت برید. اگرکسی هستید که با این موضوعات آشنایی دارید، مستقیم می‌تونید سراغ امنیت برید.

اولین دوره‌ای که برای بحث امنیت معرفی می‌کنم، دوره ی +security هست. این دوره، دوره‌ا‌ی با طیف گسترده‌ از موضوعات به صورت سطحی هست. یعنی خیلی از موضوعات امنیت اطلاعات رو معرفی می‌کنه و اشاره می‌کنه، ولی عمیق نمیشه. اما برای کسی که می‌خواد بدونه در امنیت سایبری چه خبره، این دوره خیلی می‌تونه کمک‌کننده باشه.

بعد از اون یک دوره به اسم (CEH:Certified Ethical Hacker) هستش. این دوره، عملا دوره‌ی هکر قانونمند هستش. در این دوره ابزارهای مختلفی برای هک آموزش داده میشه تا حدی هم راه جلوگیری از هک رو هم اشاره می‌کنه. در این دوره باز هم رویکرد عمیق نیست و بیشتر مبتنی بر ابزار هستش.

معمولا کسی که بتونه یکسری تست‌ها رو به صورت دستی انجام بده و نه با ابزار، فرد توانمندتری در حوزه امنیت به حساب میاد.

 بعد از این، دوره‌ها بر اساس حوزه‌ی فعالیت، متفاوت می‌تونن باشن. به طور مثال برای بحث امنیت نرم افزاری دوره‌هایی تحت عنوان (PWK:Penetration Testing with Kali Linux) هست.

متخصص امنیت اطلاعات

 Kali، یکی از سیستم‌های پر استفاده در هک و تست نفوذ هست. در این سیستم عامل ابزارهای خوبی برای هک کردن وجود داره.

 موسسه‌ای به اسم SANS هست. این موسسه‌ی آمریکایی دوره‌های بسیار تخصصی در بحث امنیت سایبری برگزار می‌کنه.

اگر در گوگل SANS roadmap رو سرچ کنید، کاملا بهتون میگه که اگر در نقطه‌ی صفر هستید و می‌خواید تبدیل به متخصص حوزه‌ی دلخواه‌تون بشید باید چه دوره‌هایی رو بگذرونید. (البته در آخر این مقاله تمام نقشه راه‌های مفید رو با لینک به سایت‌هاشون براتون قرار دادیم)

شرکت‌های دیگه هم برای خودشون roadmap دارن ولی به نظر من مسیر SANS مسیر بهتریه. از شما زمان بیشتری می‌گیره ولی وقتی این دوره رو بگذرونید و مسلط بشید، فرد توانمندی در حوزه دلخواه خودتون می‌شید.

البته امکان استفاده از این دوره‌ها در خود SANS وجود نداره ولی منابع اون‌ها رو میشه از طریق اینترنت و بعضی متخصصین پیدا کرد. کسی که دنبال این موضوع هست می‌تونه منابع‌اش رو پیدا کنه.

در کل SANS حدود ۵۰ دوره داره، ولی شما لازم نیست همه رو بگذرونید.

Roadmap های دیگه‌ای هم وجود داره مربوط به شرکت‌هایی مثل EC-council که اون‌ها هم مسیرهای خوبی دارن. برای بحث توانمندی‌های فنی هم اون Roadmapها نیازهای اولیه رو شما رو برطرف می‌کنن.

خیلی جاها دوره‌های آموزشی هک و امنیت برگزار میکنن. به نظرت بهترین نرم افزارهایی که برای امنیت بلد باشیم چیا هستن؟

تا دلتون بخواد ابزار برای امنیت هست ولی به صورت کلی برای آشنایی اولیه میشه این موارد رو معرفی کرد:

  • سیستم عامل Kali linux: یکی از بهترین‌ سیستم عامل‌ها برای بحث امنیت هست و شاید بیشتر از ۱۰۰ تا ابزار تو خودش داشته باشه.
  • burp suite: این ابزاری هست که برای بحث امنیت نرم افزار خیلی به کار میاد.

ولی در کل تعداد زیادی ابزار داریم که میشه با اون‌ها در حوزه‌های مختلف کار امنیت سایبری رو انجام داد.

نقشه راه (Roadmap) امنیت اطلاعات رو خیلی خلاصه بهمون توضیح بده. اینکه امنیت را از کجا شروع کنیم و چه مسیری رو طی کنیم؟

شرکت‌های مختلف مسیرهای مختلفی برای یادگیری دارند. من دراینجا به شما معتبرترین Roadmapهایی که در حوزه‌ی امنیت اطلاعات استفاده می‌شوند رو معرفی می‌کنم:

  نقشه راه شرکت SANS:

SANS یکی از شرکت‌های بزرگ در حوزه‌ی امنیت اطلاعات هست که نقشه راه زیر رو به همراه دوره‌های مورد نیاز ارائه داده:

(با کلیک بر روی عکس می‌تونید وارد سایت شرکت SANS شده و همه‌ی دوره‌های نقشه راه زیر رو ببینید)

 

 

نقشه راه امنیت اطلاعات

  نقشه راه شرکت Comptia:

این شرکت در حوزه‌های مختلف کامپیوتری نقشه راه ارائه داده که یکی از این مسیرها مسیر یادگیری امنیت اطلاعات هستش.

(با کلیک بر روی عکس می‌تونید وارد سایت شرکت Comptia شده و همه‌ی دوره‌های نقشه راه زیر رو ببینید)

 

نقشه راه امنیت اطلاعات

مسیر آبی رنگ، مسیر یادگیری امنیت اطلاعات هست.

  نقشه راه شرکت EC-Council:

این شرکت هم نقشه راه خوبیبرای بحث‌های مختلف کامپیوتری دارد که یکی از اونها نقشه راه یادگیری امنیت اطلاعات هستش.

(با کلیک بر روی عکس می‌تونید وارد سایت شرکت EC-council شده و همه‌ی دوره‌های نقشه راه زیر رو ببینید)

نقشه راه امنیت اطلاعات

قسمت زردرنگ مربوط به نقشه راه امنیت اطلاعات هستش.

هر کدوم از این کدها که در نقشه راه‌ها قرار داده شده‌، نشان دهنده‌ یک دوره‌ی خاص هست که اسم‌های این دوره‌ها درسایت‌های این شرکت‌ها اومده.

درسته که دوره‌های تمام این شرکت‌ها به صورت پولی هستش و دسترسی بهش وجود نداره ولی اگر کسی واقعا بخواد می‌تونه از اینترنت و از طریق متخصصین امنیت اطلاعات به منابع خیلی از این دوره‌ها دست پیدا کنه.

در آخر هم کسانی که علاقه‌مند به اطلاعات بیشتری بودن می‌تونن سوالاتشون در این حوزه رو از طریق اکانت Linkedin شخصی من مطرح کنند. من تا جایی که بتونم به دوستان کمک خواهم کرد.

مطلبی که خواندید از سری مطالب مربوط به معرفی شغل‌ها در کارنکن بود. برای خواندن سایر مطالب مربوط به معرفی شغل به لینک زیر بروید:

در کارنکن مطالب زیادی با موضوع شغل مناسب و نحوه رسیدن به آن وجود دارد. برای خواندن رایگان تمامی این مطالب روی لینک زیر کلیک کنید:

معرفی زمینۀ شغلی امنیت اطلاعات | از سیر تا پیاز + مصاحبه با متخصص کاربلد این حوزه
۴٫۸۶ (۹۷٫۱۴%) ۷ votes

دیدگاه ها

  1. مریم

    سلام،
    ممنون بابت این مصاحبه کامل و کمک کننده برای پیدا کردن شغل.
    یک سوال؟ همه این دوره های آموزشی که ذکر کردن در ایران برگزار می شه؟

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

+ 71 = 74