Igår fick vi e-post från en student som skrev så här:
Jag är en student som är intresserad utav IT-Säkerhet och i framtiden skulle vilja jobba med det. Jag tänkte därför fråga er om lite vägledning. Just nu studerar jag ett program som heter Nätverks- och Systemadministration. Programmet innehåller en hel del informationsäkerhet och datakommunikation. Efter kandidatexamen är planen att läsa en masters i informationsäkerhet.
Jag undrar lite hur det går till när ni granskar och testar säkerheten på företag. Vilka steg är det i processen och följer ni någon modell? Vad bör man som student försöka lära sig eller träna på utanför studierna som kanske inte tas upp i utbildningen? Vilka certifikat rekommenderas? Jag undrar också om det finns möjligheter att praktisera under studierna och vilken kunskapsnivå som är lämplig för att klara av praktikantuppgifter.
Fredrik skickade nedanstående svar. Vi har valt att publicera det här på bloggen eftersom det dels kan vara en bra vägledning för andra och dels förklarar ganska tydligt hur vi arbetar:
Kul att du är intresserad av IT-säkerhetsbranchen! Ska försöka ge några konkreta tips, även om det av uppenbara skäl är svårt att sammanfatta en hel strategi för ett eventuellt yrkesval.
Det låter mot bakgrund av dina ambitioner gällande mastersexamen att du siktar väsentligt högre än att installera och konfigurera brandväggar, det tycker jag verkar klokt. IT-säkerhet är mycket mer än teknik. Man kan med fog hävda att tekniken bara är en begränsad del av IT-säkerheten. Effektiv, rationell och fungerande informationssäkerhet finner man i skärningspunkten mellan affären, juridiken, tekniken och människorna. Det bör man ha i åtanke när man väljer kurser. Läs grundkurserna i juridik, verksamhetsstyrning, kanske någon psykologikurs, det ger dig en bra mix och ett bättre utgångsläge när du ska analysera helheten hos en kund. IT-säkerhet finns inte för IT-säkerhetens skull, det är alltid en avvägning mellan kostnader och nytta.
Vid säkerhetsgranskningar är det avgörande att ha något att granska mot. En säkerhetsgranskning är en jämförelse mellan karta och verklighet. I vissa fall kan kartan vara någon form av “best practices”, men i mer komplexa fall (t.ex. en hel verksamhet) fungerar det aldrig särskilt bra. Man måste därför ha en solid, repeterbar riskanalys i grunden, som visar på vilka säkerhetsåtgärder som krävs för att lindra riskerna i verksamheten till en acceptabel nivå. Utifrån dessa identifierade säkerhetsåtgärder kan man sedan granska.
Utanför studierna är det alltid bra att låta leklustan och nyfikenheten flöda; hitta dina egna små hobbyprojekt, gärna teknikorienterade, så att du kunskapsmässigt har övertaget över kundens driftpersonal även på deras hemmaplan. Sätt upp dina egna system som du bryter dig in i, så att du får en känsla för hur hot och sårbarheter samspelar, och var de verkliga riskerna uppstår. Läs mycket, sätt dig in i standarder, specifikationer, rapporter och analyser över inträffade incidenter, osv. Språkbruket verkar du ha koll på, det är viktigt. Se också till att du kan sno ihop lite skriptkod, utan grundläggande sådana kunskaper är man bakbunden.
För egen del finner jag certifieringar ganska värdelösa. Det är lite som att kräva körkort av en rallyförare. Om jag skulle anställa en IT-chef hade jag nog tyckt det var lite värdefullt om denne haft grundläggande kunskaper om IT-säkerhet, det kan en certifiering visa. Gällande yrkesexpertis på området säger certifieringar inte ett smack. Där med inte sagt att en certifiering är värdelös i alla sammanhang, den kan säkert hjälpa till att få ditt första jobb etc (på grund av att den som anställer inte har koll). Men när du väl är etablerad skulle jag säga att det är dina meriter som räknas, inte förkortningarna längst ner på visitkortet.
Vi jobbar ofta väldigt långt “under skinnet” på våra kunder. Det betyder att det är svårt att hitta några meningsfulla praktikantuppgifter. Det fordrar helt enkelt ganska mycket tid att sätta sig in i de uppgifter vi har att lösa. Däremot kommer vi då och då på vettiga examensarbeten på kandidat/master-nivå, så när det är dags för det tycker jag du ska höra av dig!
Hoppas dessa rader kan vara till nytta. Lycka till!