コンピュータセキュリティ分野でのキャリアパスは何ですか？

将来の参照と完全性のために、 K Cyber​​ Security Challenge サイトには、セキュリティロールの8つの異なるカテゴリのニースリストがあり、各ロールとサンプルロールについての説明があり、 Institute of Information Security Professionals（IISP） （私が推測した研究の後）。

http://cybersecuritychallenge.org.uk/careers/typical-roles/

私はここに内容を引用します：

インシデントおよび脅威マネージャー、フォレンジックエキスパート

いずれにせよ、あなたの仕事は石炭の正面にあります。組織のネットワークのセキュリティを管理し、攻撃者の侵入を防ぐことができます。他のネットワークをテストしてセキュリティを評価し、攻撃に対する脆弱性を低くする方法をアドバイスする会社で働いているかもしれません。誰もすべてのインシデントを回避することはできません。そのため、あなたはインシデントマネージャーであり、危機に迅速に対応し、影響を管理することができます。ビジネスにとって難しい選択があるかもしれません。何が起こったのか、またはシステムを正常に機能させるために何をする必要があるのか​​を技術的に理解していない他のマネージャーと協力する必要がありますが、特定の機能が停止した場合のビジネスへの影響については知っています。攻撃者がどのように侵入し、何をしたかを確認するために、法医学分析を行う必要があるかもしれません。さまざまなインシデントに対応するために何をすべきかを計画し、すべてのさまざまな要求のバランスをとることは、危機を適切に管理するために重要であり、あなたはビジネス継続性計画チームの重要なメンバーになるでしょう。この領域には、新しいマルウェアの調査、対策の検討など、非常に技術的な仕事がいくつかあります。加えて、もちろん、モバイルデバイスがますます多くのデータを保持し、以前はコンピュータでのみ可能であった機能を実行するようになっているため、すべてがネットワーク上にあるわけではありません。

このカテゴリのサンプルの役割：インシデントおよび脅威の管理と対応。インシデントマネージャー、脅威マネージャー、フォレンジック–コンピューター–モバイルおよびネットワーク–アナリスト、CSIRT、攻撃調査官、マルウェアアナリスト、侵入テスト担当者、災害復旧、ビジネス継続性。

リスクアナリストおよびマネージャー

これを行うには、さまざまな脅威がビジネスにどのように影響するかを理解し、どのリスクを取り除き、どのリスクを取るかについてアドバイスする必要があります。理事会はあなたのアドバイスを聞き、ビジネスへの影響を明確に示す非技術的な言葉でリスクを説明できるようにする必要があります。一部のリスク管理者は非技術的であり、ビジネスを通じて出現しました、他はビジネスの技術的な側面から来ました。一部の人々は、ネットワークの監査に関与し、コンプライアンスの問題が確実に理解され、処理されるようにします。調査への回答の1つは、これらの人々は「リスクとコンプライアンスについてクライアントに話しかけ、法律、法律の変更、弱点を特定し、クライアントのコンプライアンスを支援する」と述べています。

このカテゴリのサンプルの役割：リスク管理、検証、コンプライアンス。リスク分析者、リスク評価者、ビジネス情報セキュリティ責任者、レビュー担当者、監査人。

政策立案者および戦略家

これらは、企業がさまざまなセキュリティリスクにどのように対処するかを定義するセキュリティポリシーを考案する人々です。ポリシーを正しく取得することは、組織が法的義務を果たすために不可欠です。人々に政策を実施させることは、政策がなぜ重要であるかを人々に示し、助言に従わないことの潜在的な結果の認識を高めることを意味します。民間部門では、多くの場合チームがサポートするこの作業を主導するCISO（最高情報セキュリティ責任者）がいます。政府にはITSO（ITセキュリティ担当者）とDSO（部門セキュリティ担当者）がいます。後者は、物理的、人的、および情報セキュリティの問題に責任があり、ITセキュリティ担当者は通常、それらに報告します。

このカテゴリのサンプルの役割：戦略、ポリシー、ガバナンス。ストラテジスト、ポリシーマネージャー、ITSO、DSO、CISO。

操作とセキュリティ管理

組織のネットワーク、ラップトップ、またはモバイルデバイス上の組織のデータを保護する責任があります。私たち全員がさまざまな作業方法を選択し、新しいテクノロジーの開発が毎日新しい可能性を生み出しているため、最新の状態に保つ必要があります。暗号化や、ファイアウォールのルール、セキュリティログ、インシデントレポートなどの保護対策を管理できます。

このカテゴリのサンプルの役割：運用とセキュリティ管理。ネットワークセキュリティ担当者、システムセキュリティ担当者、情報セキュリティ担当者、暗号管理者、情報管理者。

エンジニアリング、アーキテクチャ、および設計

システムの設計を正しく行うことができれば、攻撃者が侵入するのを難しくすることができます。しかし、状況は日々変化し、継続する場合は高速で実行する必要があります。ハードウェアまたはソフトウェア、設計と開発、または安全なアプリケーションを扱っている場合があります。あなたは才能のある安全なソフトウェアライターである可能性があります。過去の多くのコーダーは、最初に市場に出るというプレッシャーに駆られ、セキュリティに対する認識が不十分でした。セキュリティツールを設計または販売できます。販売とマーケティングはビジネスの重要な部分です。

このカテゴリのサンプルの役割：エンジニアリング、建築、デザイン。建築家、デザイナー、開発、安全なコーディング、ソフトウェアの設計と開発、アプリケーション開発。セキュリティツール、実装。

教育、トレーニング、認識

トレーニングは、今日のビジネスで私たちのほとんどの継続的な必要性です。新しいテクノロジーがオンラインになると、スタッフはそれらを効果的に使用してビジネスを存続させ、安全に成功させ、新しいリスクを管理できるようにする方法を理解する必要があります。専門家は、新しい攻撃ベクトル、セキュリティを管理する新しい方法、リスクを評価および伝達する新しい方法を理解できるように、最新の状態に保つ必要もあります。一部のセールスジョブは、ビジネスで必要なものについて顧客を教育する際に、この仕事と密接に関連しています。すべてのレベルのトレーニングに対応し、最新の資料を維持するために最善を尽くしているトレーニング会社がいくつかあります。私たちの調査の回答者の1人は彼の仕事を次のように説明しました：「内部および他の組織へのサービスとしての両方でサイバーセキュリティ関連の問題の意識を高めること。サイバーセキュリティトレーニングコースを内部的に、また他の組織にサービスとして作成、認定、提供すること。」.

このカテゴリのサンプルの役割：教育、トレーニング、認識。セキュリティプログラムマネージャー。

調査

研究には多くの分野があり、高度に技術的なものもあれば、よりポリシー指向の研究もある。複雑なモデルを作成して、技術的支援なしに理解できるよりも速く変化している状況を理解できるようにする人もいます。他の人たちは、将来のテクノロジーについて考え、それらがどのようにしてセキュリティをよりよく管理するのに役立つかを考えています。調査の回答者は、仕事を「リスクを管理するための新しいテクノロジーを調査し、新しいテクノロジーでリスクを管理する方法を学ぶこと」と説明しました。セキュリティ研究のほとんどの人は前者、暗号、ファイアウォールなどに集中していますが、後者はインターネット2.0を保護することがはるかに重要です。 「次の「大きなもの」を探す」; 「現実世界で攻撃が行われる方法を調査しています。さまざまな種類のマルウェアとそれらがどのように変化するかを追跡することにより、顧客に対する大規模なストライキを防ぐことができます。現実の世界で見られるものに基づいて新製品を発明し、開発者と協力してこれらの製品を生産してください。」

このカテゴリのサンプルの役割：リサーチ。セキュリティ研究者。

インターネット犯罪とデータ保護に関する助言と訴追を専門とする弁護士。

データセキュリティとインターネット犯罪の助言と訴追。これらの犯罪の加害者を起訴することは容易ではなく、企業は彼らの責任を理解し、証拠をまとめる助けを必要としています。近年のデータ損失以来、法律にいくつかの重要な変更がありました。たとえば、システム上の人々のデータの世話を十分に行っていない組織は、最高50万ポンドの罰金を科される可能性があるため、セキュリティポリシーを監査して目的に適合していることを確認したいと考える人がたくさんいます。

このカテゴリのサンプルの役割：データ保護とインターネット犯罪に関する助言と訴訟を担当する弁護士。

SANS Instituteは、このトピックに関するパンフレットを$ 5.00で提供しています： The 20 Coolest Jobs in Information Security 。そのWebページには、タイトルといくつかのサンプルの説明がリストされています。