11
Job bzw. Weiterentwicklung im Bereich der IT-Sicherheit
Hallo zusammen,
ich habe ein etwas anderes Anliegen und hoffe ihr könnt mir mit eurer Erfahrung weiterhelfen
Derzeit bin ich als interner IT-Revisor tätig und für die IT-Sicherheit in meinem Unternehmen verantwortlich. Gleichzeitig mache ich dual meinen Bachelor-Abschluss in WIrtschaftsinformatik. Den werde ich voraussichtlich noch dieses Jahr erwerben.
Zu meiner Frage:
Da mir die Arbeit als IT-Revisior zu theoretisch ist (man entwickelt eher KOnzepte, schreibt Berichte, prüft Prozesse und tauscht sich mit dem IT-Personal aus, ohne selbst was wirklich praktisches zu machen) und mir der praktische Bezug zur IT-Sicherheit fehlt (z.B. SIEM, Monitoring, Pentesting, Forensik, Vorfallsaufklärung etc.) überlege ich den Bereich zu verlassen und mich mit meinem Bachelor auf eine Position zu begeben, die praktischer orientiert ist. Also quasi als Junior.
Der o.g. Arbeitgeber kam jedoch die letzten Tage auf mich z u und hat mir einen unbefristeten Vertrag angeboten, wobei ich langfristig als IT-Sicherheitsbeauftragter eingesetzt werden soll. Dazu gehören dann auch diverse Zertifizierungen (z.B. würde ich gerne den CISSP machen).
Denkt ihr, dass ich als IT-Sicherheitsbeauftragter genug praktische IT-Sicherheit 'mitnehmen' werde? Oder ist die Arbeit auch wieder theoretischer angesiedelt. Ich habe gelesen, dass man als IT-Sicherheitsbeauftragter eher konzeptionell arbeitet, Berichte schreibt, Schulungen durchführt, aber auch als Schnittstelle zu externen Dienstleistern (z.B. Pentester) fungiert.
Ich denke halt auch, dass die Position im Lebenslauf echt gut aussehen würde. Andersrum glaube ich, dass wenn ich mich nicht frühzeitig in Richtung Praxis begeben werde, die Tür für mich in diesem Bereich immer verschlossen sein wird.
Vielen Dank fürs Lesen
ich habe ein etwas anderes Anliegen und hoffe ihr könnt mir mit eurer Erfahrung weiterhelfen
Derzeit bin ich als interner IT-Revisor tätig und für die IT-Sicherheit in meinem Unternehmen verantwortlich. Gleichzeitig mache ich dual meinen Bachelor-Abschluss in WIrtschaftsinformatik. Den werde ich voraussichtlich noch dieses Jahr erwerben.
Zu meiner Frage:
Da mir die Arbeit als IT-Revisior zu theoretisch ist (man entwickelt eher KOnzepte, schreibt Berichte, prüft Prozesse und tauscht sich mit dem IT-Personal aus, ohne selbst was wirklich praktisches zu machen) und mir der praktische Bezug zur IT-Sicherheit fehlt (z.B. SIEM, Monitoring, Pentesting, Forensik, Vorfallsaufklärung etc.) überlege ich den Bereich zu verlassen und mich mit meinem Bachelor auf eine Position zu begeben, die praktischer orientiert ist. Also quasi als Junior.
Der o.g. Arbeitgeber kam jedoch die letzten Tage auf mich z u und hat mir einen unbefristeten Vertrag angeboten, wobei ich langfristig als IT-Sicherheitsbeauftragter eingesetzt werden soll. Dazu gehören dann auch diverse Zertifizierungen (z.B. würde ich gerne den CISSP machen).
Denkt ihr, dass ich als IT-Sicherheitsbeauftragter genug praktische IT-Sicherheit 'mitnehmen' werde? Oder ist die Arbeit auch wieder theoretischer angesiedelt. Ich habe gelesen, dass man als IT-Sicherheitsbeauftragter eher konzeptionell arbeitet, Berichte schreibt, Schulungen durchführt, aber auch als Schnittstelle zu externen Dienstleistern (z.B. Pentester) fungiert.
Ich denke halt auch, dass die Position im Lebenslauf echt gut aussehen würde. Andersrum glaube ich, dass wenn ich mich nicht frühzeitig in Richtung Praxis begeben werde, die Tür für mich in diesem Bereich immer verschlossen sein wird.
Vielen Dank fürs Lesen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 496310
Url: https://administrator.de/contentid/496310
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
wie lange Berufserfahrung hast Du aktuell in diesen Bereich?
Gruss
wie lange Berufserfahrung hast Du aktuell in diesen Bereich?
Gruss
Hallo,
schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...
brammer
schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...
brammer
Hi Danke für eure Antworten
Ich arbeite derzeit etwa 6 Monate in der IT-Revision und habe vorher ganz normal 2,5 Jahre eine Ausbildung zum Informatikkaufmann gemacht.
Wie oben geschrieben, finde ich IT-Revision zwar ganz nett, es ist mir aber viel zu theoretisch. Und ich denke, dass ich zügig den Absprung schaffen sollte bzw. meine Aufgaben ändern sollte, um mir auch praktisches Wissen anzueignen.
Ja das würde ich soweit auch machen. Es ist aber erst ein Schritt der später erfolgen würde. Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.
Danke für eure AntwortenIch arbeite derzeit etwa 6 Monate in der IT-Revision und habe vorher ganz normal 2,5 Jahre eine Ausbildung zum Informatikkaufmann gemacht.
Wie oben geschrieben, finde ich IT-Revision zwar ganz nett, es ist mir aber viel zu theoretisch. Und ich denke, dass ich zügig den Absprung schaffen sollte bzw. meine Aufgaben ändern sollte, um mir auch praktisches Wissen anzueignen.
Zitat von @brammer:
Hallo,
schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...
brammer
Hallo,
schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...
brammer
Ja das würde ich soweit auch machen. Es ist aber erst ein Schritt der später erfolgen würde. Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.
Hallo,
Die Frage kannst du dir aber nur selber beantworten.
brammer
Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.
Die Frage kannst du dir aber nur selber beantworten.
brammer
Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.
Zitat von @brammer:
Hallo,
Die Frage kannst du dir aber nur selber beantworten.
brammer
Hallo,
Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.
Die Frage kannst du dir aber nur selber beantworten.
brammer
Zitat von @sabines:
Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.
Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.
Genau das ist es ja. Ich würde, wenn ich bleiben würde, zwar weiter Erfahrung im jetzigen Bereich sammeln. Jedoch sehe ich mich auf langer Sicht eben nicht in dem Bereich. Daher habe ich die Idee, bereits jetzt zu wechseln und in der Praxis mehr zu machen und Erfahrungen zu sammeln. Ich denke nicht, dass das so einfach möglich wäre, wenn ich 'nur' Erfahrung im Bereich der IT-Revision hab und dann in die Praxis wechseln möchte.
Allein die Tatsache, dass ich gerade auf der Arbeit sitze und hier posten kann zeigt doch, wie 'spannend' es ist :D
Ok, wenn Du das so schon eingrenzen kannst, scheint das wenig Sinn zu machen.
Mach' 12 Monate für den Lebenslauf voll und such' Dir was anderes.
Die Entscheidung musst Du aber selbst abwägen und treffen.
Mach' 12 Monate für den Lebenslauf voll und such' Dir was anderes.
Die Entscheidung musst Du aber selbst abwägen und treffen.
Hey,
danke für deine Antwort.
Wenn ich in der jetzigen Firma bleibe, hätte ich ja die Möglichkeit IT-Sicherheitsbeauftragter zu werden. Das ist an sich eine gute Position, aber ich weiß nicht ob die Arbeit da auch eher theoretisch/konzeptionell wäre. Andererseits hätte ich die Chance diverse Anschaffungen/Strategien zu initiieren, zu steuern und ggf. auf praktischer Ebene mitzuarbeiten
danke für deine Antwort.
Wenn ich in der jetzigen Firma bleibe, hätte ich ja die Möglichkeit IT-Sicherheitsbeauftragter zu werden. Das ist an sich eine gute Position, aber ich weiß nicht ob die Arbeit da auch eher theoretisch/konzeptionell wäre. Andererseits hätte ich die Chance diverse Anschaffungen/Strategien zu initiieren, zu steuern und ggf. auf praktischer Ebene mitzuarbeiten
Hi,
du schreibst, dass du gerne den CISSP machen würdest und dass du aber keine Lust mehr auf dieses "theoretische" Zeug hast. Das klingt nach kognitiver Dissonanz
Der CISSP ist mit Abstand der Zertifikatskönig in dieser Kategorie, allerdings würde ich den an deiner Stelle nicht anstreben, weil:
- du musst mindestens 5 Jahre Berufserfahrung in zwei der Domains aus dem CISSP-Inhalt aufweisen
- was du da lernst ist sehr bandbreitig aber mit null Tiefe und erst Recht kein Praxisbezug. Das heißt, der CISSP ist für Kräfte im "Management" gedacht, oder die eben sehr eng mit dem Management oder als Zwischenschicht zwischen Management und der IT arbeiten. Da geht's um Policys, Change Management, Risk Management, Access Control, und so weiter und so fort (den Inhalt kannst du dir in zig Webseiten durchlesen).
Vorab: der CISSP ist echt heavy und du wirst regelrecht mit Input vollgepumpt. Die Prüfung geht 6 Stunden lang und ist definitiv nicht durch Auswendiglernen zu meistern. Du musst alles verstehen und auch anwenden können. Nochmals --> der CISSP hat absolut keinen Praxisbezug, du lernst also nichts, was dich ja "eigentlich" interessiert. Möchtest du deine Stelle und Gehalt aufbessern und Karriere in deiner jetzigen Position machen, dann kannst du dich sehr wohl auf den CISSP stürzen. Ist wie gesagt das bedeutendvollste und anerkannteste Zertifikat weltweit (auch bei uns in Deutschland). Sieh dir dazu nur mal die Jobbörsen an (monster, stepstone, indeed, arbeitsagentur, usw.). Wenn du CISSP bist, wirst du definitiv nie hungern, bloss du musst dir im Klaren sein, dass es dir auch Spaß machen sollte.
Wenn du sagst, du willst was praxisorientiertes in der Kategorie "IT-Sicherheit" dann würde ich den OSCP empfehlen. Der CEH wird auch mit Praxis beworben, ich selbst habe ihn nicht, aber ich kenne einige die den CEH belächeln und eher schlecht darüber reden. Es kann aber durchaus sein, dass der CEH in schlechten Ruf geraten ist, sich aber seit der aktuellsten v10 einiges geändert hat. Ich las nämlich, dass nun auch der CEH eine Art "Verfallsdatum" besitzt und erneuert werden müsste. Wie gesagt, was besseres als OSCP für den praxisorientierten Einstieg kann ich dir nicht empfehlen. Wobei du dir aber garantiert die Zähne ausbeissen wirst ;) du hast noch wenig Erfahrung, ich kann deinen Wissensstand nicht einschätzen. Aber für den OSCP sollte man ein Shell-Guru sein und alle gängigen Netzwerkprotokolle beherrschen, schon sehr viel Erfahrung mit metasploit, nmap, usw. mitbringen und auch Python beherrschen. Dafür bekommst du ein sehr renommiertes Zertifikat wenn du den OSCP bestehst und insbesondere hast du dabei eine "MENGE" gelernt und verdammt viel Spaß dabei gehabt. Offensive Security bietet dir daraufhin auch weitere Kurse an, aber eins nach dem anderen ;) wenn du was äquivalentes zum OSCP machen möchtest, das wäre dann EC Council’s "LPT Master". Um den zu bekommen solltest du jedoch vorher den CEH machen, gefolgt vom ECSA. der LTA ist sowie OSCP, vollkommen 100% praxisorientiert mit anschliessender Berichterstattung an die Prüfer. Mehr Praxisorientierung geht quasi nicht. Also peil mal lieber OSCP bzw. LPT an ;)
viel Erfolg, aber vor allem VIEL SPASS wünscht dir
panguu
du schreibst, dass du gerne den CISSP machen würdest und dass du aber keine Lust mehr auf dieses "theoretische" Zeug hast. Das klingt nach kognitiver Dissonanz
Der CISSP ist mit Abstand der Zertifikatskönig in dieser Kategorie, allerdings würde ich den an deiner Stelle nicht anstreben, weil:
- du musst mindestens 5 Jahre Berufserfahrung in zwei der Domains aus dem CISSP-Inhalt aufweisen
- was du da lernst ist sehr bandbreitig aber mit null Tiefe und erst Recht kein Praxisbezug. Das heißt, der CISSP ist für Kräfte im "Management" gedacht, oder die eben sehr eng mit dem Management oder als Zwischenschicht zwischen Management und der IT arbeiten. Da geht's um Policys, Change Management, Risk Management, Access Control, und so weiter und so fort (den Inhalt kannst du dir in zig Webseiten durchlesen).
Vorab: der CISSP ist echt heavy und du wirst regelrecht mit Input vollgepumpt. Die Prüfung geht 6 Stunden lang und ist definitiv nicht durch Auswendiglernen zu meistern. Du musst alles verstehen und auch anwenden können. Nochmals --> der CISSP hat absolut keinen Praxisbezug, du lernst also nichts, was dich ja "eigentlich" interessiert. Möchtest du deine Stelle und Gehalt aufbessern und Karriere in deiner jetzigen Position machen, dann kannst du dich sehr wohl auf den CISSP stürzen. Ist wie gesagt das bedeutendvollste und anerkannteste Zertifikat weltweit (auch bei uns in Deutschland). Sieh dir dazu nur mal die Jobbörsen an (monster, stepstone, indeed, arbeitsagentur, usw.). Wenn du CISSP bist, wirst du definitiv nie hungern, bloss du musst dir im Klaren sein, dass es dir auch Spaß machen sollte.
Wenn du sagst, du willst was praxisorientiertes in der Kategorie "IT-Sicherheit" dann würde ich den OSCP empfehlen. Der CEH wird auch mit Praxis beworben, ich selbst habe ihn nicht, aber ich kenne einige die den CEH belächeln und eher schlecht darüber reden. Es kann aber durchaus sein, dass der CEH in schlechten Ruf geraten ist, sich aber seit der aktuellsten v10 einiges geändert hat. Ich las nämlich, dass nun auch der CEH eine Art "Verfallsdatum" besitzt und erneuert werden müsste. Wie gesagt, was besseres als OSCP für den praxisorientierten Einstieg kann ich dir nicht empfehlen. Wobei du dir aber garantiert die Zähne ausbeissen wirst ;) du hast noch wenig Erfahrung, ich kann deinen Wissensstand nicht einschätzen. Aber für den OSCP sollte man ein Shell-Guru sein und alle gängigen Netzwerkprotokolle beherrschen, schon sehr viel Erfahrung mit metasploit, nmap, usw. mitbringen und auch Python beherrschen. Dafür bekommst du ein sehr renommiertes Zertifikat wenn du den OSCP bestehst und insbesondere hast du dabei eine "MENGE" gelernt und verdammt viel Spaß dabei gehabt. Offensive Security bietet dir daraufhin auch weitere Kurse an, aber eins nach dem anderen ;) wenn du was äquivalentes zum OSCP machen möchtest, das wäre dann EC Council’s "LPT Master". Um den zu bekommen solltest du jedoch vorher den CEH machen, gefolgt vom ECSA. der LTA ist sowie OSCP, vollkommen 100% praxisorientiert mit anschliessender Berichterstattung an die Prüfer. Mehr Praxisorientierung geht quasi nicht. Also peil mal lieber OSCP bzw. LPT an ;)
viel Erfolg, aber vor allem VIEL SPASS wünscht dir
panguu
2
Danke für die ausführliche Antwort.
Die Module vom CISSP habe ich nur grob überflogen. Ich finde sie insgesamt sehr interessant, wobei die Didaktik vermutlich sehr theoretisch ist und man nicht unbedingt Anwendungsfälle für die Praxis erlernt.
Die beiden von dir angebotenen Kurse sind, nach kurzem Überfliegen von Wikipedia, eher auf das Ethical Hacking/Pentesting ausgerichtet. Würde auch dazu passen, was du in deinem Beitrag geschrieben hast
An sich klingen die Zertifikate ziemlich cool, nur ich weiß nicht ob es zu speziell in Richtung Pentesting ist. Wenn ich mir vorstelle beispielsweise mit einem SIEM zu arbeiten und Alarme zu prüfen. Natürlich ist Wissen rundum Angriffstechniken etc. relevant. Aber ob CEH oder OSCP zu 100% auf das kleine Beispiel von mir passen würde weiß ich noch nicht.
Die Module vom CISSP habe ich nur grob überflogen. Ich finde sie insgesamt sehr interessant, wobei die Didaktik vermutlich sehr theoretisch ist und man nicht unbedingt Anwendungsfälle für die Praxis erlernt.
Die beiden von dir angebotenen Kurse sind, nach kurzem Überfliegen von Wikipedia, eher auf das Ethical Hacking/Pentesting ausgerichtet. Würde auch dazu passen, was du in deinem Beitrag geschrieben hast
An sich klingen die Zertifikate ziemlich cool, nur ich weiß nicht ob es zu speziell in Richtung Pentesting ist. Wenn ich mir vorstelle beispielsweise mit einem SIEM zu arbeiten und Alarme zu prüfen. Natürlich ist Wissen rundum Angriffstechniken etc. relevant. Aber ob CEH oder OSCP zu 100% auf das kleine Beispiel von mir passen würde weiß ich noch nicht.
Wenn du mit SIEM arbeiten möchtest, dann wäre Pentesting sicherlich nix für dich. CISSP ist natürlich theoretisch, du sitzt da nicht an einem Lab mit Computern, das ist pure Lernerei. Was aber nicht heißt, dass es langweilig wird. Du wirst da sehr gefordert und es wird schon sehr gut erklärt, was sich dahinter verbirgt. Natürlich können die niemals in die Tiefe absteigen, bei solch vielen Domains. Es ist auf jeden Fall sehr interessant und wie gesagt --> mit CISSP steht dir der Arbeitsmarkt zu Füßen ;) Durchfallrate ist allerdings hoch bei diesem cert, das heißt du musst dich da echt reinknien und das alles verstehen. Diese Zertifizierung kann man auf keinen Fall nur durch Auswendiglernerei bestehen.
viel Erfolg wünsche ich
viel Erfolg wünsche ich
