Fråga till er som pluggar/jobbar med IT-säkerhet

Jag funderar på att börja plugga IT-säkerhet. Har är helt oerfaren inom ämnet men datorer har alltid varit ett starkt intresse. Min fråga är då till er som pluggar eller jobbar med IT-säkerhet? Vad är det roligaste med yrket? För och nackdelar med att utbilda sig inom det?

Jag har jobbat med IT sedan -87 och med IT-säkerhet sedan 2001. För mig är det länge sedan själva tekniken slutade att fascinera mig, idag är det nyttan den gör för kunderna som spelar mest roll. Det är en kick när man kan lösa ett problem, skapa en funktion som hjälper någon. Ofta handlar just säkerhetsbitarna om att försöka tänka på sånt som ingen annan tänker på. Man blir lite manisk, första tanken är alltid -vad kan gå åt helvete med det här? Man kommer också mer och mer in på juridik.
Annars är ju säkerhet ofta otacksamt. Man får ägna sig mycket åt "Taliban-säkerhet" och försöka att helt enkelt få folk att använda grejerna på rätt sätt. (Compliance) Molntjänster är ett litet helvete just nu. Folk fattar mindre och mindre och vill hela tiden göra på sitt eget sätt, trots alla uppenbara risker och rena lagbrott som det innebär. Man måste säga ifrån, och gör man det på fel sätt så är man snart den minst populära personen på firman.
Det är ont om kickar, en bra dag i säkerhetsbranschen är en dag när det inte händer någonting, en dålig dag kan gå hur illa som helst. Men det är nödvändigt och viktigt att ha koll på säkerheten. Det är också svårt och kräver kompetens från många olika områden, som sagt inte minst juridik och psykologi. Om man har företagsledningen med sig - och det är superviktigt- så kan det vara oerhört stimulerande jobb.

IT-säkerhet: allmänt --> Utbildning och studier
/Moderator

Vilken del av it-säkerhet jobbar du med? Kodgranskning? Policy? Juridiken?

Jag jobbar med informationssäkerhet, inte IT-säkerhet. Jag är kravställande till dem som jobbar med tekniken. T.ex utbildar, föreslår policies, gör riskanalyser av tekniska system och arbetsprocesser, följer upp hur regler följs, granskar säkerhet i utvecklingsprojekt, utreder säkerhetsärenden. Sammantaget kan man säga är jag är processägare för säkerhetsprocessen (ITIL).
Det är mycket juridik, och man måste kunna mycket om teknik också. Mest av allt krävs faktiskt förmåga att kommunicera med folk och ett lite snedvridet synsätt på allting. Som sagt är den ständiga frågan med precis allting, "vad kan gå åt helvete med det här?"

Är du utbildad inom IT-säkerhet eller annan IT-utbildning eller självlärd?

Vad tycker du är viktigast att lära sig för den som vill jobba inom detta? Typ av utbildning som rekommenderas?

Lånar tråden lite, jag pluggar till IT och funderar på välja Säkerhet de sista två åren på utbildningen. Men kan knappt något inom det just nu, vad rekommenderar du att jag ska lära mig på fritiden?

Vet inte egentligen. Jag har aldrig pluggat varken IT eller Säkerhet. Jag är elektronikingenjör, och halkade in på IT av en slump 1987. Har inte lyckats ta mig loss än. Ett tips kanske är CISSP certifiering. Det kan man gå kurser och tenta. Jag har bara läst böcker på egen hand och tentat.

Säkerhet vid systemutveckling vet jag nästan inget om, det är ett eget område. Utöver det finns det två typer av säkerhetshetsjobb inom IT. IT-säkerhet (teknik) och Informationssäkerhet (icke-teknisk).
Teknisk säkerhet kräver mycket bra IT-tekniska kunskaper. I min erfarenhet (vilket kanske inte är den enda sanningen) så är det bara de bästa IT-teknikerna som klarar det. Man ska förstå tekniken på djupet och i princip vara en hacker själv, och det gissar jag är knepigt att gå en kurs i. De jag träffat som är bra är mycket erfarna IT-tekniker som fokuserat på säkerhetskomponenter och kanske kompletterat med t.ex kurser i forensisk analys m.m. Ingen har kommit direkt från skola.
Informationssäkerhet (mitt område) handlar delvis också om teknik, man måste förstå IT-teknik brett men inte lika djupt. Tyngden ligger på arbetsprocesser, verksamhetsutveckling, kravställning, analys m.m. Jobbet går ut på att utforma system, arbetsprocesser och rutiner så att det sker på ett säkert och effektivt sätt. Att bara förbjuda folk att göra det ena och andra är enkelt (Taliban-säkerhet). Att istället ge användarnas möjlighet att jobba effektivt OCH säkert är en större utmaning. Man måste grundligt förstå vad systemen används till, hur användarna jobbar, vilka krav och utmaningar de har i sina jobb. "Management" kanske man kan sammanfatta det med. Jag vet inte vad det heter egentligen, eller hur man lär sig det. Man måste kunna en del juridik också, det finns ett 50-tal olika lagar som reglerar IT. Allt ifrån PUL som gäller generellt till t.ex Patientdatalagen och andra lagar som reglerar specifika områden.
Ett konkret tips är att lära sig ITIL. Det en en internationell standard för hur man driver IT-verksamhet organiserad i olika processer. Det är väldigft vanligt i svenska IT-avdelningar och mycket användbart. En komplett ITIL - dokumentation tar en hyllmeter i en bokhylla. Man kan gå hur mycket kurser som helst och certifiera sig. Det finns även en definierad Säkerhetsprocess inom ITIL. Den är i sin tur kopplad till ISO-standarden för säker IT (ISO 27 000). Att plugga ITIL eller ISO 27 000 helt teoretiskt tror jag är en utmaning. Men att vara åtminstone grundläggande insatt i dem är nog en stor fördel.