Quanto Guadagna un Penetrazione tester| Chi è | Cosa fa

Gioia Novena20 Dicembre 2020
0 8 minuti letti
Quanto Guadagna un Penetrazione tester | Chi è | Cosa fa
Quanto Guadagna un Penetrazione tester 2022

I penetration tester simulano attacchi informatici al fine di identificare e segnalare falle di sicurezza su sistemi informatici, reti e infrastrutture, compresi i siti Internet

In qualità di penetration tester, eseguirai test autorizzati sui sistemi informatici al fine di esporre punti deboli nella loro sicurezza che potrebbero essere sfruttati dai criminali. Puoi scegliere di specializzarti nella manipolazione di un particolare tipo di sistema, come:

  • Reti e infrastrutture
  • Sistemi operativi Windows, Linux e Mac
  • Sistemi informatici incorporati
  • Applicazioni web/mobile
  • Sistemi di controllo SCADA (controllo di supervisione e acquisizione dati)
  • Internet of Things (IoT).

Oltre a identificare i problemi, puoi anche fornire consigli su come ridurre al minimo i rischi.

Puoi lavorare internamente per grandi aziende in cui la sicurezza del sistema è una funzione cruciale. Tuttavia, più comunemente lavorerai per una società di consulenza sulla sicurezza o un’organizzazione di gestione del rischio, dove lavorerai con clienti esterni per testare la vulnerabilità dei loro sistemi. È anche possibile lavorare come freelance, assicurandosi contratti dalle organizzazioni.

I penetration tester sono anche noti come pen tester o hacker etici.

Responsabilità

In qualità di penetration tester, comprenderai sistemi informatici complessi e termini tecnici di sicurezza informatica. Avrai bisogno di:

  • Collaborare con i clienti per determinare i loro requisiti dal test, ad esempio il numero e il tipo di sistemi che vorrebbero testare
  • Pianificare e creare metodi di penetrazione, script e test
  • Eseguire test remoti della rete di un cliente o test in loco della loro infrastruttura per esporre i punti deboli della sicurezza
  • Simulare violazioni della sicurezza per testare la sicurezza relativa di un sistema
  • Creare report e consigli dai risultati, inclusi i problemi di sicurezza scoperti e il livello di rischio
  • Fornire consulenza sui metodi per correggere o ridurre i rischi per la sicurezza dei sistemi
  • Presentare i risultati, i rischi e le conclusioni alla direzione e ad altre parti interessate
  • Considera l’impatto che il tuo “attacco” avrà sull’azienda e sui suoi utenti
  • Capire come i difetti identificati potrebbero influenzare un’azienda o una funzione aziendale, se non vengono risolti.

Stipendio

  • Gli stipendi iniziali per i penetration tester laureati o junior sono in genere compresi tra €20.500 e €30.500.
  • Con l’esperienza puoi guadagnare tra €40.500 e €65.500, salendo a €70.500 per ruoli senior e di team leader. Tuttavia, questa cifra può essere significativamente più alta a seconda del settore in cui lavori.
  • I penetration tester freelance possono aspettarsi di guadagnare da €400 a €500 al giorno.

Gli stipendi variano a seconda di una serie di fattori tra cui le tue capacità, esperienza e qualifiche, la tua posizione, il tipo di datore di lavoro per cui lavori (ad es. Interno o di consulenza) e il settore in cui lavori.

Di solito riceverai una serie di benefici per i dipendenti che possono includere bonus, un regime pensionistico aziendale, un’assicurazione medica privata, l’abbonamento a una palestra e opportunità di formazione e sviluppo sponsorizzate.

I dati sul reddito sono intesi solo come guida.

Ore lavorative

Una settimana lavorativa di 37 ore è standard in questo ruolo, ma pratiche di lavoro flessibili sono comuni e potrebbe essere necessario lavorare al di fuori del tipico schema dalle 9:00 alle 17:00.

Poiché molti penetration tester lavorano da casa e da remoto (da luoghi al di fuori del luogo di lavoro dell’organizzazione), a volte sarai in grado di scegliere l’orario di lavoro.

È possibile lavorare part-time. Sono disponibili anche contratti a breve termine e lavoro freelance. Con diversi anni di esperienza puoi passare al lavoro autonomo o di consulenza.

Cosa aspettarsi

  • Potresti lavorare in ufficio o da casa ed è probabile che viaggi spesso per incontrare i clienti (a meno che tu non lavori in casa). La maggior parte, se non tutto, del tuo tempo verrà trascorso al computer quando non sei in riunione.
  • I lavori sono disponibili in tutto il Italia e la sicurezza del lavoro è generalmente buona.
  • Avrai un alto livello di responsabilità e avrai bisogno di sentirti a tuo agio con questo, mantenendo allo stesso tempo un alto livello di concentrazione e attenzione ai dettagli.
  • Le donne sono attualmente sottorappresentate nella professione. Esistono vari schemi per incoraggiare più donne a eseguire test di penetrazione e altri ruoli tecnici.
  • Esistono opportunità per esperti di sicurezza informatica qualificati di lavorare all’estero.
Più popolare:  Quanto Guadagna un Analista di sicurezza informatica | Chi è | Cosa fa

Titoli di studio

Per entrare in questo settore, di solito avrai bisogno di una laurea rilevante, una conoscenza approfondita dei sistemi operativi dei computer e almeno da due a quattro anni di esperienza in un ruolo relativo alla sicurezza delle informazioni.

Materie di laurea utili includono:

  • Informatica
  • Sistemi informatici e informatici
  • Sicurezza informatica
  • Informatica forense
  • Gestione della rete
  • Ingegneria dei sistemi informatici.

È improbabile che tu passi direttamente dalla laurea a un ruolo di penetration tester e di solito avrai bisogno di una certa esperienza nel settore. Tuttavia, alcune organizzazioni hanno iniziato a offrire ruoli di penetration tester laureati. Laddove vengono offerti ruoli di ingresso laureati, è probabile che ci siano alti livelli di concorrenza.

Se la tua laurea è in una materia non correlata, studiare per una qualifica post-laurea relativa alla sicurezza delle informazioni potrebbe migliorare le tue prospettive di occupabilità nel settore della sicurezza informatica. Potresti quindi lavorare fino ai ruoli dei test di penetrazione. Cerca corsi post-laurea in sicurezza informatica.

È inoltre possibile intraprendere un apprendistato di laurea in cyber security, abbinando il lavoro allo studio part-time all’università.

Oltre alle qualifiche di laurea pertinenti, spesso ci si aspetta che tu abbia una o più qualifiche professionali (i ruoli di tirocinante e laureato di solito includono formazione e certificazione in queste qualifiche come parte del ruolo). Questi includono:

  • CREST Registered Penetration Tester (CRT)
  • Offensive Security Certified Professional (OSCP)
  • Certificazione Certified Ethical Hacker (CEH)
  • Certificazione GIAC Penetration Tester (GPEN)
  • Schemi di certificazione aziendale dei principali fornitori e fornitori di apparecchiature come Microsoft (MCP, MCSE) o Cisco (CCNA Security).

È possibile ottenere queste qualifiche e certificazioni attraverso ruoli di sicurezza informatica, ma alcune possono essere ottenute tramite l’autoapprendimento. Dai un’occhiata agli annunci di lavoro per i penetration tester per avere un’idea delle certificazioni che i datori di lavoro stanno cercando.

È anche possibile lavorare come penetration tester senza una laurea se si ha una significativa esperienza nella sicurezza delle informazioni e si possiedono certificazioni di settore.

Potrebbe essere necessario effettuare controlli di nulla osta di sicurezza quando si fa domanda per un lavoro.

Competenze

Avrai bisogno di:

  • Una conoscenza approfondita dei sistemi informatici e del loro funzionamento
  • Ottima comunicazione orale e scritta per spiegare i tuoi metodi a un pubblico tecnico e non tecnico
  • Attenzione ai dettagli, per essere in grado di pianificare ed eseguire test tenendo conto delle esigenze del cliente
  • La capacità di pensare in modo creativo e strategico per penetrare nei sistemi di sicurezza
  • Buona gestione del tempo e capacità organizzative per rispettare le scadenze dei clienti
  • Integrità etica a cui affidare un elevato livello di informazioni riservate
  • La capacità di pensare lateralmente e ’fuori dagli schemi’
  • Capacità di lavoro di squadra, per supportare i colleghi e condividere tecniche
  • Eccezionali capacità analitiche e di problem solving e la tenacia nell’applicare diverse tecniche per portare a termine il lavoro
  • Capacità di business per comprendere le implicazioni di eventuali punti deboli riscontrati
  • Impegno ad aggiornare continuamente la tua base di conoscenze tecniche.

Esperienza lavorativa

Dovresti ottenere quanta più esperienza possibile in modo da poter dimostrare e sviluppare le tue capacità e creare contatti. Esiste un numero crescente di programmi e attività di esperienza lavorativa relativi alla sicurezza informatica disponibili.

CREST offre un programma di iscrizione per studenti, che è gratuito per gli studenti che studiano corsi di laurea relativi alla sicurezza delle informazioni. Un vantaggio di questa iscrizione è che CREST collega gli studenti che sono alla ricerca di esperienza a organizzazioni approvate da CREST che possono offrirti opportunità di collocamento, tirocinio o affiancamento.

Più popolare:  Quanto Guadagna un Responsabile dei sistemi informativi | Chi è | Cosa fa

La Cyber ​​Security Challenge UK, una serie di competizioni pensate per testare le tue capacità di sicurezza informatica, è un’altra fonte di opportunità, comprese le aree virtuali progettate per supportare e potenziare i talenti informatici attraverso la gamification. CyPhinx è una di queste aree virtuali ed è rilevante per tutte le persone, dai principianti ai professionisti del settore. Una caratteristica utile del sito è l’area “lobby”, dove i datori di lavoro visualizzano le prestazioni dei “giocatori” e possono collegarsi con te.

Altre attività utili includono eventi di cattura della bandiera (CTF), in cui i team o gli individui devono hackerare e difendere i sistemi per “catturare” un file o un codice. Questo tipo di esercizio ti dà la possibilità di affinare le tue capacità di sicurezza informatica e sviluppare la tua rete. Scopri di più su cosa fa Cyber ​​Security Challenge UK.

Potresti anche prendere in considerazione una più ampia esperienza nello sviluppo e nella programmazione IT, poiché questi campi forniscono le basi essenziali della conoscenza per i penetration tester. Stage e opportunità di collocamento a sandwich sono disponibili in questi ruoli e possono essere trovati su grandi cantieri o contattando speculativamente i datori di lavoro.

Altre attività utili includono seguire esperti di sicurezza su Twitter, creare un profilo LinkedIn e partecipare a gruppi di sicurezza, partecipare a conferenze ed eventi di settore e leggere pubblicazioni, siti Web e blog sulla sicurezza informatica.

Datori di lavoro

Ci sono opportunità di lavorare come penetration tester sia nel settore pubblico che in quello privato, su base dipendente o freelance (contratto).

I datori di lavoro tipici includono società di consulenza in materia di sicurezza che impiegano tester di penetrazione per lavorare su contratti con i clienti. Puoi anche lavorare internamente per aziende nazionali e multinazionali come servizi finanziari, società di servizi pubblici o organizzazioni governative, nonché per aziende di piccole e medie dimensioni.

Cerca offerte di lavoro presso:

  • Offerte di lavoro ITWatch

È comune trovare lavoro in questo settore facendo applicazioni speculative mirate direttamente alle aziende. Questo può essere un approccio particolarmente efficace se stai cercando di lavorare con organizzazioni di piccole e medie dimensioni, che potrebbero avere maggiori probabilità di assumere tester di penetrazione meno esperti.

CREST ha un elenco di aziende accreditate che forniscono test di penetrazione, che puoi utilizzare per le aziende target.

Sviluppo professionale

Lo sviluppo professionale continuo (CPD) costituisce una parte vitale della tua carriera in quanto ci si aspetta che tu stia al passo con i nuovi metodi di hacking mantenendo aggiornate le tue abilità e conoscenze. Dovrai tenerti aggiornato sulle tecnologie attuali e su come potrebbero essere sfruttate dai criminali.

Sono disponibili alcuni programmi per laureati, che di solito forniscono un programma di sviluppo strutturato, tutoraggio e l’opportunità di intraprendere tirocini in vari dipartimenti.

È comune acquisire qualifiche specifiche del settore per dimostrare la tua comprensione, conoscenza ed esperienza. Le qualifiche professionali del settore sono offerte da un certo numero di organizzazioni, la maggior parte delle quali offre diversi livelli di accreditamento dal livello di ingresso al livello manageriale. Questi includono:

  • CRESTA
  • Cyber ​​Scheme
  • Schema della tigre

Lo schema CHECK consente alle aziende approvate dal National Cyber ​​Security Center (NCSC) di fornire tester di penetrazione qualificati per lavorare sui sistemi IT per il governo e altri enti del settore pubblico. Per qualificarsi come membro del team CHECK (CTM) o team leader (CTL), è necessario superare un esame CREST, Tiger Scheme o Cyber ​​Scheme accreditato NCSC.

Altre qualifiche rilevanti includono:

  • Certified Information Systems Security Professional (CISSP)
  • Il programma Certified Professional (CCP)

Per i ruoli di livello senior, è spesso un prerequisito per possedere una o più delle certificazioni avanzate, come la qualifica CTL o CREST Certified Practitioner.

Prospettive di carriera

Il tuo primo ruolo sarà in genere un amministratore di sistema junior, uno sviluppo IT o un ruolo di supporto IT. Con esperienza e qualifiche professionali rilevanti, puoi passare al ruolo di penetration tester.

Gioia Novena20 Dicembre 2020
0 8 minuti letti
Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Pulsante per tornare all'inizio