موقعیت های شغلی امنیت اطلاعات


اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای 2007 تا 2013 به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال 2022 با رشد سی و هفت درصدی نسبت به 2012روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از 10 شغل برتر از نظر میزان درآمد به شرح زیر شده است.

1-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال 2015 حدود 131 هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد 81 هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا 240 هزار دلار در سال نیز افزایش یابد.


2-    معمار امنیت (Security Architect)

معمار امنیت یک کارشناس ارشد است که مسئول ایجاد و نگهداری زیرساخت فنی امنیت سازمان است. این جایگاه نیازمند دارا بودن یک تصویر جامع از زیرساخت فناوری و اطلاعاتی سازمان است، تا فرد را قادر به توسعه و تست ساختارهای امنیتی برای حفاظت از زیرساخت فوق نماید. از معمار امنیت انتظار می­رود که در حیطه­های متنوعی همچون ایزو 27001 و 27002، ITIL ، COBIT ، روال­های ارزیابی مخاطرات، سیستم عامل­ها و کنترل­های امنیت پیرامونی مهارت داشته باشد.

بر اساس پیش­بینی PayScale، حداقل دریافتی سالانه معمار امنیت حدود 84 هزار دلار، به طور متوسط حدود 109 هزار دلار و حداکثر 160 هزار دلار است.

3-    سرپرست امنیت (Security Director)

سرپرست امنیت نیز یک کارمند ارشد است که وظیفه نظارت بر پیاده­ سازی کلیه کنترلهای امنیت فناوری اطلاعات را بر عهده دارد. به بیان دقیق­تر، سرپرست امنیت مسئول طراحی، مدیریت و تخصیص منابع به برنامه­های امنیتی در داخل واحد امنیت است، از جمله: ایجاد برنامه­ های آگاهی رسانی، انطباق با استانداردها، تعامل با کارمندان واحدهای دیگر و نیز کمک به اجرای روال­های قانونی در صورت رخداد یک حادثه امنیتی.

از سرپرست امنیت انتظار می­رود که مهارت­های CISO را در زمینه دانش راهبردی فناوری اطلاعات، معماری سازمان و دیگر مفاهیم امنیت داشته باشد. در حقیقت، سرپرست امنیت مستقیماً به CISO پاسخگو است و به طور کلی در سازمان­های کوچک نقش CISO را ایفا می­کند.

4-    مدیر امنیت (Security Manager)

مدیر امنیت یک کارمند میانی است که مدیریت خط مشی های امنیتی سازمان را بر عهده دارد. یک مدیر امنیت موفق باید توان ارتباط موثر با افراد و رهبری داشته باشد. کاندیداهای این جایگاه باید خود را برای تدوین و اجرای استراتژی­های ابلاغ شده از سرپرست یا مدیر ارشد امنیت آماده کنند.

مدیر امنیت همچنین موظف است ابزارهای جدید امنیت را تست و پیاده­ سازی کند، برنامه­ های آگاهی­ رسانی را راهبری کرده و بودجه واحد و زمانبندی افراد را مدیریت نماید. لازم است این فرد دارای پیش­ زمینه کافی برنامه نویسی بوده و با معماری سازمان و موضوعات راهبردی فناوری اطلاعات آشنا باشد. با این حال عموماً  وجود دانش عمیق در این زمینه­ ها الزامی نیست.

دستمزد سالانه این جایگاه به طور میانگین 102 هزار دلار بوده و میزان حداقل و حداکثر دستمزد مورد انتظار این شغل به ترتیب 71 هزار و 143 هزار دلار (در سازمان­های بزرگ) پیش­ بینی می­شود.

5-    مهندس امنیت (Security Engineer) 

مهندس امنیت یک کارشناس میانی است که وظیفه ایجاد و راهبری راه حل­های امنیت فناوری اطلاعات را بر عهده دارد. پیکربندی فایروال، تست ابزارهای جدید، بررسی حوادث و گزارش­دهی به مدیر امنیت از جمله وظایف این جایگاه است. کسانی که مایل به تصدی این شغل هستند باید پیش­زمینه قوی در زمینه ارزیابی آسیب پذیری و تست نفوذ، فناوری مجازی سازی، فناوری­ های کاربردی و رمزنگاری، به علاوه پروتکل­های شبکه  داشته باشند. هر قدر گستره ابزارهایی که مهندس امنیت با آنها آشنا است بیشتر باشد، بیشتر می­تواند به سازمان در رفع مشکلات امنیت کمک کند.

دستمزد میانگین مهندس امنیت سالانه حدود 87 هزار دلار بر اساس پیش­ بینی PayScale در سال 2015 است. حداقل دریافتی مورد انتظار برای این شغل می­تواند 57 هزار دلار و حداکثر 128 هزار دلار در سال باشد.

6-    کارشناس پاسخ به حوادث (Incident Responder)

این کارشناس مسئول رسیدگی به حوادث، تهدیدها و آسیب پذیری­ها است. افراد متقاضی این جایگاه باید برای پایش فعال شبکه سازمان، اجرای تست نفوذ، ممیزی امنیت، تحلیل بدافزار و مهندسی معکوس آن، در راستای جلوگیری از رخداد مجدد حوادث آمادگی و توانایی داشته باشند.

کارشناس مسئول پاسخ به حوادث عموماً عضو تیم گوهر (CSIRT) بوده و به مدیر گوهر پاسخگو است. داشتن مهارت­ در زمینه­های گسترده­ای چون امنیت برنامه­ های مبتنی بر وب و نرم افزارهای فارنزیک الزامی است.

میزان دستمزد میانگین برای این جایگاه بین 70 تا 90 هزار دلار سالانه است. به طور کلی متقاضی این جایگاه می­تواند انتظار دریافتی سالانه بین 50 تا 150 هزار دلار را داشته باشد.

7-    مشاور امنیت (Security Consultant)

مشاور امنیت یک کارشناس بیرون از سازمان است که به سازمان برای اجرای راه حل­های امنیتی کمک می­کند. کسانی که متقاضی جایگاه مشاور امنیت هستند باید طیف گسترده­ای از استانداردها، سیستم­ها و پروتکل­های امنیتی را بشناسد. مشاور امنیت برای موفقیت باید تصویر جامعی از سازمان مربوطه داشته باشد، با مدیران ارشد سازمان تعامل داشته و خط­ مشی­های کسب و کار سازمان را به خوبی بشناسد. در این صورت مشاور می­تواند ابزارها و راه حل­هایی که مناسب وضع موجود سازمان است را پیاده­سازی نماید. همچنین مشاور باید بتواند در صورت نیاز این راه حل­ها را تست و به روز رسانی کند. بر اساس پیش بینی PayScale ، مشاور امنیت می­تواند به طور میانگین 81 هزار دلار درآمد در سال 2015 داشته باشد. حداقل این درآمد 46 هزار دلار و حداکثر مورد انتظار، 147 هزار دلار است.

8-    کارشناس فارنزیک (Computer Forensics Expert)

این کارشناس مسئول تحلیل شواهد جمع­آوری شده از کامپیوترها، شبکه و تجهیزات ذخیره سازی به منظور بازرسی جرائم و حوادث کامپیوتری است. این افراد عموماً همکاری تنگاتنگ با مراجع قانونی داشته و شواهد و گزارش­های فنی را تهیه و ارائه کرده و نیز آموزش­های حقوقی در زمینه امنیت اطلاعات ارائه می­ دهند. بیشترین موقعیت شغلی برای این افراد در سازمان­های حقوقی و حاکمیتی فراهم است.

میزان دستمزد میانگین برای این جایگاه حدود 77 هزار دلار سالیانه بوده و از حداقل 56 هزار دلار تا 119 هزار دلار با در نظر گرفتن کمیسیون­ها و اضافه کار در نوسان است.

9-    تحلیل­گر بدافزار (Malware  Analyst)

تحلیل گر بدافزار به سازمان در زمینه شناخت انواع بدافزارها کمک می­کند. این افراد با کارشناسان فارنزیک ارتباط کاری نزدیکی داشته و به خصوص هنگام حوادث امنیتی برای شناسایی بدافزارها تلاش می­کنند. از جمله کارهای این افراد می­توان به تحلیل استاتیک و پویای کد برنامه ها برای شناسایی امضای بدافزارها و توسعه ابزارهای ضد بدافزار اشاره کرد.

دستمزد میانگین این جایگاه شغلی سالانه 75 هزار دلار بوده و از حداقل 48 هزار دلار تا 100 هزار دلار قابل تغییر است.

10- متخصص امنیت (Security Specialist)

متخصص امنیت یک کارشناس سطح پایین تا سطح میانی است که مسئول انجام کارهای مختلفی در زمینه امنیت سازمان می­باشد. اکثراً متخصص امنیت موظف است نیازمندی های امنیتی سیستم های سازمان را تحلیل کند، ابزارهای امنیتی را نصب و پیکربندی کرده و ارزیابی آسیب پذیری انجام دهد. همچنین باید به کارمندان سازمان آموزش­های لازم را نیز ارائه کند. افراد متقاضی این جایگاه باید دارای دانش مناسبی در زمینه نفوذ، شبکه، برنامه نویسی و ابزارهایی مانند SIEM داشته باشند.

دستمزد سالانه متخصص امنیت به طور میانگین حدود 74 هزار دلار بر اساس پیش بینی PayScale در سال 2015 بوده و می­تواند بین 43 هزار تا 113 هزار دلار در نوسان باشد.

* این یادداشت از وب سایت شرکت امنیتی Tripwire انتخاب و ترجمه شده است.

-------------------------------------------------------------------------------------------------------------

مطلب ارزنده فوق نوشته دوست عزیز جناب آقای افشین لامعی است که در شماره 60 مجله بانکداری الکترونیک چاپ شده است. از آنجایی که بررسی مشاغل حوزه امنیت اهمیت ویژه ای دارد این مطلب را در وب نوشت منتشر کرده ام.

از آنجایی که در ایران اطلاعات دقیقی در مورد مشاغل و درامدهای آنها در دسترس عموم نیست جهت مقایسه  100  شغل برتر  کشور آمریکا همراه با جزپیات مناسب  به اینجا مراجعه کنید. نظر سنجی گسترده ای از وضعیت کار، زندگی و شیوه زیست برنامه‌نویسان و مدیر سیستم‌های ایران  در سال ۱۳۹۴ توسط جادی میرمیرانی عزیز انجام شد که نکات خوبی را در مورد وضعیت شغلی این حوزه مشخص می کند اگر چه نگاشت 100% میان برنامه‌نویسان و مدیر سیستم‌ها و مشاغل حوزه امنیت اطلاعات وجود ندارد اما به نظر بنده تناسبی میان این دو حوزه وجود دارد؛ از این رو مطالعه این بررسی خالی از لطف نیست و می تواند تا حدودی وضعیت مشاغل حوزه امنیت اطلاعات را نیز برای شما مشخص نماید.

توجه به میزان حقوق دریافتی کارشناسان و مدیران IT در سال 94 (منبع :دنیای اقتصاد) نیز به عنوان پایان بخش این مطلب نیز می تواند برای بسیاری راهگشا باشد:

میزان حقوق دریافتی کارشناسان و مدیران IT





مطالب مرتبط: 

---

پاسخ به برخی سوالات :

 (1)

با عرض سلام و خسته نباشید .خواستم اگه ممکنه در مورد کاری که یک متخصص رایانش امن انجام میدهد در سازمان یا ارگانی که استخدام میشود توضیح بدید ممنون میشم به علت اینکه طبق فرمایشات شما متخصص این رشته وظیفه هک کردن نداره و با هکر متفاوت هست و از طرفی نیازی به گذراندن دوره های ccna , ccnp نیست یعنی وظیفه ایجاد امنیت از نظر سخت افزاری در شبکه را ندارد این هست که کمی در مورد وظیف یک متخصص در این حیطه گیج شدم راهنمایی بفرمایید ممنون میشم....

سلام. ممنون.
به طور کلی افرادی در در سازمان ها یا شرکت ها در بخش امنیت فعالیت می کنند غالبا با توجه به محدوده و ماموریت های سازمان یا شرکت و عمق تخصصی آن در هر یک از حوزه های ذیل می تواند فعالیت کنند و طبیعی است که در هر حوزه فرد با توجه به نیازهای عملیاتی امکان دارد برخی دوره های خاص را نیز بگذراند؛ به عنوان مثال کسی که در حوزه امنیت شبکه کار می کند غالبا نیاز به دوره های ccna، ccnp، ccie، ecsa و غیره دارد.
  • امنیت شبکه
  • امنیت نرم افزارهای وب
  • امنیت نرم افزارهای stand alone
  • مراکز ارزیابی امنیتی
  • تست نفوذ (وب، شبکه و غیره)
  • امنیت سخت افزار
  • امنیت کارت های هوشمند
  • مراکز زیرساخت کلید عمومی ( PKI ) و  تجهیزات مرتبط با آن
  • تحلیل و تشخیص بدافزار
  • جرم شناسی رایانه ای(Forensic)
  • امنیت سامانه های سایبر-فیزیکی مانند سامانه های کنترل صنعتی و یا تجهیزات embedded
  • ممیزی و مدیریت امنیت اطلاعات(ISMS)
  • تیم های امداد و نجات رایانه ای(CSIRT)
  • مراکز SOC
  • و غیره

جهت اشراف به شرح وظایف هر یک از حوزه های بالا کافی است در مورد هر یک جست وجوی اندکی داشته باشید.

موفق باشید.

-----------------------------------------------------------------------------------------

 (2)

من الان 25 سالم هست *****. 1 سال و نیم از پایان گرفتن مدرک کارشناسی نرم افزارم میگذره. تا حد المقدور نمیخواستم وارد بازار کار این رشته بشم. چون در خودم قابلیت اپدیت شدن و گذروندن کلاس های مجدد رو نمیدیدم الانم همون طوریه کم و بیش ولی مجبورم.
*************************** معدلم تو جفتش بالا بود. ولی خب شمام در جریانی که تو دانشگاه چیزی مناسب کار یاد نمیدن. منم انگیزه ای برای ادامه دادن نداشتم.
تحقیق زیادی کردم بین شبکه و برنامه نویسی ولی به نتیجه نرسیدم. با جفتش تا حدودی اشنام به صورت خود آموز و از دوران دانشگاه .
 برای برنامه نویسی فکر میکنم بیشتر پشت سیستم نشستن چشم و بدنم رو اذیت میکنه و فکر میکنم در حال حاظر اندروبد که بهترین بازار رو  داره اشباع شده.
{سلام. برنامه نویسی دشواری های خاص خودش رو دارد اما اینگونه نیست که حوزه ای از آن اشباع شده باشد، در حال حاضر اگر فردی در هر یک از حوزه  های برنامه نویسی واقعا حرفه ای باشد کاربرایش وجود دارد}
در نوع کار فعالیت فیزیکی یا کمتر پشت سیستم نشستن داشته باشه بهتره که بعید میدونم چنین چیزی باشه.
مباحث امنیت برام جالب بودن. خیلی کم در موردشون خوندم.
{توصیه می کنم  تا زمانی که این گرایش را به اندازی کافی نشناختید و در مورد آن تحقیق نکردید برای ادامه مسیر آن را انتخاب نکنید!}
مطالب مربوط به بازار کار رو خوندم. غیر کارای اکادمیک وضعیت چجوریه الان ؟
{اگه به پست ها وب نوشت رجوع کنید متوجه می شود که شرایط خیلی ایده ال نیست اما  شرایط مساعد است و هنوز اشباع نشده است!}

چه رده های شغلی داره ؟ من از کسی شنیدم میگفت مثلا یک وظیفه شغلی هست که فقط طرف سیاست های امنیتی رو تو سازمان و شرکت تعیین میکنه بدون اینکه به تکنولوژی خاصی دقیق اشنا باشه. مثلا در شبکه بدون دونستن کامل سیسکو و مایکروسافت. مثلا بیس فایروال رو میدونه و کسی دیگه ایده هاشو پیاده میکنه. همچین چیزی وجود داره به نظرتون برای عموم؟
یا متخصص امنیت سیستم یا نفوذ شغلی داره اصلا ؟
من کل رده های شغلی رو از کجا میتونم پیدا کنم به نظرتون؟
{به این پست مراجعه کنید: بارها در وبنوشت عرض کرده ام که ابتدا به پست های وب نوشت رجوع کنید اگر پاسخ شما در میان آنها نبود ، مطرح نمایید!!!}

مورد دیگر اینکه بعد از انتخاب مسیر از کجا و کدوم دوره باید شروع کرد؟ البته این بسته به انتخاب مسیر سوال قبلی داره.
{به این پست مراجعه کنید:طبیعتا بسته به زمینه مورد نظر باید دوره های آموزشی مورد نیاز را طی کنید و یا از منابع آنها استفاده کنید و سپس به شکل کاراموزی (منظور کار بدون حقوق یا با حداقل حقوق برای کسب تجربه لازم) مدتی کار حرفه ای انجام دهید و بعد از کسب تجربه لازم در شرکت های خصوصی یا مراکز دولتی بسته به توانمندی خود ادامه مسیر دهید}

بسیار ممنون و سپاس گذارم.

{خواهش می کنم. موفق باشید.}


-----------------------------------------------------------------------------------------

 (3)


سلام مجدد. من پیغام شما رو الان دیدم که جواب دادی سوالاتم رو.
خیلی ممنونم امیدوارم پاسخ کمک هاتون رو دریافت کنید.
{سلام. خواهش می کنم.}

در سوال هایی که کرده بودم شما ۲ لینک دادید به من که من قبلا هم اونارو دیدم بودم. رده های شغلی به عنوان مثال شغل های جهانی که مطرح شده در ایران من اینچنین شغل ها رو ندیدم. یا تعریف متفاوتی داشتن.
{طبیعتا چنین رده های شغلی در ایران هم وجود دارد اما در شرکت ها یا سازمان هایی که به شکل  تخصصی در حوزه امنیت اطلاعات فعالیت دارند؛ در شرکت های عمومی حوزه فناوری اطلاعات عموما شخص یا اشخاصی به شکل مشترک با عنواینی نظیر کارشناس امنیت، مدیر امنیت، کارشناس فاوا و امثالهم  کارهای متنوع حوزه امنیت را که نیاز به تخصص های ویژه دارد در سطح معمولی انجام  می دهند}
برای همین پست شما حالت کلی صحیح هست باور کنید  من پست های شما رو قبلا دیده بودم. ولی در ایران خیلی گیج کننده هست شرایط‌ مثلا رفتن به دوره ceh ، ecsa , chfi . از نظر عملی چیزی به ما اضافه میکنه ؟
{بستگی دارد که این دوره ها را در کجا و زیر نظر اساتید حاذق بگذرانید و یا خیر}
بعدش کجا بریم دنبال کاراموزی.
{شرکت های حوزه امنیت که کاراموز نیز قبول می کنند.}
ایا اگهی ردیف های شغلی شما در شرکت های خصوصی دیدید؟
اگر هست لطفا لینکشون رو قرار بدید تا کمکی به ما بکنه. چیزی که من اکثرا میبینم برنامه نویس و کارای شبکه هست.
{بله با اندکی جست و جو مشاهده خواهید کرد ، کافی است در شبکه های اجتماعی کاری مانند لینکداین عضو شوید و با شرکت ها و کارمندان آنها ارتباطات داشته باشید: آگهی ها زیاد است اما چون قصد تبلیغ شرکت های مختلف را ندارم نمی توانم شرکتی خاص را پیشنهاد بدهم.}
خیلی لطف میکنید پیغام ها رو بررسی میکنید.
{خواهش می کنم}