Andrea Harston (qui se fait appeler Andee) a grandi en Floride, non loin du Kennedy Space Center. "La ville dans laquelle j'étais – c'était vraiment sur quoi reposait l'économie, c'était le programme spatial", a-t-elle déclaré. "Il était courant de sortir et de voir la navette spatiale ou de faire une excursion au Kennedy Space Center et de voir toute la technologie cool qui s'y trouvait." Cela a déclenché son propre intérêt pour la technologie, et son premier objectif était d'obtenir un baccalauréat et d'obtenir un emploi au Centre.
Le premier travail de Harston consistait à travailler sur un AS / 400 au Centre, à éditer la documentation de lancement et à travailler sur une variété de contrats là-bas. Elle a tout fait, de la rédaction technique à la formation et au développement en passant par la gestion de la formation. Elle a fait des tests de logiciels et a aidé à développer et à documenter leur logiciel d'opération de lancement. "C'était mon introduction au monde des technologies de l'information", a-t-elle déclaré.
En savoir plus sur la cybersécurité
Maintenant, Harston est le directeur du programme de cybersécurité pour Infosec. Mais sa carrière dans l'informatique et la sécurité a pris des rebondissements au cours des deux dernières décennies. Après le Space Center, elle a travaillé pendant 11 ans à Computer Sciences Corporation, où elle a rédigé la documentation de lancement. Là, l'un de ses rôles était le développement de la formation. Elle a suivi cela avec quelques années dans le secteur privé, dans un rôle de rédaction technique, avant de retourner au Kennedy Space Center en tant que rédactrice technique. Plus tard, elle a pris un emploi chez AECOM, où elle a été initiée à la cybersécurité. "J'ai en fait commencé à écrire de la documentation sur la sécurité pour eux - des choses comme des plans de reprise après sinistre, des plans de réponse aux incidents, la continuité des opérations - en tant que rédacteur technique", a-t-elle expliqué.
L'équipe de cybersécurité là-bas disposait de plus d'une douzaine de systèmes d'information, et c'était "l'endroit où il fallait être". Elle a rapidement obtenu sa première certification, une FITSP-Auditor, une certification fédérale d'auditeur, et a commencé une formation pour devenir évaluatrice. Elle a également travaillé comme évaluatrice, ISSO (agent de sécurité des systèmes d'information), pour plusieurs contrats, et brièvement comme évaluatrice du contrôle de sécurité (SCA) pour NDTI (New Directions Technology Inc.), également au Kennedy Space Center.
VOIR : Comment bâtir une carrière réussie dans la cybersécurité (PDF gratuit) (TechRepublic)
"J'ai essentiellement agi en qualité d'évaluateur interne et d'évaluateur externe pendant la majeure partie de ma carrière en cybersécurité pour le Centre spatial", a-t-elle déclaré.
En plus de la CISA, Harston a accumulé des certifications - en tant que Certified Expert Risk Management Framework Professional (CERP), Certified Expert Risk Management Framework Professional (CERP) - DoD et Certified Expert Independent Assessor (CEIA). Bien que ces certifications soient importantes, "la réalité du travail ne correspond souvent pas au cadre", a-t-elle déclaré, "et vous pouvez avoir des personnes qui exercent des fonctions différentes de celles qui sont réellement écrites sur papier ou s'il s'agit d'un objectif vérifiable."
Une grande partie de son apprentissage s'est déroulée sur le tas, car "il y a tellement d'expériences différentes et d'anomalies uniques qui peuvent survenir", a-t-elle déclaré. "Il y a tellement de choses que vous apprenez lors de l'audit d'un contrôle, car la façon dont vous auditez le même contrôle pour un système différent peut être une expérience complètement différente." Elle décrit l'expérience du monde réel plus comme des "nuances de gris" –– où il peut y avoir "beaucoup de subjectivité dans l'évaluation.
Le baccalauréat de Harston est en administration des affaires, pas en cybersécurité. Mais elle recommande une certification fondamentale, comme Security+, pour toute personne intéressée par le domaine. "Cela vous aidera de manière exponentielle. Cela peut vous ouvrir de nombreuses portes", a-t-elle déclaré. La nature du domaine signifie que les certifications doivent toujours être actualisées. "Ce n'est pas seulement un diplôme unique. C'est comme un processus d'apprentissage continu pour maintenir vos connaissances à jour."
Au cours d'une journée typique, Harston se lève vers 6 heures du matin et se connecte à son ordinateur. L'essentiel de son travail consiste à réviser le contenu par des experts en la matière, qui ont été sous-traités par Infosec pour créer du contenu pour différentes tâches d'apprentissage. La plupart du contenu se présente sous forme de vidéos et de diapositives. Harston l'examine pour en vérifier l'exactitude technique, ainsi que le contenu de la page de ressources du site Web. Il peut s'agir de "une certaine certification, d'une présentation technique d'un ransomware spécifique ou d'un sujet brûlant, comme le facteur humain dans la cybersécurité ou quelque chose du genre", a-t-elle expliqué.
"Je vais examiner cela d'un point de vue technique juste pour m'assurer, 'Hé, est-ce que cette personne sait de quoi elle parle ? Les informations sont-elles correctes et précises et sont-elles présentées de manière à ce que les étudiants puissent les consommer facilement et efficacement ? '" Elle est de facto une vérificatrice des faits, s'assurant que le matériel couvre tous les détails nécessaires et est exact, et cite les sources appropriées (c'est-à-dire, pas Wikipedia). Si ce n'est pas le cas, elle le renvoie pour révision. Harston s'assure également que le matériel couvre les objectifs d'apprentissage requis par l'industrie - qui sont plus spécifiques en ce qui concerne les certifications.
L'équipe de Harston a deux autres employés sous ses ordres, qui travaillent sur les compétences pratiques et le produit IQ, ou la formation de sensibilisation à la sécurité, et elle dit que c'est un processus collaboratif.
"Ils diront : 'Hé, nous avons ici un scénario pour l'un de nos nouveaux modules Choisissez votre propre aventure et nous voulons savoir si l'utilisation d'un écran de verrouillage sur un ordinateur dans ce scénario est suffisamment sécurisée pour l'objectif d'apprentissage que nous visons. essayer d'enseigner. Alors ils vont gérer ça par moi ou je vais donner mon avis là-bas », a-t-elle expliqué. Elle passe environ la moitié de son temps en réunion et l'autre moitié à réviser le contenu.
VOIR : Les 3 principales raisons pour lesquelles les professionnels de la cybersécurité changent d'emploi (TechRepublic)
Elle écoute également les clients pour obtenir des commentaires sur ce qu'ils aimeraient voir davantage. Les clients qui assistent à des conférences et peuvent rendre compte des produits peuvent ajouter de la valeur. Parfois, elle collaborera avec l'équipe produit. "Je dirai, 'Hé, nous avons cette demande d'un client qui veut que cette certaine fonctionnalité soit intégrée dans le système.' Il y a donc aussi beaucoup de collaboration d'équipe, en plus d'obtenir les commentaires du client."
En plus d'aimer l'aspect recherche de son travail, un autre point fort du travail de Harston est la possibilité d'apprendre constamment de personnes au sommet de leur domaine.
"Quand j'ai quitté le DOD, j'ai spécifiquement recherché ce type de poste avec cette entreprise en particulier - pour moi, c'était le mariage entre cette connaissance de la cybersécurité, que j'aime, et cette composante éducative, que j'aime beaucoup aussi, " dit-elle. Pour ceux qui souhaitent suivre son chemin, Harston recommande de trouver un mentor. S'il n'y a pas quelqu'un de disponible, elle suggère de rejoindre une organisation professionnelle, telle que Women in Cybersecurity, une organisation à but non lucratif offrant des ressources et des opportunités de réseautage, ou l'Institut national des normes et de la technologie, qui propose des groupes de travail publics.
"La bonne chose à propos du cadre gouvernemental est qu'ils sont tous en ligne, toutes les informations que vous voudriez ou devriez savoir sont là", a déclaré Harston. "C'est peut-être écrasant de voir l'essentiel, mais il y a beaucoup de gens formidables que vous pouvez contacter et qui seraient heureux de vous donner les ressources dont vous avez besoin pour passer à l'étape suivante de votre carrière."
Bulletin d'informations sur la cybersécurité
Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières nouvelles, solutions et meilleures pratiques en matière de cybersécurité.Livré les mardis et jeudis
Inscrivez-vous aujourd'hui