Fidelity Investments ’John Donohoe diskuterar utmaningarna och fördelarna med att flytta till en cybersäkerhetsroll.
John Donohoe, senior cybersecurity -ingenjör på Financial Services Fidelity Investments, började i systemadministration, innan han letade efter en riktningsförändring. Specifikt syftade han till att flytta in i cybersäkerhetsutrymmet, som han åstadkom genom att gå med i Fidelitys ECS Identity and Access Management Team 2020.
”Som en del av detta team lärde jag mig mycket om molnteknologier när jag arbetade med att implementera IAM -verktyg och lösningar med molnteknologier. Jag lärde mig också mycket om styrning och revision av åtkomsthantering och hur detta passar ihop för att ge säkerhet för trohet.
”Jag flyttade från Identity and Access Management (IAM) till applikationssäkerhet eftersom jag ville utöka min erfarenhet av mjukvaruutveckling. Som en del av denna nya roll förbättrade jag kraftigt mina tekniska färdigheter genom att lära mig om de verktyg som används i mjukvaruutvecklingens livscykel och hur säkerhet integreras i varje steg i utvecklingsprocessen.”
Berätta om din bakgrund i systemadministration.
Jag har alltid haft den problemlösande aspekten av mitt arbete. Som systemadministratör hanterade jag programvaruplattning, driftsystemdistributioner och mjukvaruapplikationsdistributioner för tusentals datorer i hela företaget. Det fanns alltid en ny programvara att distribuera, hårdvara för att installera eller problem för att undersöka.
Automation var en stor del av arbetet, och jag gillade verkligen att ta reda på hur man skriptade distributioner för en mängd olika programvara och hårdvara.
Vad fick ditt beslut att söka en karriär inom cybersäkerhet?
Möjligheten att lära är alltid oavgjort för mig. Jag gillar en ny utmaning, och jag drogs in i cybersäkerhet av möjligheten att lära mig om ett helt nytt område av det.
Jag hade exponering för lite cybersecurity -arbete som systemadministratör eftersom jag ofta skulle vara ansvarig för att distribuera konfigurationsändringar eller ny programvara till IT -system inklusive slutpunktskyddsprogramvaran. Jag skulle ofta arbeta med cybersecurity -teamen på fixar för säkerhetssårbarheter och mitt intresse växte ut ur det.
Hur gjorde du för att göra det rörelsen och fick du stöd?
Jag fick reda på att Fidelity Irland anställde för cybersäkerhetsroller genom en vän och ansökte om en av systemtekniska positioner inom identitets- och åtkomsthantering.
Som systemadministratör hade jag erfarenhet av åtkomstkontroller och hantering av ett kritiskt IT -system. Detta stod bra upp med den nya rollen på Fidelity. Jag var tvungen att lära mig mycket om cybersäkerhet i allmänhet och koncept, processer och verktyg i IAM. Fidelity hjälpte mycket med det eftersom de ger tillgång till interna och externa utbildningsresurser och ger dedikerade inlärningsdagar som gjorde det möjligt för mig att ha tid att upskill.
Vilka var de största utmaningarna du stötte på när du bytte karriär?
Jag tror att den största utmaningen för mig var förändringen i tankesätt från systemadministration till cybersäkerhet. I systemadministration tänker du på tekniska problem, deras lösningar och hur man implementerar dem. I cybersäkerhet tänker du på problem, deras lösningar men också riskerna. Riskerna förknippade med både problemen och deras lösningar och hur dessa risker kan mildras. Det får dig att tänka på IT -system på ett annat sätt och det tog mig lite tid att anpassa sig till det sättet att tänka.
Berätta om din nästa flytt till applikationssäkerhet.
Jag bestämde mig för att flytta till applikationssäkerhet eftersom jag ville utöka min erfarenhet inom olika områden med cybersäkerhet och engagera sig mer i mjukvaruutveckling. Jag tycker att rollen är ganska intressant eftersom den är ganska varierad. Vi implementerar verktyg och processer som automatiskt analyserar applikationer i olika stadier av utvecklingslivscykeln. För detta måste du förstå mjukvaruutvecklingsmetoder, bygga verktyg, DevOps -plattformar och hur säkerhetsverktygen passar in i bilden.
Finns det något du önskar att du visste när du började din karriärpivot?
Jag tror att en bättre förståelse av DevOps och programvaruutvecklingsprocesser skulle ha hjälpt mig mycket när jag övergick. Det är inte något som jag hade mycket exponering för som systemadministratör och det var en ganska brant inlärningskurva i början. Jag hade lite erfarenhet av att skriva automatiseringsskript som skulle köra på ett avlägset system, så det hjälpte mig att lära mig DevOps -verktygen ganska snabbt. Jag lär mig fortfarande om mjukvaruutveckling. Jag vet mycket mer om det nu än för två år sedan men det finns alltid mer att lära sig.
Vad tycker du mest om ditt jobb nu och arbetar i cybersäkerhet i allmänhet?
Jag tycker fortfarande om problemlösning och mångfalden av det arbete som vi gör. Jag får spendera mer tid på att skriva kod och arbeta med olika molntekniker som en del av min roll som jag verkligen gillar.
Den roligaste aspekten av att arbeta inom cybersäkerhet är möjligheten att lära sig nya färdigheter och tekniker. Det är ett krav på jobbet att hålla jämna steg med de senaste förändringarna och det är det som håller arbetet intressant.
Vilka råd skulle du ge till andra med tanke på att flytta in i cybersäkerhetsutrymmet, särskilt de från andra karriärer?
Mitt råd skulle vara att spendera lite tid på att förstå de olika områdena med cybersäkerhet. Det finns mycket mer än penetrationstestning och etisk hacking. Många tekniska färdigheter från andra områden av IT överför ganska bra. Det är ett snabbt utvecklande utrymme och det erbjuder en fantastisk möjlighet att lära sig nya färdigheter och tekniker. Om det finns ett specifikt område med cybersäkerhet som är av intresse för dig, spendera lite tid på att bekanta dig med processerna och verktygen i det området.
Vilka är de viktigaste färdigheterna i den här branschen enligt din åsikt och hur kan människor öka?
Det finns en stor förskjutning mot AI så det skulle vara fördelaktigt att lära sig hur man använder AI -verktyg och hur de utnyttjas i cybersäkerhet. Det är också bra att ha en förståelse för molnteknologier och cybersecurity -verktygen som finns där. I fler tekniska roller skulle jag föreslå att det alltid är användbart att lära sig ett skriptspråk som Python och Shell Scripting. När du först har förstått området och typen av roll du vill arbeta i, spendera lite tid på att lära dig om de vanliga problemen, lösningarna och verktygen i det utrymmet.
