Оффенсив можно начать самому, ссылок уже накидали. Аппсек можно тоже слегка начать самому. Крутить СЗИшки, проводить аудит, писать регламенты - только удачно попасть на вузовскую практику или устроиться на стажировку после вуза.

Я бы убрал слово удачно или в кавычки

Удачно было к практике (производственная/преддипломная).

Я больше про то, что удачно и сзи, аудит, регламенты в одном предложении смотрится иронично

Курсы

Ну, тут на вкус и цвет. А вообще, не будет сиемщиков с соковцами - кому редтим продавать?)) А зачем нужны сиемщики, если некому настроить передачу логов в их системы? А без регламентов как  эскалировать, реагировать и устранять так, чтобы потом не было мучительно больно?)) Сейчас илита (не опечатка) - девсеки, до них илитой были пентестеры, в начале десятых всем нужны были пднщики. Все мы делаем общее дело - торгуем страхом помогаем бизнесу снижать риски и продолжать работать)

Девсеки и росли с десятых, а то и нулевых

Понятно, что само явление довольно древнее, но, если говорить о публичности, тогда они скорее были широко известны в узких кругах, а на массмаркет в России начали выходит году в 15-16, по моим ощущениям.

К ИБ подталкивает либо закон, либо «нахлабучка». Вот и вылезают разные направления в публичность, и каждому свое время. А по большому счету все забыли, что реальная ИБ это комплекс орг и тех мер с привлечением узконаправленных спецов, и обязательное выполнение регламентных работ. Все остальное иллюзия или бизнес. Пропаганда риск-ориентированного подхода привела к тому, что в дырявом ведре несут воду не 5 метров как планировали, а всю дистанцию, дырки только меняются.  Для целевой атаки и одной щелки хватит, поэтому и эшелоны строят и соки в фаворе. Я к тому, что все специалисты нужны, а цены диктует рынок. Сегодня так, завтра по-другому и наоборот.

Полностью согласен.

В моем случае вуз уже давно за плечами

Интересно, как без риск-менеджмента менять приоритеты? Закрываем вообще все дыры?

Отчасти верно. И верно то, что об’ективной методики оценки риска ИБ в природе не существует ( только суб’ективная, а у нас все хорошо), и как следствие выбор приоритетности - «условность». Вспомним компенсирующие меры, они и будут основой КСЗИ. КСЗИ изначально надо проектировать и строить так, чтобы закрывать возникающие «риски», которые всегда будут в той или иной степени. И это уже наука. Риск-менеджмент это японцы придумали, что бы денег не платить (шутка). ИБ либо есть, либо нет.

Как мне видится, риски ИБ, это обычные операционные риски конторы, с соответствующим подходом к их снижению. Японцы ещё придумали Тойоту, которая норм вроде, в отличие от.

мне кажется не совсем так.  вот газопровод отруби - операционные расходы разве? :)

Смотря с какого конца отрубят. Это либо стратегические, либо операционные (сломалось). Оффтопим, сносите в cyberoff.

Есть нюансы. По подвалу соглашусь, одного вектора достаточно.

Шляпа давно ещё предлагал риски тупо страховать а ИБ разогнать

Что и делают стартапы в ЕС. Ресурсов и зрелой модели безопасности нет, а инвесторы хотят застраховать риски (мы же помним что это ваше поибэ, это обычные риски, типа прорыва трубы в туалете), вот собственно и всё.

Получаешь модные серты типа SOC, ISO и прочего на компанию - стоимость страховки снижается, все обнимаются.