Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller. Miller werkte zelf vijf jaar voor het Amerikaanse National Security Agency (NSA). Hij kon nieuwe werkgevers echter niets vertellen over wat hij hier gedaan had. Het viel dan ook niet mee om een baan te krijgen.

Miller werkte aan zijn eigen vaardigheden en ontdekte verschillende beveiligingslekken. Zo won hij meerdere keren de Pwn2Own hackerwedstrijd via kwetsbaarheden in Safari. Toch adviseert hij beginnende security professionals om met webapplicatiebeveiliging te beginnen, aangezien daar het meeste werk is te vinden.

Daarnaast raadt hij beginners aan om zich niet blind op certificaten te staren. "Wat ik geleerd heb, is dat bij de dingen waar ik geinteresseerd in ben, certificeringen niet echt zinvol zijn om naar een baan te zoeken, behalve om te laten zien dat je de basis van het onderwerp begrijpt."

Kunstenaar
Miller stelt dat in de IT security diploma's en certificaten niet per definitie vaardigheden betekenen. "Alleen vaardigheden laten vaardigheden zien en het is lastig om vaardigheden te meten", aldus de Mac-hacker. Hij vergelijkt het met een kunstenaar of architect die een baan zoekt. "Het is minder belangrijk om te weten naar welke school die ging, dan de plannen en tekeningen die hij kan laten zien."

Dat was ook het probleem waar Miller tegen aanliep toen hij bij de NSA vertrok. "Ik had niets om aan te geven dat ik wist waar ik het over had." De beste manier om een CV op te bouwen is volgens hem het vinden van beveiligingslekken (CVE's) en het geven van lezingen. "Als ik een CV zie met een aantal indrukwekkende CVE's en een aantal lezingen op grote conferenties, trekt dat zeker mijn aandacht."