Seguridad

Dos expertos comparten cómo iniciar una carrera en ciberseguridad

Los investigadores de ESET, Arie Goretzki y Cameron Camp, compartieron sus puntos de vista y sugerencias sobre cómo comenzar una carrera en ciberseguridad.

¿Cómo comienzo una carrera en ciberseguridad? ¿Qué calificaciones, certificaciones y habilidades necesitas? ¿La educación universitaria es obligatoria? ¿Debería intentar comprometer al Pentágono y ganarme una reputación, o debería crear mi propia biblioteca de Python para curar el cáncer y conseguirme una reputación?

Estos son algunos de los problemas comunes que enfrentan muchos profesionales de ESET. ¿Cuál es el mejor momento para responder estas preguntas durante el Día de la Defensa contra Malware el 3 de noviembre, cuyo objetivo es resaltar la importancia de la investigación en seguridad informática? La respuesta vendrá de dos investigadores de ESET que comentan lo que se necesitaba en el pasado para ingresar al espacio de la seguridad y que parece estar llamando la atención de varias empresas que actualmente están decidiendo contratar a estos profesionales.

De hecho, la demanda de profesionales de la seguridad sigue superando a la oferta. La escasez de habilidades sigue siendo una preocupación, especialmente porque las amenazas informáticas son omnipresentes. Ninguna organización es inmune a la gran cantidad de riesgos asociados con los ciberataques, ya que las amenazas se vuelven más fuertes y más comunes a medida que los ataques se acercan, lo que causa daños (y consecuencias) inconmensurables en el proceso. Por lo tanto, no debería sorprendernos que muchas empresas hayan dudado en atraer y retener talentos en seguridad.

Sin embargo, la ecuación es más complicada. Es por eso que decidimos buscar respuestas de dos expertos de ESET que han trabajado en las trincheras de la ciberseguridad durante décadas: el respetado investigador Arie Goretzky y el investigador de seguridad Cameron Camp.

¿Por qué debería elegir primero una carrera en ciberseguridad?

R: Por un lado, hay varias razones comunes, como el deseo de fama y fortuna (o ambas), pero lo que más me atrae es que esta es una de las pocas áreas donde solo los humanos están armados. La computadora, su originalidad Y persistencia pueden tener efectos inusuales y mensurables. Trabajar en la industria de la ciberseguridad significa que tiene la oportunidad (no una garantía, por supuesto) de hacer cosas que afectan y ayudan a otros.

Sin embargo, tenga en cuenta que no todo el éxito se mide por la cantidad de vulnerabilidades o CVE descubiertos o cuánto dinero ganó a través del programa de recompensas por errores. En definitiva, el éxito es una medida personal. Lo que le brinda la satisfacción más personal puede no ser lo que llama su atención en los medios, redes sociales, etc.

En otras palabras, implementar prácticas de ciberseguridad puede abrirle oportunidades que otras profesiones rara vez ofrecen, ya sea en términos de enseñanza o aplicación de conocimientos.

Cameron: ¿Quieres saber cómo funciona todo? ¿Por qué se rompió todo? Si tuvieras la oportunidad, ¿cómo arreglarías las cosas rotas? Básicamente, todo lo que has tenido cuando eras niño y adolescente ha motivado a la mayoría de los exploradores, los nuevos talentos y los que decidieron convertirse en chicas. Todas las cosas que desarma para descubrir cómo funcionan pueden ayudarlo a construir una carrera exitosa.

¿Cómo llegaste allí y qué te llamó la atención en el campo de la ciberseguridad?

Escarlata: Mis comienzos no son particularmente mágicos, ni son el resultado de un arduo trabajo. Todo lo que se necesita es un poco de iniciativa y un poco de suerte: conocí a John McAfee unos años antes de que se fundara la compañía antivirus del mismo nombre. Lo vi hablando sobre virus informáticos en las noticias de la televisión local y pensé: “Vaya, genial. Lo conozco «. Luego apareció por segunda vez y me di cuenta de que podía hacer negocios. A la edad de 19 años, decidí buscar trabajo con John debido a la falta de experiencia y las perspectivas laborales poco claras. capaz de hacer documentos como mecanografiar y enviar faxes. Pensé que podría odiar este trabajo y estaba feliz de hacerlo. darle vida. Sorprendentemente, me contrató en el sitio y me convirtió en el primer empleado de McAfee Associates, y después de pasar un En unos minutos explicando qué es un virus informático, estoy listo para atender mi primera llamada como asistente técnico.

En ese momento, sabía que quería hacer algo con una computadora e ir a un colegio comunitario, pero no estaba seguro de lo que quería hacer. En McAfee Associates, tuve la oportunidad de aprender sobre el floreciente negocio de la seguridad informática, lo que me enseñó los conceptos básicos de hardware, software y redes. Aprendo algo nuevo cada día. Han pasado más de treinta años y nada ha cambiado excepto mi constante sorpresa por cómo han evolucionado las amenazas y la protección contra ellas.

CameronNunca ha sido un trabajo «real» porque estoy haciendo lo que puedo y la velocidad a la que las cosas están cambiando es abrumadora y hace que mi corazón lata unos pocos latidos. Además, más allá de eso, el hecho de conectar constelaciones de datos aparentemente diferentes con flujos más sutiles para comprender el sistema me parece obvio, pero para otros claramente este no es el caso.

¿Qué tiene realmente que ver con tu trabajo? Desenmascarando algunos estereotipos …

: La mayor parte de mi trabajo consiste en comunicarme con la gente. Otra parte importante, y quizás incluso más importante, es escucharlos. Se dedica más tiempo a la lectura, que puede abarcar desde informes técnicos hasta redes sociales y documentos internos. También escribo a veces.

Lo que me encanta de mi trabajo es que es muy versátil. Para ilustrar cómo funciona todo esto de hablar y escuchar en la vida real, la semana pasada tuve que:

  • Monitorear amenazas e intrusos emergentes
  • Discuta las diferencias en las leyes y requisitos de privacidad de EE. UU. Con un colega europeo.
  • Responda algunas preguntas sobre nuestro software gubernamental
  • Envíe sus comentarios a los desarrolladores sobre la próxima versión de nuestro programa,
  • Descubra la seguridad del nuevo sistema operativo Microsoft Windows 11
  • Informe a los spammers y estafadores a nuestro laboratorio de amenazas de soporte de fraude

También he estado involucrado en algunas actividades continuas y a largo plazo, como un proyecto que hicimos con Cameron donde buscamos de manera proactiva falsos positivos en el sistema de detección de amenazas. Los falsos positivos pueden ser muy debilitantes para una empresa, razón por la cual ESET se esfuerza por prevenirlos.

Dado que parece que esta actividad nunca desaparecerá si se gana la vida con el soporte técnico, ayudé a un amigo a actualizar su instalación de ESET Smart Security Premium a la última versión.

Cameron: Hay más en la empresa y los recursos humanos de lo que cree. Desarmar cosas es genial, pero trabajar para una empresa que vende cosas también significa reunir cosas y proporcionar informes no legibles técnicamente. Eso significa la mayoría de ellos. En esencia, el informe debe ser relevante para las personas que venden o compran cosas que esperan que sean útiles. En resumen, tienes que ser un traductor de habla humana para ganar dinero o ellos renunciarán.

¿Qué habilidades y calificaciones necesito?

R: Me cuesta responder esta pregunta porque entré en este campo mucho antes de graduarme de ciberseguridad y los primeros 16 años de mi carrera se centraron en el apoyo.

Pero mi punto es que para un puesto de nivel de entrada (d componentes diferentes) y cómo se transmite la información a través de la red es un buen punto de partida. Si desea proteger algo, una comprensión práctica de cómo funciona lo ayudará a comprender y proteger mejor sus debilidades. Con una buena comprensión de estos conocimientos básicos, tendrá una base sólida sobre la cual ampliar sus conocimientos, diversificar y explorar áreas de interés y continuar sus estudios. Con un poco de suerte, esto se puede lograr mediante capacitación adicional con la ayuda de un empleador. será.

Cameron: A medida que la industria continúe desarrollándose, diversificándose y creando empleos reales, esta situación seguirá cambiando. Veremos esto más de cerca en los próximos artículos. Ejecutar un servidor interno (como comencé) es muy diferente del malware de ingeniería inversa. Ciertamente tocan y trabajan en el mismo ecosistema, pero su vida diaria es completamente diferente. De cualquier manera, aprenderá a trabajar localmente en la línea de comandos; es la esencia de lo que sucede a continuación, une todo. La hermosa exhibición es solo la guinda del pastel. Debe sentirse cómodo en estos entornos de teclado «simplificados», o al menos puede convertirse en un líder en esta área.

¿Debería ir a la universidad? ¿Vale la pena el título?

: Un título universitario puede ser importante ya que demuestra cierto grado de rigor académico y compromiso con los posibles empleadores, pero debido al alto costo de la educación secundaria en muchos países, es posible que muchos estudiantes no puedan completar un título de cuatro años.

Un título de maestría o doctorado es sin duda una gran ayuda para los jóvenes profesionales que desean cambiar o avanzar en sus carreras.

Por ejemplo, en los Estados Unidos, muchos empleadores ofrecen subsidios para estudiantes para motivar a sus empleados a obtener títulos relacionados con el trabajo, y algunos también reembolsan préstamos estudiantiles existentes. Cuando solicite un trabajo, haga esta pregunta y cualquier otra inversión que su posible empleador haya hecho para capacitar a sus empleados.

En resumen, me gustaría señalar que el enfoque universitario clásico de cuatro años no es adecuado para muchos solicitantes. Hay muchos cursos gratuitos y de bajo costo para tomar, así como certificaciones para demostrar su conocimiento de un tema. Dependiendo de si su puesto es un puesto de nivel de entrada, esta puede ser una forma más rápida y económica de comenzar.

CameronR: Obtener un título no es algo malo, ya que permite que las posibles empresas contratantes tengan ciertas expectativas básicas, especialmente si se trata de una institución reconocida, y puede convencerlos de que usted comprende y ayuda a que la tecnología disponible sea capaz. Mejoralo.

Pero eso no es una garantía. Entrevisté a graduados en computación que se graduaron recientemente de la escuela secundaria y creo que no saben qué más hacer que abrir sus computadoras portátiles. Esto es engorroso para las escuelas, los alumnos y los técnicos. Simplemente no es verdad. Además, las personas que me rodean nunca han asistido a una universidad que muchas empresas y sus equipos quieran tener. Entonces esto no es una garantía. Sí, puede aumentar sus posibilidades de ser incluido en la primera ronda del proceso de contratación, pero no garantiza que lo contratarán.

¿Existe una forma mejor? ¿Qué debo aprender para una carrera en ciberseguridad?

R: Si quiero tener claro una cosa, es que no existe una única forma de entrar en el mundo de la ciberseguridad. Siempre animo a las personas con conocimientos de otra área a que comiencen con lo que conocen y luego traten de pensar en esa área desde una perspectiva de ciberseguridad. ¿A qué desafío único te enfrentas? ¿Cómo solucionarías estos problemas? Obtener algo con lo que ya está familiarizado y luego pensar en cómo protegerlo es una excelente manera de equilibrar su carrera desde donde se encuentra con la ciberseguridad. Recuerde que la seguridad de la red es un campo muy amplio y nadie es un experto en todos sus aspectos. Quiere encontrar un nicho de mercado que le interese y centrarse en ese aspecto del campo. Si no está seguro de qué es lo que más le interesa, comience con una educación general en conceptos de ciberseguridad y pruebe cosas diferentes. Con el tiempo, encontrará las partes que le interesan y aquí es donde debe centrarse en el aprendizaje.

Como se mencionó anteriormente, lo primero que debe comprender es qué debe protegerse. Con conocimientos generales de informática y redes o incluso más formación profesional en soporte y sistemas de TI o gestión de redes, se convertirá en el mejor experto en ciberseguridad.

No todo el trabajo de ciberseguridad implica programación, pero cuando escribe código, conocer varios lenguajes de programación diferentes es un buen punto de partida, ya que le ayuda a pensar en formas de resolver problemas de diferentes formas.

Sin embargo, no debemos olvidar que las habilidades y habilidades sociales asociadas a su rol también son muy importantes. Si bien es posible que desee saber todo sobre cómo atacar y proteger computadoras, tener antecedentes psicológicos puede ayudarlo a comprender las motivaciones de los atacantes. También es importante comunicarse de manera clara, sucinta y efectiva con individuos y grupos, ya sea como una excusa para comprar un nuevo firewall, una explicación de las consecuencias de una violación de datos para la administración o un aumento. Por otro lado, ya sea que sea dueño de su propio negocio o trabaje para otros, comprender cómo funciona un negocio puede ser de gran ayuda, especialmente cuando necesita explicar cosas relacionadas con las ganancias (como el dinero).

Cameron: En términos prácticos, es más importante conocer a la persona adecuada, de lo contrario eres una colección de textos para la investigación de palabras clave en recursos humanos. Afortunadamente, hay muchos incidentes de seguridad gratuitos (o patentados) que puede realizar ingeniería inversa. Usado por otros para encontrar trabajo. Una excelente manera es encontrar un proyecto de código abierto y ver cómo puedes contribuir a él. Eso significa averiguar qué proyectos son populares y generalizados, cómo se lleva con otras personas que están trabajando en este proyecto y parecen lo suficientemente dignos como para pensar que es útil, y luego seguir trabajando duro y haciendo una contribución para pagar. Personas a utilizar. Ahora que lo pienso, así es como funciona.

Si tengo poca o ninguna experiencia, ¿por dónde empiezo?

Escarlata: Propongo hacer dos cosas diferentes. La primera es concentrarse en aprender y desarrollar sus habilidades. Puede hacerlo leyendo podcasts, escuchándolos, viendo videos y haciendo preguntas en las redes sociales. Mientras estudia, tome notas, escriba un código de muestra (si es la dirección a la que hace referencia) y publique esta información en su sitio web personal, p. Ej. B. en blogs, wikis, repositorios de código, etc. No es necesario que se publiquen públicamente. al menos inicialmente, pero debe llevar un registro escrito de lo que ha hecho. Incluso puedes participar en proyectos de código abierto. Código fuente que también contribuye al trabajo en línea (social).

La segunda parte busca un puesto de nivel de entrada o de nivel de entrada. Puede hacerlo visitando la sección de carreras de la empresa para la que desea trabajar, viendo una lista de puestos junior en empresas locales o, si se encuentra en un centro de capacitación, pidiendo ayuda para encontrar un trabajo. Es posible que tu profesor incluso tenga contactos con antiguos alumnos.

Después de enviar su currículum vitae o tener su primera entrevista, asegúrese de incluir enlaces a su sitio web personal, ya que estos enlaces a menudo pueden mostrarles a los empleadores potenciales su proceso de pensamiento, p. Ej. B. Cómo resolver problemas y buscar soluciones.

Cameron: Vea mi comentario sobre el proyecto de código en la respuesta anterior.

Certificación: ¿quiénes son y qué importancia tienen?

R: Los certificados son importantes porque son el estándar de su conocimiento, pero también soy un defensor de la experiencia. Durante los últimos diez años, hemos visto surgir una gran cantidad de certificaciones. Si bien muchos son útiles en términos de medición, en algunos casos su valor es cuestionable. Algunos de ellos pueden ser muy costosos y representar una enorme carga financiera, por lo que creo que solicitar estas certificaciones para puestos de nivel de entrada o de nivel de entrada es demasiado. Las organizaciones de reclutamiento a menudo usan títulos y certificaciones como filtros para seleccionar candidatos potenciales. No me gusta eso porque contratas a alguien que ha ido a la escuela intensiva o era un buen estudiante, pero no tiene experiencia práctica y no comprende cómo funcionan las cosas realmente.

Si bien puede buscar certificaciones más baratas usted mismo, y estas certificaciones pueden ayudarlo a destacarse de otros posibles candidatos de nivel de entrada, pueden ser más útiles cuando esos puestos se utilizan para reclutar nuevos empleados. nivel avanzado, especialmente si se puede requerir una certificación profesional por razones de cumplimiento. Como requisito previo para los trabajos de nivel de entrada o de nivel de entrada, la certificación para trabajos de mayor calidad como CISSP es una clara señal de que una organización tiene debilidades estructurales y la ciberseguridad es solo una de ellas.

Cameron: Las certificaciones más populares pueden ayudar a RR.HH. a vigilarlo mientras ve su perfil mientras realiza una búsqueda. Los certificados como CISSP ocupan un lugar destacado en la pila, pero debe hacer coincidir la certificación con lo que le interesa. CISSP, por ejemplo, tiene más que ver con la gestión de la seguridad, mientras que otras certificaciones como CEH son de naturaleza más técnica y tienen un posicionamiento más específico. Si no comprende completamente sus objetivos, obtener la certificación puede significar recopilar cartas que pueden o no conducir a un trabajo, o al menos cartas que le interesen. Así que apunta bien.

En última instancia, ¿cómo afectarán el teletrabajo y el trabajo híbrido al mercado del talento en seguridad? A donde crees que vamos

Escarlata: El trabajo remoto y combinado amplía la base de talentos, ya que las empresas ya no tienen que contratar empleados locales ni ofrecer paquetes de reubicación. Pero eso también significa que el número de solicitantes de empleo se ha disparado, porque todos los trabajos en la industria de recursos humanos pueden ser nacionales o internacionales.

En conclusión, me gustaría compartir algunas reflexiones con los lectores:

Primero, aunque hemos oído hablar de la escasez de habilidades, no necesariamente tenemos muchas vacantes en ciberseguridad. Si bien es fácil hablar de escasez de talento, comprender el aspecto salarial también es importante: si hay menos candidatos para elegir, los salarios deberían aumentar. Es posible que tengamos empleadores que no quieran competir por salarios altos.

Hablando de salario, es posible que desee obtener la mayor cantidad de trabajo de ingeniería posible en cualquier área de ciberseguridad que le interese. Pero es probable que los vendedores o los abogados ganen más dinero. Si acumular una inmensa riqueza es importante para usted, considere cuidadosamente en qué dedicará su tiempo durante los próximos cuarenta años.

Cameron: Todavía tienes que construir tu marca personal. De cualquier manera, esto es lo que debes probar. Dado que esencialmente está vendiendo sus habilidades, explique que las tiene y convenza a los demás. Piense en las reseñas de productos. El software recomendado por cinco personas al azar es más creíble que las recomendaciones del autor del software. Sin embargo, tenga en cuenta que sus actividades en línea pueden ser censuradas cuando esté buscando trabajo, así que tenga cuidado con lo que publica.

De cualquier manera, intente construir su marca como un profesional, ya sea en la vida real o en línea, porque a medida que pasa el tiempo, estos dos estilos de vida se volverán cada vez más similares; Elija con cuidado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!