¿Pensando en una carrera de ciberseguridad? 2023

Miles de personas se gradúan de colegios y universidades cada año con una carrera de ciberseguridad o ciencias de la computación solo para descubrir que los empleadores están menos que entusiasmados con sus habilidades prácticas y fundamentales. Aquí hay un vistazo a una encuesta reciente que identificó algunas de las brechas de habilidades más grandes, y algunas ideas sobre cómo aquellos que buscan una carrera en estos campos pueden destacarse mejor entre la multitud.

Prácticamente todas las semanas, KrebsOnSecurity recibe al menos un correo electrónico de alguien que busca asesoramiento sobre cómo ingresar a la ciberseguridad como carrera. En la mayoría de los casos, los aspirantes preguntan qué certificaciones deben buscar, o qué especialización en seguridad informática podría tener el futuro más brillante.

Rara vez me preguntan qué habilidades prácticas deberían buscar para convertirse en candidatos más atractivos para un futuro trabajo. Y aunque siempre prologo cualquier respuesta con la advertencia de que no tengo ninguna certificación o título relacionado con la informática, hablo con ejecutivos de nivel C en ciberseguridad y reclutadores de forma regular y con frecuencia les pregunto por sus impresiones de los candidatos de trabajo de ciberseguridad de hoy.

Te puede interesar: Los hackers iraníes han mejorado sus técnicas y se convierten en nueva amenaza global

Un tema común en estas respuestas ejecutivas de nivel C es que muchos candidatos simplemente carecen de experiencia práctica con las preocupaciones más prácticas de operar, mantener y defender los sistemas de información que impulsan sus negocios.

Por supuesto, la mayoría de las personas que acaban de graduarse con un título carecen de experiencia práctica. Pero afortunadamente, un aspecto algo único de la ciberseguridad es que uno puede obtener un buen grado de dominio de las habilidades prácticas y el conocimiento fundamental a través del estudio autodirigido y el ensayo y error a la antigua.

Un consejo clave que casi siempre incluyo en mi respuesta a los lectores implica aprender los componentes centrales de cómo las computadoras y otros dispositivos se comunican entre sí. Digo esto porque el dominio de la creación de redes es una habilidad fundamental sobre la que se basan muchas otras áreas de aprendizaje. Tratar de conseguir un trabajo en seguridad sin una comprensión profunda de cómo funcionan los paquetes de datos es un poco como tratar de convertirse en un ingeniero químico sin dominar primero la tabla periódica de elementos.

Pero, por favor, no confíe en mi palabra. El Instituto SANS, una firma de investigación y capacitación en seguridad con sede en Bethesda, Maryland, realizó recientemente una encuesta a más de 500 profesionales de ciberseguridad en 284 compañías diferentes en un esfuerzo por descubrir qué habilidades encuentran más útiles en los candidatos y cuáles faltan con mayor frecuencia.

La encuesta pidió a los encuestados que clasificaran varias habilidades de «críticas» a «no necesarias». El 85 por ciento clasificó las redes como una habilidad crítica o «muy importante», seguida de un dominio del sistema operativo Linux (77 por ciento), Windows (73 por ciento), técnicas de explotación comunes (73 por ciento), arquitecturas informáticas y virtualización (67 por ciento) y datos y criptografía (58 por ciento). Tal vez sorprendentemente, solo el 39 por ciento clasificó la programación como una habilidad crítica o muy importante (volveré a esto en un momento).

¿Cómo calificaron los profesionales de ciberseguridad encuestados a su grupo de posibles candidatos en estas habilidades críticas y muy importantes? Los resultados pueden ser reveladores:

«Los empleadores informan que la preparación de ciberseguridad de los estudiantes es en gran medida inadecuada y se sienten frustrados de tener que pasar meses buscando antes de encontrar empleados calificados de nivel de entrada, si es que se puede encontrar alguno», dijo Alan Paller, director de investigación del Instituto SANS. «Planteamos la hipótesis de que el comienzo de un camino hacia la resolución de esos desafíos y ayudar a cerrar la brecha de habilidades de ciberseguridad sería aislar las capacidades que los empleadores esperaban pero no encontraron en los graduados de ciberseguridad».

Te puede interesar: El Tribunal de Apelación confirmó el bloqueo del sitio web del Proyecto Tor y del navegador Tor en Google Play

La verdad es que algunos de los profesionales de seguridad informática más inteligentes, perspicaces y talentosos que conozco hoy en día no tienen ninguna certificación relacionada con la informática en su haber. De hecho, muchos de ellos ni siquiera fueron a la universidad o completaron un programa de grado de nivel universitario.

Más bien, se pusieron seguros porque tenían una curiosidad apasionada e intensa sobre el tema, y esa curiosidad los llevó a aprender todo lo que pudieron, principalmente leyendo, haciendo y cometiendo errores (muchos de ellos).

Menciono esto no para disuadir a los lectores de obtener títulos o certificaciones en el campo (que puede ser un requisito básico para muchos departamentos corporativos de recursos humanos), sino para enfatizar que estos no deben verse como una especie de boleto de oro para una carrera gratificante, estable y relativamente bien remunerada.

Más concretamente, sin un dominio de una o más de las habilidades mencionadas anteriormente, simplemente no será un candidato de trabajo terriblemente atractivo o sobresaliente cuando llegue el momento.

Tabla de contenidos

PERO.. ¿CÓMO?

Entonces, ¿en qué debe centrarse y cuál es la mejor manera de comenzar? Primero, comprenda que, si bien hay un número casi infinito de formas de adquirir conocimiento y prácticamente no hay límite para las profundidades que puede explorar, ensuciarse las manos es la forma más rápida de aprender.

No, no estoy hablando de irrumpir en la red de alguien, o hackear un sitio web pobre. Por favor, no hagas eso sin permiso. Si debe dirigirse a servicios y sitios de terceros, apéguese a aquellos que ofrecen reconocimiento y / o incentivos para hacerlo a través de programas de recompensas de errores, y luego asegúrese de respetar los límites de esos programas.

Además, casi cualquier cosa que quieras aprender haciendo se puede replicar localmente. ¿Con la esperanza de dominar las técnicas comunes de vulnerabilidad y explotación? Hay innumerables recursos gratuitos disponibles; kits de herramientas de explotación especialmente diseñados como MetasploitWebGoat y distribuciones personalizadas de Linux como Kali Linux que están bien respaldadas por tutoriales y videos en línea. Luego hay una serie de herramientas gratuitas de reconocimiento y descubrimiento de vulnerabilidades como NmapNessusOpenVAS y Nikto. Esta no es de ninguna manera una lista completa.

Configura tus propios laboratorios de hacking. Puede hacer esto con una computadora o servidor de repuesto, o con hardware más antiguo que es abundante y barato en lugares como eBay o Craigslist. Las herramientas de virtualización gratuitas como VirtualBox pueden hacer que sea fácil ser amigable con diferentes sistemas operativos sin la necesidad de hardware adicional.

Te puede interesar: La botnet Glupteba vuelve a estar activa y sigue utilizando la cadena de bloques

O considere pagarle a otra persona para que configure un servidor virtual que pueda pinchar. Los servicios EC2 de Amazon son una buena opción de bajo costo aquí. Si desea aprender pruebas de aplicaciones web, puede instalar cualquier número de servicios web en computadoras dentro de su propia red local, como versiones anteriores de WordPress, Joomla o sistemas de carrito de compras como Magento.

¿Quieres aprender redes? Comience por obtener un libro decente sobre TCP / IP y realmente aprenda la pila de red y cómo cada capa interactúa con la otra.

Y mientras absorbe esta información, aprenda a usar algunas herramientas que pueden ayudarlo a poner sus nuevos conocimientos en aplicación práctica. Por ejemplo, familiarícese con Wireshark y Tcpdump, herramientas útiles en las que confían los administradores de red para solucionar problemas de red y seguridad y para comprender cómo funcionan (o no) las aplicaciones de red. Comience inspeccionando su propio tráfico de red, navegación web y uso diario de la computadora. Trate de comprender qué aplicaciones están haciendo en su computadora observando qué datos están enviando y recibiendo, cómo y dónde.

SOBRE PROGRAMACIÓN

Si bien poder programar en lenguajes como GoJavaPerlPythonC o Ruby puede o no estar en la parte superior de la lista de habilidades exigidas por los empleadores, tener uno o más lenguajes en su conjunto de habilidades no solo lo convertirá en una contratación más atractiva, sino que también facilitará el crecimiento de su conocimiento y aventurarse en niveles más profundos de dominio.

También es probable que dependiendo de qué especialización de seguridad termines persiguiendo, en algún momento encuentres que tu capacidad para ampliar ese conocimiento es algo limitada sin entender cómo codificar.

Para aquellos intimidados por la idea de aprender un lenguaje de programación, comience por familiarizarse con las herramientas básicas de línea de comandos en Linux. Simplemente aprender a escribir scripts básicos que automaticen tareas manuales específicas puede ser un trampolín maravilloso. Además, el dominio de la creación de scripts de shell pagará buenos dividendos durante toda su carrera en casi cualquier función técnica que involucre computadoras (independientemente de si aprende un lenguaje de codificación específico).

OBTENER AYUDA

No se equivoque: al igual que aprender un instrumento musical o un nuevo idioma, adquirir habilidades de ciberseguridad requiere a la mayoría de las personas una gran cantidad de tiempo y esfuerzo. Pero no se desanime si un tema de estudio determinado parece abrumador al principio; Solo tómate tu tiempo y sigue adelante.

Es por eso que ayuda tener grupos de apoyo. Seriamente. En la industria de la ciberseguridad, el lado humano de las redes toma la forma de conferencias y reuniones locales. No puedo enfatizar lo suficiente lo importante que es tanto para su cordura como para su carrera involucrarse con personas de ideas afines de manera semi-regular.

Muchas de estas reuniones son gratuitas, incluidos los eventos de Seguridad BSides, los grupos DEFCON y los capítulos de OWASP. Y debido a que la industria tecnológica sigue estando desproporcionadamente poblada por hombres, también hay una serie de reuniones de ciberseguridad y grupos de membresía dirigidos a mujeres, como la Sociedad de Mujeres de Cyberjutsu y otros enumerados aquí.

A menos que viva en medio de la nada, es probable que haya una serie de conferencias de seguridad y reuniones de seguridad en su área general. Pero incluso si resides en los boonies, la buena noticia es que muchas de estas reuniones se volverán virtuales para evitar la pestilencia en curso que es la epidemia de COVID-19.

En resumen, no cuente con un título o certificación para prepararse para los tipos de habilidades que los empleadores comprensiblemente esperarán que posea. Eso puede no ser justo o como debería ser, pero es probable que usted desarrolle y nutra las habilidades que servirán a su futuro empleador (s) y empleabilidad en este campo.

Estoy seguro de que los lectores aquí tienen sus propias ideas sobre cómo los novatos, los estudiantes y aquellos que contemplan un cambio de carrera hacia la ciberseguridad pueden enfocar mejor su tiempo y esfuerzos. Por favor, siéntase libre de sonar en los comentarios. Incluso puedo actualizar esta publicación para incluir algunas de las mejores recomendaciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *