Esta es una de las preguntas que probablemente quienes trabajamos en seguridad de la información nos planteamos en su momento, y quienes se encuentran en otra áreas de conocimiento pueden llegar a hacerse al encontrar este campo atractivo para el desarrollo profesional.
Para algunos iniciar en seguridad de la información tal vez fue un proceso casi transparente, usualmente pasando desde un área de tecnología. Sin embargo, puede ser que para otros buscar iniciar en esta profesión no resulte con la misma facilidad teniendo en cuenta que este campo como cualquier otro cuenta con muchas líneas de acción y profundización.
Además implica contar con las ganas de aprender y prepararse en los conceptos propios del área de profundización en la cual se quiere aprender, profundizar e identificar cuales son las habilidades propias que se tienen por conocimientos, estudios y experiencia previas que ayuden a facilitar ese proceso sin morir en el intento.
Entonces, volviendo a la pregunta, y cómo iniciamos, recomendamos considerar los siguientes aspectos.
1. A nivel macro qué línea de profundización se puede buscar
A qué nos referimos con niveles macro; en seguridad podemos considerar tres niveles superiores de profundización: la Defensa, el Ataque y la Gestión.
La Defensa considera las líneas de profundización y actividades encaminadas a proteger a las organizaciones y sus activos de forma proactiva. Piensen en los roles de policía, vigilante, detective, defensor, u héroe que hacen frente a los atacantes.
El Ataque considera las líneas de profundización y actividades orientadas a encontrar vulnerabilidades y brechas en las organizaciones, sus activos y probar la efectividad de los controles implementados. Analiza la seguridad desde un punto de vista ofensivo emulando o simulando técnicas, tácticas y procedimientos que utilizan los atacantes reales. Si pensamos en roles, consideramos el merodeador, ladrón, bandido, antihéroe; pero todos estos en el buen sentido dado que las actividades se realizan bajo un enfoque ético.
La Gestión de su parte considera las líneas de profundización y actividades que a partir del análisis de cumplimiento, los riesgos de seguridad y la generación de políticas y esquemas procedimentales permiten establecer en las organizaciones las reglas de juego en términos de seguridad. De nuevo si hablamos de roles en este caso podemos considerar un juez o un legislador.
Hay consideraciones sobre otras líneas intermedias como la de Arquitectura de seguridad, y aquí se escucha sobre el purple team, pero de alguna forma este nivel de profundización es una mezcla entre el de defensa y el de ataque.
¿Puedo prepararme en las tres líneas de especialización?
Alguien puede considerar que quiere estar en las tres líneas y es completamente viable. Sin embargo, nuestra recomendación si están iniciando, es enfocarse en una y hacerse bueno en esa, porque abarcar tantas temáticas con altos niveles de calidad y conocimiento implica bastante dedicación y esfuerzo.
Pero importante, es necesario contar con conocimientos básicos y entendimiento de lo que se hace en cada una de estas líneas puesto que entre ellas interactúan y la seguridad en las organizaciones requiere de las tres como complemento y equilibrio.
Si luego de ser muy bueno en una línea, encuentran que es posible y quieren ahondar en conocimiento de otra, adelante, no hay nada mejor que buscar ser integral; pero especializarse en una particular con lo cual generar el diferencial profesional.
2. Ya decidí el nivel macro, ahora que sigue
Bien, si la decisión sobre Defensa, Ataque o Gestión ha sido tomada, ahora bajen de nivel y decidan en que actividades enfocarse. Para cada una de las tres líneas es posible llegar a mayores niveles de profundización. Por ello la recomendación es analizar cuales son los intereses particulares que tienen y también considerar las habilidades actuales; con el fin de evitar escoger alguna especialidad que aunque sea de su gusto, el nivel de habilidad que tienen o pueden desarrollar no sea el suficiente y el proceso de aprendizaje pueda llegar a ser un dolor de cabeza.
Alyssa Miller, una hacker, investigadora y defensora de la seguridad, en una charla del Defcon 28 de agosto de 2020 de la Career Hacking Village denominada como “From Barista to Cyber Security Pro” compartió algunas consideraciones sobre cómo conseguir un primer trabajo en seguridad; analizando desafios a los que se enfrentan los aspirantes y algo sobre descripciones de cargos, certificaciones, títulos y retos relacionados con la búsqueda de empleo.
Si bien estamos hablando de una presentación de hace poco más de dos años, varios de los planteamientos realizados por Alyssa siguen más que vigentes si quieren iniciar en seguridad. Les dejamos el video completo de la charla y recomendamos si están arrancando en esto que le den una mirada.
Fuente: YouTube de Career Hacking Village
Parte de lo que se comparte en esta charla es la investigación de dominios de seguridad realizada por Henry Jiang, CISO de Diligent Corporation, cuya última actualización es de marzo de 2021 y que va muy de la mano con nuestra especificación sobre líneas de profundización. Si bien, no estamos de acuerdo con todas las vertientes como se plantean aquí, nos gusta como presenta que en seguridad hay diferentes rutas, estas se relacionan con los niveles macro y trabajar en cada una implica desarrollar diferentes habilidades y capacidades.
Fuente: Artículo Cybersecurity Domain Map ver 3.0
Entonces sí saben que quieren optar por una línea de seguridad particular, lo que sigue es pensar en que les gusta de esa línea, que quieren aprender, si ya tienen algo de acercamiento con alguna actividad o especialidad y si con lo que conocen quieren seguir por esa ruta.
Si bien no nos atrevemos a hablar de una lista exhaustiva para cada una de estas rutas, les dejamos a continuación algunas referencias.
Líneas de profundización o actividades que se pueden considerar en Defensa:
- Respuesta y gestión de incidentes de seguridad (y no es lo mismo responder a un incidente en una red corporativa tradicional, en cloud o en un sistema de control industrial)
- Seguridad en el ciclo de desarrollo del software
- Arquitectura de seguridad desde la óptica de implementaciones seguras
- Diseño de redes seguras
- Gestión de vulnerabilidades técnicas
- Modelado de amenazas
- Inteligencia de amenazas
- Cacería de amenazas (y si, ven amenazas como común denominador en las tres últimas, pero no son lo mismo)
- Implementación de guías de aseguramiento (hardening o postura de seguridad)
- Monitoreo, correlación de eventos de seguridad y automatización (aquí considerar aspectos de manejo de expresiones regulares y scripting)
- Seguridad en cloud
- Análisis de malware
- Ingeniería reversa orientado a defensa
- Administración de plataformas de seguridad
- Análisis forense digital (y no es lo mismo hacer forense en móviles, cloud, blockchain, sistemas operativos o redes, así que ponerle atención a esto)
- Seguridad asociada a tecnologías emergentes (IoT, AI, VR, AR, ML, sistemas autónomos, blockchain, etc.)
Líneas de profundización o actividades que se pueden considerar en Ataque:
- Análisis de vulnerabilidades técnicas y mecanismos de remediación
- Hacking ético y Pentesting (y no es lo mismo hacer un pestesting sobre móviles, cloud, aplicaciones, web, APIs, etc.)
- Pruebas de seguridad en desarrollo de software
- Diseño de malware (ojo, con uso ético para pruebas de pentesting)
- Ingeniería social
- Ingeniería reversa orientado a ataque
- Biohacking
Líneas de profundización o actividades que se pueden considerar en Gestión
- Análisis y gestión de riesgos
- Gobierno, riesgo y cumplimiento (aquí se debe considerar regulación específica por industrias según requerimientos y país)
- Definición y gestión de políticas, lineamientos y procedimientos de seguridad
- Gestión de privacidad
- Continuidad de negocios
- Recuperación de desastres
- Gestión y comunicación de crisis
- Auditoría técnica y de gestión (aquí se puede considerar aspectos de las 3 líneas de defensa)
- Implementación de frameworks de gestión en seguridad
- Métricas de seguridad (KPIs, KRIs, KCIs)
- Conciencia en seguridad
- Entrenamiento en seguridad
- Gestión de proyectos aplicado a seguridad
- Estrategia de seguridad (zero trust, seguridad basada en riesgos, etc.)
- Derecho informático
- Arquitectura de seguridad desde la óptica de implementaciones seguras
- Gestión y auditoría asociada a tecnologías emergentes (IoT, AI, VR, AR, ML, sistemas autónomos, blockchain, etc.)
3. Decidí la profundización, pero no sé por dónde arrancar
Pensemos que tomaste la decisión de aprender sobre cacería de amenazas, pero en el camino encontraste que no tienes claro qué es una amenaza, a qué se refiere un vector de ataque o te encuentras con un escenario en el que es necesario hacer el análisis en entornos cloud.
De forma similar, quieres trabajar en pentesting sobre móviles, pero identificas que tienes vacíos significativos en sistemas operativos, aplicaciones, o cómo funcionan las APIs.
O quieres ser auditor técnico y no sabes cómo hacer la revisión de una topología de red, desconoces principios de autenticación y autorización o simplemente no sabes que debe considerar un control para que sea adecuado en diseño y eficacia.
Por situaciones como estas, se debe considerar que es importante contar con unas bases en conocimientos tecnológicos, de análisis y trabajar sobre algunas habilidades blandas que permitan desarrollar adecuadamente cualquiera de las profundizaciones, pues brindan estructuras sólidas que facilitaran el proceso de aprendizaje y trabajo.
A continuación, les compartimos algunas bases que deberían considerar para arrancar.
Bases tecnológicas
- Redes (topologías de red, protocolos, TCP/IP, dispositivos de infraestructura de red, etc.)
- Sistemas operativos (Windows, Linux, MacOS, Android, iOS)
- Arquitectura de computadores
- Bases de datos (relacionales, no relacionales, motores de bases de datos, creación de consultas)
- Esquemas de repositorios y almacenamiento
- Scripting (Python, Powershell, Go, Bash)
- Desarrollo de software (lenguajes de programación, metodologías de desarrollo, estructuras de datos, etc.)
- Virtualización
- Cloud (Microservicios, APIs, contenedores, seguridad como código, infraestructura como código, multicloud, etc.)
- Blockchain
- Tecnologías telefonía móvil (5G, malware orientado a móviles, etc.)
- Conceptos sobre tecnologías emergentes (IoT, AI, VR, AR, ML, sistemas autónomos, etc.)
Bases de seguridad
- Análisis básico de riesgos (conceptos de amenazas, vulnerabilidades, riesgos, impacto, probabilidad, diseño de controles)
- Control de acceso, gestión de usuarios e identidades
- Generalidades de biometría
- Generalidades sobre malware y tipos de ataques
- Gestión de activos y clasificación de información
- Criptografía
- Bases para elaboración de métricas
- Seguridad física y perimetral
- Regulación y legislación en torno a seguridad y tecnología (recordar que está sujeto a cada país)
- Esquemas de seguridad en cloud
Bases de habilidades blandas
- Mejorar habilidades de escritura y lectura, incluyendo una segunda lengua como el inglés
- Elaboración de reportes e informes técnicos y ejecutivos
- Comunicación y presentación en público
De nuevo, las bases mencionadas previamente no pretenden ser exhaustivas, es posible que ustedes identifiquen otras que no encuentran aquí listadas, así que agréguenlas a su ‘to-do’.
4. Qué opciones de aprendizaje hay para todo lo anterior
Para el desarrollo de carrera en seguridad se puede optar por diferentes métodos y mecanismos tales como autoestudio, estudios formales, cursos presenciales u online, entrenamientos, grupos de estudio, certificaciones, tutoriales en youtube, participación en CTFs, conferencias, procesos de coaching, mentoría entre otros.
Si se considera el autoestudio, la recomendación es buscar cursos de inicio o para principiantes que faciliten el proceso, pero validar que para las bases tecnológicas y de seguridad estos no sean obsoletos teniendo en cuenta los cambios constantes.
Algunas ideas de cursos básicos, intermedios y avanzados se pueden encontrar en plataformas como cybrary, edx, coursera, udemy, future learn o platzi. Hay opciones pagas con diferentes costos y opciones gratuitas. También pueden encontrar opciones ofrecidas por proveedores de tecnología, servicios y universidades a través de estas plataformas o a través de sus propios sitios web.
Todo consiste en tomarse el tiempo para hacer la búsqueda acorde con lo que se quiere aprender y realizar los filtros para que la información que se tome sea adecuada. Recordemos que actualmente el problema no es la ausencia de información, porque la encontramos por mil, el reto actual es saber filtrar la información idónea que realmente nos aporte conocimiento.
Con la búsqueda de información una recomendación adicional, incluyan recursos en español y en inglés. Incluso es factible que puedan encontrar más recursos o que estén más actualizados en la segunda lengua que en la primera, por lo cual también es importante darles la oportunidad como parte de la búsqueda y no restringirse por la debilidad en un segundo idioma. Precisamente a través de recursos de estudio pueden encontrar oportunidades de ir aprendiendo y reforzando el inglés cotidiano y técnico que es una gran ventaja e incluso necesidad en el mundo profesional.
Y sobre la duda usual, escoger entre estudios formales, no formales o certificaciones
Esto depende de los intereses de cada uno, del sector en el que se quieran desempeñar, incluso de la cultura del país donde se encuentren. Hay lugares donde valoran más los conocimientos que se pueden demostrar por pruebas técnicas o entrevistas, que la presentación de diplomas de especialización, maestría o certificaciones.
De igual forma, hay lugares donde parte de los perfiles son contar con niveles de profesionalización o certificaciones que pasan a ser los primeros filtros de selección al revisar un curriculum sin importar conocimientos reales.
Hay temáticas recientes para las cuales los estudios formales o las certificaciones se quedan cortos, mientras realizar estudios no formales permiten su acercamiento (incluidos y de relevancia los temas de autoestudio con búsqueda de material en la red e incluso la lectura de artículos e investigaciones).
Entonces a partir de las bases requeridas, las líneas de profundización deseadas, el sector donde buscan moverse y el lugar geográfico donde estén; la recomendación es armar un plan de formación y entrenamiento que les permita acercarse a ese estado de conocimientos al que le quieren apuntar. Seguramente en el camino encontrarán que aparecen nuevas cosas que causen que en su mapa puedan aparecer nuevas vertientes; y eso es lo bonito de la seguridad, que tiene tanto de largo como de ancho, así que, si sucede, tómenlo como una nueva oportunidad para reforzar lo que estén aprendiendo o tal vez para virar hacía otras líneas que descubran les apasionan más.
¡Pero ojo! tampoco pierdan un norte, recuerden que la recomendación principal es especializarse en alguna línea y evitar que se les convierta en un mar de conocimiento con un mínimo de profundidad.
En varios lugares, incluso por encima de los estudios formales, son muy bien valoradas las certificaciones. Por eso les dejamos esta referencia de certificaciones en seguridad orientadas hacía diferentes especialidades y basadas en niveles principiante, intermedio o experto, que hace un tiempo compartió a través de Twitter Andrés Velázquez (@cibercrimen)
Y aún con estas ideas, no sé cómo organizar mi plan de estudio al respecto
Eres nuevo en seguridad, apenas estás iniciando y quieres una guía sobre como avanzar en tus planes de preparación y estudio. Contáctanos y te ayudamos a validar una hoja de ruta o plan de carrera inicial que te permita enfocar mejor tus esfuerzos en la búsqueda de recursos para el aprendizaje.