Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte IV

Como mencioné en los artículos anteriores; y es mi opinión personal quienes deberían pagar las certificaciones e incluso las membresias deberían ser los empleadores, ya que al final ellos son los que tienen recursos y le pueden sacar provecho.

En algunas de las empresas en las que he trabajado, los empleadores ofrecen el modelo de pagar la certificación a cambio de cláusulas de permanencia (la mayoría de las veces ridículas). Estas cláusulas y por lo que he hablado con la mayoría de mis colegas hace que las personas tengan miedo de pedir apoyo debido a que no quieren “vender su alma al diablo”. Mi comentario es no tengan miedo; si la cláusula no tiene sentido intenten negociar para buscar una solución más razonable.

Se preguntarán hasta ahora, “¿Por qué tanta negatividad en estos artículos?”. No es negatividad, con esta serie de artículos busco compartir mis reflexiones con respecto a lo que pasa en la realidad y lo que pocos se atreven a decir; es una forma de buscar que las cosas que están mal, cambien para bien.

También, he tenido la experiencia durante los últimos años de ser parte de empresas que incentivan y patrocinan a sus empleados con programas de educación y certificación; esto tiene resultados positivos, los cuales mencionó a continuación:

  • Equipos de trabajo más competitivos (siempre y cuando la distribución de presupuesto se haga de manera equitativa entre todos los miembros del equipo).
  • Con equipos de trabajo más competitivos, se eleva la calidad de los servicios prestados, por lo tanto clientes más felices y satisfechos.
  • Cuando la empresas promueven la educación de sus equipos de trabajo se genera una competencia sana y los empleados son más felices. Que sí!, que hay riesgo de que una vez hagan el curso y se certifiquen renuncien!, pero, también existe la posibilidad de que los empleados se queden y aporten más al desarrollo de la organización ¿no?

¿Qué hacer si necesitas patrocinio en tu organización?

Si te encuentras trabajando y quieres tomar un curso o certificación, piensa en lo siguiente:

  1. ¿Estoy feliz en la organización? ¿Me veo trabajando en esta organización durante los próximos 1-3 años?
  2. ¿El curso/certificación que quiero es relevante para la misión de la organización? ¿cuáles serían los beneficios para la empresa si me patrocinan?
  3. ¿El curso/certificación que quiero es relevante para mi? ¿Cuáles serían esas habilidades que puedo desarrollar? ¿cómo aportarían esas habilidades a mi rol?
  4. ¿Estoy interesado en compartir los conocimientos adquiridos durante el curso o preparación del examen con mi equipo de trabajo? (Este sería un gran beneficio, no solo para ti, si no para todos tus compañeros).

Si pudiste responder estas preguntas y puedes armar un argumento válido, simplemente habla con el área de desarrollo humano y con tu jefe mostrando los beneficios de invertir en tu formación.

Factores que influyen en el valor de una certificación:

  • La entidad que emite la certificación. Las certificaciones emitidas por entidades reconocidas y acreditadas son generalmente más valoradas que las emitidas por entidades menos conocidas. Mi recomendación aquí es ir a twitter o reddit y ver que opinan las personas sobre la entidad o sobre una certificación específica. ¿No le vas a creer solamente a lo que dice la entidad en su sitio web, verdad?
  • El contenido del curso y el examen de certificación. Un examen que evalúa habilidades y conocimientos relevantes para el trabajo y que presenta retos o escenarios de análisis tendrá más valor que un examen que se enfoca en preguntas triviales.
  • El proceso de obtención de la certificación. Si la certificación requiere un examen desafiante y una experiencia práctica significativa, tendrá más valor que una certificación que se puede obtener fácilmente. Personalmente me gusta cuando hay que resolver casos mediante análisis y emitir informes.
  • Precio y costos de mantenimiento: Es importante encontrar un equilibrio entre el costo y los beneficios potenciales antes de tomar la decisión de obtener o mantener una certificación. Investiga el costo total de la certificación, incluyendo el precio del examen, los cursos de preparación y las tarifas de mantenimiento.

Conclusión

El mercado de las certificaciones tiene varios actores, como lo hemos visto en esta serie de artículos. Cada uno de los actores tiene sus intenciones (buenas o malas) y hay que entender la perspectiva de cada uno. Lo importante, es recordar que las certificaciones no son un sustituto del conocimiento, la experiencia y las habilidades. Las empresas deben invertir en la formación y desarrollo continuo de sus colaboradores; pero es nuestra responsabilidad definir la estrategia de nuestro propio aprendizaje.

Si queremos que las certificaciones sean más que un simple adorno en nuestro currículum o perfil de LinkedIn, debemos enfocarnos en el aprendizaje continuo y en la adquisición de habilidades relevantes para el mercado laboral. De esta manera, las certificaciones tendrán un verdadero valor ya que pueden reflejar nuestras capacidades y nuestro compromiso con la educación.

Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte III

En el año 2018 comencé a ver la horrible realidad de las certificaciones; los “éxitos” que había logrado y la transformación de mi “perfil” profesional comenzaron a llamar la atención de mi empleador, reclutadores y otras empresas…

Desafortunadamente las intenciones no eran del todo positivas. Mis certificaciones comenzaron a utilizarse para efectos comerciales, la típica frase “tenemos personal calificado y certificado” que finalmente no era más que otro recurso para ganar negocios. Lo que vino después fue lo que me hizo ver lo podrida que estaba la industria.

Las certificaciones en varios países y puntualmente en Latinoamérica suelen ser utilizadas para ganar negocios con entidades privadas y cerrar pliegos en procesos de contratación gubernamentales. Es increíble como se puede influenciar un proceso de contratación a favor, usando perfiles de ingenieros atados a certificaciones específicas.

Mi perfil, y el de otros colegas a quienes aprecio y respeto comenzaron a verse publicados de forma no autorizada en páginas de contratación estatal; algunos “empresarios” nos contactaban para ofrecernos dinero solo por prestar nuestros perfiles con el fin de ganar un negocio. Corrupción en estado puro!

Incluso en plataformas como LinkedIn he podido evidenciar algo similar, algunos reclutadores te contactan, te ofrecen oportunidades laborales, con el objetivo de que entregues tu hoja de vida y las certificaciones, esto es fácil de detectar y ya he confrontado a algunos “reclutadores”.

Así que recomendación para quienes contratan servicios: verifiquen que las hojas de vida o perfiles que reciben sean legítimos y que realmente exista un vinculo profesional entre la empresa que va a prestar los servicios y las hojas de vida que están ofreciendo.

Recomendación para los estusiastas de la seguridad; Si alguien les ofrece dinero por prestar sus perfiles, simplemente digan no y si pueden denuncien. Si yo se, yo se que estamos en crisis financiera y cualquier entrada extra de dinero ayuda, pero definitivamente hay que acabar con la corrupción y ponerle fin ese circulo vicioso. Podrías también denunciar las prácticas corruptas ante las autoridades competentes.

Si algún reclutador te contacta, verifica que sea una empresa de confianza, en lo posible solicita una video llamada para entender el alcance de lo que están buscando antes de compartir cualquier soporte, al final y al cabo en tu perfil de linkedIn está toda la información inicial que podrían necesitar.

Conclusión: En esta entrada quería exponer el lado oscuro de las “certificaciones”, y como estas pueden ser utilizadas para fines poco éticos.

Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte II

La verdad es que la industria nos ha mentido acerca del valor de las certificaciones. A nadie le importa si eres CEH, CHFI o ISO 27001.

Un curso de “certificación” promedio en seguridad cuesta alrededor de 1000 USD, eso equivale a 3 salarios mínimos legales vigentes en Colombia. Adicionalmente en algunas hay que pagar membresias anuales que rondan entre los 25 USD – 50 USD, y por último hay que renovarlas, en oportunidades simplemente pagando más dinero.

Cuando obtuve mi primera certificación lo hice porque quería trabajar como investigador forense. Venía de trabajar un par de años en pentesting (hacking) pero la investigación de delitos informáticos simplemente me sedujo. Pedí plata prestada debido a que el salario que ganaba no me alcanzaba para pagar el curso, fui a un aula durante 5 días, presenté el exámen y me certifiqué. Tristemente no logré el objetivo de conseguir empleo como investigador forense 😔.

Lo más frustrante fue que no aprendí a investigar delitos informáticos durante esos 5 días en los que la promesa de valor fue “adquiere las habilidades necesarias para investigar delitos informáticos de forma efectiva”. Que gran mentira, y ahora con deudas, sin el trabajo soñado y sin los conocimientos que me prometieron. Sentí que perdí mi tiempo y mi dinero.

Cuento esta historia, porque si eres nuevo en seguridad te va a pasar, vas a creerle a alguien de que si te certificas en algo en “ciberseguridad” vas a conseguir empleo. Vas a confiar en el sistema, vas a “invertir” dinero en un curso, vas a preparar el “examen”, posiblemente vas a obtener la certificación, sin embargo no vas a conseguir empleo, con suerte te llamaran a una que otra entrevista.

Ahorra ese dinero, no te endeudes, ¿quieres ese primer empleo como pentester, analista de seguridad, analista forense o analista de riesgo? a continuación mis recomendaciones:

  • Compra un libro o más sobre el tema o certificación que quieres lograr. (valor de la inversión 40 USD en promedio)
  • Lee el bendito libro, a conciencia!
  • Profundiza cada tema que veas en el libro con recursos gratuitos, ve a Youtube busca contenido que te ayude a reforzar cada tema
  • Crea proyectos para cada tema, si son temas técnicos crea laboratorios con máquinas virtuales, si no son temas técnicos escribe reportes o artículos en tu blog.
  • Crea un blog, o utiliza plataformas como wordpress, linkedin, medium, entre otras y comparte lo que estas aprendiendo, probablemente no le va a importar al 99.99% de la humanidad, pero con el tiempo te ayudará.
  • En lugar de estar perdiendo el tiempo en TikTok o Instagram, crea contenido en Youtube sobre la temática que estás aprendiendo.
  • Actualiza tu hoja de vida

Luego de estos pasos y cuando te pregunten en la entrevista si tienes certificaciones en seguridad di que no, pero que estas preparado para certificarte una vez consigas el trabajo. Si tienes una buena entrevista te contratarán y puede que incluso la empresa pague por el exámen de certificación, porque las certificaciones no son para el empleado, las certificaciones son para los empleadores y ellos son quienes tienen dinero (Profundizaré sobre esto en la cuarta entrega).

¿Ves como no valen la pena las certificaciones?

Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte I

En el año 2013 obtuve mi primera certificación en Informática Forense, para ese primer logro tuve que hacer una gran inversión, tomar un curso de 40 horas, posterior al curso estudiar un par de semanas y finalmente presentar el examen. ¿Valió la pena? No.

Durante los siguientes años, cambié el enfoque; principalmente porque los cursos de seguridad son caros y mis recursos eran escasos, sin embargo las certificaciones eran la herramienta para poder abrir nuevas puertas y conseguir mejores empleos, o ese era mi pensamiento. Así que para las próximas certificaciones comencé a definir cuales certificaciones me aportarían para conseguir un nuevo empleo y preparar el exámen por mi cuenta (leyendo libros y practicando).

En el término de 12 meses obtuve otras dos nuevas certificaciones la primera en pruebas de intrusión y la segunda en respuesta a incidentes. ¿Valieron la pena las certificaciones? No. Pero el proceso que utilicé para conseguir las certificaciones si que valieron la pena, aprendí mucho más durante esos 12 meses aportando más en mi trabajo y definiendo la metodología que quería adoptar para los siguientes años de mi carrera.

Entre 2015 y 2016 obtuve un par de certificaciones con las que vi un real cambio en mi perfil, la primera fue en gestión de seguridad y la segunda en gestión de riesgo, escogí estas certificaciones porque quería postularme al cargo de CISO (Oficial de Seguridad) en la organización en la que estaba trabajando. El enfoque fue el mismo, adquirí varios libros, creé mi plan de carrera y comencé a ejecutar tareas en mi trabajo alineadas con lo que aprendía en los libros, cada vez que aprendía algo lo aplicaba. Obtuve las certificaciones, obtuve el rol que quería y lo más importante, realmente aprendí a gestionar riesgos y a liderar proyectos de seguridad. Definitivamente valió la pena.

Entre 2013 y 2023 acumulé cerca de 20 certificaciones en seguridad, principalmente en témas técnicos como análisis de malware, respuesta a incidentes, seguridad en la nube, etc… ¿Valieron la pena? Si, debido a que seguí el mismo proceso durante 10 años, cada año mi meta era obtener al menos 2 certificaciones y no porque necesitara las certificaciones sino porque me volví adicto a presentar exámenes para evaluar lo que estaba aprendiendo y de paso me servían para abrir nuevas puertas en el mercado laboral.

En conclusión, ¿las certificaciones valen la pena? No. Lo que vale la pena es el proceso de aprendizaje para preparar la certificación. Preparar las respuestas para presentar y aprobar un exámen no vale la pena, no es sostenible y tarde que temprano los demás notaran que “eres certificado” pero que realmente no sabes, y por último con el tiempo te va a generar la sensación del síndrome del impostor.

El aprendizaje continuo y la aplicación práctica del conocimiento son los que realmente nos empoderan para avanzar y contribuir significativamente en nuestra industria y nuestra sociedad.

La importancia de un plan de carrera en seguridad y como crearlo

Desde hace unos años, cada primero de Enero dedico un par de horas para planear que quiero aprender durante los próximos 12 meses; esta simple pero efectiva actividad me ayuda a definir mis objetivos, a definir un plan claro con actividades, recursos, y tiempos, a establecer métricas y lo más importante, el plan que creo ese primer día del año me ayuda a estar motivado y enfocado, lo cuál es esencial en cualquier área en la que trabajemos.

En esta entrada compartiré la metodología que utilizo cada año y algunas herramientas sencillas que nos ayudarán a dar ese primer paso.

Paso 1 – Evaluar el estado actual

La inspiración por crear planes de carrera viene de un capítulo de los Simpsons, en la cuál Homero quiere ser inventor y decide crear un plan tomando como referencia a Thomas Alva Edison. De ese capítulo tomé las siguientes ideas:

  • Saber en donde estoy hoy, que es lo que sé, que hago día a día en mi trabajo
  • Tener una persona de referencia (Un mentor, nuestro jefe, un profesor, alguien a quien seguimos en Twitter o LinkedIn)

Ejemplo:
Actualmente trabajo como Ingeniero de Seguridad en Respuesta a Incidentes y mis principales actividades son:

  • Responder ante incidentes de seguridad
  • Analizar reportes de inteligencia con el fin de extraer las tácticas, técnicas, y procedimientos usadas por grupos adversarios.
  • Desarrollar hipótesis con base en el punto anterior y ejecutar campañas de cacería de amenazas (Threat Hunting)
  • Crear reglas de detección para detectar actividad maliciosa

Paso 2 – ¿Que quiero aprender y por qué?

En esta fase debemos preguntarnos lo siguiente:
¿Estoy feliz con mi rol actual?
– si las respuesta es afirmativa: ¿Qué debo aprender o que habilidades debo desarrollar para mejorar en mi rol?, ¿Que cosas nuevas quiero hacer en mi rol?
– si la respuesta es negativa: ¿Quiero un nuevo rol? ¿Qué debo aprender para ese nuevo rol o ese nuevo empleo?

Las respuestas a estas preguntas, ayudarán a identificar qué quiero aprender.

Continuemos desarrollando el ejemplo anterior asumiendo que mi respuesta a la primera pregunta fue afirmativa y estoy feliz con mi rol actual:

– Quiero aprender más sobre respuesta a incidentes en nube pública, debido a que los ataques en la nube vienen aumentando
– Necesito crear detecciones más eficientes, los ataques mejoran cada día por lo tanto debo mejorar en detecciones.
– Quiero elaborar reportes de inteligencia para mis clientes, debido a que la inteligencia de amenazas es un campo apasionante.
– Requiero ser un mejor comunicador en un segundo lenguaje , debido a que ahora debo interactuar con más equipos de trabajo.

Con el siguiente ejemplo dejo claro que es lo que quiero aprender y las motivaciones para desarrollar dicho aprendizaje, sin embargo necesito establecer objetivos claros.

Paso 3 – Definir Objetivos

Si queremos algo debemos plantear objetivos específicos, una técnica es definir objetivos o metas SMART (Specific, Measurable, Achievable, Relevant, and Time-Bound)

Entendiendo las Objetivos SMART:

Specific – Específicas: Nuestros objetivos deben ser claros y específicas para saber exactamente hacia qué estamos trabajando. Por ejemplo, en lugar de decir “Quiero aprender más sobre ingeniería de detección (Detection Engineering)”, un objetivo específico sería “Quiero aprender a crear reglas de alta fidelidad utilizando YARA y SIGMA”.
Measurable – Medibles: ¿Cómo mediremos nuestro progreso y cómo sabremos cuándo hemos alcanzado el objetivo?. Por ejemplo dedicando 1 hora diaria creando reglas en YARA durante los próximos 100 días 😉
Achievable – Alcanzables: Los objetivos deben ser realistas y alcanzables. Aunque deben desafiarnos, no deben ser tan difíciles al punto que se vuelvan desmotivadores.
Relevant – Relevantes: Nuestros objetivos deben estar alineados con nuestras aspiraciones profesionales o académicas.
Time Bound – Con Tiempo Definido: Debemos definir un plazo para cada objetivo. Tener una fecha límite para la finalización crea un sentido de urgencia y ayuda a mantenernos enfocados.

Paso 4 – Documentar y Ejecutar el Plan

Simple, debemos escribir nuestros objetivos de tal forma que podamos hacer seguimiento. En mi caso uso una simple hoja de cálculo donde registro mi objetivo, el propósito, fechas de inicio y fechas estimadas de finalización, un entregable que sirva como evidencia de que aprendí algo (un artículo, código, una clase, etc.) y por último el progreso. Así se ve mi plan de 2024.

Y así fue el plan de años anteriores, como pueden ver, mi plan de estudios se basa en libros principalmente, pero aplica para cursos o proyectos.

Podemos utilizar otras herramientas para gestión de tareas, como Trello, nTask, notion, entre otras; personalmente me gusta con GitHub a través del módulo de proyectos y crear cada objetivo como un Issue.

Paso 5 – Medición

Es importante mantener el plan actualizado, recomiendo agendar sesiones en nuestros calendarios (por lo menos una vez al mes) o configurar alertas para revisar nuestro plan. Durante la sesión revisar como va nuestro progreso y si es necesario hacer ajustes. Por ejemplo:

Dentro de mi plan observo que voy en un 60% de mi objetivo. En este caso tengo 3 días para completar mi misión así que debo hacer ajustes.

Una técnica que utilizo en estos casos es estimar cuanto me falta para completar el objetivo, digamos que para completar requiero 12 horas, con base en eso tomo esas horas y las divido en el número de días restantes (12/3 = 4) es decir que debo dedicar 4 horas diarias durante los próximos 3 días. Anteriormente hacía ajustes de tiempos, pero no lo recomiendo ya que mover uno de los objetivos implica postponer los demás y al final nuestro plan debe ser un compromiso.

A continuación algunas preguntas a realizarnos durante la evaluación:

  • ¿Estoy más cerca de alcanzar mi objetivo?
  • ¿Qué obstáculos he encontrado y cómo puedo superarlos?
  • ¿Mis objetivos siguen siendo relevantes y alcanzables?

¿Cómo y cuándo ajustar objetivos?:
En algunas oportunidades no es tan fácil simplemente ajustar los tiempos al final para cumplir el objetivo, podemos encontrarnos con algunos escenarios comunes:

  • ¿Hemos subestimado las dificultades? Puede ser por que es un tema difícil que require más tiempo, o requerimos más recursos como infraestructura, laboratorios virtuales, libros, o dinero adicional
  • ¿Han surgido nuevas oportunidades?
  • ¿Han cambiado las prioridades personales o profesionales?

Es normal que algunos factores impacten el desarrollo de nuestros objetivos, lo importante es identificarlos, analizarlos y ajustarlos.

Para terminar esta entrada, tres cosas más:

  • Anímense a crear un plan de estudio o de carrera, incluso si están leyendo esto y no trabajan en seguridad
  • No trabajo en seguridad, es un campo nuevo, o recién terminé el colegio o la universidad ¿cómo puedo crear el plan de carrera? Eso lo veremos en la próxima tarea 😉
  • Si trabajan en seguridad y quieren una sesión gratuita para que les ayudemos a elaborar el plan, simplemente escriban un mensaje en los comentarios, los 3 primeros en contactarnos tendrán una sesión gratuita de mentoria para crear el plan de carrera.

¿Y cómo iniciar en seguridad?

Esta es una de las preguntas que probablemente quienes trabajamos en seguridad de la información nos planteamos en su momento, y quienes se encuentran en otra áreas de conocimiento pueden llegar a hacerse al encontrar este campo atractivo para el desarrollo profesional.

Para algunos iniciar en seguridad de la información tal vez fue un proceso casi transparente, usualmente pasando desde un área de tecnología. Sin embargo, puede ser que para otros buscar iniciar en esta profesión no resulte con la misma facilidad teniendo en cuenta que este campo como cualquier otro cuenta con muchas líneas de acción y profundización.

Además implica contar con las ganas de aprender y prepararse en los conceptos propios del área de profundización en la cual se quiere aprender, profundizar e identificar cuales son las habilidades propias que se tienen por conocimientos, estudios y experiencia previas que ayuden a facilitar ese proceso sin morir en el intento.

Entonces, volviendo a la pregunta, y cómo iniciamos, recomendamos considerar los siguientes aspectos.

1. A nivel macro qué línea de profundización se puede buscar

A qué nos referimos con niveles macro; en seguridad podemos considerar tres niveles superiores de profundización: la Defensa, el Ataque y la Gestión.

La Defensa considera las líneas de profundización y actividades encaminadas a proteger a las organizaciones y sus activos de forma proactiva. Piensen en los roles de policía, vigilante, detective, defensor, u héroe que hacen frente a los atacantes.

El Ataque considera las líneas de profundización y actividades orientadas a encontrar vulnerabilidades y brechas en las organizaciones, sus activos y probar la efectividad de los controles implementados. Analiza la seguridad desde un punto de vista ofensivo emulando o simulando técnicas, tácticas y procedimientos que utilizan los atacantes reales. Si pensamos en roles, consideramos el merodeador, ladrón, bandido, antihéroe; pero todos estos en el buen sentido dado que las actividades se realizan bajo un enfoque ético.

La Gestión de su parte considera las líneas de profundización y actividades que a partir del análisis de cumplimiento, los riesgos de seguridad y la generación de políticas y esquemas procedimentales permiten establecer en las organizaciones las reglas de juego en términos de seguridad. De nuevo si hablamos de roles en este caso podemos considerar un juez o un legislador.
Hay consideraciones sobre otras líneas intermedias como la de Arquitectura de seguridad, y aquí se escucha sobre el purple team, pero de alguna forma este nivel de profundización es una mezcla entre el de defensa y el de ataque.

¿Puedo prepararme en las tres líneas de especialización?

Alguien puede considerar que quiere estar en las tres líneas y es completamente viable. Sin embargo, nuestra recomendación si están iniciando, es enfocarse en una y hacerse bueno en esa, porque abarcar tantas temáticas con altos niveles de calidad y conocimiento implica bastante dedicación y esfuerzo.

Pero importante, es necesario contar con conocimientos básicos y entendimiento de lo que se hace en cada una de estas líneas puesto que entre ellas interactúan y la seguridad en las organizaciones requiere de las tres como complemento y equilibrio.

Si luego de ser muy bueno en una línea, encuentran que es posible y quieren ahondar en conocimiento de otra, adelante, no hay nada mejor que buscar ser integral; pero especializarse en una particular con lo cual generar el diferencial profesional.

2. Ya decidí el nivel macro, ahora que sigue

Bien, si la decisión sobre Defensa, Ataque o Gestión ha sido tomada, ahora bajen de nivel y decidan en que actividades enfocarse. Para cada una de las tres líneas es posible llegar a mayores niveles de profundización. Por ello la recomendación es analizar cuales son los intereses particulares que tienen y también considerar las habilidades actuales; con el fin de evitar escoger alguna especialidad que aunque sea de su gusto, el nivel de habilidad que tienen o pueden desarrollar no sea el suficiente y el proceso de aprendizaje pueda llegar a ser un dolor de cabeza.

Alyssa Miller, una hacker, investigadora y defensora de la seguridad, en una charla del Defcon 28 de agosto de 2020 de la Career Hacking Village denominada como “From Barista to Cyber Security Pro” compartió algunas consideraciones sobre cómo conseguir un primer trabajo en seguridad; analizando desafios a los que se enfrentan los aspirantes y algo sobre descripciones de cargos, certificaciones, títulos y retos relacionados con la búsqueda de empleo.

Si bien estamos hablando de una presentación de hace poco más de dos años, varios de los planteamientos realizados por Alyssa siguen más que vigentes si quieren iniciar en seguridad. Les dejamos el video completo de la charla y recomendamos si están arrancando en esto que le den una mirada.

Fuente: YouTube de Career Hacking Village

Parte de lo que se comparte en esta charla es la investigación de dominios de seguridad realizada por Henry Jiang, CISO de Diligent Corporation, cuya última actualización es de marzo de 2021 y que va muy de la mano con nuestra especificación sobre líneas de profundización. Si bien, no estamos de acuerdo con todas las vertientes como se plantean aquí, nos gusta como presenta que en seguridad hay diferentes rutas, estas se relacionan con los niveles macro y trabajar en cada una implica desarrollar diferentes habilidades y capacidades.

Fuente: Artículo Cybersecurity Domain Map ver 3.0

Entonces sí saben que quieren optar por una línea de seguridad particular, lo que sigue es pensar en que les gusta de esa línea, que quieren aprender, si ya tienen algo de acercamiento con alguna actividad o especialidad y si con lo que conocen quieren seguir por esa ruta.

Si bien no nos atrevemos a hablar de una lista exhaustiva para cada una de estas rutas, les dejamos a continuación algunas referencias.

Líneas de profundización o actividades que se pueden considerar en Defensa:

  • Respuesta y gestión de incidentes de seguridad (y no es lo mismo responder a un incidente en una red corporativa tradicional, en cloud o en un sistema de control industrial)
  • Seguridad en el ciclo de desarrollo del software
  • Arquitectura de seguridad desde la óptica de implementaciones seguras
  • Diseño de redes seguras
  • Gestión de vulnerabilidades técnicas
  • Modelado de amenazas
  • Inteligencia de amenazas
  • Cacería de amenazas (y si, ven amenazas como común denominador en las tres últimas, pero no son lo mismo)
  • Implementación de guías de aseguramiento (hardening o postura de seguridad)
  • Monitoreo, correlación de eventos de seguridad y automatización (aquí considerar aspectos de manejo de expresiones regulares y scripting)
  • Seguridad en cloud
  • Análisis de malware
  • Ingeniería reversa orientado a defensa
  • Administración de plataformas de seguridad
  • Análisis forense digital (y no es lo mismo hacer forense en móviles, cloud, blockchain, sistemas operativos o redes, así que ponerle atención a esto)
  • Seguridad asociada a tecnologías emergentes (IoT, AI, VR, AR, ML, sistemas autónomos, blockchain, etc.)

Líneas de profundización o actividades que se pueden considerar en Ataque:

  • Análisis de vulnerabilidades técnicas y mecanismos de remediación
  • Hacking ético y Pentesting (y no es lo mismo hacer un pestesting sobre móviles, cloud, aplicaciones, web, APIs, etc.)
  • Pruebas de seguridad en desarrollo de software
  • Diseño de malware (ojo, con uso ético para pruebas de pentesting)
  • Ingeniería social
  • Ingeniería reversa orientado a ataque
  • Biohacking

Líneas de profundización o actividades que se pueden considerar en Gestión

  • Análisis y gestión de riesgos
  • Gobierno, riesgo y cumplimiento (aquí se debe considerar regulación específica por industrias según requerimientos y país)
  • Definición y gestión de políticas, lineamientos y procedimientos de seguridad
  • Gestión de privacidad
  • Continuidad de negocios
  • Recuperación de desastres
  • Gestión y comunicación de crisis
  • Auditoría técnica y de gestión (aquí se puede considerar aspectos de las 3 líneas de defensa)
  • Implementación de frameworks de gestión en seguridad
  • Métricas de seguridad (KPIs, KRIs, KCIs)
  • Conciencia en seguridad
  • Entrenamiento en seguridad
  • Gestión de proyectos aplicado a seguridad
  • Estrategia de seguridad (zero trust, seguridad basada en riesgos, etc.)
  • Derecho informático
  • Arquitectura de seguridad desde la óptica de implementaciones seguras
  • Gestión y auditoría asociada a tecnologías emergentes (IoT, AI, VR, AR, ML, sistemas autónomos, blockchain, etc.)

3. Decidí la profundización, pero no sé por dónde arrancar

Pensemos que tomaste la decisión de aprender sobre cacería de amenazas, pero en el camino encontraste que no tienes claro qué es una amenaza, a qué se refiere un vector de ataque o te encuentras con un escenario en el que es necesario hacer el análisis en entornos cloud.

De forma similar, quieres trabajar en pentesting sobre móviles, pero identificas que tienes vacíos significativos en sistemas operativos, aplicaciones, o cómo funcionan las APIs.

O quieres ser auditor técnico y no sabes cómo hacer la revisión de una topología de red, desconoces principios de autenticación y autorización o simplemente no sabes que debe considerar un control para que sea adecuado en diseño y eficacia.

Por situaciones como estas, se debe considerar que es importante contar con unas bases en conocimientos tecnológicos, de análisis y trabajar sobre algunas habilidades blandas que permitan desarrollar adecuadamente cualquiera de las profundizaciones, pues brindan estructuras sólidas que facilitaran el proceso de aprendizaje y trabajo.

A continuación, les compartimos algunas bases que deberían considerar para arrancar.

Bases tecnológicas

  • Redes (topologías de red, protocolos, TCP/IP, dispositivos de infraestructura de red, etc.)
  • Sistemas operativos (Windows, Linux, MacOS, Android, iOS)
  • Arquitectura de computadores
  • Bases de datos (relacionales, no relacionales, motores de bases de datos, creación de consultas)
  • Esquemas de repositorios y almacenamiento
  • Scripting (Python, Powershell, Go, Bash)
  • Desarrollo de software (lenguajes de programación, metodologías de desarrollo, estructuras de datos, etc.)
  • Virtualización
  • Cloud (Microservicios, APIs, contenedores, seguridad como código, infraestructura como código, multicloud, etc.)
  • Blockchain
  • Tecnologías telefonía móvil (5G, malware orientado a móviles, etc.)
  • Conceptos sobre tecnologías emergentes (IoT, AI, VR, AR, ML, sistemas autónomos, etc.)

Bases de seguridad

  • Análisis básico de riesgos (conceptos de amenazas, vulnerabilidades, riesgos, impacto, probabilidad, diseño de controles)
  • Control de acceso, gestión de usuarios e identidades
  • Generalidades de biometría
  • Generalidades sobre malware y tipos de ataques
  • Gestión de activos y clasificación de información
  • Criptografía
  • Bases para elaboración de métricas
  • Seguridad física y perimetral
  • Regulación y legislación en torno a seguridad y tecnología (recordar que está sujeto a cada país)
  • Esquemas de seguridad en cloud

Bases de habilidades blandas

  • Mejorar habilidades de escritura y lectura, incluyendo una segunda lengua como el inglés
  • Elaboración de reportes e informes técnicos y ejecutivos
  • Comunicación y presentación en público

De nuevo, las bases mencionadas previamente no pretenden ser exhaustivas, es posible que ustedes identifiquen otras que no encuentran aquí listadas, así que agréguenlas a su ‘to-do’.

4. Qué opciones de aprendizaje hay para todo lo anterior

Para el desarrollo de carrera en seguridad se puede optar por diferentes métodos y mecanismos tales como autoestudio, estudios formales, cursos presenciales u online, entrenamientos, grupos de estudio, certificaciones, tutoriales en youtube, participación en CTFs, conferencias, procesos de coaching, mentoría entre otros.

Si se considera el autoestudio, la recomendación es buscar cursos de inicio o para principiantes que faciliten el proceso, pero validar que para las bases tecnológicas y de seguridad estos no sean obsoletos teniendo en cuenta los cambios constantes.

Algunas ideas de cursos básicos, intermedios y avanzados se pueden encontrar en plataformas como cybrary, edx, coursera, udemy, future learn o platzi. Hay opciones pagas con diferentes costos y opciones gratuitas. También pueden encontrar opciones ofrecidas por proveedores de tecnología, servicios y universidades a través de estas plataformas o a través de sus propios sitios web.

Todo consiste en tomarse el tiempo para hacer la búsqueda acorde con lo que se quiere aprender y realizar los filtros para que la información que se tome sea adecuada. Recordemos que actualmente el problema no es la ausencia de información, porque la encontramos por mil, el reto actual es saber filtrar la información idónea que realmente nos aporte conocimiento.

Con la búsqueda de información una recomendación adicional, incluyan recursos en español y en inglés. Incluso es factible que puedan encontrar más recursos o que estén más actualizados en la segunda lengua que en la primera, por lo cual también es importante darles la oportunidad como parte de la búsqueda y no restringirse por la debilidad en un segundo idioma. Precisamente a través de recursos de estudio pueden encontrar oportunidades de ir aprendiendo y reforzando el inglés cotidiano y técnico que es una gran ventaja e incluso necesidad en el mundo profesional.

Y sobre la duda usual, escoger entre estudios formales, no formales o certificaciones

Esto depende de los intereses de cada uno, del sector en el que se quieran desempeñar, incluso de la cultura del país donde se encuentren. Hay lugares donde valoran más los conocimientos que se pueden demostrar por pruebas técnicas o entrevistas, que la presentación de diplomas de especialización, maestría o certificaciones.

De igual forma, hay lugares donde parte de los perfiles son contar con niveles de profesionalización o certificaciones que pasan a ser los primeros filtros de selección al revisar un curriculum sin importar conocimientos reales.

Hay temáticas recientes para las cuales los estudios formales o las certificaciones se quedan cortos, mientras realizar estudios no formales permiten su acercamiento (incluidos y de relevancia los temas de autoestudio con búsqueda de material en la red e incluso la lectura de artículos e investigaciones).

Entonces a partir de las bases requeridas, las líneas de profundización deseadas, el sector donde buscan moverse y el lugar geográfico donde estén; la recomendación es armar un plan de formación y entrenamiento que les permita acercarse a ese estado de conocimientos al que le quieren apuntar. Seguramente en el camino encontrarán que aparecen nuevas cosas que causen que en su mapa puedan aparecer nuevas vertientes; y eso es lo bonito de la seguridad, que tiene tanto de largo como de ancho, así que, si sucede, tómenlo como una nueva oportunidad para reforzar lo que estén aprendiendo o tal vez para virar hacía otras líneas que descubran les apasionan más.

¡Pero ojo! tampoco pierdan un norte, recuerden que la recomendación principal es especializarse en alguna línea y evitar que se les convierta en un mar de conocimiento con un mínimo de profundidad.

En varios lugares, incluso por encima de los estudios formales, son muy bien valoradas las certificaciones. Por eso les dejamos esta referencia de certificaciones en seguridad orientadas hacía diferentes especialidades y basadas en niveles principiante, intermedio o experto, que hace un tiempo compartió a través de Twitter Andrés Velázquez (@cibercrimen)

Y aún con estas ideas, no sé cómo organizar mi plan de estudio al respecto

Eres nuevo en seguridad, apenas estás iniciando y quieres una guía sobre como avanzar en tus planes de preparación y estudio. Contáctanos y te ayudamos a validar una hoja de ruta o plan de carrera inicial que te permita enfocar mejor tus esfuerzos en la búsqueda de recursos para el aprendizaje.

¿Qué es un Obuka?

Y si has pasado por los servicios de educación de 85bits, habrás visto que hablamos sobre Obukas, y tal vez habrás pensado en qué es eso y si eres un poco curioso y te quedó algo de tiempo “googleaste” para hacer la búsqueda sobre este término (como le pasó a un amigo con quien hablamos del tema).
Pero si no tuviste el espacio para hacer la búsqueda, te queremos contar que es un Obuka y por qué en 85bits hablamos de esto.


Desde que empezamos a considerar los aspectos que debían cumplir los esquemas de educación de 85bits consideramos que por una parte debían contar con componentes flexibles ajustados a las necesidades y gustos de aprendizaje de nuestros entusiastas, pero, también que deben tener unos componentes rigurosos que permitan que los aprendices presten la debida atención a su proceso y cumplan con los objetivos de aprendizaje que de común acuerdo sean pactados.


En 85bits no te vamos a obligar a aprender aquellos que no quieres y no necesitas, pero si que te vamos a exigir para hacer de tu proceso de estudio algo enriquecedor.
Así que en ese proceso de lluvia de ideas sobre cómo construir nuestros programas direccionados en lo que les contamos, surgió que en 85bits hacemos Obukas:

Entrenamientos basados en mentoría y formación con altos niveles de exigencia para lograr los objetivos de aprendizaje

El término obuka es croata, y se refiere a capacitación o entrenamiento; aunque también tiene esta referencia en bosnio. Pero no solo lo usamos porque es cool usar terminología en otro idioma, sino, porque el término también es usado como nombre y apellido en algunos países de Asía y África principalmente, y algunas de las connotaciones de este se alinean a la esencia de lo que buscamos en nuestros programas y sus entusiastas.

La esencia del nombre Obuka representa versatilidad, entusiasmo, agilidad y métodos no convencionales

meaningslike.com

Se relaciona con una personalidad autodidacta, curiosa, creativa y exploradora (que no gusta de la monotonía y la dependencia), que conoce la importancia de escuchar a los demás manteniendo esquemas de diplomacia y respeto y con un fuerte sentido de responsabilidad.

Así los obukas de 85bits van más allá de los esquemas tradicionales de training en seguridad considerando los siguientes componentes:

  • Acompañamiento continuo a través de esquemas de mentoría. Tal cual, no se trata solo de la disposición de un docente o entrenador, sino de un mentor, que más allá de solo querer transmitir experiencia y conocimientos, busca aportar en el desarrollo integral de nuestros entusiastas.
  • Material de estudio versátil, práctico y preciso sin perder de foco los requerimientos de profundidad en la revisión de temáticas. Tanto para el trabajo individual como grupal.
  • Y en el nuevo mundo del home office y demás, que ha tomado tanta fuerza, se consideran las prácticas virtuales y la accesibilidad a los recursos y las personas “desde la comodidad de la casa” con la diferencia de ser telepresentes, es decir, no solamente se considera el acceso a material y consultas ocasionales, sino sesiones sincrónicas que permitan realizar actividades y resolver dudas en vivo.

Gracias por llegar hasta aquí y tomarte el tiempo de conocer este término y su razón de ser para nosotros. Esperamos haberte animado a querer indagar un poco más sobre como lo desarrollamos en nuestras líneas de estudio e investigación. Así que te animamos a preguntar 😉

Hasta la próxima

Referencias:

  • https://es.glosbe.com/hr/es/obuka
  • https://www.indifferentlanguages.com/es/traducir/bosnio-espa%C3%B1ol/obuka
  • http://www.meaningslike.com/name-stands-for/obuka#learn-more
  • https://forebears.io/surnames/obuka