Porque la seguridad de la información debe divertida, aquí algo sobre entretenimiento en seguridad de la información que ayuda a verla con ojos diferentes
Una de las preguntas más comunes que recibo de amigos y alumnos es ¿Cómo puedo aprender seguridad? En este artículo explicaré 3 recursos que considero esenciales.
1) La guía de estudio de Security+ de Darril Gibson y Joe Shelley: Los libros de Darril Gibson tienen como foco principal, la preparación de una de mis certificaciones de seguridad favoritas (Security+); sin embargo, la razón por la que recomiendo este recurso es porque contiene los conceptos que se requieren para involucrarse en la industria de la seguridad.
Puedes conseguir este libro en Amazon por un valor promedio de 40 USD, puedes descargar una muestra gratuita y navegar los primeros capítulos para ver si te llama la atención. En definitiva es mi recurso favorito y es el libro que utilizo como referencia en varios de los cursos que dicto.
2) La guía de estudio de CCSK (Certificate of Cloud Security Knowledge), este libro el cuál encontrarás en Español y en Inglés de manera gratuita, brinda los conceptos clave para comprender la seguridad en la nube
3) Curso de Seguridad de Google
El curso de seguridad de Google fue oficialmente publicado en 2023 y es el entrenamiento que personalmente recomiendo a mis estudiantes, allí no solo aprenderás las nociones de seguridad si no que también aprenderás conceptos de programación y a utilizar linux. El curso lo puedes tomar a tu ritmo, el costo es de 49 USD mensuales y dependerá de ti cuantos meses vas a invertir. Si definitivamente no cuentas con los 49 USD o no sabes si vale la pena hacer la inversión, simplemente puedes ver los videos gratis en Youtube y tomar las lecciones básicas.
Desde hace unos años, cada primero de Enero dedico un par de horas para planear que quiero aprender durante los próximos 12 meses; esta simple pero efectiva actividad me ayuda a definir mis objetivos, a definir un plan claro con actividades, recursos, y tiempos, a establecer métricas y lo más importante, el plan que creo ese primer día del año me ayuda a estar motivado y enfocado, lo cuál es esencial en cualquier área en la que trabajemos.
En esta entrada compartiré la metodología que utilizo cada año y algunas herramientas sencillas que nos ayudarán a dar ese primer paso.
Paso 1 – Evaluar el estado actual
La inspiración por crear planes de carrera viene de un capítulo de los Simpsons, en la cuál Homero quiere ser inventor y decide crear un plan tomando como referencia a Thomas Alva Edison. De ese capítulo tomé las siguientes ideas:
Saber en donde estoy hoy, que es lo que sé, que hago día a día en mi trabajo
Tener una persona de referencia (Un mentor, nuestro jefe, un profesor, alguien a quien seguimos en Twitter o LinkedIn)
Ejemplo: Actualmente trabajo como Ingeniero de Seguridad en Respuesta a Incidentes y mis principales actividades son:
Responder ante incidentes de seguridad
Analizar reportes de inteligencia con el fin de extraer las tácticas, técnicas, y procedimientos usadas por grupos adversarios.
Desarrollar hipótesis con base en el punto anterior y ejecutar campañas de cacería de amenazas (Threat Hunting)
Crear reglas de detección para detectar actividad maliciosa
Paso 2 – ¿Que quiero aprender y por qué?
En esta fase debemos preguntarnos lo siguiente: ¿Estoy feliz con mi rol actual? – si las respuesta es afirmativa: ¿Qué debo aprender o que habilidades debo desarrollar para mejorar en mi rol?, ¿Que cosas nuevas quiero hacer en mi rol? – si la respuesta es negativa: ¿Quiero un nuevo rol? ¿Qué debo aprender para ese nuevo rol o ese nuevo empleo?
Las respuestas a estas preguntas, ayudarán a identificar qué quiero aprender.
Continuemos desarrollando el ejemplo anterior asumiendo que mi respuesta a la primera pregunta fue afirmativa y estoy feliz con mi rol actual:
– Quiero aprender más sobre respuesta a incidentes en nube pública, debido a que los ataques en la nube vienen aumentando – Necesito crear detecciones más eficientes, los ataques mejoran cada día por lo tanto debo mejorar en detecciones. – Quiero elaborar reportes de inteligencia para mis clientes, debido a que la inteligencia de amenazas es un campo apasionante. – Requiero ser un mejor comunicador en un segundo lenguaje , debido a que ahora debo interactuar con más equipos de trabajo.
Con el siguiente ejemplo dejo claro que es lo que quiero aprender y las motivaciones para desarrollar dicho aprendizaje, sin embargo necesito establecer objetivos claros.
Paso 3 – Definir Objetivos
Si queremos algo debemos plantear objetivos específicos, una técnica es definir objetivos o metas SMART (Specific, Measurable, Achievable, Relevant, and Time-Bound)
Entendiendo las Objetivos SMART:
Specific – Específicas: Nuestros objetivos deben ser claros y específicas para saber exactamente hacia qué estamos trabajando. Por ejemplo, en lugar de decir “Quiero aprender más sobre ingeniería de detección (Detection Engineering)”, un objetivo específico sería “Quiero aprender a crear reglas de alta fidelidad utilizando YARA y SIGMA”. Measurable – Medibles: ¿Cómo mediremos nuestro progreso y cómo sabremos cuándo hemos alcanzado el objetivo?. Por ejemplo dedicando 1 hora diaria creando reglas en YARA durante los próximos 100 días 😉 Achievable – Alcanzables: Los objetivos deben ser realistas y alcanzables. Aunque deben desafiarnos, no deben ser tan difíciles al punto que se vuelvan desmotivadores. Relevant – Relevantes: Nuestros objetivos deben estar alineados con nuestras aspiraciones profesionales o académicas. Time Bound – Con Tiempo Definido: Debemos definir un plazo para cada objetivo. Tener una fecha límite para la finalización crea un sentido de urgencia y ayuda a mantenernos enfocados.
Paso 4 – Documentar y Ejecutar el Plan
Simple, debemos escribir nuestros objetivos de tal forma que podamos hacer seguimiento. En mi caso uso una simple hoja de cálculo donde registro mi objetivo, el propósito, fechas de inicio y fechas estimadas de finalización, un entregable que sirva como evidencia de que aprendí algo (un artículo, código, una clase, etc.) y por último el progreso. Así se ve mi plan de 2024.
Y así fue el plan de años anteriores, como pueden ver, mi plan de estudios se basa en libros principalmente, pero aplica para cursos o proyectos.
Podemos utilizar otras herramientas para gestión de tareas, como Trello, nTask, notion, entre otras; personalmente me gusta con GitHub a través del módulo de proyectos y crear cada objetivo como un Issue.
Paso 5 – Medición
Es importante mantener el plan actualizado, recomiendo agendar sesiones en nuestros calendarios (por lo menos una vez al mes) o configurar alertas para revisar nuestro plan. Durante la sesión revisar como va nuestro progreso y si es necesario hacer ajustes. Por ejemplo:
Dentro de mi plan observo que voy en un 60% de mi objetivo. En este caso tengo 3 días para completar mi misión así que debo hacer ajustes.
Una técnica que utilizo en estos casos es estimar cuanto me falta para completar el objetivo, digamos que para completar requiero 12 horas, con base en eso tomo esas horas y las divido en el número de días restantes (12/3 = 4) es decir que debo dedicar 4 horas diarias durante los próximos 3 días. Anteriormente hacía ajustes de tiempos, pero no lo recomiendo ya que mover uno de los objetivos implica postponer los demás y al final nuestro plan debe ser un compromiso.
A continuación algunas preguntas a realizarnos durante la evaluación:
¿Estoy más cerca de alcanzar mi objetivo?
¿Qué obstáculos he encontrado y cómo puedo superarlos?
¿Mis objetivos siguen siendo relevantes y alcanzables?
¿Cómo y cuándo ajustar objetivos?: En algunas oportunidades no es tan fácil simplemente ajustar los tiempos al final para cumplir el objetivo, podemos encontrarnos con algunos escenarios comunes:
¿Hemos subestimado las dificultades? Puede ser por que es un tema difícil que require más tiempo, o requerimos más recursos como infraestructura, laboratorios virtuales, libros, o dinero adicional
¿Han surgido nuevas oportunidades?
¿Han cambiado las prioridades personales o profesionales?
Es normal que algunos factores impacten el desarrollo de nuestros objetivos, lo importante es identificarlos, analizarlos y ajustarlos.
Para terminar esta entrada, tres cosas más:
Anímense a crear un plan de estudio o de carrera, incluso si están leyendo esto y no trabajan en seguridad
No trabajo en seguridad, es un campo nuevo, o recién terminé el colegio o la universidad ¿cómo puedo crear el plan de carrera? Eso lo veremos en la próxima tarea 😉
Si trabajan en seguridad y quieren una sesión gratuita para que les ayudemos a elaborar el plan, simplemente escriban un mensaje en los comentarios, los 3 primeros en contactarnos tendrán una sesión gratuita de mentoria para crear el plan de carrera.
Y si has pasado por los servicios de educación de 85bits, habrás visto que hablamos sobre Obukas, y tal vez habrás pensado en qué es eso y si eres un poco curioso y te quedó algo de tiempo “googleaste” para hacer la búsqueda sobre este término (como le pasó a un amigo con quien hablamos del tema). Pero si no tuviste el espacio para hacer la búsqueda, te queremos contar que es un Obuka y por qué en 85bits hablamos de esto.
Desde que empezamos a considerar los aspectos que debían cumplir los esquemas de educación de 85bits consideramos que por una parte debían contar con componentes flexibles ajustados a las necesidades y gustos de aprendizaje de nuestros entusiastas, pero, también que deben tener unos componentes rigurosos que permitan que los aprendices presten la debida atención a su proceso y cumplan con los objetivos de aprendizaje que de común acuerdo sean pactados.
En 85bits no te vamos a obligar a aprender aquellos que no quieres y no necesitas, pero si que te vamos a exigir para hacer de tu proceso de estudio algo enriquecedor. Así que en ese proceso de lluvia de ideas sobre cómo construir nuestros programas direccionados en lo que les contamos, surgió que en 85bits hacemos Obukas:
Entrenamientos basados en mentoría y formación con altos niveles de exigencia para lograr los objetivos de aprendizaje
El término obuka es croata, y se refiere a capacitación o entrenamiento; aunque también tiene esta referencia en bosnio. Pero no solo lo usamos porque es cool usar terminología en otro idioma, sino, porque el término también es usado como nombre y apellido en algunos países de Asía y África principalmente, y algunas de las connotaciones de este se alinean a la esencia de lo que buscamos en nuestros programas y sus entusiastas.
La esencia del nombre Obuka representa versatilidad, entusiasmo, agilidad y métodos no convencionales
meaningslike.com
Se relaciona con una personalidad autodidacta, curiosa, creativa y exploradora (que no gusta de la monotonía y la dependencia), que conoce la importancia de escuchar a los demás manteniendo esquemas de diplomacia y respeto y con un fuerte sentido de responsabilidad.
Así los obukas de 85bits van más allá de los esquemas tradicionales de training en seguridad considerando los siguientes componentes:
Acompañamiento continuo a través de esquemas de mentoría. Tal cual, no se trata solo de la disposición de un docente o entrenador, sino de un mentor, que más allá de solo querer transmitir experiencia y conocimientos, busca aportar en el desarrollo integral de nuestros entusiastas.
Material de estudio versátil, práctico y preciso sin perder de foco los requerimientos de profundidad en la revisión de temáticas. Tanto para el trabajo individual como grupal.
Y en el nuevo mundo del home office y demás, que ha tomado tanta fuerza, se consideran las prácticas virtuales y la accesibilidad a los recursos y las personas “desde la comodidad de la casa” con la diferencia de ser telepresentes, es decir, no solamente se considera el acceso a material y consultas ocasionales, sino sesiones sincrónicas que permitan realizar actividades y resolver dudas en vivo.
Gracias por llegar hasta aquí y tomarte el tiempo de conocer este término y su razón de ser para nosotros. Esperamos haberte animado a querer indagar un poco más sobre como lo desarrollamos en nuestras líneas de estudio e investigación. Así que te animamos a preguntar 😉
Transformamos el Status quo en seguridad de la información para que todo entusiasta desarrolle su potencial profesional a través de programas de entrenamiento y capacitación personalizados.
