Tras nuestra entrada sobre las certificaciones de seguridad, nos han llegado múltiples consultas de estudiantes que están terminando la carrera o un módulo y no tienen demasiado claro como continuar su formación y mejorar su currículum y conocimientos en seguridad para obtener un perfil más especializado. En esta entrada os daré mi consejo personal por si os puede ser de interés.
1.- QUIENES SOMOS
Lo primero y más obvio es recordar que nuestro nombre y correo electrónico es una marca. Hoy en día es bastante común Googlear y tratar de averiguar un poco más allá del propio currículum del candidato. Mensajes en foros, listas de correo, redes sociales, fotos, todo lo que este publicado en Internet se ha de tener presente, eliminando aquello que pudiera perjudicar la imagen. Además, es recomendable participar activamente en aquellos sitios técnicos de nuestro interés. Tener un pequeño blog puede ayudar o perjudicar al candidato, así que además de tus colegas del barrio, piensa que alguien más puede leerlo.
Este punto es tan importante que en ocasiones las consultoras se acercan a las universidades en busca de una persona en concreto como haría el mismísimo Florentino Pérez.
2.- DONDE QUEREMOS IR Y TAL
Lo primero que se debe tener más o menos claro es que se está solicitando hoy en día en el mercado laboral y donde podríamos encajar mejor en base a nuestros gustos, así como en que campo se desea desarrollar nuestra carrera profesional, ¡aunque seguramente sufra múltiples cambios! Una lista de los distintos perfiles de seguridad que se buscan por todo tipo de compañías podría ser algo similar a esto:
- Operación: encargado de la monitorización de elementos de seguridad como cortafuegos, detectores de intrusos, consolas antivirus, etcétera. Un buen sitio por el que comenzar que puede dar mucha visibilidad de arquitectura y su infraestructura.
- Hacking ético: especialistas en explotación y análisis de vulnerabilidades, amplios conocimientos en sistemas, redes, aplicaciones, etcétera. También es normal encontrarse gente que está más cómoda en algunas plataformas, por ejemplo sistemas Microsoft, Unix, en redes, Web…
- Análisis Forense: en muchas ocasiones es el mismo perfil que el anterior, ya que se requieren conocimientos similares más un componente adicional de esta materia.
- I+D: Lo que todo el mundo quiere hacer pero pocos saben cómo, llevar a cabo nuevas ideas, realizar estudios, plantear nuevos proyectos…
- Ingeniería inversa: desde el desarrollo de protecciones hasta el análisis de malware, perfil para los amantes del código en todos sus niveles.
- Arquitectura de red / Integración: especialistas en electrónica de red, integrando sistemas de seguridad como IDS/IPS, firewalls, proxys, etcétera o también haciendo consultoría sobre las necesidades que puede tener determinada arquitectura.
- Auditor LOPD / LSSI: perfiles tanto de abogados como informáticos con conocimientos de la Ley Orgánica de Protección de Datos, Ley de Servicios de la Sociedad de la información, etcétera.
- Continuidad de Negocio: llevando a cabo este tipo de proyectos y planes de continuidad, no requiere altos conocimientos técnicos, pero si el conocimiento de algunos estándares de seguridad como BS25999 o BS25777
- Auditor ISO27001, COBIT, Normativas: personas generalmente con un perfil menos técnico con conocimientos de normas y estándares de seguridad para la ejecución de proyectos de análisis de riesgos, planes directores, sgsi, etcétera.
- Formación: no a todo el mundo le gusta ni tiene esta habilidad, no solo hay que conocer muy bien la materia si no saber cómo contarla.
Los puestos a desempeñar no tienen por qué ser exclusivos. Por poner algunos ejemplos, un formador es generalmente alguien que hace otro tipo de tareas relacionadas, un auditor de LOPD podría hacer una análisis de riesgos, alguien que haga hacking podría ejecutar cosas relacionadas con la ingeniería inversa… y así las combinaciones que se os ocurran.
A todos ellos se podría acceder sin experiencia previa como Junior e ir adquiriendo y profundizando en que más os guste. Si estas pensando que por haber terminado la carrera has terminado tu formación, seguramente te veas bastante limitado en tus conocimientos y posibilidades.
3.- DONDE APRENDER
Uno de los principales recursos para conocer el panorama de la seguridad e identificar si nos termina de gustar, son las conferencias que se celebran durante todo el año por todo el país. Estas conferencias organizadas por distintos organismos e instituciones en su gran mayoría son sin coste y además en todas ellas siempre se aprende algo.
CriptoRed mantiene un buen calendario de eventos y en el INTECO podéis consultar otro.
De forma económica y enfocado únicamente al contexto técnico de forma detallada y amplia, podemos optar por formaciones específicas como la que imparte Informatica64 en sus FTSAI.
Si lo que deseamos es volvernos un auténtico hatori de la seguridad, siempre podremos consultar todos los recursos disponibles en Internet y volvernos autodidactas, aquí una recopilación:
- Blogs interesantes de seguridad
- Listas de correo de seguridad
- Foros de seguridad
- Podcasts de seguridad
- Twitters de seguridad
O recurrir a los clásicos libros, ya sean en papel o en formato electrónico, la lista es tan amplia que nosotros hemos recogido algunas de las mejores editoriales.
Para finalizar, una excelente opción para adquirir conocimientos rápidamente y colorear de forma considerable nuestro currículum vitae es la obtención de un Master en Seguridad de la Información, existen decenas de opciones con horarios y duraciones distintos y aunque económicamente suponen un desembolso considerable, son bastante amplios como para adquirir una visión completa de todo lo que se realiza en un departamento de seguridad de la información.
Mediante el portal emagister.com se pueden consultar muchas ofertas. Aunque por razones obvias, yo os sugiero el de la Universidad Europea de Madrid en el que imparto algunas clases 😉
4.- AMPLIANDO EL CURRICULUM
¿Tú ya tienes tus estrellas?, si no es así, ¡mejora tu currículum!
Un experto en seguridad es alguien con muy buena base en muchos campos y por esto, un camino que sigue mucha gente es la evolución desde otro departamento técnico como administradores de sistemas o desarrolladores a uno de seguridad. Por lo tanto una buena opción es certificarse en algunos de estos temas teniendo en cuenta nuestros gustos y en que se desea trabajar posteriormente.
EC-Council nos permite certificarnos en hacking (CEH) o análisis forense (CHFI), sin tener experiencia siempre y cuando hagamos uno de sus cursos oficiales.
Mediante el uso de centros “Prometric“, también podemos certificarnos en múltiples productos por un coste razonable (120-220$), cito algunos ejemplos aunque lo mejor es visitar la web y buscar los que más nos puedan interesar.
- Microsoft certifica mediante MCP, en distintas tecnologías, pero se puede optar por un MCSE(requiere de varios exámenes) de seguridad
- Linux con la certificación de LPI
- F5 y las certificaciones de sus productos
- Cisco y el clásico CCNA, CCNA Security o CCSP de seguridad (varios exámenes)
- Sun y SCSECA de seguridad para Solaris 9 ó 10
Para obtener estas certificaciones en general no es necesario asistir a ningún curso y se pueden preparar con el material disponible en la red.
Para finalizar, se puede adquirir experiencia solicitando alguna de las becas o aplicando a puestos de este tipo mediante portales como infojobs.com, puede ser una magnífica oportunidad para dar los primeros pasos e incluso quedarse en la compañía.
Fuente: Alejandro Ramos para SecurityByDefault
