Cómo conseguir un trabajo en ciberseguridad

Esta historia es parte de la iniciativa ** Cómo conseguir un trabajo en tecnología ** de Hacker Noon. La serie está destinada a profesionales de la tecnología en cualquier campo para compartir su experiencia de construir una carrera en tecnología y ayudar a romper los mitos comunes que enfrentan los principiantes en tecnología.

Si a ti también te gustaría compartir tu experiencia, Puedes hacerlo aquí .

¿Cuál es tu posición actual?

Dirigir mi propia empresa haciendo un poco de consultoría, un poco de capacitación y enseñanza, un poco de hablar, un poco de escribir, mucho aprendizaje.

En estos días es difícil definir bajo una etiqueta, ya que es la superposición entre lo que encuentro interesante y lo que proporciona valor a los clientes. Ciertamente trae desafíos cuando la gente me pregunta qué es lo que hago.

¿Cuánto tiempo llevas trabajando en tecnología?

Más de dos décadas ahora, así que ha pasado un tiempo. Hasta los últimos años siempre fue como empleado, hasta que me independicé con sensatez poco después de que entrara el confinamiento en el Reino Unido. Solo como nota, no recomendaría dejar voluntariamente un empleo estable, seguro y agradable en medio de una crisis global para intentar hacerse cargo y administrar su propio negocio. Funcionó para mí, pero he tenido muchas noches ansiosas pensando qué podría salir mal.

Durante el tiempo que he estado en tecnología, he realizado soporte técnico, reparación de computadoras portátiles de campo, desarrollo, arquitectura, monitoreo de SOC, ingeniería, administración, riesgo, cumplimiento y muchas otras cosas. No ha habido un plan de carrera o un camino cuidadosamente trazado, simplemente aproveché con entusiasmo la próxima oportunidad cuando sentí que era el momento adecuado, incluso si eso significaba que tenía que correr para alcanzarlo.

¿Cuál es su formación académica y cómo terminó en seguridad cibernética?

Abandono de la universidad originalmente, con un puñado de A-levels. Terminé volviendo a la universidad para obtener una maestría en 2017, pero durante la mayor parte de mi carrera, mi educación se basó más en certificados profesionales y autoeducación, o el apoyo de personas que consideraría como mentores.

Mi viaje hacia la seguridad es realmente difícil de juzgar. Podría decirse que estuve involucrado en esto desde el comienzo de mi carrera, administrando redes escolares poco después de que entrara en vigor la segunda Ley de Protección de Datos del Reino Unido, por lo que la seguridad de la información estaba fresca en la mente de todos. En ese momento, la seguridad de la información todavía era la nueva palabra de moda y la cibernética estaba muy lejos en el horizonte.

Hoy en día suelo decir que estoy en seguridad, sin limitarlo a un dominio específico como información o cibernética, pero hasta hace unos años todavía me describía como en ciberseguridad. Señalar un punto específico donde sucedió eso es más un desafío.

Es una cosa que sugiero encarecidamente ahora a aquellos que intentan ingresar a la seguridad, es más fácil entrar por accidente que a propósito. Si está en algo incluso periférico y puede involucrarse con el equipo de seguridad en una organización, puede encontrarse en el campo antes de que se dé cuenta.

Nos encantaría saber un poco más sobre los mentores, ¿fue un arreglo de formato?

Mucho menos formal: las mejores relaciones entre mentor y aprendiz a menudo no lo son.

Sin embargo, hay dos personas a las que señalaría como mentores a lo largo de mi carrera, y trabajar con ellos corresponde a mis dos períodos más largos en puestos.

El primero fue en uno de mis primeros roles, un tipo que vio potencial en mí para hacer más que sentarme en el servicio de asistencia y me trajo para ayudar con la arquitectura y la virtualización, lo que me dio un gran impulso al principio.

El segundo fue mucho más tarde, unos años antes de independizarse, y realmente llenó las piezas que faltaban. Ella había trabajado con mi empleador en ese momento durante 17 años, y su orientación sobre cómo operar a través de organizaciones, hacer malabarismos con la política y comprometer el interés propio de las personas donde sea necesario ha sido muy eficaz desde entonces.

¿Cuál fue el mejor consejo que recibiste a lo largo de tu carrera?

"Recuerda que es solo un modelo".

Hay varias formas de esto, pero ha sido vital a través de los años. Con demasiada frecuencia en este campo caemos en la trampa de pensar que tenemos las respuestas porque hemos decidido que un modelo u otro es la 'verdad'. Este fragmento de sonido es un recordatorio de que no importa qué modelo estemos usando, no debemos apegarnos demasiado: es solo una guía para pensar y comprender, no un libro de reglas.

Con demasiada frecuencia me he encontrado con personas que se han aferrado a una idea como la verdad y no pueden dejarla ir. Ya sea que se trate de la tríada de la CIA, consejos de contraseñas desactualizados, modelos de riesgo particulares, enfoques para las pruebas o cualquier otra cosa, es de vital importancia poder dejarse llevar y repensar las cosas a través de una lente diferente.

Una cosa que sigo diciendo a mis propios alumnos, hasta el punto de que se ha convertido en una broma interna (aunque hoy en día hay suficientes de ellos, no es realmente una broma) es que no hay respuestas correctas, solo las que son menos equivocado. Es frívolo, pero en seguridad es cierto, no hay un objetivo final ni una respuesta perfecta: trabajamos en una combinación de aspirar a lo suficientemente bueno y una mejora continua. Detenerse y decidir que una respuesta es correcta es donde comienzan los problemas.

La importancia del autoaprendizaje en ciberseguridad

Mezclado. He pasado por formación profesional, formación académica y mucho autoaprendizaje. No diría que ninguno de ellos fue más o menos importante que los demás, es la combinación lo que ha sido valioso y me ha llevado a donde estoy. Mezcla y combina, no te dediques a una sola forma de aprender.

Recibirá muchos consejos sobre plataformas como HacktheBox y TryHackMe , y son increíblemente útiles si desea iniciarse en las pruebas de penetración . Donde esto sale mal es que las pruebas de penetración son un pequeño subconjunto del campo de la seguridad cibernética, y es uno de los más competitivos para ingresar, ya que se considera el camino "sexy". Recorrer esos caminos con exclusión de todo lo demás no lo ayudará con GRC (gobernanza, riesgo y cumplimiento), arquitectura de seguridad, criptografía, arquitectura, análisis forense o cualquiera de las otras docenas de opciones que están disponibles para usted.

Security Blue Team e Immersive Labs son dos organizaciones que brindan una medida de los materiales de autocapacitación del equipo azul, y hay muchos videos de YouTube disponibles sobre áreas técnicas como respuesta a incidentes y análisis forense que puede encontrar.

Es cuando se sale de lo técnico que las cosas pueden volverse desafiantes, y el mejor consejo aquí es recurrir a libros y consejos de aquellos que ya están en el campo. Dada la amplia gama, no voy a proporcionar una lista completa de libros que recomendaría (sería demasiado larga, tal vez otro artículo), pero muchos de nosotros en la industria siempre estamos felices de hablar con aquellos que buscan entrar y dar algunas recomendaciones. Sin embargo, proporcionaré algunos que siempre sugiero.

1. El huevo del cuco de Cliff Stoll

   Una de las primeras narrativas de espionaje cibernético, rastrea una investigación e ilustra los fundamentos de las investigaciones y el análisis forense digital moderno.

2. El gol de Eliyaho M. Goldratt

   Si bien hoy en día The Phoenix Project puede ser más conocido, The Goal es el trabajo en el que se basa y hay algo en los ejemplos mucho más concretos de fabricación que encuentro que lo hace más identificable y alocado.

3. Influencia de Robert Cialdini

   A menudo recomendado por ingenieros sociales, el trabajo de Cialdini vale la pena leerlo para todos, ya que se encontrará con muchas situaciones en su carrera en las que es relevante; también es un gran trabajo para reconocer los principios que se utilizan en su contra.

4. Los 7 hábitos de la gente altamente efectiva de Stephen R. Covey

   Uno de esos libros sobre los que la gente puede ser un poco cínica, 7 Hábitos es un clásico por una razón y todavía tiene mucho que agregar. Definitivamente vale la pena leerlo.

5. Teoría de la información: una introducción tutorial por James V Stone

   Si bien todo el mundo sabe un poco sobre criptografía, a menudo se pasa por alto el trabajo de Shannon sobre la teoría de la información. Si bien la mayoría de las personas en seguridad nunca lo usarán directamente, tomarse un tiempo para comprenderlo puede brindarle una visión completamente diferente de las cosas que marcarán la diferencia a lo largo de su carrera.

Sabiendo lo que hace ahora, ¿dónde cree que uno debería comenzar a aprender si quiere trabajar en su posición algún día?

Donde puedas. Habiendo dicho eso, sigo diciendo que las escuelas son un gran lugar para comenzar, no para estudiar, sino para administrar sistemas. Las escuelas a menudo tienen fondos insuficientes, tienen una amplia gama de tecnologías, se toman la seguridad en serio a nivel de gestión y son una forma brillante de sumergirse en el extremo profundo y aprender realmente rápido.

Los certificados son un tema difícil: hay mucho marketing y aceite de serpiente a su alrededor, y muchos solo se evalúan en última instancia mediante pruebas de opción múltiple, lo que los hace menos que útiles como una forma de medir la capacidad y demasiado fácil para que las personas abusen. . Algunos tienen conocimientos útiles en su plan de estudios, pero no necesita el certificado para eso, por lo que a menudo es mejor tratarlos como claves para desbloquear roles donde se requieren, pero no busque credenciales a menos que tenga que hacerlo (idealmente una vez). estás inscrito y una empresa está pagando tu formación y examen).

Algunas cosas que sugeriría son tratar de aprender a dejar de lado el orgullo, eso me tomó algunos años y me costó mucho en ese tiempo, y siempre reservarme el derecho de estar completamente equivocado sobre las cosas. También esté listo y dispuesto a fallar, aprender y probar algo diferente: no se aferre a las situaciones fallidas, está perfectamente bien darse por vencido cuando algo no funciona.

¿Cuál es el logro relacionado con el trabajo del que está más orgulloso?

Que la empresa familiar de la que me hice cargo todavía va viento en popa después de dos años de dirigirla. Incluso está creciendo, a pesar de (o posiblemente debido a) nuestra forma única de trabajar. Mantenerlo funcionando hubiera sido un triunfo, pero la forma en que nos hemos desarrollado desde que asumí el cargo es algo de lo que estoy realmente orgulloso.

¿Cuál crees que es el mito más grande sobre comenzar una carrera en ciberseguridad?

Que los formularios de solicitud son el camino a seguir. Si bien la idea general del sistema ATS que analiza las palabras clave es un poco un mito, la gran cantidad de aplicaciones a las que se enfrenta para los roles de nivel de entrada anunciados lo pone en malas condiciones. Es mucho mejor conectarse en red y eludir el sistema dejando caer una palabra personal para alguien.

En una nota menos seria: ¿Qué escuchas mientras trabajas?

Es bastante ecléctico: muchas cosas instrumentales cuando estoy haciendo algo que requiere pensar mucho, ya que encuentro que las voces me distraen. De lo contrario, oscila entre el country, el jazz, el trance y cualquier otra cosa que surja.

Muchas gracias por tomarse el tiempo para contarnos más sobre su trayectoria profesional. ¿Alguna palabra sabia para los aspirantes a técnicos?

Olvídate de seguir tu pasión. Cuando la mayoría de la gente habla de seguir su pasión en una carrera, lo miran al revés. Las pasiones que tienes al principio no serán las mismas que después, son caprichos cambiantes y tratar de ceñirte estrictamente a uno -o peor aún, creer que algo anda mal si no tienes uno- es una buena forma de matar. ellos muertos, rápido.

En cambio, satisface tu curiosidad. Siga lo que le interesa y no se apegue a esos intereses a medida que cambian.

La verdadera pasión sigue a la curiosidad y al esfuerzo por satisfacerla, no al revés.