Es una pregunta común y difícil de dar la respuesta correcta. La respuesta fácil, irónicamente, es simplemente decir 'sí' y dejarlo así. Sin embargo, no es la respuesta correcta.
Eso no quiere decir que sea fácil, porque no lo es, pero es sencillo. El problema viene en que también se mueve rápido y es grande.
He visto a muchas personas decir que la seguridad cibernética es difícil debido a que se requieren conocimientos técnicos, mientras que otros le dirán que no se requieren habilidades técnicas y que es fácil. Muchos luchan incluso por separar la seguridad cibernética de la seguridad de la información de la seguridad en su conjunto, lo que confunde aún más el panorama.
En este artículo hablaremos de:
Voy a guardar el dolor para más adelante, así que comenzaremos con formas de comenzar una carrera en seguridad cibernética.
Uno de los primeros desafíos a superar es determinar qué camino desea tomar, o al menos apuntar. La seguridad cibernética no es solo una prueba de penetración (a pesar de lo que Hollywood quiere que la gente crea). Varias organizaciones presentan diferentes números de rutas, con números comunes que van desde menos de media docena hasta decenas de opciones diferentes.
Los más conocidos son los roles de equipo rojo y equipo azul, pruebas de penetración o monitoreo del Centro de operaciones de seguridad (SOC). Debido a esto, tienden a ser los más competitivos para ingresar, con caminos definidos y bien señalizados que significan que la mayoría de los que buscan un puesto de nivel inicial van en esa dirección.
Para darte una gran ventaja, mira fuera de estos dos. Los roles de Gobernanza, Riesgo y Cumplimiento (GRC, por sus siglas en inglés) están insuficientemente provistos, tienen menos barreras técnicas de entrada y, francamente, tienen más perspectivas. También hay roles de seguridad de aplicaciones para aquellos más interesados en el desarrollo, roles de arquitectura, análisis forense, operaciones, especialidades en abundancia y, para cuando termine de escribir esto, probablemente un par de docenas de las que nadie haya oído hablar antes.
Escucharás a mucha gente decir que sigas tu pasión. Estoy en contra de este consejo: las pasiones pueden ser fugaces y en un campo en el que muchos ya están sobrecargados de trabajo y carecen de recursos suficientes, perseguirlas puede llevar rápidamente al agotamiento. En cambio, tiendo a sugerir complacer la curiosidad.
No hay mayor ventaja en seguridad cibernética que estar dispuesto y ser capaz de aprender rápidamente, y seguir los temas que le interesan es una excelente manera de hacerlo. Es casi seguro que tendrás que pivotar varias veces durante una carrera de cualquier duración y, como dice el refrán, "nosotros planeamos, Dios se ríe". No se comprometa demasiado con los planes y aprenda a dejarse llevar por la corriente y aprovechar las oportunidades a medida que surjan.
Uno de los mayores obstáculos es conseguir un papel en primer lugar. Tengo relatos de primera mano de personas que envían cientos de solicitudes y no llegan a ninguna parte.
Por mucho que odie decirlo, hay una razón para esto.
La mayoría de los roles de seguridad cibernética no se anuncian.
Aquellos que lo hacen a menudo tienen un número ridículo de aplicaciones para trabajar. Entonces, incluso con el mejor currículum, se enfrenta a malas probabilidades. En cambio, los mayores éxitos que veo de las personas son cuando toman rutas diferentes.
Construir una red y conectarse con la gente es enormemente efectivo. No es simplemente un juego de números: tener 50,000 conexiones no le dará mucha ventaja sobre tener algunas que sean las adecuadas para usted. Mire a las personas en los roles que desea desempeñar, o en puestos para contratar para esos roles, y pídales (sinceramente, esto es importante) su consejo. Manténgase en contacto y dígales a las personas lo que está tratando de hacer y que está escuchando sus consejos.
Hay enfoques cínicos para la creación de redes. No recomiendo esos. Si bien no debe tratar de hacer de cada conexión un mejor amigo de por vida, mantenerse en contacto y ofrecer ayuda para ayudar (o una cerveza/café) es mucho mejor que tomar constantemente.
Seguir este consejo le brinda una red completa de personas que buscan oportunidades para usted, sabiendo que está desarrollando las habilidades adecuadas y que puede hablar en su nombre cuando surgen cosas. Solo recuerda que solo funciona si las relaciones que construyes de esta manera son genuinas: ser insincero o manipulador no va a funcionar a favor de nadie por mucho tiempo, pero pedir ayuda de manera abierta y respetuosa es el camino a seguir.
Escribir publicaciones, artículos, blogs o cualquier otra cosa sobre su viaje y lo que está aprendiendo es otra forma no solo de construir su red, sino también de poner un sello en las áreas de especialización. Aún mejor es armar una presentación, para puntos de bonificación en una conferencia de novatos o en una pista de novatos en una conferencia establecida, como
Aproveche las oportunidades para presentar siempre que surjan. Es una gran experiencia y una gran manera de construir su perfil.
Dar una primera charla sobre un tema que te interesa ayuda a atraer a personas interesadas en encontrar soluciones, que es exactamente el tipo de persona que quieres que se fije en ti. La mayoría de las personas no seguirán hablando en el escenario, a pesar de que las pistas de novato brindarán apoyo y orientación durante todo el proceso, por lo que una simple presentación realmente puede presentarlo como el experto en un área.
Muchos de estos eventos son remotos, pero cuando son en persona, también tiene otra oportunidad de construir su red para aprovechar nuevas oportunidades.
Una vez que haya encontrado ese primer puesto, escuchará a la gente decir que debe pasar x o y años en un puesto para demostrar que es estable y leal. Mi siguiente consejo no es popular (entre los empleadores) y no es para todos.
No para todos. No hay nada de malo en permanecer en un puesto a largo plazo. Hay empleadores que brindarán oportunidades para crecer y desarrollarse en un puesto. Igualmente, puede ser feliz en un rol y tener otras prioridades. No hay nada de malo en ninguno de estos y el siguiente consejo no tiene la intención de sugerir que lo haya.
Mantén los ojos abiertos para las oportunidades. Si bien existen argumentos sobre lo que se conoce como la brecha de habilidades de seguridad cibernética, definitivamente hay demanda para aquellos que ya lograron ingresar (lo difícil es comenzar). Vale la pena mantener los ojos y los oídos abiertos y observar nuevas oportunidades a medida que surjan.
La lealtad a un rol está muy bien, pero las oportunidades no deben pasarse por alto debido a una lealtad fuera de lugar. Si no hay espacio para crecer y desea desarrollarse aún más, mudarse es la forma más fácil de hacerlo en la mayoría de los casos. Sea sincero y abierto, y no permita que un papel limitado limite su crecimiento.
Escuchará a personas que argumentan en contra de cambiar de trabajo por principio, acusando a cualquiera que cambie de rol cada pocos años de falta de compromiso. Mi propia experiencia es anecdótica, pero durante dos décadas de mi carrera antes de independizarme, mi permanencia promedio en un puesto fue de diez meses, y esto nunca surgió como un problema. No diría que se mueva simplemente por mudarse, pero sugeriría firmemente que no aprovechar nuevas oportunidades por temor a ser etiquetado como desleal es un error.
Encontrarás muchas definiciones. Algunos son útiles, la mayoría no lo son.
Por ejemplo,
Así que empecemos por desglosarlo. Si se encuentra en los EE. UU., probablemente vea ciberseguridad más que ciberseguridad, que es solo una variación regional. ¿Qué es la seguridad? La definición mejor y más simple que he encontrado que nos resulta útil es que se trata de la protección de los activos frente a las amenazas (siendo realistas, tanto los activos como las amenazas son, en última instancia, personas, incluso en cibernética, y a veces son las mismas personas). Genial, estamos a mitad de camino, hemos definido la disciplina con la que estamos trabajando.
Ahora, ¿qué es cibernético? Bueno, de nuevo hay muchas definiciones, pero la mayoría se reduce a que se trata de un dominio formado por redes interdependientes, infraestructuras tecnológicas y los datos que viven en ellas. Aún mejor, ahora tenemos el dominio con el que estamos trabajando.
Eso significa que la seguridad cibernética está aplicando la disciplina de seguridad dentro del dominio cibernético.
Esta es la razón por la cual las personas se confunden tanto acerca de qué es la seguridad cibernética y se confunde con la seguridad de la información y otras formas de seguridad. Todos están aplicando los mismos principios fundamentales de seguridad, la misma disciplina, solo que dentro de diferentes dominios.
Hay muchos otros dominios de seguridad: podemos hablar de seguridad alimentaria, bio, financiera, económica y muchas más, pero por ahora nos concentraremos. El diagrama muestra la seguridad física, de la información, cibernética y su relación entre sí. Verás rápidamente por qué...
…los límites y las definiciones se desdibujan muy fácilmente.
Habría incluido tecnología de la información en esto, pero eso requiere dimensiones adicionales que no puedo representar en un formato 2D. TI, computación, tecnología o cualquier término que queramos usar contiene seguridad cibernética de la misma manera que la información, mientras que con la seguridad de la información se superpone pero no la contiene.
Hay un problema cuando empezamos a usar la palabra duro, que vuelve a las definiciones (lo siento, sé que esto se está convirtiendo en un diccionario, pero esto es importante para que la pregunta tenga sentido). Cuando decimos que algo es difícil, a menudo queremos decir que es frustrante. Si bien la seguridad cibernética puede ser (a menudo es) frustrante para entrar, eso es diferente a que sea difícil en sí mismo.
Una mejor descripción es que la seguridad cibernética es un desafío. Se puede aprender, se puede mejorar, requiere ciertas formas de pensar, habilidades para investigar y aprender rápidamente, y una serie de otras habilidades según el área que esté viendo. Puede haber áreas en las que se destaque, puede haber algunas con las que tenga dificultades, y encontrarlas le dará forma al resto de su carrera.
Una forma aún mejor de decirlo es que lograr un estado seguro es complejo. Hay muchas partes móviles involucradas, y cuanto más grande es la organización o el entorno, más complejo se vuelve. Los principios que se aplican son sencillos, pero deben aplicarse a fondo en todas partes, sin perder nada, a una gama enormemente diversa de tecnologías y sistemas, todos los cuales son objetivos en movimiento.
Además de eso, tendrá recursos limitados y necesitará traducir constantemente entre diferentes áreas del negocio para que entiendan no solo su necesidad de seguridad, sino también lo que significa.
Esto puede sonar como si te estuviera advirtiendo de una carrera en seguridad cibernética, o en seguridad en general. No lo soy en absoluto: hay pocos campos en los que puede tener un impacto positivo (o negativo) tan masivo, incluso si puede ser invisible. Puede ser frustrante y agotador; también puede ser increíblemente gratificante.
Si está buscando una carrera en seguridad, siempre estaré feliz de intentar ayudarlo. Conéctate y saluda