Unirme al campo de la ciberseguridad como un outsider sin experiencia técnica fue un viaje transformador para mí. Lo que inmediatamente me cautivó de la industria fue su ritmo implacable y el estimulante desafío que presentaba constantemente. Al interactuar con profesionales en el campo, me animó su abrumador apoyo a los recién llegados que realmente mostraron la voluntad de aprender. Sin embargo, rápidamente encontré un sentimiento predominante: existe una expectativa general de que los recién llegados sean autodidactas independientes. Esta podría ser una expectativa desalentadora, especialmente considerando que muchos principiantes potenciales en ciberseguridad no son inherentemente autodidactas. Si bien la curiosidad innata es sin duda un rasgo valioso, es esencial reconocer que muchas personas, incluso aquellas con un potencial inmenso, necesitan un marco estructurado para dar sus primeros pasos en este vasto dominio.
En los últimos años, se han logrado avances significativos para cerrar la brecha de talento en la industria. Sin embargo, a partir de 2023, según el Estudio de la fuerza laboral de ciberseguridad de ISC2 , se crearon 440.000 nuevos puestos de trabajo en ciberseguridad a nivel mundial (un aumento del 8,7 % año tras año), pero la asombrosa cifra de 4 millones de puestos permanecieron sin cubrir (un aumento del 12,6 % año tras año). . Esta enorme brecha es el resultado de la desconexión entre las necesidades de los empleadores de contar con profesionales experimentados y la escasez de dicha experiencia en el mundo real.
La solución a esta escasez de talento radica en centrarse en las primeras etapas de las carreras de los posibles profesionales de la ciberseguridad, especialmente los estudiantes jóvenes. Como comunidad, es imperativo que proporcionemos a los jóvenes las herramientas que necesitan para explorar la ciberseguridad como una opción profesional viable. La clave es ofrecer rutas de aprendizaje estructuradas, prácticas y accesibles. A continuación se muestran algunos pasos y ejemplos de cómo hacerlo.
El marco NIST-NICE clasifica el trabajo de ciberseguridad en siete categorías de alto nivel: analizar, recopilar y operar, investigar, operar y mantener, supervisar y gobernar, proteger y defender, y aprovisionar de forma segura. Cada categoría se divide a su vez en áreas de especialidad y roles laborales, lo que proporciona una hoja de ruta integral para la progresión profesional.
Tabla 1: Categorías de roles de trabajo del marco NICE
Categoría | Descripción | Número de roles laborales |
---|---|---|
Aprovisionamiento seguro (SP) | Conceptualiza, diseña, adquiere y/o construye sistemas de TI seguros. Responsable de aspectos de desarrollo de sistemas y/o redes. | 11 |
Operar y Mantener (OM) | Proporciona el soporte, la administración y el mantenimiento necesarios para garantizar el rendimiento y la seguridad efectivos y eficientes del sistema de TI. | 7 |
Supervisar y Gobernar (OV) | Proporciona liderazgo, gestión, dirección o desarrollo y defensa para que la organización pueda llevar a cabo eficazmente el trabajo de ciberseguridad. | 14 |
Proteger y Defender (PR) | Identifica, analiza y mitiga amenazas a los sistemas y/o redes internas de TI. | 4 |
Investigar (EN) | Investiga eventos o delitos de ciberseguridad relacionados con sistemas de TI, redes y evidencia digital. | 3 |
Analizar (AN) | Realiza una revisión y evaluación altamente especializada de la información entrante de ciberseguridad para determinar su utilidad para la inteligencia. | 7 |
Recopilar y operar (CO) | Proporciona operaciones especializadas de denegación y engaño y recopilación de información de ciberseguridad que puede utilizarse para desarrollar inteligencia. | 6 |
Esta tabla muestra el amplio espectro de roles dentro del panorama de la ciberseguridad. Al comprender estas categorías, los principiantes pueden posicionarse mejor para una trayectoria profesional más personalizada e informada.
Para obtener una comprensión integral del marco NIST-NICE y acceder a una gran cantidad de recursos diseñados para principiantes, se puede visitar el
El objetivo es explorar diversas facetas de la ciberseguridad y determinar dónde se cruza la pasión con la competencia. Dado que la ciberseguridad es un campo dinámico, siempre hay espacio para que un individuo gire, aprenda y evolucione.
La comunidad de ciberseguridad apoya excepcionalmente a los recién llegados. Incluso los profesionales experimentados suelen estar abiertos a compartir sugerencias y consejos y son increíblemente accesibles para los principiantes. El secreto para conocer a estas personas es asistir a eventos en vivo.
Las interacciones en tiempo real en eventos presenciales ofrecen preguntas espontáneas, debates y la posibilidad de una comprensión más profunda. No se trata sólo de empaparse de conocimientos; también se trata de establecer contactos. Estos lugares son excelentes oportunidades para establecer conexiones significativas, lo que podría conducir a tutorías, colocaciones laborales o incluso proyectos colaborativos. Además, muchas de estas reuniones cuentan con desafíos en vivo o talleres prácticos donde los asistentes pueden poner la teoría en práctica, a menudo bajo la guía de un experto.
He aquí por qué asistir a eventos en persona puede resultar tan beneficioso para un entusiasta de la ciberseguridad:
En cuanto a sedes, destacan algunas plataformas y organizaciones:
Cuando planee asistir, aquí hay algunos consejos:
Por lo tanto, si su objetivo es profundizar su conocimiento y su red de ciberseguridad, asistir a dichos eventos podría ser el trampolín hacia su próxima gran oportunidad.
Los desafíos Capture The Flag (CTF) son competencias en las que los participantes resuelven acertijos de ciberseguridad que van desde criptografía hasta vulnerabilidades de aplicaciones web. Estos desafíos ofrecen a los principiantes una experiencia práctica para resolver problemas de ciberseguridad del mundo real . Por ejemplo, el evento DEF CON CTF atrae anualmente a una audiencia global y tiene acertijos adecuados para todos los niveles.
Participar en los desafíos del CTF se correlaciona directamente con varias áreas descritas en el marco NIST-NICE:
Analizar (AN): Descifrar acertijos criptográficos en CTF mejora las habilidades pertinentes a la categoría Analizar, donde se evalúa la información de ciberseguridad entrante.
Proteger y defender (PR): abordar las vulnerabilidades durante un CTF fortalece las capacidades de un participante para identificar, analizar y mitigar amenazas a los sistemas de TI, alineándose estrechamente con la categoría Proteger y defender.
Investigar (IN): algunos CTF implican desafíos forenses, alineándose con la categoría Investigar, donde se examinan eventos de ciberseguridad o delitos relacionados con los sistemas de TI.
Provisión segura (SP): abordar desafíos en los que los participantes deben proteger o reforzar los sistemas refleja la categoría Provisión segura, enfatizando el diseño y la creación de sistemas de TI seguros.
Al sumergirse en los CTF, los principiantes no sólo obtienen una valiosa experiencia práctica sino que también comprenden mejor los diferentes roles y áreas que podrían interesarles según el marco NICE. Proporciona una forma tangible y atractiva de explorar y profundizar competencias específicas en ciberseguridad.
En una campaña de recompensas por errores, las empresas incentivan a los piratas informáticos éticos a encontrar e informar vulnerabilidades en sus sistemas. Esta práctica es cada vez más frecuente entre las empresas de tecnología líderes, al darse cuenta del valor del grupo global de investigadores de seguridad independientes. Por ejemplo, gigantes tecnológicos como Google, Facebook, Apple, Microsoft y Twitter han implementado sus propios programas de recompensas por errores, alentando a los piratas informáticos éticos a identificar y revelar de manera responsable posibles fallas de seguridad en sus plataformas. Al ofrecer estas campañas, estas organizaciones no solo mejoran la seguridad de sus sistemas sino que también fomentan una relación simbiótica con la comunidad de la ciberseguridad. Por ejemplo:
Plataformas como Bugcrowd, Hackerone e Intigrity también han simplificado el proceso, actuando como intermediarios que conectan a los hackers éticos con organizaciones, incluidas aquellas que tal vez no tengan programas independientes como Google o Apple. Una vez que una vulnerabilidad es identificada y reportada a través de estas plataformas o directamente a las empresas con programas establecidos, pasa por un proceso de verificación. Si se valida, el investigador podría recibir una recompensa financiera, un reconocimiento o ambos.
Para los principiantes, existen laboratorios basados en navegador web. Estos laboratorios permiten a los usuarios practicar en un entorno controlado directamente desde sus navegadores. Si bien son convenientes y de fácil acceso, es posible que estas plataformas no repliquen completamente las complejidades y complejidades de los sistemas del mundo real. Son buenas herramientas introductorias, pero a medida que los usuarios avanzan en su recorrido por la ciberseguridad, es posible que las encuentren menos desafiantes.
Por otro lado, existen entornos virtualizados que requieren acceso VPN. Estas plataformas ofrecen entornos casi idénticos a las infraestructuras empresariales reales. Los escenarios virtualizados están meticulosamente diseñados para emular redes, servidores y estaciones de trabajo del mundo real. Cuando los usuarios se conectan a través de VPN, se sienten como si realmente estuvieran dentro de una red operativa, lo que proporciona un nivel de autenticidad del que podrían carecer los laboratorios basados en navegadores web. Este tipo de entorno permite una exploración más profunda de herramientas, tácticas y procedimientos, capacitando eficazmente al participante para abordar amenazas genuinas de ciberseguridad. La capacitación rigurosa en estos entornos garantiza que los participantes estén listos para trabajar y completamente preparados para abordar los desafíos multifacéticos que podrían enfrentar en sus carreras de ciberseguridad.
Al experimentar ambos tipos de capacitación, los candidatos pueden apreciar el gradiente de complejidad de los desafíos de ciberseguridad y perfeccionar sus habilidades para ser profesionales eficaces.
Aquí hay una lista de recursos prácticos de capacitación en ciberseguridad gratuitos o asequibles para principiantes:
Los recursos mencionados anteriormente representan solo una instantánea de las muchas herramientas y plataformas que han ganado atención y reconocimiento dentro de la comunidad de ciberseguridad. El ámbito de la capacitación en ciberseguridad es amplio y la lista de recursos valiosos se extiende mucho más allá de lo que se proporciona aquí. Además, existen numerosos proyectos de código abierto y otros contenidos disponibles en línea que pueden ser fundamentales para mejorar el viaje de aprendizaje.
Los foros y sitios web especializados, que detallaré en el siguiente párrafo, pueden resultar muy valiosos para descubrir reseñas o comentarios de otros miembros de la comunidad. Esta retroalimentación proporciona información sobre la calidad de los nuevos recursos que se publican constantemente.
En el vasto ámbito de la ciberseguridad, la orientación de alguien con experiencia puede marcar la diferencia. Plataformas como LinkedIn pueden resultar especialmente beneficiosas, no sólo para establecer contactos, sino también para identificar mentores potenciales. Al revisar cuidadosamente los perfiles, unirse a grupos relevantes y participar activamente en debates, puede mostrar su entusiasmo y captar la atención de profesionales experimentados dispuestos a guiar a los recién llegados.
Discord, una plataforma creada inicialmente para jugadores, se ha convertido en un centro para varias comunidades profesionales.
Los foros y sitios web especializados amplían aún más la oportunidad:
Comunidades de ciberseguridad de Reddit: plataformas como
Foros de seguridad de Wilders: profundice en los debates sobre privacidad, seguridad y protección de datos en línea en
MalwareTips y foros de Antionline: sitios web como
Bleeping Computer y Spiceworks Community: foros como
Hacklido: Una plataforma única,
Al participar activamente en estos foros y comunidades, no sólo se pueden ampliar sus conocimientos sino también construir conexiones significativas. A medida que participa y contribuye, las posibilidades de conocer mentores potenciales que reconozcan su pasión y dedicación aumentan significativamente. Recuerde, la tutoría en ciberseguridad no se trata solo de aprender a manejar; se trata de orientación, retroalimentación y comprensión de los matices del mundo de la protección digital en rápida evolución.
Al embarcarse en su viaje hacia la ciberseguridad, es esencial que se familiarice con la gran cantidad de herramientas gratuitas disponibles. Estas herramientas, ampliamente reconocidas y utilizadas por profesionales en el campo, pueden aumentar significativamente su experiencia de aprendizaje:
Tiburón de alambre:
OWASP ZAP (Proxy de ataque Zed):
Edición comunitaria de Metasploit:
Bufido:
OpenVAS (Sistema abierto de evaluación de vulnerabilidades):
KaliLinux:
Aprovechar las capacidades de estas herramientas no sólo brinda a los principiantes una comprensión práctica de diversos dominios de ciberseguridad, sino que también proporciona un enfoque práctico para combatir amenazas potenciales. Recuerde explorar la documentación y los tutoriales asociados para cada herramienta, ya que a menudo contienen una gran cantidad de conocimientos y mejores prácticas.
Si bien hay autodidactas que logran conectar los puntos por sí solos, una gran cantidad de talentos en ciernes aún no forman parte del ecosistema de ciberseguridad , principalmente porque carecen de una orientación inicial. Al brindar orientación práctica y específica, podemos ayudar a allanar el camino para una nueva generación de profesionales de la ciberseguridad listos para asumir los desafíos y oportunidades que este campo en rápida evolución tiene para ofrecer.
El aprendizaje estructurado se puede lograr de varias maneras, y esta guía tiene como objetivo ofrecer una perspectiva alternativa, proveniente de un profesional de ciberseguridad no tradicional que tuvo la oportunidad única de aprender de piratas informáticos genuinos.