Lo que los expertos en ciberseguridad recomiendan que estudie para ser un experto en la disciplina

Cada vez que llega a los medios de comunicación la noticia de una importante brecha de seguridad en una gran empresa, la seguridad tecnológica gana en valoración y con ella los expertos en este campo.

Esto esta causando aumenta la demanda de expertos en seguridad de modo que 3 millones de puestos de trabajo quedan sin cubrir en todo el mundo, según el informe Cybersecurity Workforce Study de (ISC) ², una organización global de profesionales de la seguridad de la información.

¿Consecuencia de esto? Que, aunque el perfil de experto en ciberseguridad no es el más demandado, es uno de los dos más buscados Según el Informe de Mercado Laboral de Adecco: el puesto de CISO (Chief Information Security Officer, responsable de seguridad) tiene un salario que, según este informe, oscila entre los 45.000 y los 95.000 euros en nuestro país.

La ciberseguridad no solo vive de la ingeniería

¿Cómo convertirse en un experto en seguridad? Quizás el perfil de ciberseguridad típico o más tradicional sea más asociado al perfil de ingeniero informático o de telecomunicaciones, con experiencia en el área de sistemas, redes y nube y una especialización en seguridad. Como se especificó Javier Tobal, Ingeniero en Computación, Perito Judicial en Computación y CISO de Fintonic, dado que son muchos los aspectos que convergen en la ciberseguridad «deben conocerse, entre ellos: desarrollo de software, arquitectura de sistemas, diseño y arquitectura de redes».

Jtobal 4

Javier Tobal, Ingeniero Informático, Perito Judicial Informático y CISO de Fintonic

Una visión con la que coincide Francisco Ángel Marzal, Quant Developer de Axpo Iberia, quien además enumera dos campos adicionales: Normativa y Legislación y, dependiendo del área de ciberseguridad a la que te quieras dedicar, Ethical Hacking, Bastioned, desarrollo de software seguro. y Análisis Forense.

Marcador de posición de Elena Cobo

Hablando de legislación: no todos los expertos en ciberseguridad tienen que tener un perfil eminentemente técnico. Elena Cobo-Reyes, Implementadora del Portal de Clientes del Grupo Adecco, explica que la ciberseguridad tiene muchos nichos y submercados y que, por tanto, dependiendo de las funciones que vaya a desempeñar la persona dentro de una empresa, su perfil será más técnico o menos. En este campo, el campo legal tiene cada vez más impacto. «Cualquier protocolo o procedimiento tiene que ir de la mano del aspecto legal», especialmente cuando entran en juego los datos. Dependiendo de la sensibilidad de estos datos (el sector sanitario o público o bancario no es el mismo que el resto de sectores, lo que es una protección de especial sensibilidad), más importante será esta función legal.

Carrera universitaria. ¿Sí o no?

Con el auge de los puestos de expertos en ciberseguridad algunas universidades están comenzando a ofrecer grados en ciberseguridad, en muchos casos como especialización de grados en informática. ¿Pero es necesario tener un título superior para trabajar en este campo?

Estudiar Ingeniería Informática o Telecomunicaciones puede ser un buen comienzo, pero se necesita una formación más específica y especializada.

Lorenzo Martínez, CTO y fundador de Securizame, empresa especializada en informática forense y seguridad, e ingeniero informático, cree que No es imprescindible «pero es algo muy recomendable». ¿Por qué? “Estudiar una carrera te da una base en lo que se enfoca. Pero no solo eso, el paso por la universidad es un lugar para aprender a volar, a buscar la vida, a investigar, a crear ”. Aunque sostiene que la universidad no es la única forma de lograr este conocimiento, «es una opción que no puedo dejar de recomendar».

Algo en lo que Francisco Ángel Marzal está totalmente de acuerdo. “Estudiar una titulación como Ingeniería de Software, te aporta sólidos conocimientos y es una garantía y aval para las empresas que buscan estos perfiles. Si esta titulación también tiene mención en ciberseguridad te posiciona a nivel técnico con un perfil muy atractivo para iniciar una carrera profesional en un sector con tanta demanda de perfiles ”. Ingeniería en Computación, Ingeniería de Software, Ciberseguridad, Matemáticas serían las carreras recomendadas por este experto.

Eduardo Arriols U Tad 2

Eduardo Arriols, profesor del Grado en Ingeniería del Software y del Doble Grado en Ingeniería del Software y Matemática Computacional de la U-tad

Javier Tobal sumaría a esta lista las dobles titulaciones de Administración y Dirección de Empresas e Ingeniería Informática así como el máster en ingeniería informática

“Lo bueno del sector tecnológico es que, ya sea por necesidad o porque muta demasiado en tres años, es muy abierto. No hace falta ser un ingeniero senior para dedicarse a la ciberseguridad«, Añade Elena Cobo-Reyes, quien sin embargo reconoce que para puestos de mayor responsabilidad (como director de seguridad, CISO), las empresas sí optan por perfiles cualificados, aunque el factor determinante acaba siendo» la formación específica y que vengan con experiencia «. .

Martínez reconoce que, tras el Covid-19, existen algunas diferencias en cómo se imparte la formación. Con el auge de las opciones telemáticas, este experto ve algunos desafíos en los aspectos que requieren la interacción profesor-alumno. “Seguimos brindando capacitación presencial con todas las medidas de salud y seguridad. Pero si un estudiante evade la clase en persona y comienza a hacer otras cosas, en línea es aún más fácil que ocurra esa distracción”, reflexiona. Y, por eso, enfatiza que lo que se necesita por parte del alumno es «rigor y llegar a él. Requiere un nivel extra de compromiso».

Eduardo Arriols, Red Team Manager, autor del libro: «CISO: El Red Team de la empresa», y profesor de la Licenciatura en Ingeniería de Software de U-tad en la mención de ciberseguridad, coincide en que los planes de estudio no han cambiado, pero solicita que el entrenamiento sea remoto. «Se exigen más servicios como la piratería ética. Pero el enfoque sigue siendo el mismo».

Paco

Francisco Ángel Marzal, Quant Developer en Axpo Iberia

La especialización pasa por barrios

Todos estos expertos aseguran que el campo de la ciberseguridad es tan amplio y se está expandiendo tanto que Quienes quieran trabajar aquí deben especializarse en algunas de sus áreas..

Por un lado, existen certificaciones como CEH, OSCP, CHFI que son «muy demandadas en el mundo del trabajo», según el Quant Developer de Axpo Iberia.

La formación complementaria o primaria en cuestiones legales y éticas es cada vez más solicitada entre los expertos.

Solo mire el Libro blanco del CISO para verificar el número de certificaciones que existen en ciberseguridad: CCSP (Certified Cyber ​​Security Professional), CDPD (Data Protection Delegate Certification), CDPP (Certified Data Privacy Professional), CISA (Certified Information Systems Auditor), Certificación para auditores de ISACA (Information Systems Audit and Control Association – Association Control y Auditoría de Sistemas de Información), CISM (Gerente Certificado de Seguridad de la Información), CISSP (Profesional Certificado en Seguridad de Sistemas de Información) …

“La universidad sale con una base generalista, pero los problemas reales se ven en la calle, en las empresas y organizaciones a las que servimos”, explica Lorenzo Martínez para justificar que la formación debe complementarse con algo más específico para la ciberseguridad. “En mi empresa, Securízame, en la que nos dedicamos día a día a brindar servicios de ciberseguridad, desde 2014 lanzamos una serie de cursos especializados en temas como hacking ético, aseguramiento de sistemas o análisis forense, y también tenemos un plan semestral para acciones formativas con planes de estudio específicos para desarrollar y potenciar este conocimiento ”.

Lorenzo Mart Nez 6

Lorenzo Martínez, CTO y fundador de Securizame

La importancia de la ley

Aunque muchas de estas certificaciones y especializaciones son muy técnicas, existe una demanda creciente de profesionales de la ciberseguridad para controlar otros asuntos, como los aspectos legales. Por eso, para muchos de estos expertos con los que hemos hablado, hay pocas dudas de que es necesario que los profesionales tengan formación en ética / legal. “Muchas de las herramientas o técnicas que se pueden utilizar pueden considerarse ilegales en determinados países”, advierte Francisco Ángel Marzal.

Una tienda con más de 60.000 identidades digitales robadas a la venta entre 5 y 200 dólares: la nueva y avanzada forma de piratería

El campo regulatorio y legislativo cada vez más extenso que afecta a la seguridad informática (como RGPD, NIS, PSD2, etc.) obliga a ello. “El conocimiento no se da (aunque lleva tiempo que se puede dedicar a aprender o mejorar otras cosas). Hay tanto que saber que es importante seleccionar. Tener conocimientos de derecho (básico) especialmente si se va a dedicar al trabajo informático., que tendrás que ratificar más tarde en la sala, es importante ”, explica Javier Tobal, quien también recomienda desarrollar habilidades personales para la exposición pública. “Cada vez es más importante hacerse entender, tanto por escrito como oralmente. Tanto para realizar un informe a un cliente, como para presentar oralmente su contenido de forma resumida, creo que es importante que este tipo de acciones que mejoran las habilidades comunicativas”.

Esta formación complementaria se hace más necesaria con el paso de los años y, sobre todo, si se aspira a puestos de mayor responsabilidad. «Tener la visibilidad del negocio y cómo se aplica la ciberseguridad en él es vital para tu desarrollo profesional.”Explica el Gerente de TI de Spring Professional. “En tecnología tendemos mucho a los perfiles 4×4, que te pidas, que tengas inquietudes”.

Y ahora que estoy capacitado, ¿cómo empiezo a trabajar?

Este mismo experto asegura que la especialización en el campo de la ciberseguridad llega más con el tiempo, aunque aparecen nuevos estudios específicos sobre el tema. «No se puede transformar a una persona de la noche a la mañana porque hay que ganar experiencia».

¿Cómo podemos lograrlo? Actualmente son muchas las empresas que en estas nuevas áreas hacen centro de preparación, por lo que si está interesado puede acceder a estos recursos. También existe Eventos CTF (Capture The Flag) donde se plantean desafíos para resolver o plataformas como hackthebox donde puedes ejercitar tus conocimientos. “Son dos buenas iniciativas para empezar y hacer contactos en este sector además de simplemente solucionar problemas”, explica Francisco Ángel Marzal, mientras que Javier Tobal considera útil tener experiencia “manejando un depurador de código (depurador IDA), un analizador de network (por ejemplo, wirehark) y las herramientas de piratería más populares (las que se pueden encontrar en distribuciones forenses como KALI) ”.

Esta es la unidad de seguridad informática que va a crear la UE: una ciberdefensa Europol que coordinará los recursos de los 27 contra ataques a gran escala

Como concluye Lorenzo Martínez, “No hay excusa para no practicar por tu cuenta. Con alternativas gratuitas como Virtualbox se puede montar un laboratorio con multitud de máquinas en las que probar diferentes sistemas operativos, tanto la explotación de sus debilidades, como las soluciones de seguridad que se ejecutan en ellas, o incluso los rastros forenses que quedan tras la ejecución. de determinadas acciones «.

Y, aunque consigas tu primer trabajo como junior, “no es bueno quedarse con el hecho de que la formación termina cuando acaba la jornada laboral, pero la pasión por saber más y mejorar, aunque sea como autoformaciónDebe ser algo complementario a lo que se ve en funcionamiento ”.

Leave a Reply