¿Cómo iniciar mi carrera en la Seguridad Informática?
Una vez que te he explicado cuales son algunos de los roles que conforman la Seguridad Informática (aquí te dejo el enlace del primer artículo de la serie “Qué es la Seguridad Informática?“). En esta entrega comenzamos detallando cómo alguien puede iniciar su carrera en este apasionante sector.
Áreas “No” Técnicas.
Si deseas adentrarte en la S.I., y piensas puede ser mediante un rol un tanto más administrativo, que no demande mucho conocimiento técnico, entonces tu lugar puede estar en las áreas de Protección de Datos, Resiliencia Organizacional o Gestión de Riesgos, por solo mencionar algunas. Estás áreas son de suma importancia y a diferencia de otras, existen en casi cualquier compañía. Basan sus actividades siguiendo estándares internacionales, leyes y/o normas aplicables dependiendo sea el caso.
Algunos profesionales que llevan tiempo en esto, dicen que estos trabajos son los que “nadie quiere” porque suelen relacionarse como los no “tan divertidos”, y es que la necesidad de mucha lectura y comprensión es algo indispensable. Pero si nos ponemos a pensar detenidamente, tomar una oportunidad en esos departamentos puede ser la mejor opción para entrar y darte a conocer en una organización. Sobre todo si durante ese periodo sigues preparándote y adquiriendo conocimientos más técnicos, una vez dentro es más fácil escalar posiciones!.
De manera añadida, te comparto enlaces de interés en donde puedes encontrar más información sobre las esas áreas, así como los estándares y normas aplicables al momento que estoy escribiendo este artículo:
NOTA: A manera de práctica podrías implementar las recomendaciones que aparecen en esos documentos en tu empresa sin importar el tamaño de esta, y así vas adquiriendo experiencia que te aseguro luego será de utilidad.
Protección de Datos:
- Ley Federal de Protección de Datos Personales Mexicana
- Regulación Europea de Protección de Datos
- Ley de Protección al Consumidor del Estado de California, EUA
- ISO/IEC 27002:2013: Code of practice for information security controls
Resiliencia Organizacional:
- ¿Qué es la resiliencia organizacional? – The British Standards Institution.
- Building Organizational Resilience – Fernando Suarez & Juan Montes – Harvard Business Review
- Resiliencia Organizacional – Fernando Véliz Montero – Gedisa Mexicana; 1ra Edición 2017
Gestión de Riesgos:
- Guide for Conducting Risk Assessments – National Institute of Standards and Technology (NIST)
- Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información – Ministerio de Hacienda y Administraciones Públicas
- ISO/IEC 27005:2018: Information Security Risk Management
Áreas Técnicas.
Ahora que si a ti lo que te interesa es hacer tu camino desde el plano técnico, sin importar que tengas o no experiencia o el conocimiento necesario, aquí te dejo algunos recursos que te pueden ser de utilidad para aprender o mejorar tus habilidades.
Redes:
Lo primero que deberás de conocer al menos de forma básica es cómo funcionan las redes de comunicaciones, es algo vital que cualquier aspirante a profesional de la seguridad informática debe tener en su “base de datos mental”. No necesariamente tienes que ser muy experto o tener todas las certificaciones en la materia que hay por ahí, solo comprender que son las direcciones IP, las subredes, para que sirven los ruteos o nateos, la estructura de los paquetes o el famoso “handshake“, por solo mencionar algo.
El abanico de opciones en donde podrás encontrar información sobre redes es muy basto en internet. Y sí de certificaciones hablamos, las que ofrece Cisco Networks – marca especializada en equipamiento de redes – son las de mayor fama (y tal vez reconocimiento) en la industria. Si te interesa el obtener alguna de ellas, dale un vistazo a mi publicación “Cómo aprender Informática en 2021!” en donde hablo sobre David Bombal y su contenido especializado en redes disponible en plataformas de video.
Desarrollo de Software:
Cómo en la informática en general existe el desarrollo de programas o sistemas, dentro de la ciber seguridad también podrías hacer carrera en este sector. No solo creando software seguro siguiendo directrices o recomendaciones de estándares internacionales, sí no también auditando el código de otros programadores de manera profesional, siempre teniendo la visión de entregar al usuario final proyectos robustos, completos y creados de manera segura para evitar brechas vulnerables por medio de estos.
En los siguientes enlaces encontrarás más información sobre como crear software seguro y las bases para poder auditarlo:
- Modelo de madures de software – OWASP
- Estándar de verificación de seguridad en aplicaciones – OWASP
- Marco de trabajo para el desarrollo seguro de software – NIST
Hacking Ético:
Y por último y para cerrar con ‘broche de oro’… el hacking ético! que mejor que te paguen por tratar de aprovechar cualquier falla de código, error humano o mala configuración para comprometer un sistema, red, dispositivo o cualquier equipo de cómputo con la finalidad de obtener información, también se le conoce como ser un “pentester” ó “red teamer”, y su contraparte el “blue teamer” que se enfoca en lo contrario, proteger todo servicio y sistema informático de una organización para evitar la intrusión de personas no autorizadas, fuga de datos o perdidas de activos.
Dentro de esta rama también podemos encontrar especialidades como la criptografía, el análisis forense y obviamente algo de programación en diversos lenguajes – hablando desde un punto de vista de creación de herramientas o automatización de funciones por medio de scripts.
En este caso no dejaré enlaces, ya que en mis futuras publicaciones estaré tocando temas de donde encontrar recursos de utilidad si deseas aprender o reforzar conocimientos. Así que hasta la próxima entrega!!!