Iniciando en el mundo de Seguridad de la Información

De



Hace algunas semanas atrás (Creo que ya pasó el mes) varias personas me preguntaron cómo entrar en el mundo de la Seguridad de la Información y Ciberseguridad, y me pareció un temazo para blog. Escribir el cómo comenzar en este entretenido mundo (Al menos a mi me es muy entretenido), dejando claro desde el principio que no existe un único camino, o una receta mágia.

En esta entrada encontrarán un poco de mi experiencia (no lo he actualizado), y es en lo que me basaré para darte algunas recomendaciones, sin embargo también consideraré la experiencia de colegas hackers éticos, oficiales de seguridad, analistas de riesgo de ciberseguridad, auditores, entre otros.

Indiferentemente de tu profesión actual, creo que cualquier persona puede orientar su carrera a la seguridad de la información o a la ciberseguridad (Aquí algunas diferencias), aunque este último puede ser un poco más complicado, debido a las aptitudes técnicas necesarias, sin embargo no es imposible, solo costaría un poco más, por lo que se vuelve aún más relevante estas dos actitudes:

  • Interés por aprender continuamente.
  • Curiosidad.
Actitudes que considero son esenciales para cualquier buen profesional.

Yo veo dos formas principales de iniciar en este mundo, y ambos requieren aplicar los fundamentos de la curiosidad y aprendizaje, primero, y el que más me gusta por su naturalidad, es creando valor en donde estes a partir de tu conocimiento actual y tu fuerte, o simplemente estudiando directamente una carrera enfocada a Seguridad de la Información.

Como el estudio implica buscar alguna buena carrera profesional, trabajo que estén dispuesto a entrenarte o directamente irse por algunos cursos, eso se los dejo para que lo investiguen, sin embargo para el apartado de cursos hay varias opciones que incluso disponen de certificaciones internacionales muy reconocidas, de las cuales puedo destacar dos organizaciones con las que cuento con certificación, ISACA e ISC2, además puedes echarle un ojo a ISO 27001 o NIST CSF

Te dejo una buena noticia, ISC2 tiene una certificación de entrada "gratis", la CC (Certified in Cybersecurity), aqui te dejo el link con las instrucciones (Dato curioso, el examen es gratis, pero debes pagar 50 dólares anual de mantenimiento en caso de que pases el examen).

Continuando con lo que nos compete ¿Cómo puedes iniciar en este mundo? Pues, muy simple:

Creando valor desde donde estés.

Indiferentemente de donde te encuentres actualmente, lo principal es identificar oportunidades de mejoras e ir agregando valor en el aspecto de seguridad, dándole visibilidad a la necesidad y generando propuestas (para ello debes investigar), esto te ayudará a ir obteniendo conocimiento y experiencia en este ámbito, además de ir estrechando relaciones o mostrándote a personas que están relacionado directamente con roles de seguridad, y si no existen en tu lugar de trabajo, ir creando el nivel de conciencia necesaria para crearla, recuerda

¡La seguridad, literalmente, es tarea de todos!

Pero si no se nada de seguridad ¿Cómo puedo identificar oportunidades de mejora y generar propuestas? te preguntaras, y eso dependerá un poco de tu experiencia, por lo que si tienes poco o nada nada de experiencia, es decir, estás iniciando en el mundo laboral, te recomendaría partir por la literatura:
Si tiene algo de experiencia, y especialmente, si eres bueno en el proceso en el que estás involucrado, es muy probable que sepas que cosas pueden salir mal y justamente, preocuparte por esas cosas, desde el punto de vista de Seguridad de la Información (Confidencialidad, Integridad y Disponibilidad) es la base de la gestión, además involucrando a los especialistas de tu empresa de esta área podrás absorber conocimientos en la practica.

Para orientar tus pensamientos, aquí te dejo algunas preguntas que puedes hacerte:
  1. ¿Alguien sin autorización podría acceder a la información que manejo o realizar alguna acción indebida como modificarla? ¿Qué tan grave podría ser eso?
  2. Dentro del proceso ¿Es posible saltarse algún paso? ¿Qué es lo peor que pudiera pasar si eso ocurre?
  3. ¿Existe alguna médica que pueda evitar o identificar la acción malintencionadas?
  4. ¿La regulación me exigen algún control particular para el manejo de la información?
  5. Y la más importante ¿Puedo hacer algo para disminuir la probabilidad o impacto de las situaciones negativas anteriores?
Además de preguntarse qué puede salir mal e investigar cómo podrías hacer para que eso no ocurra (Punto 5), es interesante crear escenarios hipotéticos donde nosotros somos el sujeto, esto porque en ocasiones no le damos importancia a ciertas cosas hasta que esas cosas nos afectan directamente, no solemos darle la importancia a controles hasta que esos controles fallan y nosotros somos los que nos vemos impactados. Un ejemplo:

Si la información con la que trabajo fuera mi información personal/privada ¿A mi me gustaría que otra persona la viera sin yo haberlo autorizado? ¿Esa situación violenta mis derechos? ¿Me podría afectar?

Y hablando de derecho, este es otro ámbito en el que te puedes especializar. Si eres abogado, ya deberías tener buen manejo de temas legales y podrías apuntar a temas como derechos asociados a la privacidad y cumplimientos legales de regulaciones relacionadas a la seguridad, privacidad de datos, entre otros.

Debes entender que desde donde estés, si ya tiene experiencia, tienes un camino recorrido, ya sea en aspectos técnicos u otros, siempre conseguirás áreas en las cuales dirigir tu carrera a seguridad de la información o ciberseguridad, y si no cuentas con experiencia, ya tiene una idea de como ir dirigiendo tu carrera en tal sentido.

Me parece muy atractivo cuando una persona parte por alguna área operativa, conociendo un proceso de negocio o tecnología, y se comienza a especializarse en Seguridad de la Información, me parece muy valorable su conocimiento y experiencia, ya que a priori conoce del negocio o tecnología y además elementos para su protección.

De los mejores profesionales que conozco (Algunos de ellos muy bueno amigos) partieron en la informática dura y pura, con trabajos operativos y ahora son Hackers (Espero que héticos), otros en procesos de auditoría revisando la implementación de mejores prácticas en procesos y la consultoría, otro partieron como abogados que se interesaron en privacidad y ahora se dedican a la consultoría. 

Seguridad de la información tiene un gran abanico de oportunidades, es tu decisión a cuál ambito diriges tu atención, algunas que me viene a la mente y te pueden interesar son:
  • Seguridad en Redes.
  • Hardening (hacer las cosas menos inseguras).
  • Informática forense.
  • Seguridad física.
  • Investigación de delitos (Fraude, estafas, etc...).
  • Hacking ético.
  • Auditoría de Seguridad de la Información.
  • Consultoría de Ciberseguridad o Seguridad de la Información.
  • Especialista técnico en seguridad (Arquitectura, Cloud, etc...)
  • Riesgos tecnológico (Lo que me gusta).
  • Y pare usted de contar.
Por todo lo anterior, te recomiendo que partas donde estás, fortaleciendo los conocimientos que ya tienes y potenciarlos en alguna especialidad de seguridad de tu interés, y si estás partiendo en el mundo laboral, estudia mucho para que las oportunidades aparezcan.

Me despido, no sin antes dejarte una de mis frases favoritas,

"La suerte solo favorece a la mente preparada" Louis Pasteur


Si quieres tener "suerte" (lo que signifique para ti), debes prepararte para que cuando aparezcan oportunidades las sepas aprovechar, si no te preparas será difícil que veas esas oportunidades aunque las tengas al frente y golpeen tu puerta.

¡Espero te sea muy util esta informacion, nos vemos en otra oportunidad. Si tienes alguna dudas me puedes contactar por el formulario del blog, saludos!

Las imagenes fueron tomadas del portal: https://www.istockphoto.com

Ubicación: Av. Libertador Bernardo O'Higgins 2656, 8370061 Santiago, Región Metropolitana, Chile

Comentarios

  1. Anónimo22 de julio de 2023 a las 16:23

    Me gusto la información y de gran ayuda

    ResponderEliminar
  2. Anónimo22 de julio de 2023 a las 16:28

    Excelente blog e información, cada uno inicia en este mundo de ciberseguridad de diferente forma!! Y ahora con la diversidad para trabajar en vista de las diferentes áreas a las que se ha expandido es difícil abarcarlas todas, pero este comienzo es ideal

    ResponderEliminar
  3. Anónimo31 de julio de 2023 a las 10:59

    La información es valiosa la que muestras , se puede uno introducir en el mundo de la seguridad de manera gradual , excelente la manera de explicar los paso a paso.

    ResponderEliminar

Publicar un comentario

Populares

Seguridad: ¿Física, lógica o de la información?

De
Imagen
El concepto de seguridad ha sufrido cambios de identidad a través del tiempo, sin perder ciertos principios que garantizan la integridad, disponibilidad y confidencialidad de los activos. Cuando comenzamos adentrarnos en el mundo de la seguridad dentro de las organizaciones, solemos escuchar títulos tales como seguridad informática, cyber seguridad, seguridad física, lógica o simplemente seguridad de la información, que en general tienen dos vertientes en cuanto a su objetivo: Seguridad física : Su objetivo principal suele ser la seguridad de las personas y los recursos tangibles de la organización. Esta tipo de seguridad se caracteriza por tener mecanismos destinados a proteger físicamente recursos tales como personas, sala de procesamiento de datos, edificios, entre otros (Si sé que no es políticamente correcto decir que las personas somos un recurso/activo, pero para efectos prácticos lo llamaremos así, eso sí, somos el recurso más importante que existe).  Seguridad...
Leer más

Seguridad: Diseñar controles o vivir en el descontrol

De
Imagen
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles. Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa. Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agu...
Leer más

Presentación: Un poco de mi

De
Imagen
Veamos ¿quién soy? Si hablamos desde el aspecto profesional (No hablaré mucho del personal porque los aburriría mas), soy Ingeniero en Electrónica, estudie esa carrera en un lugar muy hermoso de Venezuela (Puerto Ordaz, deje mi hogar para irme a estudiar 5 años en otra ciudad). Me gradué con el honor de ser el número uno de mi promoción, creo que corrí con la suerte de que mi mejor amiga (por mucho más inteligente, dedicada y con mejores notas) no se pudo graduar en ese momento (Luego se graduó cum laude. Hola Lorena!). Conseguí trabajo en Caracas (La capital de Venezuela, y como toda capital, un caos), unos ocho meses después de haberme graduado (Me lo tome con calma, mis papas no tanto). En mi primer trabajo tuve un breve contacto con la seguridad informática, estuve desarrollando sistemas de seguridad con biometría (Un intento fallido que duro no más de 4 meses). De ahí pase a formar parte de una importante empresa de telecomunicaciones donde inicie verdaderamente mi carrera profe...
Leer más