¿Qué hacer si quieres trabajar en seguridad de la información?

seguridad informacion

A mi bandeja de correo suelen llegar bastantes dudas de personas como usted que están interesadas en saber la manera más adecuada de entrar en el mercado laboral de la seguridad de la información.

Suelo responderlas por privado, y algunas veces parte de lo comentado me acaba inspirando para alguna que otra pieza sobre la educación y el trabajo, pero estos días recibía el email de un lector de la página cuyas preguntas, habida cuenta de que cubren con bastante acierto la mayoría de dudas al respecto, me ha parecido interesante compartir públicamente.

Por aquí van:

1. ¿Cómo puede alguien que no es ingeniero informático y ni siquiera hizo el Bachillerato de Ciencias Experimentales entrar en este vasto mundo de la ciberseguridad y de paso servir de ayuda en él?

Es una gran pregunta, y ante grandes preguntas no me queda otra que darte una respuesta detallada.

Realmente, en el mundo de la ciberseguridad, como en cualquier otra industria, no se necesitan únicamente perfiles técnicos. Cierto es que una base técnica vas a necesitar, pero como ya comenté en alguna otra ocasión, los perfiles híbridos van a ser cada vez más demandados en este y cualquier otro sector por el propio sentido común: es necesario personas capaces de pensar “out of the box” para sumar a las lecturas que presumiblemente la mayoría de ingenieros van a compartir entre sí.

También te digo, por cierto, que actualmente el tener una carrera no te asegura un puesto de trabajo.

Sin ir más lejos, y como seguramente sepas, yo no terminé la ingeniería superior de telecomunicaciones. En su defecto soy por titulación desarrollador de aplicaciones informáticas (FP superior), licenciado en bellas artes (¡sí, bellas artes!) con especialidad en diseño, y magister en professional development (MBA de la Universidad de Alcalá) y ciberseguridad (título propio de la Universidad Rey Juan Carlos). Y a día de hoy estoy terminando un máster sobre inteligencia de negocio impartido por la European Quality Business School.

Es más, empecé también el máster de ingeniería en informática, que para colmo es habilitante, y aunque solo me queda medio año (es de un año y medio), lo dejé para dar prioridad al trabajo.

En cualquier industria hay, bajo mi punto de vista, dos maneras de llegar:

  • La directa: Esto es, estudiar lo que habilita (al menos en teoría) a realizar dicho trabajo. Y es el camino sencillo, el que la amplia mayoría de reclutadores van a valorar, pero que per sé no asegura más que unos conocimientos básicos homogeneizados.
  • La indirecta: Que se basa en crearte tu propia base de conocimiento y atacar la industria desde habilidades tangenciales. Es, como ya te habrás dado cuenta, la más complicada, ya que seguramente te acabarás encontrando con gente del sector que por defecto discriminará tu perfil. Pero es la que tiene más potencial de destacar, habida cuenta de que buena parte de esa base de conocimiento va a depender exclusivamente de tu dedicación, de tu esfuerzo, y de tu entusiasmo.

A día de hoy hay muchos profesionales reputados del sector que no vienen de una ingeniería. La seguridad informática hay que vivirla, y eso no te lo va a dar una carrera, sino las ganas que tengas de aprender (con ayuda o por tu cuenta), y las horas que le dediques a ello.

Dicho esto, no voy a negarte que esa base de conocimiento que ofrece una ingeniería ayuda muchísimo. Actualmente, y descontando algunos trabajos de desarrollo web que realizo para clientes, casi no toco ya código. Pero vaya, que doy gracias cada vez que me pongo con ello a aquellas clases de optimización de algoritmos y de cálculo diferencial e integral que tuve en los tres años que pasé en la politécnica de Gijón :). Y no veas lo que me han ayudado las clases de sistemas multiagente del máster en ingeniería de la Complutense a la hora de trabajar con sistemas de inteligencia artificial.

2. Me gustaría saber si es posible especializarme en análisis OSINT y HUMINT en el ámbito de la ciberseguridad. Es que creo que por mi perfil puedo traer algunas, digamos, cualidades “de serie”. De hecho, me gustaría saber si al igual que algunos hablan de adquirir la capacidad técnica en ciberseguridad de manera exclusivamente autodidacta sería posible para mí hacer lo mismo pero en análisis OSINT.

Por supuesto. De ahí que antes te dijera que no únicamente de perfiles técnicos especializados vive la seguridad.

El análisis OSINT se puede plantear desde varios escenarios, algunos muy técnicos (información de servidores, dominios, puertos…) y otros, como el que comentas de HUMINT, basados más en las aptitudes humanistas.

Para sacar oro de la red a partir de algunos datos de una persona no necesitas ser ingeniero. Es más, la mayoría de ingenieros no sabrían cómo hacerlo (no lo enseñan en ninguna carrera). Lo que necesitas es entender cómo funcionan los sistemas de posicionamiento y recomendación de contenido en la red (esto es, la parte de técnica) y la forma en la que los usuarios los utilizan (la parte humana)

Volviendo a mi propia experiencia, buena parte de mi trabajo se basa en realizar análisis del impacto superficial que tiene una amenaza específica, que a veces es un malware, a veces es una crisis reputacional, a veces es simplemente el sentiment de los clientes de la empresa que me contrata.

Para eso hago uso de herramientas que me permiten estructurar el caótico universo de datos que los usuarios cuelgan de la red de una manera que un analista pueda sacar valor de ellos cómodamente. Esta es la parte técnica.

La parte humana, que a fin de cuentas es la que de verdad aporta valor, pasa por entender qué diablos quisieron decir esos miles de usuarios ahí donde la máquina, por su incapacidad de entender la pura subjetividad humana, no llega.

Y el resultado es un análisis basado en fuentes abiertas. Donde realmente no me pagan por saber utilizar una herramienta, sino por mi capacidad de reducir a variables de negocio lo que le pasaba por la cabeza a miles de usuarios cuando publicaron X cosa en Internet.

3. Supongo que no se te escapará lo que mucha gente dice de los certificados en el ámbito de ciberseguridad. Unos que “son necesarios”. Otros dicen que muy poca formación de la que te ofrece un título específico de “ciberseguridad” sirve realmente en la práctica y otros que la única forma de aprender esto, sobre todo, a la hora de trastear con código es practicando de forma constante y autodidacta. ¿Tú qué piensas?

Va de la mano de lo que te comentaba anteriormente. Según a qué rama quieras apuntar, los certificados pueden ser tan necesarios como casi intrascendentes.

Por ejemplo, para alguien que quiera trabajar en la consultoría técnica, quizás vaya a precisar un certificado en alguna metodología de trabajo específica para poder aplicar a consultorías cuyos clientes… utilizan esta metodología en su trabajo. ¿Obvio, verdad?

Si quieres ser administrador de sistemas, lo mismo para según qué puestos te van a pedir que tengas un certificado de no se qué de Linux o Microsoft, sencilla y llanamente porque, de nuevo, el certificado es la manera más rápida y directa de valorar el conocimiento de un potencial trabajador, descontando que a veces hasta es obligatorio por ley.

¿Son necesarios los certificados entonces? Pues dependerá de cada caso. Y serán tan necesarios como podría ser una carrera.

Los títulos generalmente no van a restar, así que si tienes posibilidad, no está demás que te decidas por algún máster de inteligencia. Es, como te decía, la manera más directa de homogeneizar el conocimiento sobre una disciplina. El camino fácil.

Cuando un servidor buscaba trabajo, me acuerdo que me cerraron varias puertas simplemente “porque no era ingeniero”. En cambio en Telefónica fui el primer no ingeniero que entró en Talentum. De hecho, quiero pensar que sigo siendo el único Talentum de bellas artes de todo el programa :).

Simplemente porque demostré a Chema Alonso, que en ese momento era quien tomaba la decisión, que de verdad sabía de lo que hablaba con un currículo de proyectos, profesionales y personales, bastante superior al de la mayoría de ingenieros de mi quinta.

4. ¿Qué es eso de unirse a una comunidad de ciberseguridad de forma voluntaria para aprender con otros? Es que lo he oído por ahí y no sé… Si la respuesta a las dos preguntas anteriores es afirmativa me gustaría aportar mi granito de arena en temas de análisis OSINT en la medida de lo posible.

Pues supongo que se referirán a eso de intentar apoyar el trabajo de todos en la medida de lo posible. Por ejemplo, en el último gran ataque que hemos vivido (WannaCry), se hizo muy patente la importancia de una Comunidad, apoyada en redes como Twitter, que de seguro acabó por minimizar el impacto de la amenaza mucho antes de lo que los departamentos de IT de las organizaciones hubieran podido trabajando por su cuenta.

Miles de personas, algunos profesionales y otros aficionados o entusiastas como tú, que fueron publicando sus hallazgos, ayudando a los que estaban enfrentándose en primera línea al bicho, y arrojando cada vez más luces sobre el tema.

Desde el 2008, o casi si me apuras, desde el 2003 con Blaster y compañía (ES), no habíamos tenido una amenaza con gusano incluido tan virulento. Pero entonces tampoco teníamos redes sociales, y lo que en aquellos días tardó semanas en mitigarse, en la actualidad nos ha llevado prácticamente un fin de semana.

Así que ahí está el quid de la cuestión. Que si quieres meterte en este sector lo que mejor puedes hacer es empezar a considerar este trabajo como tu hobby, intentando aportar lo máximo posible. Ya sea realizando informes, ya sea compartiendo tus conocimientos por comunidades y grupos especializados, ya sea haciendo lo propio desde tu propia página.

Darte a conocer, e ir aprendiendo del trabajo que hacen los demás. Establecer una estrategia de marca personal enfocada al trabajo que quieres desempeñar en el futuro.

Con dedicación y esfuerzo es sólo cuestión de tiempo que lo consigas. Recuerda que cada uno de nosotros somos lo que queremos ser, no lo que nos han dicho que seamos.