¿Cómo se puede ingresar al campo de la seguridad cibernética?

Para muchos de ustedes simplemente sucede en el camino. Somos parte de una organización que tiene un equipo de seguridad dedicado, solicita un puesto y simplemente lo toma desde allí. Su formación técnica debería abrirle puertas.

El mayor problema es elegir en qué áreas enfocarse. Encontrar un amplio profesional de seguridad de tipo CISSP no es nada difícil. Encontrar a alguien que tenga capacidades de respuesta a incidentes, habilidades forenses y sepa cómo diseccionar un pcap es más difícil. Encontrar a alguien con las últimas habilidades que también puede funcionar en una empresa (tiene habilidades de comunicación decentes): aún más difícil.

Vea, muchos profesionales de seguridad tienen mucho conocimiento. Estos son los tipos de consultores, que revisan algún documento ISO para ver cuál es el nivel de madurez de las organizaciones, que escriben políticas basadas en ISO, que consultan proyectos sobre cómo implementar la seguridad durante el desarrollo y la implementación. No hay nada de malo en ello. Excepto cuando la brecha entre su conocimiento y el mundo real real es demasiado grande. Ahí es cuando terminas con los sistemas * nix que ejecutan un software antivirus o un requisito mínimo de “mejor práctica” de contraseñas de 8 caracteres, lo que es un remanente de los años 70 cuando eso era realmente suficiente.

Los últimos años de revelaciones sobre NSA, Lulszec, Anonymous y APT han demostrado que el documento es paciente. Puede tener todos los documentos que desee que describan cómo realizar evaluaciones de riesgos, establecer requisitos de seguridad, crear procesos y códigos de conducta que indiquen a los empleados que no visiten este y ese tipo de sitio web por razones de seguridad; Al final del día, cuando se trata de empujar, se necesitan personas con habilidades y botas en el suelo. Si tienes un intruso en tu red, todo ese papeleo no te ayudará en nada.

Supongo que no respondí tu pregunta en absoluto, excepto para decirte que en algún momento decidas qué tipo de profesional de seguridad quieres ser.

Comienza a leer sobre las áreas. Haga que su empleador pague un poco de educación. Aunque muchos de ellos solo le darán conocimiento, puede ayudarlo a obtener una visión general y una base para trabajar. Comience a rascar la superficie en los sistemas con los que se encuentra y desarrolle su propio pensamiento pensando “cómo aprovecharía esto para ingresar a la red”, “qué daño podría hacer aquí” y “Me pregunto si realmente es solo http que fluye a través de nuestro puerto de salida 80 “. Hay un montón de libros por ahí que pueden brindarle un amplio conocimiento sobre cómo se pueden usar mal los sistemas. Léelos y luego haz [1]. En lugar de solo leer sobre Wireshark, enciéndelo constantemente y disecciona tu propio tráfico. Obtenga una máquina virtual en funcionamiento e instale algún malware a propósito. Mira el trafico. Obtenga un analizador de malware. Haz algo forense. Cree su propia página web e intente desarrollarla teniendo en cuenta la seguridad evitando el OWASP top 20 (OWASP). Póngase cómodo con las herramientas de pan y mantequilla como nmap.

Espero que esto ayude.

[1] No manipules la mierda que no tienes permitido. Al rascar la superficie me refiero a “Me pregunto si puedo acceder a este PDF en nuestro propio sistema interno al vincularlo directamente en lugar de proporcionar una contraseña”. No vas a creer lo que encontrarás en el camino. Informar de manera responsable.

Related Content

Soy sirio con más de 3 años de experiencia en desarrollo web, pero no pude obtener mi título de CS, ¿debo solicitar empleo en los Estados Unidos? ¿Pueden las empresas estadounidenses emplearme?

¿Cómo encuentran los programadores tiempo para trabajar en sus proyectos de pasatiempo?

¿Cuál es la mejor corriente para ser astronauta?

¿Puedo ser codificador incluso si no tengo un título / diploma en ingeniería?

¿Qué especialidad debería elegir si estoy interesado en Matemáticas, CS, Economía, Física e Ingeniería?

Entrar en cualquier campo nuevo es difícil, y la seguridad cibernética no es diferente. Irónicamente, pensarías que sería más fácil ya que hay un estimado de 1 millón de roles de seguridad abiertos en todo el mundo. Sin embargo, la singularidad de estos puestos requiere tiempo y dedicación para dominar. Para aquellos que están en la universidad o planean hacerlo pronto, las universidades han comenzado a expandir sus programas para satisfacer la creciente demanda de estos conjuntos de habilidades. Para otros más arraigados en sus carreras de TI actuales, puede ser difícil encontrar la oportunidad de obtener la experiencia necesaria.

  1. Únete a usuarios locales o grupos de Meetup. Si está realmente interesado en ingresar al campo de la seguridad cibernética y ya está en TI, no hay forma de evitar el hecho de que tendrá que dedicar algo de tiempo fuera del trabajo. Las personas que se ofrecen como voluntarios para dirigir estos grupos están dedicadas a su profesión y pueden ayudarlo a responder muchas preguntas que tenga.
  2. Obtenga certificaciones. Si recién está comenzando en TI, Security + de CompTia es un buen lugar para comenzar. Hay algunas otras organizaciones grandes para una gama de certificaciones de nivel básico, intermedio y superior. Las certificaciones de Global Information Assurance (GIAC) de SANS Information Security Training, ISACA y (ISC) 2group tienen una variedad de opciones de redes, aplicaciones y políticas. Costará dinero para la capacitación y la prueba, pero las certificaciones se respetan en seguridad y pueden ayudar a abrir puertas.
  3. Práctica práctica práctica. Hay bastantes sitios web vulnerables a propósito dedicados a permitir que las personas practiquen técnicas.
  4. Encuentra tu nicho. La seguridad es un tema tan amplio que abarca la creación de redes, aplicaciones, gestión y formulación de políticas. Siempre es bueno tener una amplia base de conocimiento, pero necesita encontrar un nicho para separarse. ¿Tienes experiencia en desarrollo? Obtenga información sobre cómo diseñar aplicaciones para ser seguras o malware. ¿Actualmente es compatible con una red? Concentre su tiempo en firewalls y pruebas de penetración.

Hay tantos caminos para elegir en el campo de la seguridad cibernética, uno puede fácilmente tener una sobrecarga de información y no saber por dónde comenzar. Hable con personas en el campo ya. Aprende de sus éxitos y errores. Invierte en ti mismo a través de capacitación y certificaciones. No hay forma de evitar el trabajo extra y la práctica con la que tendrá que comprometerse. No seas un gato de todos los oficios y maestro de ninguno.

Aaron Boldt

Especialista en marketing digital y ventas

HireVergence

Marc Andersen

Si su experiencia es en ingeniería de comunicaciones con C / C ++ en sistemas embebidos, puede comenzar bien en cualquier compañía de hardware que tenga componentes SW que los conecten a Internet. Esto abre muchos problemas de seguridad y hay una buena oportunidad. También hay empresas que se especializan en proporcionar infraestructura de seguridad para sistemas integrados.
Energía o cuidado de la salud o dispositivos médicos o verticales de aviación o casi cualquier cosa cae bajo Infraestructura crítica. Hay muchas plataformas comerciales de infraestructura no crítica que buscan abordar sus desafíos de seguridad cibernética a nivel de hardware. Empresas en el espacio IoT.
Es mucho más fácil ingresar a Cyber ​​Security a lo largo de su dominio y moverse a otras áreas en lugar de comenzar desde cero, como aprender y entrar en pruebas de penetración o seguridad de red o análisis forense. Además, personalmente siento que faltan ingenieros / desarrolladores de SW con buenos conocimientos de seguridad sobre cómo implementar algo correctamente vs. investigadores de seguridad que pueden encontrar vulnerabilidades.

Marc Andersen

More Interesting

¿En qué consiste un MBA?

¿Qué tan relevantes son las certificaciones de marketing digital?

¿Por qué las prácticas de ingenieros de software se llaman así si son 'solo para informáticos' y los ingenieros de software no tienen ninguna posibilidad de obtener una pasantía de ingeniero de software?

¿Cuáles son algunas buenas universidades en Canadá para obtener una maestría?

Me gradué con Microbiología (Hons) de CU. Quiero hacer un MBA Pero, de nuevo, algunas personas me dicen que haga un M. Sc. ¿Cuál es la mejor opción?

¿Qué puedo hacer ahora que he perdido mi deseo de trabajar en Hollywood, ya que siento que es un camino falso y poco satisfactorio para mí?

¿Qué se necesitaría saber para dar servicio a un Tesla?

¿Cuál es su consejo para un ingeniero nuevo que comienza su carrera como SDE en Amazon?

¿Qué debo hacer para aumentar mi rendimiento en el entrenamiento en Cognizant?

¿Cuál es la abreviatura de Master of Education?

¿Ser un nuevo desarrollador web o mantener mi campo actual de solución de problemas SIP / CSTA, integración de software de terceros, aprovisionamiento de puertas de enlace, servidores proxy? ¿Cómo puede alguien mejorar este último en casa, qué tecnologías de red y cómo puede practicar con ellas?

¿Es aconsejable unirse a Aricent para un ingeniero de automóviles?

La salida de Ask FSK psk qam ll es analógica. ¿Cómo obtenemos una señal digital de esa señal analógica?

¿Qué tipo de trabajos obtendré en trabajo independiente?

¿Cómo renunciaría a un trabajo recientemente incorporado donde su rol no es el que esperaba?