Cada vez que salta a los medios la noticia de una importante brecha de seguridad en una gran compañía, la seguridad tecnológica gana en valoración y con ella los expertos en este terreno.
Esto está provocando que la demanda de expertos en seguridad aumente de tal manera que se quedan sin cubrir 3 millones de puestos en todo el mundo, según el informe Cybersecurity Workforce Study de (ISC)², una organización mundial de profesionales en seguridad informática.
¿Consecuencia de esto? Que, pese a que el perfil de experto en ciberseguridad no sea el más demandado, sí es uno de los dos más cotizados según el Informe del Mercado Laboral de Adecco: la posición de CISO (Chief Information Security Officer, jefe de seguridad) tiene un salario que, según este informe, oscila entre los 45.000 y los 95.000 euros en nuestro país.
No solo de la ingeniería vive la ciberseguridad
¿Cómo convertirse en un experto en seguridad? Quizá el perfil típico o más tradicional de ciberseguridad está más asociado al perfil de un ingeniero en informática o telecomunicaciones, con experiencia en área de sistemas, redes y cloud y una especialización en seguridad. Como especifica Javier Tobal, Ingeniero informático, Perito judicial informático y CISO en Fintonic, dado que hay muchos aspectos que confluyen en la ciberseguridad “se deberían conocer, entre ellos: desarrollo de software, arquitectura de sistemas, diseño y arquitectura de redes”.
Una visión con la que coincide Francisco Ángel Marzal, Quant Developer en Axpo Iberia, quien enumera además dos campos adicionales: Normativa y Legislación y, dependiendo del área de ciberseguridad al que te quieras dedicar, Hacking ético, Bastionado, desarrollo de software seguro y Análisis Forense.
Hablando de legislación: no todos los expertos en ciberseguridad tienen por qué tener un perfil eminentemente técnico. Elena Cobo-Reyes, Client Portal Implementer en Adecco Group, explica que la ciberseguridad tiene muchos nichos y submercados y que, por tanto, en función de las funciones que la persona va a llevar a cabo dentro de una empresa, su perfil será más técnico o menos. En este terreno, cada vez tiene más impacto el ámbito legal. “Cualquier protocolo o procedimiento tiene que ir de la mano del aspecto legal”, sobre todo cuando los datos entran en juego. En función de la sensibilidad de estos datos (no es lo mismo sector sanitario o público o bancario que el resto de sectores que es una protección de especial sensibilidad), más importante será este rol legal.
Carrera universitaria. ¿Sí o no?
Con el auge de los puestos de expertos en ciberseguridad algunas universidades empiezan ya a ofrecer titulaciones de Grado en Ciberseguridad, en muchos casos como especialización de grados en informática. Pero, ¿es necesario tener una titulación superior para trabajar en este campo?
Lorenzo Martínez, CTO & fundador de Securizame, una empresa especializada en informática forense y seguridad, e ingeniero en Informática, cree que no es imprescindible “pero sí es algo muy recomendable”. ¿Por qué? “Estudiar una carrera te aporta unas bases en aquello a lo que está enfocada. Pero no sólo eso, el paso por la universidad es un lugar de aprendizaje a volar, a buscarte la vida, a investigar, a crear”. Aunque defiende que la universidad no es la única manera de lograr estos conocimientos, “sí que es una opción que no puedo dejar de recomendar”.
Algo en lo que coincide plenamente Francisco Ángel Marzal. “Estudiar un grado como por ejemplo una Ingeniería del Software, te da unos conocimientos sólidos y son una garantía y aval ante las empresas que buscan estos perfiles. Si este grado además tiene una mención de ciberseguridad te posiciona a nivel técnico con un perfil muy atractivo para iniciar una carrera profesional en un sector con tanta demanda de perfiles”. Ingeniería Informática, Ingeniería de Software, Ciberseguridad, Matemáticas serían las carreras recomendadas por este experto.
Javier Tobal añadiría a esta lista los dobles grado de Administración y Dirección de Empresas e Ingeniería Informática así como los másteres en ingeniería de informática
“Lo bueno del sector tecnológico es que, bien por necesidad o bien porque muta demasiado en tres años, es muy abierto. No tienes porqué ser un ingeniero superior para dedicarte a ciberseguridad”, apostilla Elena Cobo-Reyes, quien no obstante sí que reconoce que para puestos de mayor responsabilidad (como director de seguridad, CISO) sí que las empresas optan por perfiles titulados, aunque el factor determinante acabe siendo “la formación específica y que vengan con experiencia”.
Martínez reconoce que, tras la Covid-19, se están produciendo algunas diferencias sobre cómo se imparte la formación. Con el auge de las opciones telemáticas, este experto ve algunos retos en los aspectos que requieren interacción profesor alumno. "Nosotros seguimos impartiendo formación presencial con todas las medidas sanitarias y de seguridad. Pero si en presencial algún alumno se evade de la clase y se pone a hacer otras cosas, en online es más fácil aún que se produzca esa distracción", reflexiona. Y, por eso, subraya que lo que hace falta por parte del alumno es "rigor y ponerse a ello. Requiere un nivel extra de compromiso".
Eduardo Arriols, Red Team Manager, autor del libro: "CISO: El Red Team de la empresa", y profesor en el Grado en Ingeniería del Software de U-tad en la mención de ciberseguridad, coincide en que los planes de estudios no han cambiado, pero sí las peticiones de que la formación sea remota. "Se demandan más servicios como hacking ético. Pero el enfoque sigue siendo el mismo".
La especialización va por barrios
Todos estos expertos aseguran que el campo de la ciberseguridad es tan amplio y se está ensanchando tanto que quienes quieran trabajar aquí deberían especializarse en algunas de sus áreas.
Por un lado, hay certificaciones como CEH, OSCP, CHFI que son “muy demandadas en el mundo laboral”, según el Quant Developer en Axpo Iberia.
Basta mirar el Libro Blanco del CISO para comprobar la cantidad de certificaciones que existen en ciberseguridad: CCSP (Certified Cyber Security Professional), CDPD (Certificación de Delegado de Protección de Datos), CDPP (Certified Data Privacy Professional), CISA (Certified Information Systems Auditor), Certificación para auditores de ISACA (Information Systems Audit and Control Association - Asociación de Control y Auditoría de Sistemas de Información), CISM (Certified Information Security Manager), CISSP (Certified Information Systems Security Professional)....
“De la universidad se sale con unas bases generalistas, pero los problemas reales se ven en la calle, en las empresas y organizaciones a las que atendemos”, explica Lorenzo Martínez para justificar que se ha de complementar la formación con algo más específico para la ciberseguridad. “En mi empresa, Securízame, en la que nos dedicamos día a día íntegramente a dar servicios de ciberseguridad, lanzamos desde 2014 una serie de cursos especializados en materias como hacking ético, securización de sistemas o análisis forense, y también tenemos un plan semestral de acciones formativas con temarios específicos para desarrollar y potenciar esos conocimientos”.
La importancia del derecho
Aunque gran parte de estas certificaciones y especializaciones son muy técnicas, cada vez se demanda más que los profesionales de la ciberseguridad controlen de otros asuntos, como los aspectos legales. Por eso, para muchos de estos expertos con los que hemos hablado apenas hay duda de que se hace necesario que los profesionales tengan formación en ética/legal. “Muchas de las herramientas o técnicas que se pueden emplear se pueden considerar ilegales en ciertos países”, advierte Francisco Ángel Marzal.
El campo normativo y legislativo cada vez más extenso que afecta a la seguridad informática (como RGPD, NIS, PSD2, etc.) obliga a ello. “El saber no ocupa lugar (aunque quita tiempo que se puede dedicar a aprender o mejorar otras cosas). Hay tanto por conocer, que es importante seleccionar. Tener conocimientos de derecho (básico) sobre todo si te vas a dedicar a labores de peritaje informático, que luego deberás ratificar en sala, es importante”, explica Javier Tobal, quien también recomienda desarrollar las capacidades personales de exposición en público. “Cada vez es más importante hacerse entender, tanto de forma escrita como oral. Tanto para hacer un informe a un cliente, como exponer oralmente su contenido de forma resumida, creo importante que se lleven a cabo este tipo de acciones que mejoren las capacidades de comunicación”.
Esta formación complementaria se hace más necesaria conforme van pasando los años y, sobre todo, si se aspira a puestos de más responsabilidad. “Tener la visibilidad del negocio y cómo se aplica la ciberseguridad en él es vital para tu desarrollo profesional”, explica la IT Manager de Spring Professional. “En tecnología tendemos mucho a perfiles 4x4, que pregunte, que tenga inquietudes”.
Y ahora que estoy formado, ¿cómo empiezo a trabajar?
Esta misma experta asegura que la especialización en el campo de la ciberseguridad llega más con el tiempo, aunque aparezcan nuevos estudios específicos sobre la materia. “De la noche a la mañana no puedes transformar a una persona porque tienes que coger experiencia”.
¿Cómo podemos lograrla? Actualmente existen muchas compañías que en estas nuevas áreas hacen hub de preparación, por lo que si estás interesados puedes acceder a estos recursos. También existen eventos CTF (Capture The Flag) en los que se plantean retos para resolver o plataformas como hackthebox donde puede ejercitar tus conocimientos. “Estas son dos buenas iniciativas para iniciarte y hacer contactos en este sector además de resolver simplemente problemas”, explica Francisco Ángel Marzal, mientras que Javier Tobal considera que es útil tener experiencia “manejando un depurador de código (debugger tipo IDA), un analizador de red (por ejemplo, wireshark) y las herramientas de hacking más populares (las que se pueden encontrar en distribuciones forenses como KALI)”.
Como concluye Lorenzo Martínez, “no hay excusa para no practicar por tu cuenta. Con alternativas gratuitas como Virtualbox puedes montar un laboratorio con multitud de máquinas en las que probar diferentes sistemas operativos, tanto la explotación de sus debilidades, como soluciones de seguridad funcionando sobre ellos, o incluso las trazas forenses que quedan tras la ejecución de determinadas acciones”.
Y, aunque obtengas tu primer trabajo como junior “no es bueno quedarse con que la formación se termina cuando acaba la jornada laboral, sino que la pasión por el saber más y mejorar, aunque sea como autoformación, debería ser algo complementario a lo visto en el trabajo”.
Ver todos los comentarios en https://www.xataka.com
VER 18 Comentarios