Cada año, miles de graduados en seguridad de la información o ciencias de la computación se gradúan de colegios y universidades, completamente desprevenidos para el trabajo real. Aquí echamos un vistazo a los resultados de una encuesta reciente que destacó las mayores brechas de habilidades para los ex alumnos y cómo los candidatos a puestos de trabajo pueden destacarse entre la multitud.
Casi todas las semanas recibo al menos una carta de un lector que pide consejo sobre cómo comenzar una carrera en seguridad de la información. En la mayoría de los casos, los solicitantes de empleo preguntan qué certificaciones deberían obtener o qué especialización tiene el futuro más brillante.
Rara vez se le pregunta qué habilidades prácticas necesita dominar para convertirse en un candidato más atractivo. Siempre les advierto que yo mismo no tengo ningún certificado o diploma, pero hablo regularmente con los jefes de los departamentos de seguridad de la información y los reclutadores, y a menudo les pregunto sobre las impresiones de los candidatos modernos.
La respuesta típica es que muchos candidatos simplemente carecen de experiencia con problemas prácticos.
Por supuesto, la mayoría de los graduados carecen de experiencia práctica. Pero, afortunadamente, un aspecto único de la seguridad de la información es que la experiencia y el conocimiento fundamental pueden obtenerse mediante el viejo método de prueba y error.
Uno de los consejos clave es aprender los conceptos básicos de cómo las computadoras y otros dispositivos interactúan entre sí. Digo esto porque la creación de redes es una habilidad fundamental sobre la que se construyen muchas otras áreas de aprendizaje. Conseguir un trabajo en seguridad sin una comprensión profunda de cómo funcionan los paquetes de datos es un poco como intentar convertirse en ingeniero químico sin estudiar primero la tabla periódica.
Por favor, no confíe en mi palabra. El Instituto de Investigación SANS encuestó recientemente a más de 500 profesionales de la ciberseguridad en 284 empresas diferentes en un esfuerzo por descubrir qué habilidades encuentran más útiles para los candidatos a puestos de trabajo y cuáles faltan con mayor frecuencia.
En el transcurso de la encuesta, se pidió a los encuestados que clasificaran diferentes habilidades de “críticas” a “opcionales”. Un enorme 85% citó el conocimiento de la red como una habilidad crítica o "muy importante", seguida de Linux (77%), Windows (73%), técnicas comunes de explotación (73%), arquitectura informática y virtualización (67%), procesamiento de datos y criptografía (58%). Sorprendentemente, solo el 39% citó la programación como una habilidad crítica o muy importante (volveremos a eso en un minuto).
¿Cómo evaluaron los profesionales de la ciberseguridad a los posibles candidatos a un puesto en estas habilidades críticas y muy importantes? Los resultados parecen abrumadores:
| Habilidades | Cuántos candidatos no pudieron resolver ni siquiera los problemas básicos | Cuántos candidatos han demostrado habilidad |
|---|---|---|
| Técnicas generales de piratería | 66% | 4,5% |
| 47% | 12,5% | |
| 46% | 4% | |
| Linux | 40% | 14% |
| 32% | 11,5% | |
| 30% | 2% |
“Los empleadores informan que la capacitación de los estudiantes en ciberseguridad es en gran medida inadecuada y frustrada porque lleva meses de búsqueda antes de encontrar empleados calificados de nivel de entrada, si los hay”, dice Alan Paller, director de investigación del Instituto. SANS. "Sugerimos que para comenzar a abordar estos desafíos y cerrar la brecha, necesitamos articular las habilidades que los empleadores esperan pero que no encuentran en los graduados".
La verdad es que algunos de los profesionales de seguridad informática más inteligentes, astutos y talentosos que conozco no tienen certificaciones o títulos en ciencias de la computación. De hecho, muchos de ellos nunca fueron a la universidad ni se graduaron de la universidad.
Más bien, se pusieron a salvo porque estaban apasionada e intensamente interesados en el tema, y esta curiosidad los obligó a aprender tanto como fuera posible, principalmente leyendo, intentando y cometiendo errores (muchos errores).
No estoy desanimando a los lectores para que busquen una educación superior o una certificación en este campo (que puede ser un requisito básico en muchas corporaciones), sino simplemente para que no lo vean como una garantía de trabajo estable y bien remunerado.
Sin dominar una o más de estas habilidades, simplemente no será considerado un candidato muy atractivo o sobresaliente.
¿Pero cómo?
Entonces, ¿dónde concentrarse y cuál es el mejor lugar para comenzar? En primer lugar, aunque hay un número casi infinito de formas de adquirir conocimientos y prácticamente no hay límite para las profundidades que puede explorar, la forma más rápida de aprender es ensuciarse las manos.
No estoy hablando de hackear la red de alguien o un sitio malo. Por favor, no haga esto sin permiso. Si rompe los servicios y sitios de terceros, elija aquellos que ofrezcan recompensas a través de programas de recompensas por errores y luego asegúrese de seguir las reglas de estos programas.
Pero casi todo se puede jugar localmente. ¿Quiere dominar las técnicas generales para piratear y explotar vulnerabilidades? Hay innumerables recursos gratuitos disponibles ; herramientas especialmente diseñadas como Metasploit y WebGoat , y distribuciones de Linux como Kali Linux con muchos tutoriales y tutoriales en línea. Además, hay una serie de herramientas gratuitas de detección de vulnerabilidades y pruebas de penetración como Nmap , Nessus , OpenVAS y Nikto . Esta no es una lista completa.
Organice su propio laboratorio de hackers. Puede hacer esto en una computadora o servidor de repuesto, o en una PC vieja, que se venden abundantemente por poco dinero en eBay o Craigslist. Herramientas de virtualización gratuitas como VirtualBox, simplifica el trabajo con varios sistemas operativos sin la necesidad de instalar equipos adicionales.
O considere pagarle a alguien para que configure un servidor virtual con el que pueda experimentar. Amazon EC2 es una buena opción de bajo costo. Si desea probar aplicaciones web, puede instalar cualquier número de servicios web en computadoras en su propia red local, como versiones antiguas de WordPress, Joomla o motores de tiendas en línea como Magento.
¿Quieres explorar redes? Comience con un libro decente sobre TCP / IP , obtenga una buena comprensión de la pila de redes y cómo interactúan todas las capas entre sí .
Mientras asimila esta información, aprenda a utilizar algunas herramientas que le ayudarán a poner en práctica sus conocimientos. Por ejemplo, eche un vistazo a Wireshark y Tcpdump , herramientas útiles que utilizan los administradores de red para solucionar problemas de red y seguridad, y para comprender cómo funcionan (o no) las aplicaciones de red. Comience por verificar su propio tráfico de red, navegación web y uso diario de la computadora. Trate de comprender qué están haciendo las aplicaciones en su computadora observando qué datos envían y reciben, cómo y dónde.
Sobre la programación
Los empleadores pueden requerir o no habilidades de programación en lenguajes como Go , Java , Perl , Python , C o Ruby . Independientemente de esto, el conocimiento de uno o más idiomas no solo lo convertirá en un candidato más atractivo, sino que también facilitará el estudio adicional y el progreso hacia niveles más altos de competencia.
Dependiendo de la especialización, en algún momento puede encontrar que las posibilidades de formación adicional están limitadas precisamente por la comprensión de la programación.
Si se siente intimidado por la idea de aprender un idioma, comience con las herramientas básicas de línea de comandos de Linux. El simple hecho de aprender a escribir scripts básicos para automatizar tareas rutinarias ya es un gran paso adelante. Es más, el dominio de las secuencias de comandos de shell pagará grandes dividendos a lo largo de su carrera en casi cualquier función técnica relacionada con las computadoras (ya sea que esté aprendiendo un lenguaje de programación en particular o no).
Consigue ayuda
No se equivoque: como aprender un instrumento musical o un nuevo idioma, adquirir habilidades de ciberseguridad requiere mucho tiempo y es estresante. Pero no se desanime si se siente abrumado y abrumado por toda la cantidad de información. Solo tómate tu tiempo y sigue caminando.
Es por eso que los grupos de apoyo ayudan. Seriamente. En la industria de la seguridad de la información, el lado humano de las redes toma la forma de conferencias y reuniones locales. Es difícil sobreestimar lo importante que es para tu cordura y carrera conectarte con personas de ideas afines de manera semi-regular.
Muchos de estos eventos son gratuitos, incluidas las reuniones BSides , los grupos DEFCON y las reuniones OWASP.... Y dado que la industria de la tecnología todavía es predominantemente masculina, hay una serie de reuniones de ciberseguridad y grupos centrados en las mujeres, como Cyberjutsu Sorority y otros enumerados aquí .
Si no vive en medio de la nada, es probable que haya varias conferencias y reuniones de seguridad de la información en su área. Pero incluso si está fuera de lo común, muchas de estas reuniones ahora se llevan a cabo virtualmente debido a la pandemia de COVID-19.
En resumen, no espere que un diploma o certificado le brinde las habilidades que los empleadores esperan comprensiblemente de usted. Esto puede ser justo o no, pero tendrá que desarrollar y mejorar las habilidades que servirán a los futuros empleadores y oportunidades laborales en el campo.
Estoy seguro de que los lectores tienen sus propias ideas sobre en qué centrar sus esfuerzos para principiantes y estudiantes. No dude en hablar en los comentarios.
Ver también: