09 septiembre 2009

¿Y ahora qué?

Tras nuestra entrada sobre las certificaciones de seguridad, nos han llegado múltiples consultas de estudiantes que están terminando la carrera o un módulo y no tienen demasiado claro como continuar su formación y mejorar su currículum y conocimientos en seguridad para obtener un perfil más especializado. En esta entrada os daré mi consejo personal por si os puede ser de interés.

1.- QUIENES SOMOS

Lo primero y más obvio es recordar que nuestro nombre y correo electrónico es una marca. Hoy en día es bastante común Googlear y tratar de averiguar un poco más allá del propio currículum del candidato. Mensajes en foros, listas de correo, redes sociales, fotos, todo lo que este publicado en Internet se ha de tener presente, eliminando aquello que pudiera perjudicar la imagen. Además, es recomendable participar activamente en aquellos sitios técnicos de nuestro interés. Tener un pequeño blog puede ayudar o perjudicar al candidato, así que además de tus colegas del barrio, piensa que alguien más puede leerlo.

Este punto es tan importante que en ocasiones las consultoras se acercan a las universidades en busca de una persona en concreto como haría el mismísimo Florentino Pérez.

2.- DONDE QUEREMOS IR Y TAL

Lo primero que se debe tener más o menos claro es que se está solicitando hoy en día en el mercado laboral y donde podríamos encajar mejor en base a nuestros gustos, así como en que campo se desea desarrollar nuestra carrera profesional, ¡aunque seguramente sufra múltiples cambios! Una lista de los distintos perfiles de seguridad que se buscan por todo tipo de compañías podría ser algo similar a esto:

  • Operación: encargado de la monitorización de elementos de seguridad como cortafuegos, detectores de intrusos, consolas antivirus, etcétera. Un buen sitio por el que comenzar que puede dar mucha visibilidad de arquitectura y su infraestructura.
  • Hacking ético: especialistas en explotación y análisis de vulnerabilidades, amplios conocimientos en sistemas, redes, aplicaciones, etcétera. También es normal encontrarse gente que está más cómoda en algunas plataformas, por ejemplo sistemas Microsoft, Unix, en redes, Web...
  • Análisis Forense: en muchas ocasiones es el mismo perfil que el anterior, ya que se requieren conocimientos similares más un componente adicional de esta materia.
  • I+D: Lo que todo el mundo quiere hacer pero pocos saben cómo, llevar a cabo nuevas ideas, realizar estudios, plantear nuevos proyectos...
  • Ingeniería inversa: desde el desarrollo de protecciones hasta el análisis de malware, perfil para los amantes del código en todos sus niveles.
  • Arquitectura de red / Integración: especialistas en electrónica de red, integrando sistemas de seguridad como IDS/IPS, firewalls, proxys, etcétera o también haciendo consultoría sobre las necesidades que puede tener determinada arquitectura.
  • Auditor LOPD / LSSI: perfiles tanto de abogados como informáticos con conocimientos de la Ley Orgánica de Protección de Datos, Ley de Servicios de la Sociedad de la información, etcétera.
  • Continuidad de Negocio: llevando a cabo este tipo de proyectos y planes de continuidad, no requiere altos conocimientos técnicos, pero si el conocimiento de algunos estándares de seguridad como BS25999 o BS25777
  • Auditor ISO27001, COBIT, Normativas: personas generalmente con un perfil menos técnico con conocimientos de normas y estándares de seguridad para la ejecución de proyectos de análisis de riesgos, planes directores, sgsi, etcétera.
  • Formación: no a todo el mundo le gusta ni tiene esta habilidad, no solo hay que conocer muy bien la materia si no saber cómo contarla.


Los puestos a desempeñar no tienen por qué ser exclusivos. Por poner algunos ejemplos, un formador es generalmente alguien que hace otro tipo de tareas relacionadas, un auditor de LOPD podría hacer una análisis de riesgos, alguien que haga hacking podría ejecutar cosas relacionadas con la ingeniería inversa... y así las combinaciones que se os ocurran.

A todos ellos se podría acceder sin experiencia previa como Junior e ir adquiriendo y profundizando en que más os guste. Si estas pensando que por haber terminado la carrera has terminado tu formación, seguramente te veas bastante limitado en tus conocimientos y posibilidades.



3.- DONDE APRENDER



Uno de los principales recursos para conocer el panorama de la seguridad e identificar si nos termina de gustar, son las conferencias que se celebran durante todo el año por todo el país. Estas conferencias organizadas por distintos organismos e instituciones en su gran mayoría son sin coste y además en todas ellas siempre se aprende algo.



CriptoRed mantiene un buen calendario de eventos y en el INTECO podéis consultar otro.



De forma económica y enfocado únicamente al contexto técnico de forma detallada y amplia, podemos optar por formaciones específicas como la que imparte Informatica64 en sus FTSAI.



Si lo que deseamos es volvernos un auténtico hatori de la seguridad, siempre podremos consultar todos los recursos disponibles en Internet y volvernos autodidactas, aquí una recopilación:



O recurrir a los clásicos libros, ya sean en papel o en formato electrónico, la lista es tan amplia que nosotros hemos recogido algunas de las mejores editoriales.



Para finalizar, una excelente opción para adquirir conocimientos rápidamente y colorear de forma considerable nuestro currículum vitae es la obtención de un Master en Seguridad de la Información, existen decenas de opciones con horarios y duraciones distintos y aunque económicamente suponen un desembolso considerable, son bastante amplios como para adquirir una visión completa de todo lo que se realiza en un departamento de seguridad de la información.



Mediante el portal emagister.com se pueden consultar muchas ofertas. Aunque por razones obvias, yo os sugiero el de la Universidad Europea de Madrid en el que imparto algunas clases ;-)




4.- AMPLIANDO EL CURRICULUM



¿Tú ya tienes tus estrellas?, si no es así, ¡mejora tu currículum!



Un experto en seguridad es alguien con muy buena base en muchos campos y por esto, un camino que sigue mucha gente es la evolución desde otro departamento técnico como administradores de sistemas o desarrolladores a uno de seguridad. Por lo tanto una buena opción es certificarse en algunos de estos temas teniendo en cuenta nuestros gustos y en que se desea trabajar posteriormente.


EC-Council nos permite certificarnos en hacking (CEH) o análisis forense (CHFI), sin tener experiencia siempre y cuando hagamos uno de sus cursos oficiales.

Mediante el uso de centros "Prometric", también podemos certificarnos en múltiples productos por un coste razonable (120-220$), cito algunos ejemplos aunque lo mejor es visitar la web y buscar los que más nos puedan interesar.



Para obtener estas certificaciones en general no es necesario asistir a ningún curso y se pueden preparar con el material disponible en la red.

Para finalizar, se puede adquirir experiencia solicitando alguna de las becas o aplicando a puestos de este tipo mediante portales como infojobs.com, puede ser una magnífica oportunidad para dar los primeros pasos e incluso quedarse en la compañía.



18 comments :

Alejandro dijo...

Hola, muchísimas gracias por este post tan interesante. Soy estudiante de ingeniería informática y aunque me queda aun bastante para tener el titulo hay que ir pensando hacia donde quieres enfocar tu carrera...

Nombras sistemas UNIX en el apartado de hacking ético. Siempre pensé que en este apartado como en el resto de los que nombras quedarse en una sola plataforma es un poco contraproducente. ¿Realmente hay salidas para los que se quedan en una sola plataforma y no es la mayoritaria?

Gracias. Teneis un blog buenísimo. Haceis un trabajo excepcional.

Alejandro Ramos dijo...

@Alejandro, muchas gracias! siempre uno se encuentra más cómodo en un sistema operativo que en otro y puede especializarse más en los de ese estilo. Lo que no significa que el resto pueda olvidarlos, ya que con la cantidad de tecnología que existe en la actualidad, cuanta más conozcas mejor! En cuanto a las salidas, te costará más trabajo más entrar en un puesto, pero si es algo muy concreto como dices, estará mejor pagado. Ojo, no me refiero a sistemas Linux, Solaris, AIX, etcétera, que aunque no son la mayoría existen muchos especialistas. Si no a tecnologías como MQSeries, SAP, Host, etcétera.

Un saludo

Anónimo dijo...

Estás hecho un auténtico hatori ;)

svoboda dijo...

Un post estupendo, son cosas que parecen de sentido común y que se pueden averiguar navegando por internet, peor así dichas y reflejadas son una gran ayuda para no naufragar y tener un punto de partida.

Por cierto, no habéis comentado nada de las certificaciones CISP o CISA, también pertenecerían a todo esto, ¿no?

De nuevo, un gran post y un gran blog.

Anónimo dijo...

Gran post y mejor blog.
Saludos!

José A. Guasch dijo...

@svoboda, este post está más enfocado a los comienzos de una carrera laboral, y las certificaciones CISSP y CISA por ejemplo requieren de un mínimo de años de experiencia profesional, por lo tanto, se alejaría de este tema

Rafael Alfaro dijo...

Hola,
En primer lugar quiero felicitaros por vuestro post y por vuestro blog en general, ya que publicáis contenidos muy interesantes.

Sobre la formación específica en seguridad, me gustaría añadir (y recomendar) los cursos especializados del SANS Institute. Acabo de realizar el de "Incident Handling" (SEC504) y estoy haciendo el de "Network Penetration Testing" (SEC560) y son algo increíble. A pesar de llevar varios años trabajando en el campo me han aportado múltiples conocimientos sobre metodología y técnicas de hacking que desconocía o que conocía, pero menos "a fondo".

Os aseguro que no me llevo comisión, en serio :) pero los recomiendo a todo aquel que quiera aprender algo práctico: hands-on. Yo solo me arrepiento de no haber podido hacerlos antes. Lo ideal habría sido justo al terminar la carrera, pero no tenía fondos :)

P.S. Si alguien necesita que le vigile el examen (Proctor) que me busque en LinkedIn.

Juan Palomo dijo...

Enhorabuena por el post. Información interesante y sintetizada, una buena guía de referencia para aquellos que estamos estudiando.

Juan Quijano dijo...

Esta muy chido!

svoboda dijo...

Ok, no me había dado cuenta de la diferencia, gracias por la aclaración.

Tonio dijo...

Muuuuuuuuuuuuuuuuuuuuuuuuuuuchas gracias!! esto me viene de perlas, el saber donde certificarse con garantias es siempre un gran alivio.

Yo ahora estoy a vueltas con la LPI101.

De nuevo gracias y no tardeis en publicar más entradas sobre esto.

:-D

Chema Alonso dijo...

Muy buena currada de post Dab, eres un crá.

Saludos!

Miguel dijo...

gran entrada! no le sobra nada.

Anónimo dijo...

Muchas gracias por el post :)
Seguire tus consejos ninja, empezando por las conferencias durante todo el año!

BBerastegui dijo...

Se que esto puede quedar poco elegante, incluso algo fuera de tono...

Pero sois los putos amos.

De verdad, me parece que os volcáis una pasada por la gente sin esperar nada en concreto a cambio (Aun soy estudiante, no os puedo regalar nada).

Ya que yo fui uno de los que os preguntó, paso a deciros que es exactamente esto lo que buscaba.

Este año me pondré a por algo de esto en cuanto acabe el curso. Me lo leeré con mas calma.


Un agradecidisimo saludo.

Seguid así.

Alejandro Ramos dijo...

@*: Muchas gracias a todos, la verdad es que así da gusto publicar!! Nos alegramos de que os parezca interesante y ojala os sea útil.

Un abrazo!

Francisco Javier dijo...

"EC-Council nos permite certificarnos en hacking (CEH) o análisis forense (CHFI), sin tener experiencia siempre y cuando hagamos uno de sus cursos oficiales"
¿Se supone que se tiene que superar un examnen, verdad? No te darán la certificación con sólo un curso, ¿alguien lo sabe?

Alexis Astxdillo dijo...

Francisco, como bien dices, es necesario superar el examen para lograr la certificación.