04 abril 2011

Seguridad informática: Una profesión con futuro… (o eso espero)

En otras ocasiones, ya hemos dado nuestras recomendaciones, sobre qué formación complementaria tener en cuenta o dónde suscribirse para buscar trabajo, a aquellos que estén especializándose en la rama de seguridad en el mundo de la informática.

Nos suelen llegar bastantes correos de muchos de nuestros lectores que están estudiando una carrera o módulo relacionado con la Informática, en los que nos piden orientación sobre cómo y por dónde orientar su futuro laboral. También para el resto de los lectores, que dispongan de un trabajo ahora mismo pero que tengan pensado barajar otras opciones (pese a la que está cayendo), queremos contaros en este artículo a qué tipo de puestos podemos optar, o qué tipo de trabajo podemos realizar para ganarnos las habichuelas, si ya hemos tirado por la rama de la seguridad y no queremos reciclarnos en otro sector.


Según mi experiencia, he hecho la siguiente clasificación, según el tipo de empresa u organización que nos encontremos:
  • Empresa Integradora: Fundamentalmente, es una empresa dedicada a la seguridad, a todo el proceso del mismo en sí: proyectos de análisis y consultoría de seguridad de sus clientes, elaboración de informes de mejora, integración final de las soluciones adoptadas por el cliente en sus dependencias, soporte postventa, etc,…. Los roles de un consultor de seguridad en estos casos pueden ser: preventa técnico apoyando a un departamento comercial para vender las soluciones de seguridad del portfolio de la empresa; esto es, una solución que cubre diferentes puntos clave de la seguridad representada por uno o dos fabricantes diferentes (es decir, un par de soluciones UTM, de antivirus, antispam, NAC, soluciones wireless, seguridad del puesto de trabajo, etc); consultor técnico integrador de dichas tecnologías en los clientes, una vez vendidas; soporte post-venta de dichas soluciones, etc,…
  • Empresa auditora: Empresa especializada en llevar a cabo proyectos de auditorías de seguridad, ya sean de test de penetración y hacking ético, como de cumplimiento normativo, asesorando a otras organizaciones en cuanto a qué tipo de medidas serán de necesaria o recomendable aplicación después de haber analizado la situación actual en dicha entidad. Los puestos en este tipo de empresa son de auditor/hacker ético capaces de llevarse por delante los sistemas y medidas de seguridad establecidos por las empresas integradoras. Frecuentemente, las empresas integradoras y auditoras suelen ser una sola, estructurada en departamentos para cada tipo de negocio/actividad, y se suelen llamar empresas consultoras de seguridad.
  • Mayorista: La posición de un mayorista o distribuidor de seguridad, suele formar parte del canal a seguir entre las empresas integradoras y los fabricantes de los productos que comercializan. De esta manera cuando una empresa integradora ha vendido una solución de seguridad, pide las licencias, dispositivos o lo que comprenda dicha solución a un mayorista. Estos últimos suelen denominarse "mayoristas de valor", aquellos que no se limitan a "mover cajas" de una empresa a otra, sino que además aportan algún tipo de valor añadido al proyecto, con un nivel de soporte extra al cliente o al integrador, recursos físicos donde congregar a diferentes clientes en forma de algún evento formal o informal, ofrecer e impartir formación reglada a integradores y clientes finales, etc… En muchas ocasiones incluso, los mayoristas cuentan con stock para poder proveer de forma ágil las demandas de un tipo de producto sin tener que "mover las cajas" entre fabricantes e integradores. Trabajar en un mayorista suele requerir haber trabajado en integradores previamente, haber establecido el contacto con ellos previamente, y que hayan demandado un perfil técnico concreto para dar soporte de varios tipos de tecnologías a integradores, o cursos de los productos ofrecidos a sus clientes.
  • Fabricante: En uno de los extremos se encuentran los fabricantes de soluciones de seguridad. Trabajar para uno de ellos conlleva conocer una, varias o todas (dependiendo del tamaño del mismo), las líneas de producto que estos venden. Los tipos de trabajo en un fabricante pueden ser, entre otros, como preventa técnico, es decir, apoyando al departamento comercial a encontrar y generar oportunidades en diferentes clientes, demostrando las ventajas de nuestros productos ante los de la competencia; I+D, eres parte de las tripas de uno o varios productos que luego otros tendrán que vender; en el departamento de Calidad, haciendo Q&A y miles de perrerías a las soluciones disponibles a fin de ofrecer un producto suficientemente estable; soporte post-venta, ayudando a clientes finales, mayoristas e integradores ante un determinado problema o configuración que se atasca.
  • Cliente final: En el otro extremo de la cadena se encuentra el cliente final, que comúnmente tiene uno o varios problemas o necesidades que conciernen a la seguridad de sus infraestructuras TI. Con un departamento de seguridad propio, suelen contar con un responsable de seguridad, encargado de gestionar los diferentes proyectos que requerirán empresas integradoras y/o auditoras, que ayuden con su know-how o proponiendo soluciones de seguridad que cubran las necesidades. Además del responsable de seguridad, los clientes finales de entidad suficiente, suelen disponer de un departamento de seguridad, que lleva a cabo el día a día de estas necesarias labores. Trabajar en un cliente final, suele ser lo más deseado por todos los profesionales de la seguridad, dada la "supuesta" estabilidad que un puesto de estas características provee.
  • Freelance: En los tiempos que corren, este tipo de trabajo suele ser más complicado. Como cualquier autónomo, si no tienes proyectos, no trabajas y por ende no cobras. Para poder dedicarte al mundo freelance, aparte de tener que contar con una extensa red de contactos en integradores/ auditores que externalicen proyectos, hay que tener una muy buena reputación profesional que asegure una continuidad puesto que el mes que no trabajas, no cobras. 
  • Académico: Como les sucedió a muchos amigos con los que estudié en la Universidad, les gustó tanto el mundo académico, que decidieron quedarse allí como profesores dedicados a alguna materia en concreto. Para trabajar como profesor universitario, aparte de conocimientos sobre lo que tienes como cometido divulgar a tus alumnos, hay que contar con vocación y paciencia para la enseñanza. En general, las labores académicas son compaginables con otro tipo de trabajos, ya sea de investigación (dentro de la propia Universidad o fuera de ella) así como de empresa privada o freelance.
  • Prensa especializada: Aunque ya hemos recopilado en un par de ocasiones, las diferentes publicaciones en papel dedicadas al sector de la seguridad informática, la verdad es que, salvo en las secciones más técnicas de laboratorio y prueba de productos, es complicado encontrar cabida para un experto en seguridad siendo más labor de periodismo técnico.
  • Administración pública: Dentro de lo que se engloba como trabajar para el Estado, podemos postular a oposiciones para los Cuerpos y fuerzas de seguridad del estado, como la Unidad de Delitos Telemáticos de la Guardia Civil, así como la investigación en organizaciones estatales como CSIC, o divulgación y concienciación como hace por ejemplo INTECO.

Como véis, he contemplado en mi particular clasificación, trabajos "legales" relacionados con la seguridad. No he contado con aquellos como spammer, hacker "no ético", creador de malware por encargo, botnets, etc,… cibermercenario o ciberterrorista…. que seguro que también dejan dinero pero que hay que esperar a salir de la cárcel para podértelo gastar.

2 comments :

Carlos dijo...

Gracias, buena entrada.

HSlipknot dijo...

Los Bug Hunters entran dentro del trabajo realizado en empresas auditoras como hacker ético.

Saludos