Historias
Slashboxes
Comentarios
 

Seguridad informática como carrera laboral

editada por nettizen el Jueves, 27 Diciembre de 2012, 09:28h   Printer-friendly   Email story
desde el dept. si-no-estás-seguro-asegúrate
ataulfo nos cuenta: «Buenas a todos, soy un administrador de sistemas con 4 años de experiencia y, aunque me sigue gustando mi trabajo, me gustaría acabar dedicándome a la seguridad informática, aunque no necesariamente a corto plazo. La seguridad es un campo que me gusta: escarbar a bajo nivel e intentar entender cómo funciona lo que hay detrás de la 'magia' de los sistemas informáticos. He asistido a varias charlas (No cON Name, RootedCON, etc.), leo algunos blogs (Security by default, Hispasec Sistemas, Un informático en el lado del mal, etc.) y he 'jugado' con algunos retos de hacking (exploit exercises, Leviathan, etc.). Pero mi nivel todavía deja bastante que desear. Sobre este asunto tengo un par de preguntas. ¿Qué salidas/roles profesionales me puede ofrecer el mundo de la seguridad informática? Y ¿Qué debería hacer para encarar mi carrera profesional hacia el mundo de la seguridad?»

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Cursos gratuitos

    (Puntos:3, Informativo)
    por fcasarra (14662) el Jueves, 27 Diciembre de 2012, 10:29h (#1327487)
    ( Última bitácora: Jueves, 01 Mayo de 2008, 11:34h )
    Una posibilidad es formarte con cursos gratuitos online [coursera.org]
    [ Responder ]
  • No

    (Puntos:3, Interesante)
    por saisyukusanagi (27227) el Jueves, 27 Diciembre de 2012, 12:15h (#1327493)
    ( http://barrapunto.com/~saisyukusanagi | Última bitácora: Viernes, 20 Junio de 2008, 05:04h )
    Si revisas bien la carrera de estas personas preocupadas por la seguridad encontrarás que no existe un experto en seguridad informática.

    Cada quien en su nivel de conocimientos y experiencia profesional habla de seguridad en casos particulares.

    Los bancos por ejemplo tienen divisiones de seguridad informática, pero muchas veces son apenas un montón de ingenieros con actitud de policías y medidas paranoicas injustificadas. Cuando quieren auditar un sistema corren sobre este algún programa que busque las vulnerabilidades por ellos.

    Una facción interesante del caso son la unidades estatales de delitos informáticos, acá ocurre lo contrario: son policías con un perfil informático. Su propósito no es descubrir riesgos sino consolidar información para convencer en un juzgado si se ha cometido un delito.

    Mi recomendación es: no hay curso que te enseñe lo que buscas, para encontrar la forma de abrir puertas primero hay que aprender muchos años sobre cerraduras. Así que lo primero sea cosechar experiencia profesional y luego ir a la seguridad.
    [ Responder ]
    • Re:No de ataulfo (Puntos:2) Sábado, 29 Diciembre de 2012, 18:17h
  • Lo mejor: afianzar conocimientos

    (Puntos:2, Interesante)
    por Tasle (40187) el Jueves, 27 Diciembre de 2012, 14:29h (#1327501)
    Si no lo vas a hacer en modo sprint, sino lo que buscas es ir creciendo como profesional con una orientación hacia la seguridad, creo que deberías aprovechar tu experiencia como sysadmin. Es decir, empieza por ver cómo atacarías los sistemas que conoces y, dado que los administras, cómo los protegerías, qué medidas tomarías e ir cogiendo experiencia y conocimientos apoyándote en la base que ya tienes. Empieza a pensar dónde pondrías los filtrados(en las aplicaciones o en dispositivos externos: firewall, proxy, IPS...) qué necesitas que protejan y empieza a estudiar las tecnologías que te resulten más útiles. No sólo crecerás como profesional, además afianzarás los conocimientos que ya tienes y el aprendizaje será más sencillo.

    Yo estoy especializado en perimetrales, pero también empecé como sysadmin (de Windows, pero no me linchéis). Si te puedo echar una mano, mándame un privado y vamos viendo.

    [ Responder ]
  • Mi experiencia personal

    (Puntos:2, Informativo)
    por pobrecito hablador el Jueves, 27 Diciembre de 2012, 14:46h (#1327503)
    No hagas mucho caso a lo que te han dicho hasta ahora. Evidentemente no tienen ni mucha idea ni mucha experiencia en el entorno de la seguridad informática.

    Yo trabajo en una multinacional y desempeño el papel de "Security Manager" dentro de un área de seguridad en el que hay una jerarquía y una estructura funcional clara con bastantes profesionales dentro del área de seguridad. Estamos bien vistos dentro de la empresa, nos respetan el resto de áreas técnicas y nuestra opinión y criterio se tiene en cuenta.

    Aunque ahora hago un papel mixto entre técnico y manager, mi background viene de la parte estrictamente técnica y en concreto del hacking ético. Tengo un buen sueldo y potencialmente un recorrido bastante bueno en empresas multinacionales.

    Mi consejo es, lee mucho, prueba y experimenta muchísimo, si quieres ser un buen técnico tienes que entender y saber aplicar la tecnología. Esta profesión en la rama técnica se basa en tu experiencia y conocimientos.

    Tienes que trabajar unos cuantos años como consultor de seguridad a ser posible en clientes grandes para aprender cómo funcionan las empresas tipo multinacional. Te llevaras muchas sorpresas y veras como en las empresas más grandes de España (bancos, operadores de telefonía) las cosas se hacen desastrosamente mal. No rechaces la oportunidad de trabajar en empresas que se dediquen a negocios diversos y variados, la tecnología en muchos casos se usa y aplica mucho mejor en empresas que no son estrictamente tecnológicas

    Una vez llegues a ese punto de madurez, tienes que salir de España, o si tienes mucha suerte como yo, consigue un trabajo en una multinacional pero trabajando desde Madrid.

    El hacking es importante, tienes que saber hacerlo y entenderlo, de lo contrario aplicaras políticas y restricciones de seguridad con un criterio basado en lo que has leído o lo que otros te han contado y eso es basura.

    Preocúpate de entender la base de la tecnología, protocolos, aplicaciones, etc. La seguridad es muy multidisciplinar, y aunque no tienes que ser un experto en nada, tienes que haber tocado todos los palos, sistemas operativos, redes, comunicaciones, desarrollo, etc.

    Si quieres un consejo, no te vuelvas demasiado teórico, tienes que entender la teoría y es muy buena práctica el que te veas las presentaciones y ponencias de las distintas conferencias, pero, no pierdas el norte y ten claro hacia donde vas. Si quieres trabajar en una universidad o como "researcher" entonces está bien que te centres en eso. Pero, en una empresa que no se dedique a la seguridad como negocio, los conocimientos teóricos o casi académicos no tienen mucho valor.

    Las certificaciones son importantes, pero, en mi opinion estan sobrevaloradas. Todos sabemos lo facil que es aprobar un examen tipo test en cuanto te haces 50 test. Yo no tengo ninguna certificacion pero estoy convencido de que he leido y tengo mas conocimientos que muchos de los "expertos" de seguridad que tienen 5 o 6 certificaciones. Cuando entrevisto a gente, suelo desconfiar de la gente que tiene 5 o 6 certificaciones de seguridad, me da que pensar que s ehan preocupado demasiado de tener un papelito y poco de aprender realmente.

    Respecto a normativa, es importante y tienes que tenerlo presente y conocer la que aplique en cada caso y en cada circunstancia (país). En mis años trabajando en esto (> 10) me he encontrado con que los mejores profesionales vienen de la parte técnica y han conseguido evolucionar o dar un paso hacia la gestión incorporando el conocimiento en normativa a sus conocimientos técnicos. En muchos casos los que se dedican a normativa son los mediocres o los que no valen para esto pero quieren seguir en el "carro" de la seguridad, que no se ofenda nadie, pero si te dedicas a hacer auditorias de LOPD o de 27001 estas en el escalafón más baj

    [ Responder ]
  • ROLLO

    (Puntos:1)
    por qz23 (36511) el Viernes, 28 Diciembre de 2012, 08:20h (#1327531)
    Yo tengo más de 15 años de experiencia y ya te digo que para tu formación de puta madre, pero para la hora de trabajar es un coñazo y además, te van a coger manía allá donde vayas. Olvídate si no vas a trabajar en Grandes Cuentas. Son las únicas que van a invertir en ello.
    [ Responder ]
  • Lo primero, como ya ha dicho alguien por ahi, es tener claro que la seguridad abarca muchisimas áreas, con lo que inicialmente tendras que ver que se te da mejor o que te gusta más. Lo segundo, entender que ciertas cosas estan "petadas" de gente y que ganarse la vida con ello va a ser extremadamente sacrificado (horas de esfuerzo y competencia), por ejemplo el hacking ético. Se paga mal, hay muchísima competencia y exige dedicar muchisimas horas de auto-formacion y experimentación (cuando digo muchisimas, es que tu vida se va a dedicar a eso 100% si quieres ser realmente bueno). El "boom" de la seguridad ya explotó hace pocos años, así que ahora mismo o trabajas para alguien grande -y te van a exprimir- o complicado, y por supuesto, para empezar, vas a empezar desde abajo, aunque deberías aprovechar tus conocimientos de sysadmin y maquillarlos un poco para que tenga algo de seguridad, si controlas unix, puedes decir que has hecho hardening de sistemas y gestión de logs para la seguridad, p.e, y por supuesto, si solo has visto un Linux, ya estas perdiendo el culo para instalarte un OpenSolaris y jugar con él. Es totalmente cierto lo que dice alguien por aqui: la base técnica es esencial, y como sysadmin tienes ya bastante ganado, al fin y al cabo la base de todo es la parte de sistemas Y NETWORKING (esencial esto ultimo). Puede ser mas útil una certificación de cisco avanzada que un curso de mierda de auditor de LOPD o de ISO.. HUYE como la peste de la auditoria de sistemas, ya que es algo que solo hacen los que no valen para otra cosa (me van a correr a ostias). No te quiero ni contar lo mal que huele todo lo que sea auditoria normativa. Como siempre, en esta vida, lo que peor huele (normativa) es lo que más pasta da :) Quizas uno de los destinos a priori mas interesantes para un tecnico, pero que te va a exigir conocer de todo, es trabajar en un departamento antifraude, donde se te va a exigir saber de todo y tener imaginación, para entrar ahi necesitarás un perfil técnico y sobre todo saber un poco de todo, con una muy buena base de networking (a nivel de internet, no solo LAN o WAN), sistemas (windows y unix), hacking y detección (IDS, honeypots, gestion de red inteligente), gestion de eventos y correlación, y por supuesto scripting. Si has hecho alguna pequeña utilidad de seguridad (aunque sea un poco mierda) siempre será valorada. Obvia decir que es mucho mas util tener publicadas un par de vulnerabilidades o advisories que cualquier diploma de mierda. No obstante, si quieres sacarte una certificación técnica, sácate una buena, mejor una buena que quince de todo a 100. Como ha dicho otro tipo por aqui, huele muy mal el que tiene doscientas certificaciones y cursos. En cualquier caso, aunque venden muchas motos sobre "carrera profesional de", la seguridad a dia de hoy sigue siendo un montón de areas inconexas entre ellas, y muchas de las cuales son pura basura saca-cuartos. Obvia decir que debes tener un ingles bueno (escrito y hablado). AH!, y no esperes mucho, nadie quiere a un "experto" de 30 años sin experiencia "real" :) Se me olvidó decir que trabajé durante 15 años en el sector, lo dejé porque me olía demasiado mal :)
    --
    .. rasca y gana ..
    [ Responder ]
  • por KiBo (10581) <reversethis-{moc ... ta} {zonumeugim}> el Viernes, 28 Diciembre de 2012, 00:35h (#1327527)
    ( http://www.colinaroja.org/ | Última bitácora: Martes, 20 Mayo de 2008, 01:17h )
    ¿Trabajar para alguna mafia? ¿Cibercrimen? ¿Holaaaa?
  • por ataulfo (21584) el Sábado, 29 Diciembre de 2012, 18:19h (#1327628)
    ( Última bitácora: Sábado, 19 Diciembre de 2009, 16:06h )

    No pierdas demasiado tiempo con el "hacking" (Rootedcon, Blogs, etc) donde esta el dinero es en la LOPD, PCI, 27000, etc.
    Pues vaya, lo que me atrae es el tema del hacking :P Para meterme en temas legales, me quedo como sysadmin (que es una cosa también me gusta).
    --
    "Cuando el copyright impide el progreso de la ciencia, la ciencia debe desechar el copyright" - Richard M. Stallman
  • 5 respuestas por debajo de tu umbral de lectura actual.