Cómo convertirte en un experto en ciberseguridad: Una guía práctica

Como los ciberdelincuentes se vuelven más sofisticados y las noticias de grandes brechas de seguridad llegan a los titulares casi a diario, los profesionales de ciberseguridad están en alta demanda: Según un informe de 2021 de Cybersecurity Ventures, hay 3,5 millones de empleos vacantes en ciberseguridad en todo el mundo.

Los empleados que ocupan estos roles desempeñan un papel clave en la empresa, ya que el costo promedio de una violación de datos en todo el mundo es de aproximadamente $4,24 millones, según IBM Security y el Ponemon Institute.

Un empleo en ciberseguridad también puede proporcionar un alto salario: El salario medio de un analista de seguridad de la información en Estados Unidos es de $103,590, según la Oficina de Estadísticas Laborales de Estados Unidos, y es significativamente más alto en ciudades como San Francisco y Nueva York.

La escasez de profesionales capacitados en ciberseguridad ha llevado a muchas organizaciones a buscar candidatos no tradicionales para ocupar estos roles. Para ayudar a aquellos interesados en el campo a comprender mejor cómo ingresar a una carrera en ciberseguridad, hemos recopilado los detalles y recursos más importantes, patrocinados por Kolide, una solución de confianza de dispositivos que permite a las organizaciones con Okta implementar un modelo de acceso de confianza cero para proteger sus aplicaciones en la nube.

Kolide asegura que los dispositivos no seguros no accedan nunca a las aplicaciones de la organización. Es la mejor defensa que una organización tiene contra los actores malignos, justo después de contratar expertos talentosos y habilidosos en ciberseguridad. Obtenga más información sobre Kolide haciendo clic en el botón a continuación.

(Nota: Este artículo sobre cómo convertirse en un profesional de ciberseguridad está disponible como descarga gratuita en PDF.)

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. Resumen ejecutivo
  2. ¿Por qué hay una mayor demanda de profesionales de ciberseguridad?
  3. ¿Cuáles son los roles laborales en ciberseguridad?
  4. ¿Qué habilidades necesitan los profesionales de ciberseguridad?
  5. ¿Qué software de ciberseguridad se utiliza hoy en día?
  6. ¿Cuáles son los mercados más calientes para los empleos en ciberseguridad?
  7. ¿Cuál es el salario promedio de un profesional de ciberseguridad?
  8. ¿Cuáles son las preguntas típicas en una entrevista para una carrera en ciberseguridad?
  9. ¿Dónde puedo encontrar recursos para una carrera en ciberseguridad?

Resumen ejecutivo

  • ¿Por qué hay una mayor demanda de profesionales de ciberseguridad? Los delitos informáticos han explotado en los últimos años, con ataques de ransomware importantes como WannaCry y otros poniendo en riesgo los datos de las empresas. Para proteger su información y la de sus clientes, las empresas de todas las industrias están buscando profesionales de ciberseguridad para asegurar sus redes.
  • ¿Cuáles son algunos de los roles laborales en ciberseguridad? Una carrera en ciberseguridad puede adoptar varias formas, incluyendo probador de penetración, director de seguridad de la información (CISO), ingeniero de seguridad, respondedor de incidentes, desarrollador de software de seguridad, auditor de seguridad o consultor de seguridad.
  • ¿Qué habilidades se requieren para trabajar en ciberseguridad? Las habilidades requeridas para trabajar en ciberseguridad varían según el puesto y la empresa, pero generalmente pueden incluir pruebas de penetración, análisis de riesgos y evaluación de seguridad. También se demandan certificaciones como Certified in Risk and Information Systems Control (CRISC), Certified Information Security Manager (CISM) y Certified Information Systems Security Professional (CISSP), que pueden proporcionar un salario más alto en el campo de la ciberseguridad.
  • ¿Cuáles son los mercados más calientes para los empleos en ciberseguridad? Empresas destacadas como Apple, Lockheed Martin, General Motors, Capital One y Cisco han estado contratando profesionales de ciberseguridad en los últimos años. Se espera que las industrias de la salud, educación y gobierno sean las más propensas a sufrir ciberataques, lo que probablemente llevará a un aumento en el número de empleos de seguridad informática en estos sectores.
  • ¿Cuál es el salario medio de un profesional de ciberseguridad? El salario medio de un profesional de ciberseguridad depende del puesto. Por ejemplo, los analistas de seguridad de la información ganan un salario medio de $103,590 al año, según la Oficina de Estadísticas Laborales de Estados Unidos. Mientras tanto, los CISO ganan un salario medio de $229,010, según Salary.com. Los salarios son significativamente más altos en ciudades como San Francisco y Nueva York.
  • ¿Cuáles son las preguntas típicas en una entrevista para una carrera en ciberseguridad? Las preguntas pueden variar según el puesto y lo que la empresa específica busca, según el analista de Forrester Jeff Pollard. Para roles de entrada y principiantes, se pueden esperar preguntas más técnicas. A medida que asciendes en la jerarquía, las preguntas pueden ser más sobre liderazgo, gestión de programas, resolución de conflictos y presupuestos.
  • ¿Dónde puedo encontrar recursos para una carrera en ciberseguridad? ISACA, ISC(2), ISSA y The SANS Institute son organizaciones nacionales e internacionales donde puedes buscar información sobre la profesión, así como opciones de certificación y capacitación. Además, varias universidades y cursos en línea también ofrecen títulos y certificaciones relacionados con la ciberseguridad.

¿Por qué hay una mayor demanda de profesionales de ciberseguridad?

Los delitos informáticos han explotado en los últimos años, con ataques de ransomware importantes como el de Colonial Pipeline, WannaCry y la vulnerabilidad de Log4j poniendo en riesgo los datos de las empresas y la infraestructura pública vital. El auge del Internet de las Cosas también ha abierto nuevas vías de amenaza. Para proteger su información y la de sus clientes, las empresas de todas las industrias están buscando profesionales de ciberseguridad para asegurar sus redes.

Contratar y retener a profesionales "sigue siendo un desafío principal", según William Candrick, director de investigación en la práctica de TI de Gartner. "La demanda mundial de habilidades en ciberseguridad supera con creces la oferta actual de individuos calificados de manera tradicional".

El número de ataques detectados disminuyó constantemente en 2021, de 5,5 millones en enero a 2,2 millones en diciembre. Sin embargo, los ataques en dispositivos móviles se han vuelto más sofisticados tanto en funcionalidad de malware como en vectores, según Kaspersky.

La inscripción en programas de ciencias de la computación también ha aumentado enormemente en los últimos años, y muchas escuelas están agregando especializaciones y carreras en ciberseguridad, según Rachel Greenstadt, profesora asociada de ciencias de la computación en la Universidad de Drexel.

¿Cuáles son los roles laborales en ciberseguridad?

Los empleos en ciberseguridad abarcan una serie de roles diferentes con diversas funciones laborales, dependiendo de su título y de las necesidades individuales de cada empresa.

Roles demandados incluyen probadores de penetración, que ingresan a un sistema o red, encuentran vulnerabilidades y las informan a la organización o las solucionan ellos mismos. Los ingenieros de ciberseguridad, que a menudo tienen una formación técnica en desarrollo, se sumergen en el código para determinar fallas y cómo fortalecer el estado de seguridad de una organización. Los desarrolladores de software de seguridad integran la seguridad en el software de las aplicaciones durante el proceso de diseño y desarrollo.

Cómo proteger tu computadora de los virus: métodos y consejos

Los expertos en informática forense realizan investigaciones de incidentes de seguridad, accediendo y analizando evidencia de computadoras, redes y dispositivos de almacenamiento de datos. Los consultores de seguridad actúan como asesores, diseñando e implementando las soluciones de seguridad más sólidas posibles en función de las necesidades y amenazas específicas de una empresa en particular.

En la parte superior de la cadena, los CISO lideran la estrategia de ciberseguridad de una empresa y deben adaptarse continuamente para combatir las últimas amenazas.

¿Qué habilidades necesitan los profesionales de ciberseguridad?

Las habilidades necesarias para trabajar en ciberseguridad varían según el puesto y la empresa para la que trabajes. En general, los profesionales de la ciberseguridad son responsables de tareas como pruebas de penetración (la práctica de probar un sistema informático, una red o una aplicación web para encontrar vulnerabilidades que un atacante podría explotar), análisis de riesgos (el proceso de definir y analizar las amenazas cibernéticas para un negocio y alinear los objetivos relacionados con la tecnología con los objetivos comerciales) y evaluación de seguridad (un proceso que identifica el estado de seguridad actual de un sistema de información o una organización y ofrece recomendaciones para mejorarlo).

Las certificaciones en ciberseguridad enseñan estas y otras habilidades laborales valiosas y, a menudo, conducen a salarios más altos en el campo. Certificaciones como Certified in Risk and Information Systems Control (CRISC), Certified Information Security Manager (CISM) y Certified Information Systems Security Professional (CISSP) tienen una gran demanda.

De manera anecdótica, las empresas buscan personas que puedan lidiar con ataques más sofisticados como ataques de día cero, ransomware y spear phishing, según Rob Clyde, miembro de la junta directiva de ISACA.

Además, el 45% de las empresas indicaron que no creen que los solicitantes de empleo comprendan el negocio de la ciberseguridad, según encontró el informe. "Una de las habilidades que se deben aprender es realmente comprender el negocio y cómo se relaciona la ciberseguridad con el mismo", dijo Clyde. "No solo usar el miedo y hablar sobre cómo pueden ocurrir cosas malas, sino decir 'Hemos evaluado el riesgo, aquí es donde están los problemas más grandes, aquí es la primera prioridad que abordaremos'. Ponerlo en términos comerciales que puedan entender".

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

La ciberseguridad es un campo interdisciplinario que requiere conocimientos en tecnología, comportamiento humano, finanzas, riesgos, leyes y regulaciones. Muchas personas en el campo de la ciberseguridad ingresan desde otras carreras que aprovechan estas habilidades y las aplican en el ámbito de la ciberseguridad.

"Puede que pienses que tienes que tener tanto conocimiento tecnológico para ingresar a la seguridad", dijo Ning Wang, CEO de Offensive Security. "Y nuevamente, sé de primera mano que ese no es el caso. ¿Qué se necesita para ser un profesional de la ciberseguridad excelente? Y creo que, por lo que he observado y trabajado con personas e interactuado con ellas, necesitan una mente creativa, una mente curiosa, tienes que ser curioso acerca de las cosas. Tienes que tener perseverancia para seguir adelante. No puedes darte por vencido fácilmente. Lo llamamos 'esforzarse más', pero tienes que tener eso. Tienes que tener atención a los detalles porque estás leyendo muchos de los scripts y códigos; los estamos escribiendo. Entonces, si no tienes atención a los detalles, te llevará mucho más tiempo y tienes que tener pasión. No puedes hacer esto solo por un trabajo, desafortunadamente. No puedes simplemente seguir un manual y pensar que podrás hacerlo".

¿Qué software de ciberseguridad se utiliza hoy en día?

Si deseas trabajar en ciberseguridad, debes estar al tanto del software de ciberseguridad más importante. Como mínimo básico, debes conocer los mejores administradores de contraseñas empresariales, así como el software de protección de puntos finales y el mejor software antivirus.

¿Cuáles son los mercados más calientes para los empleos en ciberseguridad?

Los ejecutivos de casi todas las industrias en todo el mundo buscan fortalecer su posición en seguridad y están contratando profesionales para ayudarles a hacerlo. La demanda de profesionales de ciberseguridad continúa creciendo.

El número de amenazas cifradas aumentó en un 167% en 2021 (10,4 millones de ataques), los ataques de ransomware aumentaron un 105% a 623,3 millones de ataques, el cifrado de criptomonedas aumentó un 19% (97,1 millones de ataques), los intentos de intrusión aumentaron un 11% (un asombroso total de 5,3 billones) y el malware de IoT aumentó un 6% a 60,1 millones de ataques, según el Informe de Amenazas Cibernéticas 2022 de SonicWall.

El único tipo de ataque que disminuyó en 2021 fue el malware, que cayó un 4%. Aún así, SonicWall registró 5,4 mil millones de ataques de malware en 2021, lo que lo convierte en el segundo tipo de ataque más común.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

La ciberseguridad también es un excelente campo para los veteranos. "Los veteranos llevan consigo las habilidades y experiencias que han desarrollado mientras estaban en el ejército, habilidades fácilmente transferibles a las organizaciones civiles. Además, el campo de la ciberseguridad les permite llevar su pasión por ayudar a otros a un entorno del sector privado", dijo Sloane Menkes, principal de ciberseguridad, riesgo y regulación en PwC.

"El trabajo en equipo y el liderazgo son parte natural de la experiencia militar. Esto los diferencia de aquellos que no han servido en las Fuerzas Armadas. Cada veterano comprende que el liderazgo ocurre en todos los niveles y seguirá desarrollando esta habilidad a lo largo de su carrera civil en ciberseguridad", agregó Menkes.

En mayo de 2021, Gartner pronosticó que los gastos en servicios de gestión de riesgos y seguridad de la información superarían los $150 mil millones en 2021, lo que representa un aumento del 12,4% con respecto a 2020. A medida que las organizaciones buscan incorporar nuevos talentos en medio de un mercado laboral ajustado, una posible Gran Renunciativo podría complicar las operaciones en los próximos meses. Pero hay estrategias que las empresas pueden implementar para atraer, reclutar y retener a su mejor talento en seguridad.

La diversidad también es importante en los empleos de ciberseguridad. Un estudio de (ISC)2 de 2019 encontró que la fuerza laboral global de ciberseguridad deberá crecer más del 145% para satisfacer la demanda de profesionales.

"En mi primer trabajo en ciberseguridad, un compañero de trabajo me dijo que la única razón por la que me contrataron fue porque 'ellos' necesitaban una mujer en el equipo. Insinuaba que habían contratado una mujer por motivos de diversidad y no por mi potencial, capacidad y habilidades", dijo Megan West, consultora de respuesta a incidentes de ciberseguridad de X-Force en IBM. "Era mucho más joven y esta persona era mayor y a quien admiraba. Pero lo tomé como un desafío y me sirvió de motivación".

Ian McShane, CTO de campo en el proveedor de software para operaciones de seguridad Arctic Wolf, dijo que el sesgo inconsciente, las descripciones de puestos de trabajo mal redactadas y las nociones preconcebidas de lo que se requiere para los empleos de seguridad no solo están profundizando la escasez de habilidades, sino también la escasez de diversidad en la industria.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Gran parte del problema es autoimpuesto, agregó McShane, y las organizaciones deben reformular sus expectativas sobre quiénes pueden ocupar los roles y qué habilidades son necesarias para abordar los problemas de ciberseguridad actuales.

La industria está "dominada por personas blancas de mediana edad que tienen privilegios y toda la suerte del mundo", dijo McShane, quien también es un ex analista de Gartner.

Los proveedores de tecnología en particular, "no lo hacen fácil" con sus criterios de contratación y tienden a usar palabras como "de vanguardia", "estrella del rock" y "unicornio" en sus descripciones de trabajo, lo que crea un sesgo, dijo McShane.

Para ayudar a aliviar el problema, Deloitte Cyber lanzó recientemente una campaña global de concientización para atraer a más mujeres con conjuntos de habilidades y antecedentes diversos a la profesión de la ciberseguridad. Aproximadamente el 25% del equipo de más de 22,000 miembros de la práctica son mujeres, y Emily Mossburg, líder global de ciberseguridad de Deloitte, reconoció que se debe hacer más trabajo, tanto en la empresa como en la industria en general, para elevar a las mujeres en el campo de la ciberseguridad.

¿Cuál es el salario promedio de un profesional de ciberseguridad?

El salario medio de un profesional de ciberseguridad depende del puesto y de la empresa. Por ejemplo, los analistas de seguridad de la información ganan un salario medio de $103,590 por año, según la Oficina de Estadísticas Laborales de Estados Unidos. Mientras tanto, los CISO ganan un salario medio de $229,010, según Salary.com. Los salarios son significativamente más altos en ciudades como San Francisco y Nueva York.

Según datos de Cyberseek.org, hubo aproximadamente 500,000 empleos vacantes relacionados con ciberseguridad entre abril de 2020 y marzo de 2021, según la Harvard Extension School. Y la demanda de personas calificadas solo aumentará.

¡Alerta! Un nuevo gusano de Linux está propagándose

¿Cuáles son las preguntas típicas en una entrevista para una carrera en ciberseguridad?

Contratar profesionales de seguridad a menudo puede ser una tarea difícil, según Charles Gaughf, líder de seguridad en ISC(2). "Dependiendo de la estructura de su organización, es posible que esté buscando un conjunto de conocimientos o habilidades muy específico, pero lo más probable es que necesite a un profesional competente que conozca bien una variedad de tecnologías, que sea motivado, inquisitivo y honesto", dijo Gaughf. "Por eso es una buena idea adaptar sus preguntas para evaluar estas cualidades. También es una buena idea plantear algunas preguntas que hagan pensar al candidato y que usted sepa que no se han practicado antes de la entrevista".

Las preguntas pueden variar según el puesto y lo que la empresa específica busca, según Jeff Pollard, analista de Forrester. Para roles de entrada y principiantes, se pueden esperar preguntas más técnicas. A medida que asciendes en la jerarquía, las preguntas pueden ser más sobre liderazgo, gestión de programas, resolución de conflictos y presupuestos.

Una pregunta inicial para probar la capacidad del candidato de pensar en el momento podría ser "¿Cómo se construye una botnet?" lo que haría que piensen cómo infectar, controlar y coordinar una botnet desde cero, poniéndolos instantáneamente en los zapatos del atacante, dijo Gaughf. Luego se les puede preguntar: "¿Cómo te defenderías contra tu botnet?" para obtener la otra perspectiva.

En una entrevista inicial, también se puede esperar que el candidato responda preguntas técnicas, como:

  • ¿De qué manera el malware puede evadir la detección por parte de los productos antivirus?
  • ¿Qué es un ataque de cross-site scripting (XSS) y cómo funciona?
  • Además del XSS, ¿cuáles son algunos otros ejemplos de ataques a aplicaciones web?
  • ¿Qué es un ataque de hombre en el medio y cómo se puede prevenir?
  • ¿Cuál es la diferencia entre TCP y UDP? ¿Qué casos de uso son mejores para UDP?

También se pueden esperar preguntas para determinar cómo se mantienen actualizados con la industria, dijo Gaughf, como:

  • ¿Eres miembro de algún grupo local de seguridad?
  • ¿Cómo te mantienes al tanto de las noticias de ciberseguridad?
  • ¿Qué podcasts de seguridad escuchas?

Después de una entrevista inicial, los candidatos a menudo pasan a realizar un ejercicio simulado del trabajo, que puede ser simple o complejo según el puesto. Los empleadores generalmente buscan candidatos que puedan explicar su proceso de toma de decisiones, en lugar de aquellos que completen la tarea de manera perfecta.

Cuánto cuesta instalar y mantener un firewall empresarial

"Podría darles algunos datos de registro y hacerles preguntas sobre el contenido de los datos. Podría darles una captura forense de un sistema y pedirles que realicen una investigación ligera y respondan detalles sobre el atacante", dijo Pollard. "Si la persona va a ser un desarrollador, podría pedirle que escriba un código que pueda analizar datos. Si la persona va a ser tester de penetración, podría entregarle una aplicación web básica y pedirle que la ataque".

Después de ese punto, es posible que el candidato tenga una entrevista final para explicar su solución, razonamiento y metodología.

"Para ambas partes, la empresa y el candidato, esto requiere mucho trabajo", dijo Pollard. "Y no se ajusta al arreglo tradicional de la entrevista en el que se selecciona a algunas personas para entrevistar entre una montaña de currículums y se avanza con base en alguna combinación de respuestas, instinto y emoción a través de entrevistas de 30 o 45 minutos".

¿Dónde puedo encontrar recursos para una carrera en ciberseguridad?

Existen varias organizaciones nacionales e internacionales para profesionales de la ciberseguridad y personas interesadas en el campo. ISACA, ISC(2), ISSA y The SANS Institute ofrecen información sobre la profesión, así como opciones de investigación, certificación y programas de capacitación.

También puedes comunicarte con la persona en tu organización responsable de la ciberseguridad y ver si puedes acompañarla o convertirte en su aprendiz.

Además, varias universidades y cursos en línea también ofrecen títulos y certificaciones relacionados con la ciberseguridad.

Cómo protegerse del ingeniero social: consejos y técnicas para evitar ser manipulado.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo convertirte en un experto en ciberseguridad: Una guía práctica , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.