DIFERENTES CAMINOS PARA ESPECIALIZARSE EN SEGURIDAD
A toda
persona que le interesa el mundo de la
seguridad llámese seguridad informática, seguridad
de la información o tal vez el término mayormente utilizado en
los últimos tiempos "ciberseguridad", se le presenta un abanico de
opciones para iniciar una carrera en este campo. Sin embargo por la cantidad
de información que se encuentra en la red referente al tema, al final
nos encontramos en un laberinto con muchos caminos de los cuales muchos de
ellos serán los correctos y otros simplemente no nos llevaran a la
meta anhelada.
El
objetivo de este artículo es colaborar a las personas interesadas y dispuestas
en iniciar un viaje por el mundo de la seguridad, que permita identificar las
diferentes rutas en el recorrido para llegar al objetivo de especializarse en el campo.
En primera instancia conozcamos a los actores y el terreno de juego.
INICIO DE LA CARRERA
¿Quiénes
pueden sumarse al punto de partida?
Todo
aquel que esté interesado por la seguridad, personalmente he conocido personas
que no poseían un título profesional en informática o ingeniería de sistemas, pero tenían los
conocimientos y aptitudes necesarias para poder iniciar en temas de
seguridad y demostraban su interés en el mismo.
DIFERENTES CAMINOS
¿Qué camino
elegir?
Como en la
previa para realizar un viaje, uno debe enterarse del clima, el estado de la
ruta, posibles inconvenientes durante el viaje, etc. De la misma manera es bueno
informarse en temas como los servicios que pueden ofrecerse relacionados a la
seguridad, eventos que se desarrollan en el medio y a nivel mundial (congresos,
seminarios, jornadas, conferencias, etc.), herramientas de seguridad (libres y
comerciales), instituciones y empresas que ofrecen productos y servicios de
seguridad, sitios en la red (blogs, sitios oficiales, wikis, etc.) y las
famosas certificaciones y cursos de preparación a nivel global.
MAPA DE RUTA
En este
punto es donde se necesita una pequeña guía para poder tener un
mejor entendimiento de toda la información recolectada hasta el
momento.
Personalmente
considero que es bueno obtener conocimiento de las
diferentes áreas de tecnologías de información
(TI), sin embargo el factor predominante en un futuro es la
especialización, debido a que este campo demanda especialistas y justamente el
tema de seguridad es una especialidad, la cual también se divide en
sub-especialidades.
Pues
demos comienzo a nuestra travesía identificando las diferentes
sub-especialidades (caminos).
1. Seguridad
en Redes Informáticas
Es un
pilar fundamental tener entendimiento de las redes informáticas, los
servicios, protocolos y herramientas para el monitoreo y solución de
problemas. El poseer conocimientos de los puntos mencionados
anteriormente nos permite comprender que gran parte de la seguridad
depende de que tan bien configurados se encuentren nuestros dispositivos de red
y seguridad (routers, switches, firewalls, IDS, IPS, etc.).
¿Cómo
especializarme?
En el
mercado existen muchas empresas especializadas en redes y telecomunicaciones
como: Cisco, MikroTik, Juniper, Avaya, etc. y cada una de ellas
ofrecen capacitación y otros servicios para el aseguramiento de sus
productos. Recomiendo evaluar la tecnología más utilizada en el medio
y poder optar por alguno de los cursos
de especialización o certificación que ofrecen. Es
importante mencionar nuevamente que la base es comprender
el funcionamiento de las redes, los servicios, puertos y protocolos que en
muchos casos son los mismos para los diferentes proveedores.
2. Seguridad
en Servidores
Es otro
campo muy importante, debido a que existen servidores destinados a ofrecer
diferentes servicios como: servidores de base de datos, servidores de correo,
servidores de archivos, servidores web, etc.
Si nos
ponemos a pensar como un atacante, el objetivo principal que
tendremos será el de comprometer la seguridad de alguno de estos recursos.
¿Cómo especializarme?
En este
punto también existen productos específicos por proveedor,
en el tema específico de base de datos por ejemplo Oracle y Microsoft SQL
Server, ofrecen cursos especializados que inician por lo fundamental hasta
lograr ser un Administrador de Base de Datos (DBA) para luego continuar con
lineamientos de seguridad en bases de datos. También es bueno tomar
en cuenta lineamientos de seguridad que apliquen a servidores de correo
como Exchange, servidores web como IIS o Apache y otros más.
3. Seguridad
en aplicaciones y sistemas de información
Sin duda
es el medio al que todo público tiene acceso, por lo cual en muchas ocasiones
es la puerta de entrada para un atacante, por lo tanto es
donde se presentan las mayores fallas de seguridad.
¿Cómo especializarme?
Para el
tema de seguridad en aplicaciones una fuente muy recomendada es OWASP (Open Web
Application Security Project), donde podemos encontrar
desde guías para
la codificación segura, guías para realizar tests
de seguridad en aplicaciones, un top 10 de las vulnerabilidades más
comunes en aplicaciones, herramientas que nos colaboran en
la evaluación de seguridad de una aplicación, hasta proyectos
para simular ataques sobre una aplicación.
Mencionemos también que
cada tecnología utilizada para el desarrollo de
una aplicación cuenta con lineamientos y buenas prácticas de
seguridad los cuales deben consultarse.
4. Seguridad
de la Información
Esta rama
trata de preservar criterios como la confidencialidad, integridad y
disponibilidad de la información, existen otros criterios adicionales como el
no repudio, la trazabilidad, la autenticidad, etc. Sin embargo
los criterios nombrados inicialmente forman la llamada "Triada de la Seguridad".
¿Cómo especializarme?
Debido a
que existen normas y estándares internacionales que fueron
desarrollados específicamente para temas de seguridad de
la información, es un buen comienzo empezar a leer y comprender lo
establecido en estas normas, sin duda la más difundida es la Norma ISO/IEC
27001 que abarca lo que es un Sistema de Gestión de Seguridad de
la Información. También existen cursos
de especialización y certificación referentes a las
distintas normas ISO.
5. Ethical Hacking y Penetration Test
Es básicamente un
servicio que ofrecen las diferentes empresas de seguridad y consultores
independientes. Para poder desenvolverse en este campo es necesario poseer
conocimientos de las sub-especialidades vistas anteriormente, debido a que lo
que se pretende con estos servicios es evaluar el estado de seguridad de la
infraestructura de tecnología de información y sus diferentes
procesos.
¿Cómo especializarme?
Investigar, actualizarse,
y desarrollar habilidades para vulnerar sistemas
son características para poder ser un buen profesional en este campo.
Existen cursos especializados y certificaciones que proporcionan bases para ser
un ethical hacker o penetration tester, sin embargo una vez que se obtenga
alguna certificación, la preparación y práctica constante
es fundamental.
6. Criptografía
La Criptografía tiene gran importancia en la seguridad ya que es muy empleada para dotar de seguridad a las comunicaciones y la información, para cumplir con este objetivo, se desarrollan algoritmos, protocolos y sistemas complejos que puedan implementarse para asegurar transacciones que contengan información sensible.
¿Cómo especializarme?
Para especializarse en este campo es necesario tener altos conocimientos en técnicas matemáticas, los especialistas son denominados criptógrafos, quienes se dedican íntegramente en la investigación de funciones matemáticas para desarrollar algoritmos criptográficos. Es un área de mucha investigación y bastante demandada en entidades importantes del mundo.
El punto
que tocaremos a continuación es bastante importante para las personas que
desean optar por alguna certificación en seguridad.
7. Certificaciones
Si bien
el obtener una certificación es imprescindible para conseguir el empleo deseado o
simplemente para darle un valor agregado a tu profesión, la dedicación constante es lo que
te permitirá ser un profesional destacado en seguridad.
¿Cuál elegir?
Como
comentamos anteriormente en el mercado existen proveedores que ofrecen sus
productos y conjuntamente cursos de especialización con su respectiva
certificación, los cuales son recomendables en caso de que se opte por
especializarse en una tecnología en concreto, sin embargo existen
certificaciones generales en temas de seguridad los cuales son más recomendables
porque no tratan de un producto en específico, sino de poseer los conocimientos
necesarios para adaptarse a las diferentes tecnologías. Nombremos algunas de
las más conocidas y requeridas: CISSP, CEH, OSCP, GIAC, GPEN, CompTIA
Security+, ISO 27001 LI, etc.
Con la
esperanza de haber presentado de manera entendible las distintas rutas y
esperando que el articulo colabore a las personas interesadas en
ingresar al mundo de la seguridad, como recomendación final los animo
a curiosear los siguientes sitios que de seguro les ayudara mucho para absolver
algunas dudas.
Autor: Alvaro Machaca Tola
CCNA | CEH | ISO 27001 Internal Auditor
No hay comentarios.