Breaking

17/3/15

DIFERENTES CAMINOS PARA ESPECIALIZARSE EN SEGURIDAD

A toda persona que le interesa el mundo de la seguridad llámese seguridad informática, seguridad de la información o tal vez el término mayormente utilizado en los últimos tiempos "ciberseguridad", se le presenta un abanico de opciones para iniciar una carrera en este campo. Sin embargo por la cantidad de información que se encuentra en la red referente al tema, al final nos encontramos en un laberinto con muchos caminos de los cuales muchos de ellos serán los correctos y otros simplemente no nos llevaran a la meta anhelada.
El objetivo de este artículo es colaborar a las personas interesadas y dispuestas en iniciar un viaje por el mundo de la seguridad, que permita identificar las diferentes rutas en el recorrido para llegar al objetivo de especializarse en el campo.

En primera instancia conozcamos a los actores y el terreno de juego.

INICIO DE LA CARRERA

¿Quiénes pueden sumarse al punto de partida?
Todo aquel que esté interesado por la seguridad, personalmente he conocido personas que no poseían un título profesional en informática o ingeniería de sistemas, pero tenían los conocimientos y aptitudes necesarias para poder iniciar en temas de seguridad y demostraban su interés en el mismo.

DIFERENTES CAMINOS

¿Qué camino elegir? 
Como en la previa para realizar un viaje, uno debe enterarse del clima, el estado de la ruta, posibles inconvenientes durante el viaje, etc. De la misma manera es bueno informarse en temas como los servicios que pueden ofrecerse relacionados a la seguridad, eventos que se desarrollan en el medio y a nivel mundial (congresos, seminarios, jornadas, conferencias, etc.), herramientas de seguridad (libres y comerciales), instituciones y empresas que ofrecen productos y servicios de seguridad, sitios en la red (blogs, sitios oficiales, wikis, etc.) y las famosas certificaciones y cursos de preparación a nivel global.

MAPA DE RUTA

En este punto es donde se necesita una pequeña guía para poder tener un mejor entendimiento de toda la información recolectada hasta el momento.
Personalmente considero que es bueno obtener conocimiento de las diferentes áreas de tecnologías de información (TI), sin embargo el factor predominante en un futuro es la especialización, debido a que este campo demanda especialistas y justamente el tema de seguridad es una especialidad, la cual también se divide en sub-especialidades. 

Pues demos comienzo a nuestra travesía identificando las diferentes sub-especialidades (caminos).


 1. Seguridad en Redes Informáticas
Es un pilar fundamental tener entendimiento de las redes informáticas, los servicios, protocolos y herramientas para el monitoreo y solución de problemas. El poseer conocimientos de los puntos mencionados anteriormente nos permite comprender que gran parte de la seguridad depende de que tan bien configurados se encuentren nuestros dispositivos de red y seguridad (routers, switches, firewalls, IDS, IPS, etc.).
¿Cómo especializarme?
En el mercado existen muchas empresas especializadas en redes y telecomunicaciones como: Cisco, MikroTik, Juniper, Avaya, etc. y cada una de ellas ofrecen capacitación y otros servicios para el aseguramiento de sus productos. Recomiendo evaluar la tecnología más utilizada en el medio y poder optar por alguno de los cursos de especialización o certificación que ofrecen. Es importante mencionar nuevamente que la base es comprender el funcionamiento de las redes, los servicios, puertos y protocolos que en muchos casos son los mismos para los diferentes proveedores. 

2. Seguridad en Servidores
Es otro campo muy importante, debido a que existen servidores destinados a ofrecer diferentes servicios como: servidores de base de datos, servidores de correo, servidores de archivos, servidores web, etc.
Si nos ponemos a pensar como un atacante, el objetivo principal que tendremos será el de comprometer la seguridad de alguno de estos recursos.
¿Cómo especializarme?
En este punto también existen productos específicos por proveedor, en el tema específico de base de datos por ejemplo Oracle y Microsoft SQL Server, ofrecen cursos especializados que inician por lo fundamental hasta lograr ser un Administrador de Base de Datos (DBA) para luego continuar con lineamientos de seguridad en bases de datos. También es bueno tomar en cuenta lineamientos de seguridad que apliquen a servidores de correo como Exchange, servidores web como IIS o Apache y otros más. 

3. Seguridad en aplicaciones y sistemas de información
Sin duda es el medio al que todo público tiene acceso, por lo cual en muchas ocasiones es la puerta de entrada para un atacante, por lo tanto es donde se presentan las mayores fallas de seguridad.
¿Cómo especializarme?
Para el tema de seguridad en aplicaciones una fuente muy recomendada es OWASP (Open Web Application Security Project), donde podemos encontrar desde guías para la codificación segura, guías para realizar tests de seguridad en aplicaciones, un top 10 de las vulnerabilidades más comunes en aplicaciones, herramientas que nos colaboran en la evaluación de seguridad de una aplicación, hasta proyectos para simular ataques sobre una aplicación. 
Mencionemos también que cada tecnología utilizada para el desarrollo de una aplicación cuenta con lineamientos y buenas prácticas de seguridad los cuales deben consultarse.

4. Seguridad de la Información
Esta rama trata de preservar criterios como la confidencialidad, integridad y disponibilidad de la información, existen otros criterios adicionales como el no repudio, la trazabilidad, la autenticidad, etc. Sin embargo los criterios nombrados inicialmente forman la llamada "Triada de la Seguridad".
¿Cómo especializarme?
Debido a que existen normas y estándares internacionales que fueron desarrollados específicamente para temas de seguridad de la información, es un buen comienzo empezar a leer y comprender lo establecido en estas normas, sin duda la más difundida es la Norma ISO/IEC 27001 que abarca lo que es un Sistema de Gestión de Seguridad de la Información. También existen cursos de especialización y certificación referentes a las distintas normas ISO.

5. Ethical Hacking y Penetration Test

Es básicamente un servicio que ofrecen las diferentes empresas de seguridad y consultores independientes. Para poder desenvolverse en este campo es necesario poseer conocimientos de las sub-especialidades vistas anteriormente, debido a que lo que se pretende con estos servicios es evaluar el estado de seguridad de la infraestructura de tecnología de información y sus diferentes procesos.
¿Cómo especializarme?
Investigar, actualizarse, y desarrollar habilidades para vulnerar sistemas son características para poder ser un buen profesional en este campo. Existen cursos especializados y certificaciones que proporcionan bases para ser un ethical hacker o penetration tester, sin embargo una vez que se obtenga alguna certificación, la preparación y práctica constante es fundamental.

6. Criptografía
La Criptografía tiene gran importancia en la seguridad ya que es muy empleada para dotar de seguridad a las comunicaciones y la información, para cumplir con este objetivo, se desarrollan algoritmos, protocolos y sistemas complejos que puedan implementarse para asegurar transacciones que contengan información sensible. 
¿Cómo especializarme?
Para especializarse en este campo es necesario tener altos conocimientos en técnicas matemáticas, los especialistas son denominados criptógrafos, quienes se dedican íntegramente en la investigación de funciones matemáticas para desarrollar algoritmos criptográficos. Es un área de mucha investigación y bastante demandada en entidades importantes del mundo.
El punto que tocaremos a continuación es bastante importante para las personas que desean optar por alguna certificación en seguridad.

7. Certificaciones
Si bien el obtener una certificación es imprescindible para conseguir el empleo deseado o simplemente para darle un valor agregado a tu profesión, la dedicación constante es lo que te permitirá ser un profesional destacado en seguridad. 
¿Cuál elegir?
Como comentamos anteriormente en el mercado existen proveedores que ofrecen sus productos y conjuntamente cursos de especialización con su respectiva certificación, los cuales son recomendables en caso de que se opte por especializarse en una tecnología en concreto, sin embargo existen certificaciones generales en temas de seguridad los cuales son más recomendables porque no tratan de un producto en específico, sino de poseer los conocimientos necesarios para adaptarse a las diferentes tecnologías. Nombremos algunas de las más conocidas y requeridas: CISSP, CEH, OSCP, GIAC, GPEN, CompTIA Security+, ISO 27001 LI, etc.  

Con la esperanza de haber presentado de manera entendible las distintas rutas y esperando que el articulo colabore a las personas interesadas en ingresar al mundo de la seguridad, como recomendación final los animo a curiosear los siguientes sitios que de seguro les ayudara mucho para absolver algunas dudas.

Autor: Alvaro Machaca Tola
CCNA | CEH | ISO 27001 Internal Auditor 





No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar