Me gradué en noviembre de 2023 en la carrera de Ciencias de la Computación y ahora trabajo como Administrador de Datos en una pequeña empresa. Mi plan es obtener Network+ y CCNA para comenzar mi carrera en ciberseguridad. Planeo conseguir un empleo como Administrador de Redes para el próximo año y seguir adquiriendo conocimientos obteniendo Security+, CySa+, Pentest+ y, con suerte, posteriormente, conseguir un empleo en un rol de ciberseguridad. Mi pregunta es, ¿estoy en el camino correcto? ¿Qué me sugieren?
Primero obtendría Net+ y luego comenzaría a postularse para ayuda técnica, todos quieren tratar de entrar en el aspecto de seguridad de TI. La seguridad informática tiende a ser muy promocionada en internet. Los puestos de seguridad TI generalmente no son roles de nivel inicial. Normalmente necesitas saber mucho sobre sistemas operativos, Windows, Linux, ayuda mucho si conoces sistemas operativos móviles, necesitas aprender sobre redes, TCP/UDP, direccionamiento IP, conmutación y enrutamiento, otras tecnologías debajo de la superficie, especialmente con los protocolos y cómo operan. Luego debes superponer ese conocimiento con seguridad, entendiendo firewalls, prevención de intrusiones, VPN, mecanismos de autenticación, todos los temas en Security+ que toman años en acumular ese tipo de conocimiento y poder aplicarlo en un rol de seguridad. Hay muchos más roles de técnico de nivel inicial que roles de seguridad de nivel inicial. Quizás quieras tener una estrategia diferente, aprender todo lo que puedas sobre los temas que mencioné, una vez hecho eso, intenta ingresar en seguridad de TI.
Así que sigue tu pasión, pero no pierdas de vista los pies en la tierra.
No sé qué significa ser “Administrador de Datos en una pequeña empresa”, pero en realidad suena como un buen rol. La ciberseguridad trata de proteger activos y, junto a la vida humana, los DATOS.
Los datos y la experiencia en datos conducen a roles de seguridad interesantes en gobernanza y procesamiento de datos/custodios de datos. Si puedes tomar esa pequeña empresa y asegurar sus datos, genial. Identifica PII y qué debe almacenarse, trabaja en procedimientos de respaldo y restauración, etc.
Ahora tu pasión se divide en tres:
Redes
Seguridad
O seguridad de redes.
Si realmente te apasionan las redes, empieza con Network+, por supuesto, consigue un router y un laboratorio en casa y empieza a practicar.
Seguridad de redes, comienza aprendiendo Wireshark, Nmap y prueba en tryhackme/hackthebox/otros sitios de seguridad.
Seguridad, mira lo de seguridad en redes mencionado arriba, pero empieza a pensar en gobernanza de datos y cumplimiento. Comptia Data+ es una idea, pero sería mejor saltarse Comptia y hacer certificaciones de entrada en ISC^2, por ejemplo, CC en lugar de CCISP todavía.
Para una trayectoria profesional, probablemente puedas dejar de lado PenTest+. Es una certificación divertida de tener y de listar en tu currículum, pero a ningún reclutador o gerente de contratación realmente le importa si tienes esa. (Similar a CEH). Quienes la tienen saben que es mucho contenido, pero cero habilidades.
Después de aprobar CySA+, PenTest puede ayudar un poco hacia CASP (pronto SecurityX) y recomiendo mucho que quienes tengan un conjunto de certificaciones de CompTIA obtengan CASP como preparación para obtener CISSP. Hay un montón de solapamientos.
¿Estás en el camino correcto para obtener algo de experiencia en redes? Otros señalarán que no tienes que hacerlo para obtener certificaciones, pero sin duda fortalecerá tu currículum si tienes experiencia práctica.
Suena correcto, y añadiría que si planeas obtener Security+, CySA+ y Pentest+, también deberías agregar CASP+ y obtener la certificación stackable de Experto en Infraestructura Segura de CompTIA (CSIE) junto con otras. Encontré que CASP+ es una certificación muy buena con un enfoque práctico y operacional más profundo. Estás al principio de tu carrera en ciberseguridad, así que nunca sabes si ese camino te llevará a arquitectura, ingeniería, operaciones, infraestructura, nube, datos, pruebas de penetración, gobernanza/riesgo, DevOps, etc., pero sospecho que más de uno de esos y tener experiencia y certificaciones en ciberseguridad serán beneficiosos incluso si te enfocas principalmente no en seguridad.
De todos modos, estas son mis recomendaciones básicas para cualquiera que desee establecer una carrera en ciberseguridad hoy en día:
Security+ - es una excelente certificación inicial, y muchas empresas buscan esto para entrar.
CISSP - esta es la certificación “Estándar de oro” en ciberseguridad. Pase el examen como “Asociado de ISC2” y obtenga 5 años de experiencia documentada y se abrirán muchas puertas. La CISSP está en la mayoría de las requisiciones de empleo en ciberseguridad.
Sé certificado en la nube (gran demanda hoy en día):
- CCSP o CCSK (certificación general en seguridad en la nube - recomiendo CCSP)
- AWS (CCP) u otro más avanzado/especializado
- Azure (AZ-900) u otro más avanzado/especializado
CISA - todos en finanzas y auditoría conocen la CISA y tiene gran credibilidad. Sin importar lo que hagas en ciberseguridad, tendrás que tratar con Riesgos de TI, auditoría y cumplimiento en alguna forma. Tengo la CISA, CISM y CRISC, pero la CISA es la más valiosa para mí.
Obviamente, puedes obtener todas las certificaciones que desees. Si te interesa una carrera en pentesting y explotación de vulnerabilidades en infraestructura y webapp, entonces el OSCP es tu objetivo. Buena suerte.
Dependiendo del empleador, puedes saltarte Network+/CCNA y optar directamente por la certificación Security+. La excepción suele ser los trabajos en el gobierno federal en EE. UU.; ellos tradicionalmente buscan la Trifecta.
Tu carrera en CS ayudará mucho para aliviar cualquier angustia del Gerente de Contratación por no tener Network+. Solo necesitas tres cosas para conseguir tu primer trabajo en seguridad, en orden de importancia:
- La cosa más importante para ingresar en un rol de seguridad es experiencia práctica, preferiblemente en una cartera de proyectos. Esto puede ser certificados de TryHackMe, HackTheBox, un entorno de laboratorio en casa que construiste con un firewall, TAP de red, herramienta EDR, herramienta SIEM, sandbox de malware en máquina virtual, etc. Ya estás en la industria, y tu rol también ayudará a construir experiencia.
- Tu carrera será un punto brillante para los Gerentes de Contratación. Todo lo que necesitas además es Security+.
- Necesitas un currículum ATS-amigable que enlace a tu cartera de proyectos.
Mantente al día y buena suerte.
Se puede hacer.