Muchos os preguntaréis cómo se puede hacer una carrera en el área de seguridad de la información. El entorno ha cambiado radicalmente desde hace varios años, donde la seguridad estaba mas generalizada, a la actualidad, donde lo mas habitual es especializarse.

Este interesante artículo recoje con algunos consejos considerando el ambiente laboral y tendencias actuales del sector de la seguridad.

Desarrollo académico
Naturalmente siempre está la pregunta sobre qué carrera estudiar si alguien quiere dedicarse a Seguridad. En años anteriores había pocas opciones si uno quería ingresar de forma directa al sector; típicamente uno escogía alguna carrera relacionada con sistemas o redes (Sistemas Computacionales, Informática,Telecomunicaciones y en algunos casos electrónica) para áreas relacionadas con seguridad de la información, o carreras como derecho, criminología o militar para áreas de seguridad física.

Hoy en día la pregunta es distinta: ¿Qué especialidad busco tener dentro del sector de la Seguridad para poder escoger la carrera más apropiada?

Antes de dar algunas sugerencias de cómo contestar esta pregunta quiero hacer un paréntesis importante con 3 puntos que considero esenciales:

  • Es altamente recomendable obtener un título profesional. En años anteriores y en particular en países desarrollados uno podía obtener un buen empleo en seguridad simplemente con tener algunos conocimientos y un bachillerato o diploma de técnico, porque el sector se enfocaba principalmente en resolver problemas técnicos. Hoy en día es muy importante contar con una carrera para poder crecer profesionalmente, e incluso pensar en un postgrado si queremos buscar puestos de toma de decisión en una empresa mediana o grande.
  • Es importante que durante el desarrollo académico nos enfoquemos en dominar los fundamentos y bases teóricas más que las cuestiones prácticas y técnicas (como dominar un producto específico). Más vale un año de experiencia haciendo bien las cosas que 10 años haciéndolas mal.
  • Es indispensable hoy en día buscar una especialidad. En décadas pasadas una persona concentraba todas las funciones y conocimientos para cubrir puestos de seguridad de la información o de seguridad física. Actualmente es imposible que una persona pueda concentrar todo y desempeñarse de forma adecuada en todas estas áreas. El contar con una especialidad no nos limita a no intervenir en otras funciones, pero es nuestra puerta de entrada al sector y nuestra principal fortaleza.


Siguiendo con el tema, a continuación les muestro una lista con algunos ejemplos de las carreras que facilitan desarrollarnos en una especialidad determinada (ojo: no es una lista exhaustiva ni detallada y como en todo hay excepciones):


Respecto de los postgrados, hay algunas especialidades que requieren más que una carrera. Por ejemplo, la administración de la seguridad en una empresa no es algo a lo que pueda acceder alguien que simplemente cuente con una carrera en Administración. Típicamente este tipo de puestos de toma de decisiones son accesibles a personas con una amplia trayectoria en algún área de la seguridad.

El postgrado no es necesariamente un requisito; más bien es un apoyo en el logro de la especialidad, una vez que se accede a un puesto estratégico o de toma de decisión. Ejemplos de postgrados que suelen ser de utilidad en estas posiciones son: una Maestría en Seguridad de la Información (ejemplo: http://isg.rhul.ac.uk/msc), Una Maestría en Administración (MBA) o un Diplomado en Seguridad (ejemplo:
http://www.bureauinternacional.com/UpcoProg_2008_MX.htm).


Especialidades
De acuerdo a mi experiencia, una persona puede ser especialista en una sola área de la Seguridad de la a la vez. Querer abarcar más de una área a la vez nos convierte nuevamente en generalistas, sin una fortaleza específica.

Conforme uno se desarrolla profesionalmente puede ir cambiando de especialidad y los conocimientos anteriores no se pierden, pero uno ya no puede dedicarle el mismo tiempo a estas áreas como se hacia con anterioridad y los cambios en el entorno nos impiden estar al tanto de lo último. Además, el área de especialidad debe de ser aquella en la que trabajemos diariamente. Uno no puede aspirar a ser un buen criptólogo si no dedica la mayor parte de su tiempo laboral a estudiar y analizar algoritmos y protocolos criptográficos así como sus fundamentos matemáticos; de la misma forma un atleta de alto rendimiento no puede esperar estar entre los mejores del mundo con entrenar una vez al mes.

El resto de las áreas de la seguridad de la información (o seguridad integral) donde hemos acumulado experiencia o que fueron nuestra especialidad en el pasado pasan a ser áreas de experiencia (así es como se debieran manejar en una currícula).

Para poder considerarnos como especialistas en un área debemos cumplir con algunos requisitos (no basta con elegir un área de especialidad):


Certificaciones
El tema de las certificaciones en Seguridad siempre ha sido polémico. ¿Sirven o no? Hay especialistas con opiniones diversas al respecto. Mi opinión personal es que todas las certificaciones tiene una cierta utilidad pero ninguna es una panacea.

Las certificaciones ayudan a mantener homogeneidad de criterios y conocimientos en una área particular (quizás no con la efectividad que quisiéramos, pero contribuyen al fin y al cabo). Es un apoyo más a la autocapacitación y nos permite estimar requerimientos mínimos para un profesional de la Seguridad. Obtener una certificación (cualquiera que esta sea) dista mucho de demostrar que una persona se ha convertido en un especialista (mucho menos en un experto); por el contrario, es tan solo parte de la evidencia de que se poseen ciertas bases teórico/prácticas que califican al profesional para realizar ciertas actividades o incursionar en ciertas áreas.

Tenemos certificaciones de todos los colores, sabores, tamaños y gustos. A continuación incluyo una clasificación simple con algunos comentarios sobre los tipos de certificaciones:


En general creo que el desarrollo profesional debe sustentarse primero en la educación formal (i.e. academia, carreras y postgrados), a continuación en la autocapacitación, luego en certificaciones generales, posteriormente en certificaciones de habilidades específicas, y por último en certificaciones y productos y metodologías específicas.

Cuántas certificaciones y de qué tipo se deben buscar depende en gran medida del puesto actual y los objetivos profesionales que se tengan. Pero probablemente una carrera afín junto con un postgrado, una o dos certificaciones generales y una o dos certificaciones de habilidades sean suficientes. Las certificaciones de productos y metodologías son necesarias en puestos técnicos que requieren de su aplicación y éstas son frecuentes al principio, pero conforme se avanza profesionalmente tienden a ser menos importantes. La autocapacitación debe estar presente en todo momento del desarrollo profesional.


Primeros empleos
La elección de los primeros empleos es también un factor decisivo en el desarrollo profesional.

Los trabajos de consultoría son los que pueden brindar la mayor cantidad de experiencia en el menor tiempo, pero se debe cuidar que estas funciones estén basadas en procesos sólidos y con buenas bases teóricas así como en estudios formales. Asimismo, la consultoría tiene otras características como son los altos niveles de presión y largos periodos de trabajo (algunos fuera de la localidad donde se vive), mismos que deben ser tomados en cuenta (no todas las personas se adaptan con facilidad a este ritmo de vida).

Otras empresas que ofrecen buen desarrollo en áreas de seguridad son el sector financiero, el sector salud, gobierno y recientemente el retail. Cada una tiene sus caracterísitcas particulares y favorece el crecimiento en ciertas áreas de especialidad (ej. prevención de pérdidas en el retail, prevención de fraudes financieros en sector financiero). Se debe de tomar en cuenta el desarrollo profesional dentro de la empresa ya que en algunas de ellas, particularmente en empresas pequeñas, las posibilidades de crecimiento son marginales.

La opción de colocar una empresa propia para ofrecer productos y servicios de seguridad es hoy en día más difícil que en años anteriores. En décadas pasadas bastaba con tener un proyecto o producto novedoso que cubriera una de tantas áreas de oportunidad existentes y los apoyos fluían. Hoy en día hay mucha competencia y las exigencias del mercado son mayores, por lo que muchos proyectos personales que tienen aspiraciones empresariales mueren en sus primeras etapas. Aún así, es una opción a considerarse cuando se tiene una solución novedosa y de calidad; además de la solución se requiere de una buena administración y buena capacidad de ventas.



Crecimiento profesional
De acuerdo a lo que he visto durante mi trayectoria, el camino típico de un profesional exitoso en Seguridad suele presentar las siguientes características:

  1. Proyectos destacados desde su formación académica y participación desde temprana edad en el sector con un alto grado de autocapacitación. La primera especialidad se suele escoger aquí.
  2. Bases sólidas en teoría y práctica de seguridad al dejar la academia e ingresar en el grupo laboral (típicamente después de terminar la carrera o antes incluso). Aquí suele haber ajustes en las especialidades.
  3. Empleos técnicos en algún rubro de la seguridad, buscando algunas certificaciones técnicas. En esta etapa se suelen buscar una o varias certificaciones técnicas (soluciones y metodologías específicas).
  4. Destacada participación en el área de especialidad a nivel internacional; desarrollo de artículos y papers y/o participación en eventos. En esta etapa es cuando la mayoría busca postgrados y o certificaciones generales.
  5. Movimientos hacia puestos estratégicos y de toma de decisión. En esta etapa es cuando se suele cambiar con mayor frecuencia de especialidad
  6. Finalmente tras la trayectoria laboral, al jubilarse o incluso antes, se opta por la academia, la consultoría de alto nivel o por participar de tiempo completo en eventos de seguridad


Quiero recalcar la importancia de empezar a temprana edad con una autocapacitación y participación en foros de seguridad. La mayoría de expertos en seguridad que conozco empezaron de esta manera.

Asimismo, quisiera hacer énfasis en cambios drásticos que han ocurrido en el sector:

  • Anteriormente las carreras profesionales y la industria tenían niveles similares, de forma que al salir de la academia y entrar en el terreno laboral la transición era de cierta forma natural. Hoy en día hay un desfazamiento importante. Los niveles de ingeniería y licenciatura trabajan aún con teoría de décadas pasadas mientras que la industria empieza adelantarse; en niveles de maestría y doctorado la academia suele estar muy por delante de lo que sucede en la industria (este último desfazamiento siempre ha existido).
  • Las leyes han cambiado radicalmente desde hace unos años. Hace una década uno podría haber escrito un virus computacional, volverse famoso y quizás hasta pudría haber obtenido un buen empleo a partir de esa fama. Hoy en día un joven entusiasta que no sea cuidadoso puede verse en un problema legal serio (ser encarcelado incluso, en algunos países).
  • El contacto con el "underground" y los hackers de élite que solían frecuentarlo hoy no sólo está mal visto, sino que es difícil de establecer e incluso sancionado en muchas partes. Esto se debe a que criminales profesionales han desplazado a los hackers tradicionales (personas con grandes habilidades y conocimientos que buscaban satisfacer su curiosidad y alcanzar retos personales).
  • La cantidad de conocimiento que existe hoy en día para asimilar (tan sólo para una de tantas áreas que existen en seguridad) es mucho mayor que hace unos años. Por esta razón las bases teórico prácticas hoy en día son más importantes, en virtud de que es imposible conocer todo lo que se podría conocer de una misma área.
  • Hoy en día el enfoque que suele dársele a los temas de seguridad es hacia las necesidades del negocio; a diferencia de años anteriores, donde el enfoque de seguridad se basaba en mejores prácticas genéricas, basadas únicamente en consideraciones técnicas que desarrollaron especialistas en el área (y muchas veces de forma subjetiva y arbitraria). Conocer a detalle las necesidades de negocio de la empresa para la cual trabajamos es por tanto imperativo y tiene gran influencia en nuestra toma decisiones (para bien y para mal; algún día espero escribir un artículo al respecto).




Reflexiones
  • Hay que saber cuándo es el momento de cambiar (por ejemplo de especialidad) para poder crecer.
  • Hay que reconocer que uno no lo sabe todo y se puede equivocar (uno no puede aprender y crecer si no reconoce los errores que comete)
  • Hay que aceptar que los cambios en el sector de la seguridad son frecuentes y rápidos; lo único constante es la necesidad de capacitares continuamente para mantenerse actualizado.
  • Hay que participar en eventos y foros de discusión de la industria para aspirar a ser especialistas en un área de la Seguridad



Omar Alejandro Herrera Reyna - Candado Digital
http://candadodigital.blogspot.com/2008/02/desarrollo-profesional-en-seguridad.html