Mamá, quiero ser hacker
Modesto Álvarez, responsable de Ciberseguridad en Seresco, reflexiona acerca de los retos y la vocación de los profesionales de la ciberseguridad: "La informática en general, y la ciberseguridad en particular, son profesiones vocacionales, si te gusta, te encanta. Pero si no te gusta, puede ser un infierno".
Pido disculpas de antemano por un título tan poco original, y especialmente a tantos que lo han usado antes que yo. Pero me parece el título más adecuado para lo que voy a hablar. Cada vez me llegan más consultas de todo tipo sobre esta profesión, tanto de empresas como de profesionales o particulares en general. Supongo que ya son muchos años y mucha gente con la que me he cruzado en el camino, y se acuerdan de mi para estas cosas. Por eso, quiero poner por escrito un esbozo de cómo yo veo la situación. Sólo cuatro notas, porque el tema da para hablar largo y tendido.
Hoy hablaré hacia los profesionales, estudiantes, o sus familias, que me preguntan cómo orientar su carrera hacia la ciberseguridad, o incluso si merece la pena. ¿Y merece la pena? Pues lo siento mucho, pero eso es algo muy personal, y no hay una respuesta universal. La informática en general, y la ciberseguridad en particular, son profesiones vocacionales (no sabría decir si hay alguna que no lo sea). Es decir, si te gusta, te encanta. Pero si no te gusta, puede ser un infierno.
Tampoco hablamos de un perfil profesional único, y hoy en día es imposible abarcarlos todos. Cuando alguien se autodenomine como "experto en ciberseguridad" es muy probable que sus conocimientos reales sean superficiales, y de experto tenga poco. Si realmente es experto, sólo le presentarán así otros, y su conciencia le impulsará a aclarar cual es el tema que más domina ¿forense, pentesting, hardening, ...?
Incluso para dominar una pequeña parte del espectro de la seguridad tienes que dedicar mucho tiempo todos los días a formarte, mantenerte actualizado, mejorar y experimentar (o sea, dar palos de ciego hasta que algo funciona y averiguas por qué). Desde luego, no es una profesión en la que te puedas acomodar. Y no siempre tenemos la suerte de poder hacerlo en nuestra jornada laboral y cobrando, aunque de eso hablaré mejor otro día. En ocasiones, el trabajo en seguridad es frustrante por muchos motivos. Debemos tener anhelo por el orden y la perfección, y sin embargo ser capaces de mantener la calma y la serenidad trabajando en medio del caos y la confusión. Y este es el menor de nuestros problemas.
¿Te atrae todo esto? ¿Te sientes motivado además si cada día es diferente, si las sorpresas, más veces malas que buenas, te obligan a ponerte las pilas? Entonces la ciberseguridad te encantará. Yo la adoro, y no puedo evitar sentir que es el mejor de los trabajos posibles.
Si somos pragmáticos, hay otro aspecto positivo en los tiempos que corren. Hay trabajo. No creo en las estadísticas, pero mi experiencia me demuestra que cada vez se necesitan más profesionales de la ciberseguridad. Diferentes perfiles, además. Y no es fácil encontrarlos. Si además son buenos, te los quitan de las manos, vamos. Y la cosa tiene pinta de ir a más. Pero insisto, que haya buenas salidas es secundario. Si no te gusta este trabajo, meterte en esto te hará infeliz, y probablemente no seas capaz de alcanzar un buen nivel.
Vale. Todo esto me motiva. ¿Y qué tengo que hacer? ¿Por dónde empiezo? Yo siempre recomiendo comenzar por una visión general y luego ir profundizando. Nunca serás un buen profesional de ciberseguridad sin una base técnica en informática. Y como en todo, cuanto más amplios, profundos y fuertes sean tus cimientos, mejor será la carrera que construyas sobre ellos. Ningún conocimiento sobra, pero hay algunos que son imprescindibles.
Desde mi punto de vista, no intentes avanzar si no tienes muy asentadas las ideas en redes y sistemas operativos. Programación, bases de datos y arquitectura de aplicaciones también son básicos para la mayoría de perfiles. En resumidas cuentas, debes saber cómo funcionan las cosas por dentro si quieres tener algo que aportar a la hora de romperlas, analizarlas, o en hacerlas más seguras. Nunca dejes de aprender, pues cuanto más sepas de sistemas mejores herramientas tendrás en seguridad.
El siguiente paso es darte un paseo por todos los aspectos de la ciberseguridad. Hay muchos cursos, pero la certificación de profesionalidad de seguridad informática (IFCT0109) está diseñada precisamente para obtener esa visión general. Son una muy buena forma de conocerlos todos y encontrar nuestro camino, aquel que se nos da mejor o en el que nos sentimos más a gusto. A partir de aquí ya podemos ir profundizando.
Me temo que en Asturias hay pocos cursos con nivel para profundizar, que vayan algo más allá de los lugares comunes. Pero por suerte algunos de los mejores ya se pueden hacer por videoconferencia. No mencionaré ninguno aquí, pero podéis preguntarme. Eso si, como en todo, el resultado de un curso depende en gran medida de los profesores que nos acompañen en el camino. Personalmente siento rechazo instintivo por todos aquellos cursos que se publicitan sin decir quiénes son los profesores. Te dicen el temario, que es casi el mismo en todos lados y suele ser medio copiado, y ¿se callan lo más importante?
No lo he dicho antes, y a algunos puede echarles para atrás, pero la ciberseguridad no es un trabajo 100% técnico. Para nada. La parte técnica es importante, pero no la que más. Sea cual sea nuestro trabajo, tiene implicaciones legales que tenemos que saber manejar, por poner un ejemplo.
Pero quien tenga experiencia práctica, de lo que nos hablará siempre en cada ejercicio, es de las personas. Porque hacer seguro un sistema informático sin tener en cuenta a las personas es muy fácil. Pero no es realista. No funciona. El mejor profesional es aquel que entiende la influencia de las personas en todo esto y es capaz de canalizarla a favor de obra.
Prometo escribir más sobre todo esto si hay interés. El siguiente artículo irá dirigido al otro colectivo que me pregunta habitualmente: las empresas que quieren incorporar profesionales de la ciberseguridad a sus plantillas. Cada vez son más, y en general a las de Asturias las veo bastante despistadas. Por eso, les doy un anticipo. Si realmente creen que lo necesitan, lo primero que deberían plantearse es cómo van a competir por él, y cuales son sus atractivos. Porque si quieren tener éxito, deben tener claro que en esta ocasión no van a ser los entrevistadores, sino los entrevistados.
Responsable de Ciberseguridad en Seresco