Así que quiero venir a este mundo de seguridad.
Recibo regularmente correos electrónicos de personas que desean consejos sobre cómo aprender más sobre seguridad informática, ya sea como un curso de estudio en la universidad o como una persona de TI que lo considera una opción profesional.
Primero, sepa que hay muchas subespecialidades en seguridad informática. Puedes ser un experto en evitar que los sistemas sean pirateados o en crear software que no se pueda hackear. Puede ser un experto en encontrar problemas de seguridad en software o en redes. Puede ser un experto en virus, políticas o criptografía. Hay muchas, muchas oportunidades para muchos conjuntos de habilidades diferentes. No es necesario ser un programador para ser un experto en seguridad.
- ¿Qué es un firewall? ¿Cuáles son los beneficios de usar un firewall?
- ¿Cuál es la importancia del cifrado de la base de datos y cómo es útil?
- ¿Qué es un shell inverso en relación con la seguridad informática?
- Si las contraseñas son privadas y confidenciales, ¿cómo se hacen los estudios / estadísticas de las contraseñas de uso común?
- ¿Qué tan buena es la ciencia de la seguridad cibernética en el mundo?
Sin embargo, en general, tengo tres consejos para cualquiera que quiera aprender sobre seguridad informática.
- Estudiar. Estudiar puede tomar muchas formas. Puede ser trabajo en clase, ya sea en universidades o en conferencias de capacitación como SANS y Seguridad ofensiva. (Estos son recursos para iniciarse). Se puede leer; hay muchos libros excelentes, y blogs, que enseñan diferentes aspectos de la seguridad informática. Tampoco te limites a la informática. Puedes aprender mucho estudiando otras áreas de seguridad y ciencias blandas como economía, psicología y sociología.
- Hacer. La seguridad informática es fundamentalmente el arte de un profesional, y eso requiere práctica. Esto significa usar lo que ha aprendido para configurar sistemas de seguridad, diseñar nuevos sistemas de seguridad y, sí, romper los sistemas de seguridad existentes. Esta es la razón por la cual muchos cursos tienen fuertes componentes prácticos; No aprenderás mucho sin él.
- Mostrar. No importa lo que sepa o lo que pueda hacer si no puede demostrarlo a alguien que quiera contratarlo. Esto no solo significa sonar bien en una entrevista. Significa sonar buenas listas de correo electrónico y comentarios de blog. Puede mostrar su experiencia haciendo podcasts y escribiendo su propio blog. Puede impartir seminarios en sus reuniones de grupos de usuarios locales. Puede escribir artículos para conferencias o libros.
Soy fanático de las certificaciones de seguridad, que a menudo pueden demostrar todas estas cosas a un posible empleador de forma rápida y sencilla.
Realmente no he dicho nada aquí que no sea también cierto para miles de millones de otras áreas de estudio, pero la seguridad también requiere una mentalidad particular, una que considero esencial para el éxito en este campo. No estoy seguro de que se pueda enseñar, pero ciertamente se puede alentar. “Este tipo de pensamiento no es natural para la mayoría de las personas. No es natural para los ingenieros. Una buena ingeniería implica pensar en cómo hacer que las cosas funcionen; la mentalidad de seguridad implica pensar en cómo se puede hacer que las cosas fallen. Implica pensar como un atacante, adversario o criminal. No tiene que explotar las vulnerabilidades que encuentra, pero si no ve el mundo de esa manera, nunca notará la mayoría de los problemas de seguridad “. Esto es especialmente cierto si desea diseñar sistemas de seguridad y no solo implementarlos. Recuerde la Ley de Schneier: “Cualquier persona puede inventar un sistema de seguridad tan inteligente que no pueda pensar en cómo romperlo”. La única forma en que sus diseños serán confiables es si se ha hecho un nombre rompiendo los diseños de otras personas.
Una última palabra sobre criptografía. La criptografía moderna es particularmente difícil de aprender. Además de todo lo anterior, requiere conocimientos de posgrado en matemáticas. Y, como en la seguridad informática en general, su destreza queda demostrada por lo que puede romper. El campo ha progresado mucho desde que escribí esta guía y el curso de criptoanálisis de autoaprendizaje hace una docena de años, pero no son malos lugares para comenzar.
Este ensayo apareció originalmente en “Krebs on Security”, el segundo de una serie de respuestas a la pregunta. Este es el primero. Habra mas.
Todo lo mejor para tu futuro !!!!!!!!