¿Realmente tenemos una escasez de expertos en seguridad cibernética? ¿Cuál es el trabajo, en ciberseguridad, con el futuro más brillante?

A2A

Si y no. Tenemos escasez de personas “calificadas”, es decir, aquellas que carecen de certificaciones como CISSP, pero hay muchas personas que hacen seguridad todos los días y tienen más experiencia laboral que alguien recién salido de la universidad con un título en seguridad cibernética.

Fui Oficial de Seguridad de la Información para el ejército durante cinco años. Si bien originalmente quería obtener la certificación CISSP, me di cuenta después de un tiempo que la certificación no tenía ningún valor. El curso tiene una milla de ancho y una pulgada de grosor y realmente no hizo mucho en términos de las actividades diarias de un trabajador de InfoSec. Hay historias de titulares de CISSP que dejan que su certificado caduque porque lo ven como una pérdida de tiempo y dinero para mantenerlo. Realmente solo es útil como un filtro de recursos humanos para los solicitantes de empleo, pero no es necesario hacer el trabajo.

Sin embargo, consideraría que Security + es una buena certificación. Proporciona lo básico y permite al titular ver los diferentes caminos abiertos para una persona de seguridad. Sin embargo, de manera realista, la experiencia supera la certificación, pero la capacitación siempre es útil. Los certificados no valen nada, en mi opinión, porque a) puedes pasar la prueba sin saber realmente el material yb) algunas personas pueden saber la respuesta pero no lo hacen o simplemente no lo hacen bien.

El problema que he visto entre el sector público y privado es que el sector público tiene regulaciones que deben seguirse o que se produzcan consecuencias. El sector privado parece estar contento con ahorrar dinero y simplemente pagar por el monitoreo del crédito, en lugar de hacer lo correcto por la seguridad, porque cuesta más.

Sin embargo, con el fiasco de Equifax, los trabajos de seguridad cibernética de todo tipo van a estar de moda en el futuro cercano. Sin embargo, el problema es que rara vez estos trabajos le dan a la persona el poder y la autoridad para hacer lo correcto. A menos que sea una posición de nivel C, alguien prevalecerá sobre las recomendaciones debido a costos, inconvenientes, etc.

Related Content

¿Cómo se construye una caja S en AES?

¿Qué es la configuración incorrecta de seguridad en OWASP?

Recientemente he experimentado una violación de seguridad en mi sitio web. ¿Qué tengo que hacer?

Hackeo de computadoras (seguridad): ¿Cómo monitoreo y defiendo a un hacker que está olisqueando mi sistema?

¿Qué es la seguridad basada en el enredo cuántico de última generación?

¡Si!

El ISACA, un grupo de defensa de la seguridad de la información sin fines de lucro, predice que habrá una escasez mundial de dos millones de profesionales de seguridad cibernética en 2019. Cada año en los EE. UU., 40,000 empleos para analistas de seguridad de la información quedan sin cubrir, y los empleadores luchan por llenar 200,000 otros roles relacionados con la seguridad cibernética, de acuerdo con la herramienta de datos de seguridad cibernética CyberSeek. Y por cada diez anuncios de trabajo de seguridad cibernética que aparecen en el sitio de carreras. De hecho, solo siete personas hacen clic en uno de los anuncios, y mucho menos aplican.

El trabajo de rápido crecimiento con una enorme brecha de habilidades: seguridad cibernética

El problema es que los profesionales de ciberseguridad, que combinan amplias habilidades técnicas con experiencia específica en seguridad y una comprensión del riesgo comercial, son difíciles de encontrar. Por ejemplo, Cisco estima que actualmente hay un millón de empleos de seguridad cibernética sin cubrir en todo el mundo, mientras que el gigante de la industria Symantec predice que para 2019 el número será de 1.5 millones. No es de extrañar que la palabra “crisis” aparezca tan a menudo en los artículos sobre contratación de ciberseguridad, o que los profesionales en el campo, que se encuentran en una demanda tan alta, puedan obtener salarios tan altos.

Indeed Spotlight: la brecha global en habilidades de ciberseguridad – Indeed Blog

La necesidad es real y está bien documentada. Un informe de Frost & Sullivan y (ISC) descubrió que la fuerza de trabajo de ciberseguridad global tendrá más de 1.5 millones de puestos vacantes para 2020. Pero la industria de la seguridad es un mercado de rápido crecimiento, con IDC que considera una oportunidad de $ 101 mil millones para 2020 Entonces, ¿qué está causando la escasez de talento?

La ciberseguridad tiene una grave escasez de talento. Aquí se explica cómo solucionarlo

Estas son las tres posiciones en el campo que más buscan las empresas, según la firma de personal técnico Mondo:

  1. Probadores de penetración
  2. Ingenieros de ciberseguridad
  3. CISO

Los 3 trabajos de ciberseguridad más demandados de 2017

Preguntas relacionadas:

  • ¿Cuáles son los primeros pasos / cursos de capacitación que se deben seguir para avanzar hacia una carrera en seguridad cibernética?
  • ¿Es bueno el curso en línea Cybrary CompTIA Security +?
  • ¿Es la seguridad cibernética una burbuja que explotará en algunos años?
  • ¿Qué compañía es el competidor más fuerte de Cisco?

>
Preguntas de las Comisiones de Estudio:

  1. CompTIA A +: las computadoras portátiles que usan pantallas LCD también usan una matriz activa. ¿Cuál de los siguientes describe la matriz activa?
  2. Red +: ¿Qué método de autenticación PPP proporciona autenticación unidireccional y envía credenciales en texto claro?
  3. Seguridad +: De lo siguiente, ¿cuál es el problema más común asociado con el cable UTP?
  4. CCNA: la PC A envía una trama con la dirección MAC de origen 0200.AAAA.AAAA y la dirección MAC de destino 0200.DDDD.DDDD. El marco llega al interruptor SW1. Predecir las interfaces en el diagrama que los tres interruptores enviarán copias de la trama. ¿A cuántas interfaces enviarán los tres conmutadores colectivamente una copia de este marco?
  5. CCNP: Consulte la exposición. Los comandos de configuración en la exposición solo existen en un documento del plan de implementación. Un ingeniero copia / pega estos comandos en la configuración del Router R1. ¿Cuál de las siguientes respuestas es más precisa con respecto a los resultados?
Alexandre De Moura

Sí, hay escasez de personas que saben lo que están haciendo cuando se trata de seguridad cibernética. El último truco de equifax lo demuestra.

No hay un trabajo que se vea afectado con el sector tecnológico si no comprende la seguridad. He visto tantas aplicaciones web creadas con poca seguridad para el usuario, como las mismas contraseñas, sin capacidad de requerir cambios de contraseñas, sin alterar o eliminar las contraseñas, elevación de agujeros de privilegios en la aplicación, almacenamiento de credenciales de usuario en cookies cuando se usa el aplicación, etc.

Se requiere educación para cambiar la mentalidad de los desarrolladores, gerentes y líderes corporativos, se requiere cambiar o implementar las mejores prácticas en torno a la seguridad del servidor.

Obtener su CSSIP es un buen paso para obtener el conocimiento necesario para avanzar la industria en términos de seguridad.

Derek Schatz

Hay una manera muy clara de visualizar esta escasez: he trabajado en seguridad cibernética durante 10 años, y ni una sola vez mi equipo ha llenado toda su plantilla. También podríamos abrir más personal si llenamos lo que tenemos (a las finanzas no les gusta contar personal vacío para estar en los libros).

Como menciona otra publicación, esto se debe en parte a una brecha entre lo que ofrecen las universidades y lo que buscan las empresas. Hay muy pocos programas de seguridad informática a tiempo completo. Existen muchos programas de seguridad de TI, pero estos generalmente no enseñan las habilidades más avanzadas que buscan las empresas. Además, la mayoría de las empresas tienen solo un pequeño número de personas de TI en el personal, a menudo solo una. Esto significa que no pueden entrenar a un recién graduado de la universidad, porque no tienen a nadie para hacer la capacitación, y realmente no saben cómo evaluar a los candidatos para puestos de seguridad porque las personas que contratan no tienen experiencia relevante. Por último, invertir en seguridad tiene costos iniciales obvios pero beneficios futuros difíciles de cuantificar, por lo que las empresas se ven tentadas a escatimar pagando poco al personal de seguridad y contratando a muy pocos.

La industria de la seguridad es muy dinámica, por lo que es difícil predecir qué roles serán importantes en el futuro, pero está bastante claro que todos los roles tendrán una gran demanda en el futuro previsible, por lo que realmente no importa en qué se especialice. El único diferenciador es que los expertos en seguridad que también saben cómo escribir un buen código tienen una demanda sustancialmente mayor. En Google, donde trabajo, es un requisito para la mayoría de los puestos. En términos más generales, cuanto más se parezcan sus habilidades a la ingeniería de software en lugar de a TI, mejor será. No seas un guión para niños, sé la persona que escribe los guiones.

El tipo de función que desempeñe afectará otros aspectos del trabajo. Los analistas forenses a menudo trabajan en casos de recursos humanos y de seguridad. La respuesta a incidentes tiene muchas oportunidades de consultoría y un elemento divertido de espionaje contra espía. La prueba de penetración es la única en la que realmente puedes romper cosas. El descubrimiento de vulnerabilidades tiene un gran mercado independiente y también tiene una gran demanda en las empresas más grandes. Etc.

Derek Schatz

Sí, lo hacemos, pero no por las razones por las que quieren que creas.

Escasez de habilidades de seguridad cibernética: ¿problema real o resultado de malas prácticas de contratación?

Es difícil saber qué roles específicos podrían tener las mejores tomas. Asistí a una reunión recientemente y dijeron que los cazadores de amenazas, que revisan las pruebas dejadas por los atacantes después de una violación, pueden ser muy buscados.

De todos modos, toda la industria está en auge.

Alexandre De Moura

More Interesting

¿Cómo puedo convertirme en un especialista en seguridad cibernética en la India?

¿Cuáles son algunos buenos métodos gratuitos por los cuales puedo asegurar que mi sitio web sea pirateado?

¿Cuáles son los parámetros de URL de búsqueda de Google y qué significan?

Cómo eliminar un virus de una tarjeta de memoria

¿Cuáles son algunas contramedidas para las amenazas de seguridad de la base de datos?

¿Qué es Ransomware y cómo se dirige a un dispositivo?

¿Qué necesita aprender una persona paso a paso para convertirse en un experto en seguridad?

¿Cómo se comparan las técnicas de seguridad de las capacidades de SELinux, seccomp y POSIX?

¿Hay alguna regla de compromiso para reaccionar a los ataques de la guerra cibernética? ¿Las convenciones de Ginebra cubren la guerra cibernética?

¿Qué necesita saber el propietario de un sitio web para evitar que su sitio sea bloqueado y pirateado?

¿Qué certificación o capacitación se necesita para ser un profesional de seguridad de red?

¿El software anti-ransomware como Bitdefender Total Security ofrece protección completa contra el ransomware WannaCry / WannaCrypt?

¿Qué deben hacer los usuarios para protegerse del error Heartbleed OpenSSL?

Mi teléfono celular y mi MacBook han sido pirateados. ¿Qué debo hacer?

¿Cómo aseguró Evernote su API Thrift de cara al público?