Albert, gracias por solicitar la respuesta a la pregunta “¿Cómo te convertiste en un experto en seguridad cibernética?” (¿Qué certificados y títulos universitarios tienes?)
Permítanme dejarlo absolutamente claro, no me veo como un experto sino como un estudiante de seguridad de la información de toda la vida.
No son las certificaciones o el título universitario lo que te convierte en un experto. Vea mis respuestas anteriores sobre Quora sobre certificación y educación aquí.
- ¿Cuánto tiempo le tomaría a un hacker talentoso desencadenar una guerra internacional desde su computadora?
- Si se le da la oportunidad de elegir ser ingeniero de software o especialista en seguridad (pruebas de ciberseguridad / penetración) cuando se gradúe, ¿qué elegiría y por qué?
- ¿Cuáles son los peores virus informáticos de todos los tiempos?
- ¿Cuál es el cálculo diplomático y de seguridad w / r / t que enfrenta China sobre sus actividades de ciberwareware en aumento que afectan los intereses estratégicos de Estados Unidos, públicos y privados?
- ¿Cuáles son los mejores sitios web para noticias e información de seguridad cibernética?
La respuesta de Vijay Upadhyaya a ¿Qué habilidades son necesarias para el trabajo en seguridad cibernética?
Lo primero es lo primero, quiero reconocer y aplaudir su deseo de convertirse en un maestro en seguridad. De hecho, vale la pena reconocer el deseo de obtener dominio en cualquier tema y permítanme intentar responder esto de una manera más genérica no solo para tocar la seguridad sino también para obtener dominio en cualquier campo. También destacaré la diferencia entre los expertos y el “genio” en esos campos.
Permítanme comenzar respondiendo cómo convertirse en un experto en cualquier campo.
Los siguientes elementos no lo convertirán en un experto, pero le darán la ilusión de ser un experto.
- certificaciones: esto es controvertido, pero creo firmemente que en cualquier campo y campo especialmente complicado como la seguridad es muy difícil crear un experto únicamente a partir de certificaciones. la capacitación, no las certificaciones hechas de los “expertos” correctos, puede comenzar su aprendizaje, pero eso llega poco después en la carrera.
- Autoaprendizaje rápido: leer un libro rápido o dos y simplemente vomitar todo lo que ha apiñado y no le ha dado suficiente pensamiento y análisis.
- Siguiendo algún blog del llamado analista de la industria o como los llamamos esos vendedores de aceite de serpiente y repitiendo lo que dicen como un títere
Ninguno de estos lo llevará a un estado de experto, de hecho, lo hará más arrogante, más obstinado en sus puntos de vista y solo limitará su crecimiento.
Entonces, ¿qué es una salida?
- perseverancia : debes perseverar. Lea este libro llamado Dip de Seth Godin. [1] Es una lectura fascinante. Creo que para convertirse en un experto debe perseverar a través de altibajos, pero lo más importante a través de ese período en el que solo está practicando sus habilidades, en este caso, la seguridad. Déjame darte un ejemplo para hacerlo más concreto. Eres un pentester. Encontraste inyección SQL en la aplicación por primera vez. Estás en la cima de este mundo. Ahora imagine 10 años después que todavía es un pentester y todavía encuentra la inyección sql. Ya no es divertido. En este punto de su carrera, está apareciendo sitios web y redes en los primeros 30 minutos con exactamente el mismo exploit que utilizó cuando realizó su primera pentesting. Net net, debes perseverar, lo que parece una tarea mecánica. Estás aprendiendo todos los días a pesar de que estás haciendo lo mismo. Es igual que aprender a tocar la guitarra cuando aprendes un nuevo riff, es genial, pero después de eso para obtener la perfección, tocas el mismo riff una y otra vez hasta que estás tan aburrido que no quieres escuchar esa melodía nunca y aún así tocas y practicas mismo riff Esa regla de las 10.000 horas es real. Algo sucede con esas prácticas. Así que persevera en esos períodos aparentemente aburridos. Todos los expertos han perseverado en su profesión durante mucho tiempo. Estoy en seguridad durante los últimos 17 años. Todavía estoy aprendiendo .
- Enfoque : muy muy crítico. El enfoque te hace o te rompe. No estoy diciendo que evites explorar. Explora pero mantente en tu núcleo. Regla 80-20. El 80% de su esfuerzo debe centrarse en la fuerza que está tratando de construir. Digamos que quiere aprender el desbordamiento de pila o la red de ataque, entonces debe enfocarse en ese aspecto y dedicar su tiempo, recursos y energía a eso. Especialmente la seguridad es un gran campo con muchos temas. Tienes que elegir tu nicho o crear uno. Por ejemplo, déjame ir al ajedrez. Hay muchas aperturas, pero la mayoría de los grandes maestros se adhieren a sus aperturas favoritas como piezas blancas o negras. Digamos que para el blanco se prefiere e4, mientras que como negro comienzas con Siciliano (c5). Eso te da enfoque y más profundidad.
Los expertos perseveran y se concentran. Los expertos en seguridad no son diferentes. Mira a estos chicos. Debería poder nombrar su experiencia contra ellos.
Actualizaré esta respuesta, pero veamos cuántos de ustedes pueden poner una experiencia contra estos nombres.
Jack de Barnaby: [actualización]: experto interno de Windows y piratería de hardware
Kevin mitnik: [actualización] gurú de la ingeniería social
Samy Kamkar: [actualización] php / bots / virus
David Litchfield: [actualizar] todo la base de datos Oracle
Saumil shah: [actualización] ataques del lado del cliente y MITB – man en el navegador
Aleph1: [actualización] famoso artículo rompiendo la pila por diversión y ganancias
FiberOptic: (estoy saliendo con esto) [actualización] ataques de red
Estos son solo ejemplos. Hay muchos nombres que pueden ir aquí.
Además de la perseverancia y el enfoque, especialmente en seguridad, necesita cierto tipo de perspectiva.
- debes ser escéptico. Todo tiene que ser probado con algún tipo de evidencia.
- tiene un problema profundo con la autoridad o el control y no puede tolerar algo como esto que limita su libertad. Los controles de seguridad son proxy para esas cosas (las autoridades limitan su libertad) y no puede esperar para romperlas (legalmente, por supuesto)
- Todavía eres un niño de corazón. Encuentras alegría y emoción al hablar sobre nuevas formas de romper algo y simplemente te encanta el mundo digital.
En cuanto al genio, creo que es una historia diferente. Los expertos pueden estar en el campo durante mucho tiempo, pero los genios están en el campo desde la infancia. Bobby Fisher estaba jugando ajedrez desde que tenía (creo) 5. Sachin Tendulkar (jugador de cricket indio) jugando al cricket desde que era un niño pequeño. Verá, genio define el campo y lo cambia. Los expertos entienden el campo, pero el genio se ha ido al corazón de esa profesión y puede cambiarlo porque lo conocen muy bien. Tienen un enfoque singular en ese campo y una perseverancia loca. Jimi Handrix solía caminar con la guitarra durante 7 a 8 horas y solía tocar desde que era un niño, lo mismo ocurre con Kieth Richards.
Te deseo lo mejor en tu viaje para convertirte en un experto. El camino está lleno de sacrificios (así lo verán los demás), pero para ti es algo natural porque harías que tu objetivo sea ser un experto.
Cuando la gente estaba de fiesta los fines de semana, yo estaba en el centro de datos los viernes y a veces salía del centro de datos el domingo por la tarde, implementando productos de seguridad o solución de problemas o pentesting. Para otros fue un sacrificio para mí, fue muy divertido. Me encantó y no lo cambiaría por nada.
Cuando la gente hablaba de nuevas películas o un nuevo programa o lo que estaba sucediendo en la NBA / NFL, etc., no tenía idea porque estaba ocupado leyendo y releyendo el volumen ilustrado TCP / IP de Richard Stevens 1. Todavía no veo ninguno de los Deportes.
Por último sobre las certificaciones, tengo CISSP, CISA, CRISC, escritura de código de shell de BlackHat, piratería de aplicaciones web de BlackHat, Network Forensic de BlackHat y muchos otros cursos de Coursera. Obtuve esas certificaciones poco después en mi carrera, pero en serio no me preocuparé. Porque las certificaciones realmente no importan.
En cuanto al grado, eso tampoco importa.
Tengo un título en Ingeniería y lo único que ese grado me enseñó fue que me encanta la codificación y los protocolos.
Espero que esto ayude y buena suerte !
Notas al pie
[1] The Dip: Un pequeño libro que te enseña cuándo dejar de fumar (y cuándo pegarse): Seth Godin: 9781591841661: Amazon.com: Libros