domingo, 24 de julio de 2011

Sugerencias para que Empieces Tu Camino en el Área de Seguridad


¿Cómo me inicio en “esto” de la seguridad? Ya van un par de veces que me lo preguntan así es que pensé que sería un buen tema de blog. Parto del supuesto que el interesado en este tema es universitario o que acaba de empezar a trabajar. En cualquier caso lean mis sugerencias y tomen las que les sean útiles. Y claro, al final agreguen sus tips.

Dividí este blog en 3 secciones: Conocimiento, Involucramiento y Trabajo.

I.- Conocimiento.

Tienes que empezar por obtener conocimiento del área de seguridad de la información e informática. Lo ideal sería especializarte en un tema de seguridad: análisis forense de datos, seguridad en redes inalámbricas, web-apps, etc. Para obtener ese conocimiento puedes:

+ Libros. Ya que hayas seleccionado un tema para especializarte (que supongo es el que te gusta), busca libros que hablen de él. Richard tiene un buen listado con temas de interés; o navega por ejemplo en Amazon y busca tu tema preferido; también puedes ir a tu librería local.. con suerte hay algo que llame tu atención. Ponte el objetivo de leer X libros en X tiempo y que sea un hábito. Devóralos. Si quieres puedes empezar por algo general: “Secrets & Lies” o “Beyond Fear” de Bruce Schneier.

+ Inglés. La seguridad informática y el idioma inglés van de la mano. Si no es tu fuerte, toma unos cursos.

+ Blogs. Aunque breves, son una buena fuente de información. Lee al menos 5 blogs de seguridad de tu interés al día. Busca algunos para empezar; googlea naked security”, “the register security” o “threatpost the first stop for security news” y claro, este mismo blog.

+ Podcast. La autoridad para mí en cuestión de podcasts de seguridad por la profundidad con que se tocan los temas y por la constancia es el podcast de “security now” de Steve Gibson. Búscalo en iTunes o en www.grc.com. Escucha desde el primer podcast disponible o los podcasts que sean de tu interés.

+ Diplomados. Por ejemplo el Tec de Monterrey y la UNAM tienen Diplomados de Seguridad de la Información bastante decentes.

+ Universidad. Si estás en la Universidad, busca si hay talleres u otras opciones para obtener clases de seguridad. Tal vez haya asociaciones dentro de tu Campus relacionadas al tema. Asiste y luego ya con más confianza, participa ( ah!, y por cierto, algunas Universidades en México ofrecen Maestrías en Seguridad).

+ Certificaciones. Pon en tu radar para realizar al menos una certificación de seguridad. CISSP, CISA, CISM, CEH u Offensive Security. Tal vez alguna certificación del SANS. A estudiar y cumplir los requerimientos para certificarte. Para el CISSP recomiendo el libro “CISSP All-in-One” de Shon Harris y leer mi blogpost; para el CEH lee otro de mis blogposts. Para las certs de ISACA (CISA, CISM) hay que comprar los libros de referencia que se venden en su sitio con el fin de leerlos y estudiarlos.

+ Internet. De seguridad informática me consta que abunda información sobre el tema en la red de redes. SecurityTube, sitios de demos, papers, páginas con explicaciones de algún tema.. en fin, puedes especializarte en uno o varios temas de seguridad simplemente navegando/googleando y absorbiendo el conocimiento que está ahí esperándote. Y sin gastar un peso en libros. No esperes a que te lo enseñen, búscalo, entiéndelo y si te gusta lo que ves, domínalo.

II.- Involúcrate.

Si te interesa la seguridad de la información, involúcrate. No seas pasivo y no esperes a que la seguridad de la información venga a ti (porque no lo hará). Pregúntate qué puedes hacer para involucrarte; algunas ideas:

+ Papers. Ya cuando sientas que dominas un tema aviéntate a redactar un paper de seguridad. No es un blog y tampoco es un libro. Si deseas un ejemplo de un “paper”, googlea “Exploiting the otherwise non-exploitable Windows Kernel-mode GS Cookies subverted”. Ya que lo tengas, dalo a conocer al mundo publicándolo en Internet.

+ Blogs. No seas sólo lector de blogs de seguridad. Da el siguiente paso. Sé el autor de uno. Genera contenido.

+ Twitter. Este servicio puede ser tan pérdida de tiempo o tan útil como quieras. Si lo usas inteligentemente, sigues a las personas adecuadas y participas con buenos tweets sobre seguridad le habrás dado al clavo. Algunas cuentas: @ErrataRob, @danchodanchev, @johullrich, @dakami, @ SGgrc, @bSecuremagazine, @edskoudis, @0xcharlie, son sólo un ejemplo de las muchas cuentas que puedes intentar seguir a ver si te interesan. Interactúa, discute, opina y conoce (networking) a los tuiteros del área de seguridad que son de tu interés.

+ Conferencias. Ve a un par de conferencias de seguridad al año. Afuera está la de RSA Conference o la de BlackHat entre otras más. En México BSecure Conference o BugCon por ejemplo (en eventos tipo Campus Party se tratan también algunos temas de seguridad). Investiga y ve a la de tu elección. Y lleva a cabo networking conociendo a las personas que polulan por ahí. Lleva algunas tarjetas de presentación. ¿Y por qué no más adelante ser ponente en una conferencia de seguridad?

+ Cursos. ¿Eres muy bueno en algún tema de seguridad? Ofrece cursos o pláticas en tu Universidad o en tu comunidad. No cobres y date a conocer.

III.- Trabajo.

Si tanto te gusta la seguridad informática, supongo que querrás encontrar un trabajo donde hagas lo que te gusta hacer. A continuación algunos tips generales.

+ Servicio social. Puedes intentar buscar hacer tu servicio social en alguna empresa donde te pongan a hacer actividades de seguridad. Luego inclusive puedes ver si hay plazas libres ahí mismo o hacer que te recomienden.

+ Buscador. Bumeran o algún otro servicio de ofertas de trabajo online similar te puede ayudar a encontrar ese trabajo que andas buscando. También puedes usar la bolsa de trabajo de tu Universidad (y no olvides llenar y usar tu perfil de LinkedIN).

+ $. Tal vez al inicio no te ofrezcan tanto dinero por ese trabajo en seguridad informática. Puedes aceptarlo para ganar experiencia, conocer gente en el área de seguridad y mientras ir buscando mejores opciones. Obvio es tu decisión.

En fin. Algunos tips te sonarán buenos y otros no tanto. Toma los que te parezcan adecuados, piensa en otros más y a trabajar en ellos. Si quieres alguna recomendación particular de algún libro, podcast, blog o cuenta de twitter a quién seguir contáctame.

Te deseo lo mejor y espero que algo de lo que aquí dije te pueda servir. Piensa en lo que quieres llegar a ser y visualízalo. Trabaja en tus objetivos. Apasiónate. Diviértete. Las cosas caerán por su propio peso. Sé un hacker en el buen sentido de la palabra: domina a la tecnología. Sé el arquitecto de tu futuro “seguro”.

17 comentarios:

Ortigoza dijo...

muchas buenas recomendaciones amigo y gracias por los tips q compartes saludos.

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Muchas gracias por tus comentarios Ortigoza y espero haya sido un poco de utilidad. Te mando un saludo.

Miguel Salazar dijo...

Excelentes tips!, esto de la seguridad si que es otro mundo, gracias por compartir tu experiencia y una guia por donde empezar, saludos! =D

Enrique Lara dijo...

Gracias por tu excelente nota, una duda mencionas "especializarte en un tema de seguridad: análisis forense de datos, seguridad en redes inalámbricas, web-apps, etc."

Si quiero especializarme en detección de intrusos y haceker etico, cual seria la directriz a tomar?

Gracias

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Miguel, muchas gracias por tus comentarios y un saludo.

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Enrique: si deseas especializarte en intrusos y hackeo ético te recomiendo ver los cursos del SANS como el "Hacker Techniques, Exploits and Incident Handling" o el "Intrusion Detection In-Depth" entre otros en: http://www.sans.org/security-training/courses.php

O lo cursos y certificaciones del CERT:http://www.cert.org/certification/

De libros te recomiendo el Hacking Exposed, el The Tao of Network Security Monitoring: Beyond Intrusion Detection o el Inside Network Perimeter Security.

Migux dijo...

Hola Fausto, oye sobre el tema Maestrias sobre Seg. Inf. en México, ¿Cuáles recomiendas?

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

@Migux que yo sepa hay 3 inst q dan Maestrías en Seguridad: la Secretaría de Marina, el Poli y la Unitec. La Marina te aceptan si eres de la Marina o una Secretaría de Estado relacionada a seguridad nacional. El Poli da una maestría más técnica que la Unitec. Checa sus temarios a ver cuál te late. O si te interesan en el extranjero me dices; hay muy buenas opciones tmbn.Sl2.

Alvaro dijo...

Gracias nuevamente Fausto, tomé apuntes y voy a empezar proactivamente en esto de la seguridad.

Ya hice algunos compras en amazon sobre dos títulos de ethical hacking y estoy mirando alguna certificación para darle un perfil formal al tema, que aunque no es definitorio, es importante a la hora de presentar las credenciales.

Gracias nuevamente !!

Fausto Cepeda dijo...

Gracias x tus comentarios Álvaro.Sl2.

Mag dijo...

Muchas Gracias por los consejos, me dan un panorama mas claro. Saludos

Mag dijo...

Muchas Gracias por los consejos, me dan un panorama mas claro. Saludos

Fausto Cepeda dijo...

Mag, gracias por tus comentarios.

Harley Becerra dijo...

Gracias por la informacion.

Harley Becerra dijo...

Gracias por la informacion.

Fausto Cepeda dijo...

Harley, de nada, espero te sirva. Sl2.

final2fantasyX dijo...

Que onda!, gracias por las sugerencias. Respecto a hacer enfasis en los temas que mas nos llamen la atención, por mi parte son la criptografia, seguridad inalámbrica y seguridad de la información...Se que son temas muy amplios, pero con cuál me recomiendas empezar y algunos libros que puedan ser fuente de información. Gracias de antemano, y buen día. (Y)