Según el Cybersecurity Jobs Report, se espera que la demanda para cubrir puestos dentro de la industria de la seguridad de la información alcance los 3,5 millones de puestos sin cubrir este año. Además, el desempleo en la industria es actualmente excepcionalmente bajo.
La investigación en una encuesta global anual realizada por Enterprise Service Group (ESG) encontró que en 2021, el 51% de los tomadores de decisiones de TI dijeron que tenían dificultades para cubrir los puestos vacantes. Esta estadística preocupante es exactamente la razón por la que el Foro Económico Mundial (WEF, por sus siglas en inglés) nombró a los ataques cibernéticos como la cuarta preocupación global más grave y las filtraciones de datos como la quinta, pero también por la que aquellos que tienen interés o están actualmente empleados en un rol de TI deberían considerar aprendiendo las habilidades para convertirse en un profesional de seguridad cibernética.
Las organizaciones están contratando personas con un conjunto único de habilidades y capacidades, y buscan a aquellos que tienen las habilidades y el conocimiento para cumplir con muchos roles laborales nuevos en la industria de la seguridad cibernética. SANS ha reunido una lista de carreras en seguridad cibernética [PDF] que son las mejores y las más demandadas por los empleadores.
1: Threat Hunter
Este experto aplica la inteligencia de amenazas contra la evidencia existente para identificar a los atacantes que se pueden haber deslizado a través de los mecanismos de detección en tiempo real. La práctica de la caza de amenazas requiere varios conjuntos de habilidades, que incluyen inteligencia de amenazas, análisis forense de sistemas y redes, y procesos de desarrollo de investigación. Este rol hace que la respuesta a incidentes pase de un proceso de investigación puramente reactivo a uno proactivo, que descubre a los adversarios o sus huellas en función de la inteligencia en desarrollo.
¿Por qué es importante este papel? Los cazadores de amenazas buscan de manera proactiva evidencia de atacantes que no fueron identificados por los métodos de detección tradicionales. Sus descubrimientos a menudo incluyen adversarios latentes que han estado presentes durante largos períodos de tiempo.
Cursos SANS recomendados: SEC504 (Certificación GCIH), SEC511 (Certificación GMON), FOR608, FOR508 (Certificación GCFA), FOR509, ICS515 (Certificación GRID), FOR572 (Certificación GNFA), FOR578 (Certificación GCTI), FOR710, FOR610 (Certificación GREM), SEC541 e ICS612.
2: Red Teamer
En este rol el Red Team, tendrá el desafío de ver los problemas y las situaciones desde la perspectiva de un adversario. El objetivo es mejorar el Blue Team probando y midiendo las políticas, los procedimientos y las tecnologías de detección y respuesta de la organización. Este rol incluye realizar la emulación del adversario, siguiendo sus mismas Tácticas, Técnicas y Procedimientos (TTP), con un objetivo específico similar a las amenazas o adversarios realistas. También puede incluir la creación de implantes personalizados y estructuras C2 para evadir la detección.
¿Por qué es importante este papel? Este rol es importante para ayudar a responder la pregunta común de “¿nos puede pasar a nosotros ese ataque que derribó a la empresa?” Los Red Teamers tienen una visión holística de la preparación de la organización para un ataque real y sofisticado al probar a los defensores, no solo a las defensas.
Cursos SANS recomendados: SEC565, SEC670, SEC560 (Certificación GPEN), SEC660 (Certificación GXPN), SEC760 y SEC504 (Certificación GCIH).
3: Analista de análisis forense digital
Este experto aplica habilidades forenses digitales a una plétora de medios que abarcan una investigación. La práctica de ser un examinador forense digital requiere varios conjuntos de habilidades, incluida la recopilación de evidencia, análisis forense de computadora, teléfono inteligente, nube y red, y una mentalidad de investigación. Estos expertos analizan los sistemas comprometidos o los medios digitales involucrados en una investigación que puede usarse para determinar qué sucedió realmente. Los medios digitales contienen huellas que los datos forenses físicos y la escena del crimen pueden no incluir.
¿Por qué es importante este papel? Usted es el detective en el mundo de la ciberseguridad, buscando evidencia en computadoras, teléfonos inteligentes, datos en la nube y redes a raíz de un incidente/crimen. La oportunidad de aprender nunca se detiene. La tecnología siempre avanza, al igual que su carrera.
Cursos SANS recomendados: FOR308, FOR498 (Certificación GBFA), FOR500 (Certificación GCFE), FOR608, FOR508 (Certificación GCFA), FOR509, FOR518 (Certificación GIME), FOR572 (Certificación GNFA) y FOR585 (Certificación GASF).
4: Purple Teamer
En este puesto de trabajo bastante reciente, tiene un profundo conocimiento de cómo funcionan las defensas de ciberseguridad (“Equipo azul”) y cómo operan los adversarios (“Equipo rojo”). Durante sus actividades diarias, organizará y automatizará la emulación de técnicas adversarias, resaltará posibles fuentes de registro nuevas y casos de uso que ayuden a aumentar la cobertura de detección del SOC y propondrá controles de seguridad para mejorar la resiliencia frente a las técnicas. También trabajará para ayudar a coordinar la comunicación efectiva entre los roles tradicionales defensivos y ofensivos.
¿Por qué es importante este papel? ¡Ayuda a azul y rojo a entenderse mejor! Los equipos azules tradicionalmente han estado hablando sobre controles de seguridad, fuentes de registros, casos de uso, etc. Por otro lado, los equipos rojos tradicionalmente hablan sobre cargas útiles, exploits, implantes, etc. pueden trabajar juntos para mejorar la postura general de ciberseguridad de la organización.
Cursos SANS recomendados: SEC504 (Certificación GCIH), SEC599 (Certificación GDAT), SEC598 y SEC699.
5: Analista de malware
Los analistas de malware enfrentan las capacidades de los atacantes de frente, asegurando la respuesta más rápida y efectiva y la contención de un ataque cibernético. Se mira profundamente dentro del software malicioso para comprender la naturaleza de la amenaza: cómo entró, qué falla explotó y qué ha hecho, está tratando de hacer o tiene el potencial de lograr.
¿Por qué es importante este papel? Si se le asigna la tarea de caracterizar exhaustivamente las capacidades de un código malicioso. El manejo, el desensamblado, la depuración y el análisis correctos de binarios requieren herramientas, técnicas y procedimientos específicos y el conocimiento de cómo ver a través del código sus verdaderas funciones. Los ingenieros en reversing poseen estas valiosas habilidades y pueden ser un punto de inflexión a favor de los investigadores durante las operaciones de respuesta a incidentes. Ya sea extrayendo firmas críticas para ayudar a una mejor detección o produciendo inteligencia de amenazas para informar a los colegas de una industria, los analistas de malware son un recurso de investigación invaluable.
Cursos SANS recomendados: FOR710, FOR610 (certificación GREM), FOR518 (certificación GIME) y FOR585 (certificación GASF).
6: CISO/ISO o Director de Seguridad
Como director de seguridad de la información, será el equilibrio entre el departamento de TI y la sala de juntas, con una comprensión equitativa de la seguridad comercial y de la información. Junto con la capacidad de influir y negociar, también tendrá un conocimiento profundo de los mercados, las políticas y la legislación globales. Con la capacidad de pensar creativamente, el CISO será un solucionador de problemas natural y encontrará formas de entrar en la mente de un ciberdelincuente, descubriendo nuevas amenazas y sus soluciones.
¿Por qué es importante este papel? La tendencia es que los CISO tengan un sólido equilibrio entre la perspicacia comercial y el conocimiento tecnológico para estar al tanto de los problemas de seguridad de la información desde un punto de vista técnico, comprender cómo implementar la planificación de la seguridad en los objetivos comerciales más amplios y ser capaces de construir un una seguridad más duradera y una cultura basada en el riesgo para proteger a la organización.
Cursos SANS recomendados: MGT512 (Certificación GSLC), MGT514 (Certificación GSTRT), MGT521, MGT520, SEC388.
7: Blue Teamer – Defensor completo
Este trabajo, que puede tener diferentes títulos según la organización, a menudo se caracteriza por la amplitud de tareas y conocimientos necesarios. El defensor completo y Blue Teamer es la persona que puede ser un contacto de seguridad principal para una organización pequeña y debe lidiar con ingeniería y arquitectura, clasificación y respuesta a incidentes, administración de herramientas de seguridad y más.
¿Por qué es importante este papel? Este rol de trabajo es muy importante ya que a menudo aparece en organizaciones pequeñas y medianas que no tienen presupuesto para un equipo de seguridad completo con roles dedicados para cada función. El defensor integral no es necesariamente un título de trabajo oficial, ya que es el alcance del trabajo de defensa que tales defensores pueden hacer: un poco de todo para todos.
Cursos SANS recomendados: SEC530 (Certificación GDSA), SEC450 (Certificación GSOC), SEC503 (Certificación GCIA), SEC511 (Certificación GMON, SEC505 (Certificación GCWN), SEC555 (Certificación GCDA) y SEC586.
8: Arquitecto e ingeniero de seguridad
Diseñe, implemente y ajuste una combinación eficaz de controles centrados en la red y centrados en los datos para equilibrar la prevención, la detección y la respuesta. Los arquitectos e ingenieros de seguridad son capaces de observar una defensa empresarial de manera integral y crear seguridad en cada capa. Pueden equilibrar los requisitos comerciales y técnicos junto con varias políticas y procedimientos de seguridad para implementar arquitecturas de seguridad defendibles.
¿Por qué es importante este papel? Un arquitecto e ingeniero de seguridad es un Blue Teamer versátil y un defensor cibernético que posee un arsenal de habilidades para proteger los datos críticos de una organización, desde el punto final hasta la nube, a través de redes y aplicaciones.
Cursos SANS recomendados: SEC503 (Certificación GCIA), SEC505 (Certificación GCWN), SEC511 (Certificación GMON) y SEC530 (Certificación GDSA).
9: Miembro del equipo de respuesta a incidentes
Este rol dinámico y acelerado implica identificar, mitigar y erradicar a los atacantes mientras sus operaciones aún se están desarrollando.
¿Por qué es importante este papel? Si bien la prevención de infracciones es siempre el objetivo final, una realidad inquebrantable de seguridad de la información es que debemos asumir que un atacante lo suficientemente dedicado eventualmente tendrá éxito. Una vez que se ha determinado que se ha producido una infracción, se llama a los servicios de respuesta a incidentes para localizar a los atacantes, minimizar su capacidad de dañar a la víctima y, en última instancia, eliminarlos del entorno.
Este rol requiere pensamiento rápido, sólidas habilidades técnicas y de documentación, y la capacidad de adaptarse a las metodologías de los atacantes. Además, los respondedores de incidentes trabajan como parte de un equipo, con una amplia variedad de especializaciones. En última instancia, deben transmitir de manera efectiva sus hallazgos a audiencias que van desde técnicos profundos hasta gerencia ejecutiva.
Cursos SANS recomendados: FOR308, FOR498 (Certificación GBFA), FOR500 (Certificación GCFE), FOR508 (Certificación GCFA), FOR608, FOR509, FOR585 (Certificación GASF), FOR518 (Certificación GIME), FOR572 (Certificación GCFA), FOR578 (Certificación GCTI) ), FOR710 y FOR610 (certificación GREM), SEC402, SEC504 (certificación GCIH), SEC508 (certificación GCFA).
10: Analista / Ingeniero de Seguridad Cibernética
Como este es uno de los trabajos mejor pagados en el campo, se avanza en las habilidades requeridas para dominar las responsabilidades involucradas. Debe ser altamente competente en detección de amenazas, análisis de amenazas y protección contra amenazas. Este es un papel vital en la preservación de la seguridad y la integridad de los datos de una organización.
¿Por qué es importante este papel? Este es un rol proactivo, que crea planes de contingencia que la empresa implementará en caso de un ataque exitoso. Dado que los atacantes cibernéticos utilizan constantemente nuevas herramientas y estrategias, los analistas/ingenieros de ciberseguridad deben mantenerse informados sobre las herramientas y técnicas disponibles para montar una defensa sólida.
Cursos SANS recomendados: SEC401 (Certificación GSEC), SEC450 (Certificación GSOC), ICS410 (Certificación GICSP), ICS456 (Certificación GCIP), SEC501 (Certificación GCED), SEC540 (Certificación GIAC próximamente), SEC503 (Certificación GCIA), SEC530 ( Certificación GDSA), SEC555 (Certificación GCDA), SEC504 (Certificación GCIH), SEC511 (Certificación GMON), SEC586, FOR509 y MGT551 (Certificación GSOM).
11: OSINT Investigador / Analista
Estos profesionales ingeniosos recopilan los requisitos de sus clientes y luego, utilizando fuentes abiertas y principalmente recursos en Internet, recopilan datos relevantes para su investigación. Pueden investigar dominios y direcciones IP, empresas, personas, problemas, transacciones financieras y otros objetivos en su trabajo. Sus objetivos son recopilar, analizar e informar sus hallazgos objetivos a sus clientes para que los clientes puedan obtener información sobre un tema o problema antes de actuar.
¿Por qué es importante este papel? Hay una gran cantidad de datos a los que se puede acceder en Internet. El problema que tienen muchas personas es que no entienden cuál es la mejor manera de descubrir y recopilar estos datos. Los investigadores de OSINT tienen las habilidades y los recursos para descubrir y obtener datos de fuentes de todo el mundo. Apoyan a personas en otras áreas de ciberseguridad, inteligencia, militar y empresarial. Son los buscadores de cosas y los conocedores de secretos.
Cursos SANS recomendados: SEC487 (Certificación GOSI), SEC587 y FOR578 (Certificación GCTI).
12: Director de estrategias tecnológicas
Este experto define las estrategias tecnológicas en conjunto con los equipos de desarrollo, evalúa el riesgo, establece estándares y procedimientos para medir el progreso y participa en la creación y desarrollo de un equipo fuerte.
¿Por qué es importante este papel? Con una amplia gama de tecnologías en uso que requieren más tiempo y conocimiento para administrar, una escasez global de talento en seguridad cibernética, una migración sin precedentes a la nube y el cumplimiento legal y regulatorio que a menudo aumenta y complica aún más el asunto, un director técnico juega un papel clave. en las operaciones exitosas de una organización.
Cursos SANS recomendados: MGT516, SEC566 (Certificación GCCC), MGT551 y SEC557.
13: Analista de seguridad en la nube
El analista de seguridad en la nube es responsable de la seguridad en la nube y de las operaciones diarias. Este rol contribuye al diseño, la integración y la prueba de herramientas para la gestión de la seguridad, recomienda mejoras de configuración, evalúa la postura general de seguridad en la nube de la organización y proporciona experiencia técnica para la toma de decisiones de la organización.
¿Por qué es importante este papel? Con un cambio sin precedentes de las soluciones locales tradicionales a la nube y la escasez de expertos en seguridad en la nube, esta posición ayuda a una organización a posicionarse de manera inteligente y segura en un entorno multinube necesario para el mundo empresarial actual.
Cursos SANS recomendados: SEC488 (Certificación GCLD), SEC510 (Certificación GPCS), SEC541, SEC401 (Certificación GSEC), SEC588 (Certificación GCPN), SEC557 y FOR509.
14: Detección de intrusiones / (SOC) Analista
Los analistas del Centro de operaciones de seguridad (SOC) trabajan junto con los ingenieros de seguridad y los administradores de SOC para implementar la prevención, detección, monitoreo y respuesta activa. Al trabajar en estrecha colaboración con los equipos de respuesta a incidentes, un analista de SOC abordará los problemas de seguridad cuando se detecten, de manera rápida y efectiva. Con buen ojo para los detalles y las anomalías, estos analistas ven cosas que la mayoría de los demás pasan por alto.
¿Por qué es importante este papel? Los analistas de SOC ayudan a las organizaciones a tener una mayor velocidad para identificar ataques y solucionarlos antes de que causen más daños. También ayudan a cumplir con los requisitos reglamentarios que requieren monitoreo de seguridad, gestión de vulnerabilidades o una función de respuesta a incidentes.
Cursos SANS recomendados: SEC450 (certificación GSOC), FOR608, FOR508 (certificación GCFA), SEC511 (certificación GMON), SEC555 (certificación GCDA), SEC503 (certificación GCIA), FOR572 (certificación GNFA) y SEC504 (certificación GCIH), MGT551 (Certificación GSOM).
15: Oficial de concientización sobre seguridad
Los responsables de concienciación sobre seguridad trabajan junto con su equipo de seguridad para identificar los principales riesgos humanos de su organización y los comportamientos que gestionan esos riesgos. Luego, son responsables de desarrollar y administrar un programa continuo para capacitar y comunicarse de manera efectiva con la fuerza laboral para exhibir esos comportamientos seguros. Los programas altamente maduros no solo impactan el comportamiento de la fuerza laboral, sino que también crean una sólida cultura de seguridad.
¿Por qué es importante este papel? Las personas se han convertido en los principales impulsores de incidentes y violaciones en la actualidad y, sin embargo, el problema es que la mayoría de las organizaciones aún abordan la seguridad desde una perspectiva puramente técnica. Su papel será clave para permitir que su organización cierre esa brecha y aborde también el lado humano. Podría decirse que es uno de los campos más importantes y de más rápido crecimiento en la ciberseguridad en la actualidad.
Cursos SANS recomendados: MGT433 (certificación SSAP), MGT521 y MGT512 (certificación GSLC).
16: Investigador de vulnerabilidades y desarrollador de exploits
En este rol, trabajará para encontrar días 0 (vulnerabilidades desconocidas) en una amplia gama de aplicaciones y dispositivos utilizados por organizaciones y consumidores. ¡Encuentra vulnerabilidades antes que los adversarios!
¿Por qué es importante este papel? Los investigadores encuentran constantemente vulnerabilidades en productos y aplicaciones populares que van desde dispositivos de Internet de las cosas (IoT) hasta aplicaciones comerciales y dispositivos de red. Incluso los dispositivos médicos como las bombas de insulina y los marcapasos son objetivos. Si no tenemos la experiencia para investigar y encontrar este tipo de vulnerabilidades antes que los adversarios, las consecuencias pueden ser graves. Cursos recomendados asociados
Cursos SANS recomendados: SEC660 (Certificación GXPN), SEC760, SEC661 y SEC670.
17: Pen Tester de aplicaciones
Los probadores de penetración de aplicaciones prueban la integridad de la seguridad de las aplicaciones y las defensas de una empresa mediante la evaluación de la superficie de ataque de todos los servicios basados en web vulnerables dentro del alcance, las aplicaciones del lado del cliente, los procesos del lado del servidor y más. Imitando a un atacante malicioso, los pentesters de aplicaciones trabajan para eludir las barreras de seguridad para obtener acceso a información confidencial o ingresar a los sistemas internos de una empresa a través de técnicas como el giro o el movimiento lateral.
¿Por qué es importante este papel? Las aplicaciones web son fundamentales para realizar operaciones comerciales, tanto internas como externas. Estas aplicaciones a menudo usan complementos de código abierto que pueden poner estas aplicaciones en riesgo de una violación de seguridad.
Cursos SANS recomendados: SEC504 (Certificación GCIH), SEC522 (Certificación GWEB), SEC542 (Certificación GWAPT), SEC552, SEC560 (Certificación GPEN), SEC588 (Certificación GCPN), SEC642, SEC661 y SEC760.
18: Consultor de evaluación de seguridad de ICS/OT
Un pie en el emocionante mundo de las operaciones ofensivas y el otro pie en los entornos críticos de control de procesos esenciales para la vida. Descubra las vulnerabilidades del sistema y trabaje con los propietarios y operadores de activos para mitigar los descubrimientos y evitar la explotación por parte de los adversarios.
¿Por qué es importante este papel? Los incidentes de seguridad, tanto intencionales como accidentales, que afectan a OT (principalmente en los sistemas ICS) pueden considerarse de alto impacto pero de baja frecuencia (HILF); no suceden con frecuencia, pero cuando suceden, el costo para la empresa puede ser considerable.
Cursos SANS recomendados: SEC560 Certificación GPEN), ICS612, ICS515 (Certificación GRID), ICS456 (Certificación GCIP) e ICS410 (Certificación GICSP), ICS418.
19: Ingeniero DevSecOps
Como ingeniero de DevSecOps, desarrolla capacidades de seguridad automatizadas aprovechando las mejores herramientas y procesos para inyectar seguridad en la canalización de DevOps. Esto incluye liderazgo en áreas clave de DevSecOps, como gestión de vulnerabilidades, monitoreo y registro, operaciones de seguridad, pruebas de seguridad y seguridad de aplicaciones.
¿Por qué es importante este papel? DevSecOps es una respuesta natural y necesaria al efecto de cuello de botella de los modelos de seguridad más antiguos en la tubería de entrega continua moderna. El objetivo es cerrar las brechas tradicionales entre la TI y la seguridad al mismo tiempo que se garantiza la entrega rápida y segura de las aplicaciones y la funcionalidad comercial.
Cursos SANS recomendados: SEC522 (Certificación GWEB), SEC540 (Certificación GCSA), SEC510 (Certificación GPCS) y SEC534
20: Analista de explotación de medios
Este experto aplica habilidades forenses digitales a una plétora de medios que abarcan una investigación. Si la investigación de delitos informáticos le emociona y desea hacer una carrera en la recuperación de sistemas de archivos que han sido pirateados, dañados o utilizados en un delito, este puede ser el camino para usted. En este puesto, ayudará en los exámenes forenses de computadoras y medios de una variedad de fuentes, con el fin de desarrollar evidencia sólida desde el punto de vista forense.
¿Por qué es importante este papel? A menudo eres el primero en responder o el primero en tocar la evidencia involucrada en un acto delictivo. Los casos comunes involucran terrorismo, contrainteligencia, aplicación de la ley y amenazas internas. Usted es la persona en la que se confía para llevar a cabo la explotación de medios desde la adquisición hasta el informe final y es una parte integral de la investigación.
Cursos SANS recomendados: FOR308, FOR500 (certificación GCFE), FOR608, FOR508 (certificación GCFA), FOR572 (certificación GNFA), FOR585 (certificación GASF), FOR518 (certificación GIME) y FOR498 (certificación GBFA).
Fuente: SANS