Entrar en la ciberseguridad: ¿autodidacta frente a universitario?


¿Estás considerando una carrera en ciberseguridad? ¿Qué camino (s) de aprendizaje debes tomar? ¿Importa la educación formal? Los expertos de ESET comparten sus thoughts.

Con las amenazas cibernéticas en aumento, los profesionales de la seguridad cibernética son, como era de esperar, un producto candente. Según un reciente estudio realizado por Cybersecurity Ventures, habrá un crecimiento del 350% en puestos abiertos de ciberseguridad de 2013 a 2021 y se estima que, debido a la escasez de talento, habrá 20 millones de vacantes en la industria para 2021.

Con eso en mente, uno de nuestros artículos para marcar el año de este año Día antimalware presenta información de varios investigadores de seguridad de ESET. Les hicimos una serie de preguntas para aprender cómo desarrollaron su experiencia y para reunir sus pensamientos sobre la utilidad de la educación formal as opposed to el autoestudio para convertirse en un profesional de la seguridad.

Aprende todo por ti mismo?

Si bien cada vez más colegios y universidades en todo el mundo ofrecen programas de grado en seguridad informática, lejos de todas las instituciones académicas han lanzado dichos programas. De hecho, muchos expertos en el campo son autodidactas y / o han adquirido sus habilidades a través de diversos cursos y certificaciones no académicos.

Investigador distinguido de ESET Aryeh Goretsky, quien se embarcó en una carrera en seguridad de TI a fines de la década de 1980, señala que en aquel entonces no había cursos o certificaciones específicamente enfocados en la seguridad informática.

“Se enseñó la seguridad informática, pero fue en gran medida en términos de modelos para el manage de acceso, y creo que tendió a centrarse más en el concepto de asegurar los sistemas informáticos de múltiples usuarios y el acceso de los usuarios a ellos siendo visto como más un modelo atómico que como partes de un sistema más grande y más interconectado globalmente. Por lo tanto, las personas que estaban interesadas en el concepto de ciberseguridad, de cómo las computadoras y las redes dispares podrían comportarse entre sí, tuvieron que autodidactas. Algo de eso podría provenir de la lectura de la informática estándar y la ingeniería y los tomos de referencia, y de aprender sobre las operaciones de la computadora y la red, pero parte de ese conocimiento provino de … digamos, experimentación no oficial y muy práctica «, explica.

Esto es repetido por Marc-Etienne M.Léveillé, un investigador de malware en el laboratorio de ESET en Canadá que estudió el desarrollo de program y la ingeniería informática. «Las cosas que he aprendido en la universidad no son directamente relevantes para mi puesto como investigador de seguridad. Tuve que aprender sobre muchos aspectos de la seguridad por mi cuenta ”, dice.

Este es sin duda también el caso con muchos otros expertos. Hay una multitud de recursos de aprendizaje en línea en estos días, incluidos innumerables muchos cursos en línea abiertos (MOOC) para personas con varios niveles de habilidades y experiencia. Además, las redes sociales, especialmente Twitter, y muchos otros servicios en línea, incluido YouTube, ofrecen grandes oportunidades para las personas interesadas en intercambiar conocimientos y experiencias, lo que en última instancia les permite aprender unos de otros.

«Es cierto que la comunidad de tecnología y seguridad está creciendo y muchas personas están felices de compartir sus conocimientos, lo que permite a los recién llegados obtener el apoyo de profesionales establecidos», dice el investigador de ESET Brasil Daniel Cunha Barbosa. «Si bien el autoaprendizaje es un camino posible y es la cantidad de expertos en la industria que recibieron su capacitación, no es la única opción», agrega.

De hecho, si bien los profesionales de seguridad deben continuar aprendiendo por sí mismos y mejorar sus habilidades casi a diario, muchos estarán de acuerdo en que existe un valor innegable en la capacitación académica.

«Si tuviera que hacerlo de nuevo, aún así elegiría ir a la universidad. Ambos me dieron la oportunidad de conocer gente y participar en actividades extracurriculares como concursos y conferencias de seguridad que disfruté tanto. Algunas escuelas también ofrecen pasantías, lo que también ayuda a iniciarse en el campo ”, dice Léveillé.

Programas formales de ciberseguridad

A medida que las amenazas en línea han aumentado dramáticamente, dice Goretsky, también lo ha hecho el deseo de estandarizar los aspectos pedagógicos de aquellos que aprenderían a practicar la ciberseguridad.

“Creo que, en normal, es algo positivo que la amplia gama de educación en ciberseguridad en todos los niveles, no solo en la universidad, esté disponible, sino que también me preocupa su calidad. Necesitamos teóricos tanto como necesitamos operacionalistas, y necesitamos que esas personas conozcan bien los componentes básicos de sistemas muy complejos y complicados. Se puede aprender mucho de eso, pero aún existe una gran necesidad de ser autodidactas que puedan tomar lo que están aprendiendo y construir estructuras e thoughts complejas con ese aprendizaje. ¿Los cursos y certificaciones de posgrado permiten a las personas ampliar lo que aprendieron en la universidad, o fue lo que les enseñaron un marco demasiado limitado o frágil para que pudieran proporcionar una foundation sólida para los conceptos de seguridad cibernética? No lo sé «, agrega.

Cunha Barbosa agrega que “el hecho de que haya programas de especialización y posgrado además de títulos es algo positivo en sí mismo, ya que tener un título que brinde a los futuros expertos fundamentos educativos más amplios les permitirá aprender sobre aspectos de la tecnología que van más allá de la seguridad y finalmente los ayudará a estar mejor preparados para los desafíos ”.

En Canadá, dice Léveillé, los colegios y universidades ahora ofrecen un número creciente de programas de seguridad de la información. “Ahora hay títulos con especialización en seguridad informática. Antes, la única opción period hacer desarrollo de software o redes de computadoras. Los expertos en ciberseguridad necesitan ambos, con un enfoque diferente «, dijo, antes de agregar:» Todavía hay una creciente necesidad en nuestra industria que debemos satisfacer. Con el esfuerzo de los programas educativos, quizás veremos una situación más estable en unos años ”.

La falta de conciencia de carrera de seguridad cibernética

Los jóvenes a menudo tienen dificultades para decidir qué carrera seguir, y muchos terminan la escuela secundaria sin tener una plan clara de lo que quieren hacer a continuación. La seguridad cibernética a menudo no está en el radar de los jóvenes porque muchos de ellos carecen de información suficiente sobre esta carrera, posiblemente menos tradicional, en primer lugar. Quizás más importante: sus suposiciones de lo que realmente implica una carrera en ciberseguridad pueden ser muy inexactas.

“El tropo o la imagen del joven descontento que es un pirata informático y ataca computadoras (o &#39realiza operaciones cibernéticas ofensivas&#39) y gana fama y fortuna o &#39dominio de la información de espectro completo&#39 es atractivo para los jóvenes, pero lo que falta es darse cuenta de que existe es mucho, mucho más para la seguridad cibernética también «, dice Goretsky.

Dicho esto, existe la sensación de que el interés normal en seguir una carrera en seguridad informática ha ido en aumento en los últimos años, lo que en última instancia también puede ayudar a eliminar algunos de los conceptos erróneos comunes.

“Veo muchos más estudiantes interesados ​​en la seguridad informática que cuando yo era estudiante. Antes, era algo en lo que debería estar interesado por su cuenta. Ahora hay empresas y escuelas que alientan a más estudiantes a ingresar al campo. Creo que hay una creciente demanda de la industria, tal vez debido al aumento de los ataques «, dice Léveillé.

Pasando brevemente a la importancia de incorporar la seguridad desde el inicio del desarrollo de computer software, le preguntamos a Léveillé si cree que los planes de estudio de las universidades ofrecen a los estudiantes suficientes oportunidades para aprender los principios de seguridad por diseño.

“Creo que, hoy en día, el desarrollo seguro está bastante bien enseñado. Sin embargo, el problema es que los desarrolladores necesitan el incentivo para aplicar lo que aprenden. El código inseguro debe detectarse durante la revisión del código y bloquearse para que no se incluya en el proyecto. Si los desarrolladores ven que su código es rechazado repetidamente por razones de seguridad, prestarán más atención y desarrollarán los «reflejos» correctos «, dijo.

Conclusión

Dado el rango creciente y la evolución constante de las amenazas, existe claramente una necesidad urgente de capacitar y educar a la próxima generación de profesionales de seguridad de TI y ayuda tapar la brecha de talento de la industria. Las opciones y oportunidades abundan Al remaining del día, el futuro es brillante para las personas que buscan construir una carrera en ciberseguridad.








Resource hyperlink