Por: Natalia Godyla, gerente de marketing de productos de seguridad de Microsoft y Heath Adams, CEO de TCM Security.
La comunidad de seguridad cambia, crece y aprende de manera continua unos de otros para posicionar mejor al mundo contra las ciberamenazas. En la última publicación de nuestra serie de blogs Voice of the Community, la gerente de marketing de productos de seguridad de Microsoft, Natalia Godyla, habla con Heath Adams, director ejecutivo (CEO) de TCM Security sobre ser un mentor, contratar nuevos talentos de seguridad, certificaciones, capacitación, el futuro de la formación en ciberseguridad, y mucho más.
Natalia: ¿Qué les recomiendas a los líderes de seguridad preocupados por la escasez de talento?
Heath: Tiene que haber más apertura y alejarse de la vigilancia. En esta industria, hay mucho de «Pasé por este camino, así que debes seguir por este camino». O «Hice estas certificaciones, por lo que debe hacer estas certificaciones». Todos quieren a este candidato perfecto, alguien que tenga 10 años de experiencia, incluso cuando no es necesario que lo necesitan. Necesitamos poder tomar a alguien que sea más joven, a quien podamos ayudar a entrenar. O tomar a alguien con sin antecedentes.
Como gerente, estén abiertos a más que solo lo que se encuentra en la descripción del trabajo de Recursos Humanos. Y estar abiertos a nuevas personas con diferentes antecedentes. La gente viene de todos los ámbitos de la vida y grupos de edad. Entonces, si dejan de lado esos sesgos y solo consideran a la persona que está frente a ustedes, eso ayudará con la escasez de trabajo y ayudará a cerrar la brecha de talento.
Natalia: ¿Y cómo ha cambiado la pandemia las habilidades en ciberseguridad y el cambio al trabajo híbrido?
Heath: Creo que ha sido positivo. En nuestro campo, la capacidad de trabajar de forma remota siempre estuvo presente. Pero la pandemia cambió las cosas, por lo que más empresas comienzan a darse cuenta de ese hecho. He trabajado como probador de penetración donde tuve que mudarme, a pesar de que trabajaba fuera de mi casa el 95 por ciento del tiempo. Ahora, más empresas han comenzado a abrir los ojos al talento que no es local. Ya no tienen que buscar en los grandes mercados; pueden mirar a alguien del otro lado del país que estudie ciberseguridad, y puede ser un activo para su equipo.
Hice muchas transmisiones de Twitch durante el cierre y noté que nuestras transmisiones eran mucho más grandes que antes. Teníamos más gente que nos miraba, más gente interesada. Hay muchas personas que aprovecharon el cierre para decir: “Oye, este es mi momento para concentrarme. Quiero una nueva carrera”. Hay trabajos bien pagados y hay trabajo remoto. Y como mencioné, no necesita una formación o título específico para ingresar a este campo. La gente puede venir de todos los ámbitos de la vida. Creo que la pandemia ayudó a arrojar luz sobre eso.
Natalia: Eres muy conocido como The Cyber Mentor™ (El Ciber Mentor). ¿Cómo ha impactado la mentoría en tu carrera?
Heath: Me mantiene en la cima de mi juego. Tengo que ser capaz de orientar a las personas y no quiero dar mala información, por lo tanto, me aseguro de estar al tanto de los cambios en la industria, hacia dónde se dirigen los trabajos y cómo entrevistar de manera correcta, todo lo cual parece cambiar de un año a otro. Me ayuda a mantenerme en contacto con la próxima generación que también ha comenzado a entrar en el campo de la seguridad.
Natalia: ¿Tienes tus propios mentores que te ayuden a progresar en tu carrera?
Heath: Se me ocurrió lo que llamo “tutoría comunitaria”. Tengo una comunidad de Discord y la usamos para alentar a otras personas a retribuir. Deseas poder ayudar a las personas cuando lo necesiten u obtener ayuda cuando la necesites mientras aprenden unos de otros. Cuando llega el momento de establecer contactos o de necesitar un trabajo, eso es muy útil. Para mí, se trata más de estar donde hay grupos de personas de ideas afines. Tengo muchos amigos que son dueños de empresas de pruebas de penetración y nos reunimos, almorzamos y hablamos de estrategias. ¿Qué haces? ¿Qué hago? Ese es el tipo de tutoría que tenemos entre nosotros; solo asegurándonos de mantenernos en contacto unos con otros, y pensar en cosas nuevas.
Natalia: ¿Cuáles son las mayores dificultades para los jóvenes aprendices que intentan desarrollar sus habilidades? ¿Y cómo pueden los líderes abordar esos desafíos?
Heath: Para una persona que busca conseguir un puesto, hay algunas cosas que debe recordar. Una es asegurarse de gatear antes de caminar, caminar antes de correr. Usaré la piratería como ejemplo. Mucha gente se emociona con la piratería y piensa que suena increíble. “¿Puedes recibir dinero para hackear algo? ¡Quiero hacer eso!» Y tratan de saltar directo a ella sin desarrollar conjuntos de habilidades fundamentales, aprender las partes de una computadora o aprender a hacer redes de computadoras o solucionar problemas básicos. Lo que le digo a la gente es que rompa y arregle las computadoras. Comprender el hardware básico, las redes informáticas básicas, qué son las direcciones IP, qué es una subred. Comprender algo de codificación, como Python. No necesitan una formación en informática, pero tener esas habilidades fundamentales será de gran ayuda.
Si no ponen cimientos debajo de una casa, se derrumbará. Entonces, deben pensar en su carrera de la misma manera. Deben asegurarse de que construyen una base. La gente no se da cuenta de la cantidad de esfuerzo que implica ingresar al campo. Hagan su debida diligencia de antemano.
También hay mucho síndrome del impostor en la ciberseguridad. Le digo a la gente que no se preocupe por los demás, en especial en las redes sociales. Dicen que la comparación es la ladrona de la alegría, y yo lo creo de verdad. Tienen que asegurarse de que corren su propia carrera. Incluso si corren la misma milla que otra persona, y ellos la terminan en 5 minutos, y ustedes la terminan en 10; de todos modos, terminan la misma milla. Lo que importa es que llegaron allí. Mientras traten de ser mejor de lo que eran ayer, llegarán mucho más lejos de lo que creen.
Por último, la ciberseguridad es un campo que está en constante cambio. Para alguien que es complaciente, que quiere obtener un título, conseguir un trabajo y luego está listo, la ciberseguridad no es la opción adecuada. La ciberseguridad es para alguien que está interesado en aprender de manera constante porque siempre hay nuevas vulnerabilidades. Solo estaba la vulnerabilidad de Log4J que causó preocupación a todos. Tuve una reunión hoy con un cliente, y si no estoy preparado, lo voy a decepcionar. También defraudo su seguridad. Estudié todo el fin de semana porque tenía que hacerlo. Ese es el negocio en el que estamos.
También deben estar al tanto de esto desde el punto de vista del empleador, el poder capacitar a las personas y mantenerlas actualizadas. TCM Security tiene una base donde queremos que estén nuestros empleados, y luego los alentamos a adquirir conocimientos donde más les interese. Me enviaron a un entrenamiento en el que no tenía ningún interés y quería arrancarme los pelos. Como gerente, pregunto: «¿Qué quieres aprender?» Cuando envío a un empleado a una capacitación en seguridad cibernética que le interesa, retendrá mucho mejor esa información. Luego pueden devolvernos esa información y podemos usarla en escenarios del mundo real.
Natalia: ¿Cómo pueden los líderes de seguridad reclutar mejor a los profesionales de seguridad para sus equipos? ¿Qué deben tener en cuenta? Por ejemplo, ¿Qué importancia tienen las certificaciones?
Heath: Para un puesto de nivel de entrada, las certificaciones son importantes. Su importancia disminuye una vez que entras en el campo. Pero soy un defensor de ellos; ayudan a demostrar cierto conocimiento, al igual que tener un blog, asistir a una conferencia, construir un laboratorio en casa, hablar en una conferencia, hablar en un grupo comunitario local, cualquier cosa que diga: «Me apasiona la seguridad».
He visto algunos roles de nivel de entrada en los que los entrevistadores te piden que codifiques algo, o que arregles un código roto, solo para asegurarse de que comprendes de manera lógica lo que está sucede. No tienes que ser un desarrollador o saber codificar, pero debes poder entender lo que está frente a ti. Tener algunos desafíos de codificación durante el proceso de contratación puede ser beneficioso, pero debería ser un libro abierto. Para un profesional de seguridad, usar la búsqueda es el 90 por ciento de nuestro trabajo. Si limitas que alguien busque en línea, creas falsas expectativas.
Vuelvo y vuelvo a ver videos y releo blogs todo el tiempo, porque hay muchos comandos diferentes y no hay forma de memorizarlos todos. Pero necesitas entender los conceptos. Si comprendes la herramienta que podrías necesitar para ejecutar o el concepto de esta, entonces puedes buscarla, encontrar la herramienta y ejecutarla. Eso es más importante.
Natalia: Todos hemos leído las estadísticas sobre el agotamiento en la industria de la seguridad. ¿Qué recomiendas para los líderes que quieren retener mejor su talento?
Heath: Deben estar a favor de la salud mental. Asegúrense de que haya suficiente tiempo libre remunerado (PTO, por sus siglas en inglés) y animen a los empleados a usarlo. Además, asegúrense de que sus empleados puedan tomarse tiempo libre más allá del PTO. Si están enfermos, no deberían sentir que defraudan a la gente. Por eso tenemos horarios flexibles; trabajamos con una semana laboral de 32 horas. Tratamos de devolverle a la gente la mayor cantidad de tiempo y tener un equilibrio entre el trabajo y la vida. También pagamos la capacitación, para que las personas puedan ir y concentrarse en los temas que les interesan. Nos aseguramos de invertir en nuestros empleados. Es mucho más caro volver a contratar y volver a capacitar. Prefiero invertir en un empleado y mantener su salud mental en un alto nivel, y asegurarme de brindarles todas las herramientas y la capacitación que necesitan para desempeñarse con éxito.
Natalia: ¿Qué tendencias has visto en las habilidades de ciberseguridad? ¿Qué crees que vendrá después en términos de cómo se capacita, contrata y retiene a los profesionales de la seguridad?
Heath: Hay más personas interesadas en el campo, y eso es genial. Hemos comenzado a ver muchos más proveedores de formación y opciones de formación. Antes, cuando comencé, gran parte era solo leer publicaciones de blog, y tal vez había uno o dos proveedores de capacitación. Ahora, hay 10 o 15.
La información errónea puede estar disponible o la información desactualizada. Si buscan empresas de certificación en línea, o incluso miran una publicación en línea de hace un año, esa información podría estar desactualizada. Entonces, de nuevo, esto se trata de la diligencia debida y de asegurarse de que investigan, y no solo confían en una fuente. Si fuera a buscar certificaciones para entrar en este campo, buscaría en 20 o 30 recursos diferentes, obtendría un consenso sobre qué son las encuestas más altas y luego haría mi propia investigación sobre esas organizaciones. Es una excelente práctica de habilidades laborales investigar y asegurarse de que comprenden a dónde deben ir.
Conozcan más
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
Descargo de responsabilidad: Las opiniones expresadas aquí son sólo del autor y no representan las opiniones de Microsoft Corporation.
