Atención médica a Pentesting: lo que aprendí

Nov 07 2022
¡Hola! Mi nombre es Lou y actualmente trabajo en seguridad ofensiva como probador de penetración, enfocándome principalmente en probar aplicaciones web. Este también es mi primer trabajo en ciberseguridad.

¡Hola! Mi nombre es Lou y actualmente trabajo en seguridad ofensiva como probador de penetración, enfocándome principalmente en probar aplicaciones web. Este también es mi primer trabajo en ciberseguridad. Quiero compartir información que puede ser útil para alcanzar sus objetivos en ciberseguridad. Lo que leerá es más una descarga de cerebro que una guía completa, pero a veces solo se necesitan unas pocas palabras para mejorar la perspectiva de uno y aumentar la probabilidad de éxito. Este es mi intento de hacer eso por ti.

Descargo de responsabilidad : la última sección de este artículo, "CÓMO CONSEGUIR UN TRABAJO" ya se compartió en LinkedIn en una publicación que hice hace varios meses, pero pensé que no estaría de más incluirla al final de este artículo, ya que es muy relevante para el tema.

El propósito de este artículo:

  • contextualizar mi perspectiva brindando un poco sobre mis antecedentes (¿a quién no le gusta una historia?).
  • ofrece consejos del tamaño de un byte para ayudarlo en la transición a pentesting/ciberseguridad.
  • compartir algunas estrategias específicas que me ayudaron a conseguir mi primer trabajo en ciberseguridad.

Mi primera carrera fue en el cuidado de la salud, que inicialmente sirvió bien a mis intereses y pasiones. Sin embargo, avancé unos años hasta principios de 2021 y comencé a sentirme muy agotado. Esto fue por múltiples razones que no explicaré en detalle, pero una razón importante fue sentirme insatisfecho en mi carrera. La pasión por mi carrera en fisioterapia ahora está obsoleta y las oportunidades para mejorar mis habilidades profesionales de una manera significativa (que afectó los resultados del tratamiento) son inexistentes, me sentí realmente infeliz. No soy Mark Cuban ni nada por el estilo, pero me considero una persona bastante ambiciosa. Entonces, si por alguna razón no puedo mejorar significativamente mis habilidades, o no hay oportunidades disponibles para la movilidad lateral o ascendente, me siento estancado e infeliz.

Le expliqué cómo me sentía a mi esposa (gracias a mi increíble esposa) y ella estuvo de acuerdo con mi perspectiva y me animó a investigar otras carreras en las que podría estar interesado. Después de que descubrí la ciberseguridad y supe que era un desafío, interesante y carrera lucrativa, elaboré un plan para entrar en la industria. “¿Cómo me califico mejor?” Era una pregunta difícil de responder, pero entendí en ese momento que obtener un título probablemente era un lugar sólido para comenzar. No estaba loco por volver a la escuela, pero razoné que debería comenzar en algún lugar, y cambiar a otra estrategia más adelante siempre fue una opción. El primer gran obstáculo que encontré tuvo lugar 4 meses después de mi programa de grado, cuando atrapé el error de pentesting. Después de una intensa contemplación,

Parte de seguir sus consejos significaba alejarme del programa de grado y concentrarme en obtener habilidades específicas que necesitaría para ser pentester, a las que no estuve expuesto en el programa de grado. Si desea obtener más detalles sobre dónde comenzar y qué pasos recomendaría seguir para iniciar su carrera en el pentesting, no dude en comunicarse conmigo en LinkedIn y estaré encantado de ofrecerle mi opinión. En este punto, mis días consistían en esforzarme de 9 a 5 y luego volver a casa todas las noches y estudiar tanto como podía. Cuando no estaba estudiando, me comunicaba con personas en LinkedIn, establecía conexiones y trataba de conocer personas que pudieran ayudarme a alcanzar mi objetivo de convertirme en un pentester. Como resultado de la creación de redes en LinkedIn, conocí a un gran tipo que me ayudó a conseguir un trabajo como pentester en la empresa para la que trabajaba, donde he trabajado desde entonces.

PENSAMIENTOS SOBRE ENTRAR EN PENTESTING

Mucha gente tiene opiniones firmes con respecto a la experiencia previa necesaria para conseguir un trabajo en pentesting. Algunos dicen que debe tener muchos años de experiencia en TI y/o ciberseguridad, y otros dicen que es suficiente para aprender los fundamentos y llenar los vacíos en el camino. Mi experiencia es que ninguna de las partes está equivocada. Sin embargo, la verdad es que, para ser un pentester competente, lo ideal es que posea una base de conocimientos técnicos amplia y bastante profunda, que suele tardar años en desarrollarse. Tiene la tarea de probar muchos tipos diferentes de tecnología, y es difícil que sea efectivo a menos que, como mínimo, posea una comprensión fundamental de cómo funciona. Cualquiera puede hackear, pero hacerlo bien requiere conocimiento y habilidad. La única forma de desarrollar conocimientos y habilidades es aprendiendo y haciendo, con el tiempo.

Es casi imposible conseguir un trabajo de pentesting, o cualquier trabajo relacionado con la tecnología, sin ningún conocimiento de la tecnología. Eso sería un poco tonto intentarlo, de todos modos. Quiero decir, ya es bastante difícil conseguir un trabajo en pentesting con experiencia en ciberseguridad. Es aún más difícil conseguir un trabajo en pentesting sin ninguno. Tuve la suerte de conocer a algunas personas excelentes que se arriesgaron conmigo y estaban dispuestas a capacitarme y permitirme fallar con gracia cuando cometía errores. Por supuesto, también trabajé diligentemente para aprender tanto como fuera posible antes y después de que me contrataran. Pero si te apasiona el tema, esto no es una tarea.

Cuando comencé mi trabajo de pentesting, obtuve CompTIA Net+ y A+, pero no podía ofrecer ninguna experiencia demostrable trabajando en TI o ciberseguridad. La realidad es que, para hacer del pentesting su primera carrera en TI, tendrá que conocer a las personas adecuadas en el momento adecuado en el ciclo de contratación de su empresa, pero, además, será necesario el aprendizaje extracurricular para progresar lo suficientemente rápido como para que su empleador vea un retorno de su inversión. Sin embargo, obviamente no tienes que empezar con el pentesting. Siempre puede comenzar en TI u otra función de seguridad cibernética, y luego hacer la transición a pentesting más tarde, si lo que quiere hacer es pentesting.

Para resumir mis antecedentes, fui muy afortunado de recibir la oportunidad que tuve, pero mis victorias en este campo pueden explicarse por algo más que la buena fortuna, por eso escribí este artículo. Lo que sigue es una recopilación de ideas que me han ayudado a pasar de un puesto de atención médica, sin conocimientos previos de TI, a una carrera satisfactoria en seguridad ofensiva.

CONSEJOS DEL TAMAÑO DE UN BYTE PARA AYUDARLE A TENER ÉXITO

es un campo enorme

Abra la puerta a la ciberseguridad, mire a su alrededor y verá muchas habitaciones, habitaciones dentro de habitaciones. Se siente como si hubiera infinitas posibilidades. Honestamente, puede ser abrumador si no sabes lo que quieres hacer. Pero la buena noticia es que existe una solución: ¡simplemente comience en algún lugar! Tendrás que investigar un poco al principio y encontrar algo que te guste. Pero luego comienza a aprender cosas hasta que encuentres tu nicho. Es útil saber un poco sobre muchos temas, pero a medida que continúa aprendiendo, intente encontrar algo en lo que le gustaría especializarse y luego concéntrese en eso; puedes ramificar tus estudios desde allí. Por ejemplo, si la seguridad de las aplicaciones es más interesante para usted que la seguridad de la red, dedique más tiempo a la primera, pero trate de obtener una comprensión básica de la segunda.

Necesitas un titulo??

Uf, la temida pregunta de grado. La respuesta: ¡depende! Lo sé... lo sé, molesto. Mi experiencia e investigación personal indican que algunas empresas contratarán a un candidato que no tenga las calificaciones tradicionales si él o ella puede demostrar su valor de otras maneras (siga leyendo para obtener más detalles al respecto). Por el contrario, muchas empresas definitivamente solo buscan personas con títulos que puedan realizar la mayoría de las funciones laborales requeridas poco después de la contratación. Depende de la empresa y también de dónde se encuentren en su ciclo de contratación. He hablado con muchas personas que se han encontrado con gerentes de contratación dispuestos a considerar candidatos que no tienen títulos, pero lo compensan demostrando fuertes habilidades blandas y pasión por la ciberseguridad.

Poner fin al debate sobre la certificación

Antes de los humanos estaba el debate sobre el valor de las certificaciones. La eterna pregunta: ¿tienen valor las certificaciones? Bueno, he hecho algunas observaciones. Algunas certificaciones se verán bien en un currículum debido a su reconocimiento en la industria (merecido o no), y de hecho elevarán su atractivo para un gerente de contratación. Tenga en cuenta que esto puede aumentar sus posibilidades de obtener una entrevista, pero no necesariamente de obtener una oferta de trabajo (tendrá que pasar la entrevista técnica para obtener una oferta). Otras certificaciones pueden aumentar legítimamente su conocimiento y nivel de habilidad y, por lo tanto, ayudarlo a realizar mejor su trabajo. Algunas certificaciones hacen ambas cosas ; algunas certificaciones no lo hacen .

Entonces, creo que la mejor manera de abordar las certificaciones es primero determinar su objetivo y luego aprovechar una certificación adecuada para lograr ese objetivo. Solo tenga en cuenta que no debe esperar que una certificación lo transforme en un experto. Los veteranos de la industria le dirán que hay muchas personas excepcionalmente calificadas en esta industria que no tienen certificaciones ni títulos. Conocimiento. Habilidades. Experiencia. Eso es lo que tienen, y eso es lo que realmente quieres si quieres tener éxito en esta industria. Si una certificación puede ayudarlo a obtenerlos, entonces probablemente valga la pena considerarlo. Sin embargo, no creo que haya nada de malo en rellenar un poco el currículum, siempre que también esté aumentando su competencia, a través de un curso de certificación o de otra manera. Investigue y obtendrá una buena impresión de qué certificaciones marcan qué casillas.

Aprende, aprende, aprende… y gratis

Una vez que se interese en un tema o trayectoria profesional en particular, investigue las habilidades que necesitará y luego sumérjase en el contenido de aprendizaje relevante. Consulte podcasts, videos de YouTube, comunidades en línea, laboratorios virtuales, etc. Existen innumerables recursos en Internet que ofrecen educación de calidad de forma gratuita. Empieza a googlear.

Evita a los detractores

Cuando se trata de cómo uno "debe" ingresar a la industria, la gente... no está de acuerdo. He observado algunos campamentos distintos. Un campo cree que debe comenzar desde "abajo" en un rol como el de la mesa de ayuda; otro insiste en que la experiencia en administración de sistemas, redes y/o programación es absolutamente necesaria; Otro campo es seguro que cualquiera puede saltar directamente a un rol de seguridad con solo una comprensión básica de los conceptos de TI y una gran pasión por el tema. Mi experiencia sugiere que el último campamento probablemente sea correcto. Sin embargo, no creo que ninguna de estas perspectivas esté equivocada .

Creo que la respuesta probablemente depende del contexto y la preferencia personal. Por ejemplo, si es más joven y acaba de empezar en el mundo laboral, inicialmente pasar tiempo en un rol de administrador del sistema tiene mucho sentido. La experiencia definitivamente generará conocimientos y habilidades que harán su vida mucho más fácil cuando haga la transición a la ciberseguridad. Comprender los conceptos de seguridad será más un proceso intuitivo, en lugar de lidiar constantemente con lo desconocido. Para aquellos de nosotros que hacemos la transición a la ciberseguridad como una segunda o tercera carrera, un poco más de urgencia entra en la ecuación. En este contexto, creo que es más razonable considerar la transición directamente a un rol de ciberseguridad. Esta es solo mi opinión, y ciertamente no pretendo ser correcta. Sin embargo,

“Encuentra a los ayudantes…”

En una cita que siempre me ha gustado, el Sr. Rogers nos recuerda sabiamente que no importa lo mal que parezcan las cosas a veces, todavía hay muchas personas solidarias en el mundo, los ayudantes, y hay que encontrarlos. Te encontrarás con personas que son indiferentes a ayudar a los demás, o francamente tóxicas, pero también habrá personas que estén genuinamente interesadas en ayudar a las personas. Encuentre a los ayudantes: lo ayudarán a tener éxito en su carrera de seguridad cibernética.

Encuentra algunos amigos

Es bueno tener amigos. Y en ciberseguridad, cada día se siente como una lucha alegre para mejorar su conjunto de habilidades mientras se le recuerda siempre que todavía hay mucho por aprender. Es muy divertido tener amigos en la comunidad que puedan compartir esa lucha contigo. Pueden estar allí para experimentar sus éxitos, así como sus fracasos, y brindarle aliento cuando lo necesite. Este campo es muy desafiante y todos necesitan aliento de vez en cuando.

Evite la sobrecarga de información

Muchos recursos de formación, bootcamps, certificados, certificaciones y títulos te darán a conocer su existencia. No se preocupe por comenzar por el camino perfecto , ya que es probable que deba ajustar su trayectoria de aprendizaje en algún momento de todos modos. Además, el camino perfecto no existe, simplemente comenzar por un camino es la clave. La amplitud de las opciones de capacitación puede ser abrumadora, pero haga todo lo posible para reducir el enfoque de su carrera, encuentre algunos recursos de aprendizaje de alta calidad y dedique todo el tiempo que pueda a ellos.

Prepárate para recibir la buena fortuna

Este es enorme. Las oportunidades solo son útiles si estás listo para aprovecharlas. No envíe un montón de currículos para un trabajo que requiera buenas habilidades de comunicación si aún no ha desarrollado esas habilidades. Porque cuando llegue el momento de la entrevista para ese trabajo, no estarás listo y la oportunidad se habrá perdido. Antes de que llegue el día de la entrevista, asegúrese de saber cuáles son las expectativas para el trabajo y que está listo para cumplirlas. Si no tiene todas las calificaciones en la descripción del trabajo, no deje que eso lo detenga, solo asegúrese de haberse preparado lo mejor que pueda y tenga un plan para lograr esas calificaciones que pueda compartir con el gerente de contratación. .

Habilidades blandas: sé suave

Las habilidades técnicas lo llevarán lejos, pero las habilidades de comunicación lo llevarán más lejos. Lo escucharás mucho. Y hay mucho de verdad en ese sentimiento. Trabaje en refinar su habilidad para articular sus pensamientos con claridad, tanto verbalmente como por escrito. Además, la capacidad de proyectar confianza y desarrollar una presentación impresionante de ti mismo cuando te entrevisten será absolutamente fundamental para vencer a otros candidatos que están más calificados tradicionalmente. Escuché muchas historias de candidatos de nivel junior que prevalecieron sobre candidatos de nivel senior en entrevistas, en gran parte debido a la fortaleza de sus habilidades de comunicación y simplemente por ser simpáticos. Trate de sonreír y transmitir personalidad tanto como sea posible porque también están evaluando si encajará o no en la cultura.

Red (en LinkedIn)

¡La red! En pocas palabras, logré obtener un trabajo en seguridad cibernética porque me conecté en LinkedIn. Me conecté con innumerables profesionales en el campo y seguí conectándome hasta que alguien me dio una oportunidad. El volumen de las conexiones importa, creo que más suele ser mejor, pero la calidad de las conexiones suele determinar su utilidad. Haz tantas conexiones sólidas como puedas. Mi experiencia personal indica que las personas con las que más hablo en LinkedIn son las que están más dispuestas a apoyar mi carrera. Comience a conectarse con personas en LinkedIn y desarrolle tantas relaciones de calidad como tenga tiempo para mantener. Discuta lo que le interesa con ellos y hágales preguntas. Si solo incorpora un consejo de este artículo, que sea la creación de redes.

Pasión. Positividad. Perserverancia.

Me refiero a la actitud. Poseer una actitud atractiva será un activo valioso durante su campaña para encontrar trabajo, especialmente ese primer trabajo, porque si aún no tiene habilidades o experiencia, ¿por qué alguien lo contrataría? Bueno, te contratarían por ti. Irradia positividad, pasión y perseverancia, y los demás lo notarán. Por ejemplo, haga comentarios alentadores en las publicaciones de otros, comparta los proyectos en los que está trabajando y encuentre formas de demostrar que está decidido a conseguir un trabajo en este campo.

Bien, eso es todo por consejos generales. La parte final de este artículo es la publicación que mencioné que había hecho en LinkedIn hace un tiempo. Lo he puesto aquí casi sin cambios, como una referencia independiente. Definitivamente hay algo de contenido superpuesto a lo que ya has leído, pero creo que aún vale la pena leerlo porque la forma en que algunos de los conceptos y estrategias te ayudan a conseguir un trabajo se llevan a casa un poco más explícitamente.

CÓMO CONSEGUIR TRABAJO

Ser calculado

Sea muy calculado en la forma en que aborda esta industria. Entender de dónde viene cada empresa. ¿Cuál es su actitud hacia la contratación? A veces, las empresas solo desean contratar personas que puedan comenzar a trabajar, es decir, que tengan experiencia laboral. Esa es su prerrogativa, pero no espere conseguir un trabajo allí si es nuevo en la industria. Es posible, por lo que aún puede valer la pena aplicar, pero las posibilidades son menores que las alternativas.

Algunas empresas tienen tomadores de decisiones apasionados por invertir en personas y ayudarlas a ingresar a la industria, o al menos están más dispuestos a hacerlo: encuentre a estas personas. En mi experiencia, todo se reduce a los que toman las decisiones en la empresa. Si puede encontrar una manera de ser un candidato atractivo para ellos, y también encontrar tomadores de decisiones que estén dispuestos a aceptar a un "novato calificado", digamos, y capacitarlo, entonces las estrellas se han alineado y usted tiene un nivel decente. tiro de conseguir un trabajo.

es un juego de porcentajes

Es un juego de porcentajes, así que descubra formas de obtener una ventaja frente a otros candidatos. Si solo está lanzando solicitudes en las bolsas de trabajo, compitiendo contra un grupo gigante de solicitantes, es probable que pierda ante alguien que está más calificado tradicionalmente. Esa es una perspectiva de trabajo de bajo porcentaje. Aumentas tus probabilidades al conectarte con personas que trabajan en las empresas que te interesan y persuadirlas, a través de tu pasión y dedicación, para que ganen confianza en ti a nivel personal. De esta manera, puede obtener una referencia que responda por usted, y el gerente de contratación puede estar más dispuesto a contratarlo, incluso si carece de experiencia. Entonces, si carece de experiencia y/o habilidades, la clave es encontrar buenas estrategias para sortear esa barrera, no aumentar la producción de malasestrategias. Para llevar esta idea a casa, creo que el enfoque menos efectivo que puede tomar es enviar continuamente su currículum en bolsas de trabajo a grandes empresas que implementan prácticas de contratación rígidas y sin establecer primero ninguna conexión personal a través de redes.

Superar la “barrera de las cualificaciones”

Como candidato de nivel de entrada, elude la "barrera de calificaciones" demostrando a las personas adecuadas (mediante la creación de redes a través de plataformas como LinkedIn) que puede ser una adición saludable a la cultura del lugar de trabajo; también, mostrando pasión, fuertes habilidades blandas y determinación para tener éxito.

¡Gracias por tomarse el tiempo de leer este artículo! ¡Espero que haya sido beneficioso para usted en su búsqueda para hacer realidad sus sueños de ciberseguridad! No dude en comunicarse conmigo en LinkedIn si tiene alguna pregunta o desea ofrecer comentarios sobre el artículo.

© Copyright 2021 - 2022 | unogogo.com | All Rights Reserved