Original article: How to Get a Cybersecurity Job – Tips from a Hiring Manager

La ciberseguridad es uno de los campos tecnológicos de más rápido crecimiento. Hubo más de 3,5 millones de puestos de trabajo vacantes previstos para finales de 2021. Ha habido una tasa de desempleo del 0% desde 2011 y el gasto en dichos servicios alcanzó los 123 mil millones de dólares en 2020.

Ya sea te hayas graduado recién, o estés buscando hacer un cambio en tu carrera, saber cómo posicionarse mejor en una entrevista puede darte la ventaja.

He estado trabajando en seguridad informática durante más de 10 años y me especialicé en Sistemas de Información Empresarial y Lenguas y Literaturas Clásicas (odiaba las matemáticas, así que la carrera de Informática estaba descartada).

El quid de la cuestión es que no necesitas una formación académica en informática para comenzar en el área de ciberseguridad, solo necesitas tener curiosidad y aplicación a la hora de aprender.

A continuación te presento 10 consejos que he reunido para que puedas orientarte en tu preparación para buscar tu primer o próximo puesto laboral en el área de ciberseguridad.

0. Aplica al trabajo

Olvídate de las calificaciones enumeradas en la publicación del trabajo (bueno, tal vez no del todo). ¿El trabajo parece interesante? ¿Te gustaría trabajar en la empresa? ¿Tienes algunos de los criterios? ¡Entonces aplica!

Con demasiada frecuencia, he visto a personas muy calificadas que no solicitan puestos de trabajo porque sienten que no cumplirán con todos los criterios enumerados. Pero si cree que puede cumplir con algunos de los requisitos, presenta su solicitud y al menos tendrás un diálogo.

A menudo, los gerentes de contratación terminan lanzando todos los requisitos que se les ocurren en la descripción del trabajo, en lugar del mínimo necesario para el puesto. Olvídate también de los requisitos de pregrado: algunas de las empresas más grandes del mundo ya no requieren títulos.

1. Participa en una comunidad de ciberseguridad

Únete a grupos de reuniones locales o participa en competencias Capture the Flag, como las organizadas por la National Cyber League. Estos eventos están abiertos tanto para principiantes como para personas con experiencia, y ayudan a demostrar su pasión y compromiso con el crecimiento de la ciberseguridad.

A menudo instruyo a nuestros reclutadores para que resalten cualquier currículum que encuentren donde vean que el candidato participó en eventos de seguridad cibernética.

En cada entrevista que realizo, siempre pregunto cómo el candidato se mantiene al día con la seguridad cibernética; este es un buen momento para hablar sobre su lista de lectura, proyectos y los eventos y grupos de los que forma parte.

2. Realiza tu propia investigación

Un área en la que veo que los candidatos se destacan del resto es cuando demuestran que han investigado mi empresa y la industria en la que se encuentra. Cada candidato debe estar preparado para responder "¿Qué amenazas ve contra mi empresa y qué consejo le daría a los líderes para mitigar estas amenazas?".

Aún mejor, si conoces el nombre de tu entrevistador antes de la entrevista; dedica un tiempo a investigarlo en LinkedIn para tener una idea de sus antecedentes.
Una de las mejores entrevistas que realicé fue con un candidato que en realidad realizó un reconocimiento en mi empresa antes de la entrevista.

Buscaron la información de mi empresa en Shodan, Google y otras vías para tener una idea de la exposición potencial y una comprensión de nuestra presencia pública.

Nota: No intentes escanear activamente la infraestructura de la empresa ni informar vulnerabilidades durante tu entrevista. Este tipo de actividad se encuentra en el área gris de la legalidad en el mejor de los casos, y probablemente no te ganará la simpatía del entrevistador.

3. Mantente al tanto de las tendencias

Cualquier candidato al que entrevisto, debería poder darme información básica sobre las últimas tendencias en ciberseguridad. Esto incluye poder discutir qué es "WannaCry", sus pensamientos sobre infracciones recientes (como el reciente ataque de SolarWinds) y sus sugerencias sobre cómo prevenir, contener, responder y recuperarse del ransomware.

Dependiendo de la antigüedad, es posible que no espere información técnica detallada, pero se requiere (al menos) una comprensión superficial.

4. La presentación es importante

Si bien puede ser tedioso, debes asegurarte de adaptar tu currículum y carta de presentación para resaltar las áreas de interés que están en línea con la oferta de trabajo. Adapta tu currículum al trabajo que estás solicitando; no agregues una larga lista de información innecesaria.

Introducción

La primera parte del currículum, además de su nombre e información de contacto, debe ser un breve párrafo introductorio que realmente me convenza. Explica lo que traes a la mesa: esta sección te ayuda a diferenciarte de los otros currículos que solo enumeran la experiencia laboral sin dar contexto.


Experiencia laboral

Enumera la posición más actual que tienes y luego continúa con la lista en orden inverso. Prepárate para discutir cualquier brecha notable en el empleo. Si has estado en el ámbito profesional durante bastante tiempo, no necesitas enumerar todas las carreras: 10-15 años es un buen rango para mostrar. Nadie quiere leer un currículum de diez páginas, así que asegúrate de que cada espacio sea relevante. Evita los acrónimos cuando sea posible. Adicionalmente, puedes proporcionar al menos tres viñetas para cada trabajo que figura en el currículum. En caso de hacerlo, asegúrate de que estas viñetas enumeren tus logros y, cuando sea posible. Proporciona números concretos en lugar de texto vago. Por ejemplo, "Logré una reducción de costes del 60%" suena mejor que "Ahorré dinero de la compañía".

Una nota sobre la gramática: Usa el tiempo presente para el trabajo en el que estás trabajando y el tiempo pasado para todos los roles anteriores. Además, utiliza el corrector de gramática y ortografía en el programa de procesamiento de texto. Un currículum mal escrito a menudo es rechazado incluso antes de que se envíe al gerente de contratación.

Membresías profesionales, publicaciones, charlas y certificaciones

Si corresponde, usa esta sección para enumerar las juntas, comunidades u organizaciones profesionales a las que perteneces, así como su membresía (por ejemplo, miembro, director, fundador, etc.). Esto ayuda a mostrarle al gerente de contratación tu participación en la comunidad fuera de su trabajo diario y, en general, te convierte en un candidato más atractivo.

Siéntete libre de agregar membresías relevantes o interesantes fuera de los grupos de seguridad informática, como un líder de tropa de Girl Scouts o un miembro de la junta de una organización sin fines de lucro. Si su publicación o participación como orador está disponible en línea, incluya enlaces al contenido. Por último, enumera tus certificaciones, incluido el organismo emisor y cuándo obtuvo la certificación.

Habilidades técnicas

Ojo con este apartado. Es tentador enumerar todos los términos técnicos bajo el sol aquí, pero debes concentrarte en las habilidades que crees que te convertirán en un activo para el puesto al que se postula.

Mi primer "filtro" aquí es cuando los candidatos colocan "conocimientos genéricos" como"OSI model", "TCP", "IP", "SSH", "Windows operating system", "Mac operating system", o incluso una simple lista de herramientas de seguridad.

Cuando un gerente de contratación ve una sección de habilidades técnicas que solo enumera las herramientas de seguridad, su primer pensamiento suele ser "¿Puede este candidato desempeñarse si no tuviera acceso a estas herramientas?"

Precaución: Si incluyes una habilidad en tu currículum, prepárate para discutirla. Aprendí esto yo mismo en una entrevista en la que me hicieron una serie de preguntas muy técnicas sobre el lenguaje Python simplemente porque lo puse en mi currículum.

5. Desarrolla tus habilidades duras

Habilidades de programación

Si bien no se requiere para muchos roles, presto atención a los currículos que indican que el candidato tiene algún tipo de experiencia en desarrollo o codificación.

Si no tienes experiencia formal en desarrollo, pero puedes hacer algo de programación básica (toda mi "programación" implica tener StackOverflow abierto en una ventana del navegador). Definitivamente, debes incluir eso en su currículum.

Si has contribuido a algún proyecto de código abierto, o has trabajado en el código usted mismo, asegúrate de que también esté resaltado en tu currículum; esto es algo que trato de buscar en los currículums. Sitios como freeCodeCamp, CodeBashing, y LeetCode pueden ayudar a proveer un fundamento sólido en scripting y coding.

Fundamentos tecnológicos

Comprender cómo funciona un sistema es fundamental para poder protegerlo de manera eficiente. Según el puesto que estás solicitando, asegúrate de poder comunicar sobre tecnologías relevantes. De forma que proveas información sobre los ataques y las defensas relevantes para la tecnología.

Por ejemplo, si voy a contratar a un ingeniero de seguridad de redes, espero que el candidato explique qué es el DNS, cómo funciona a un alto nivel y qué protocolo usa, etc.

6. Desarrolla tus habilidades blandas

Habilidades de Comunicación

Comunicarse bien es una de las habilidades más importantes que cualquier profesional de ciberseguridad puede tener. La mayoría de las organizaciones tienen un tamaño de equipo limitado para la seguridad cibernética y, como tal, se espera que hables con el personal de la gerencia que no tiene tu nivel de experiencia técnica.

Un elemento que busco en cualquier currículum es si el candidato ha enumerado compromisos para hablar en público, como presentar un tema en una conferencia. Espero que cualquier miembro del equipo pueda hablar con los empleados y desglosar temas complejos de ciberseguridad en información procesable y fácil de digerir.

También suelo buscar acerca de si quien aplica ha enumerado compromisos para hablar en público, como presentar un tema en una conferencia. Espero que cualquier miembro del equipo pueda hablar con los empleados y desglosar temas complejos de ciberseguridad en información procesable y fácil de digerir.

Habilidades de Liderazgo

Estas habilidades son realmente difíciles de poner por escrito. Sin embargo, espero que cualquier candidato sea (eventualmente) capaz de liderar iniciativas y proyectos de ciberseguridad.
Es importarte venir a la entrevista con preparación para discutir cualquier proyecto, ya sea de su carrera o un proyecto o actividad paralela (por ejemplo, entrenamiento, tutoría, etc.), en el que tuvo que tomar la iniciativa y lo que aprendió de la experiencia.

Habilidades de organización

Ser una persona organizada es una habilidad clave que debe poseer cualquier candidato de éxito. No importa qué tan buenas sean sus habilidades técnicas, si tiene dificultades para cumplir con los plazos o para realizar múltiples tareas (la ciberseguridad funciona a un ritmo rápido: es muy difícil tener tiempo ininterrumpido para concentrarse en una tarea); entonces será difícil tener éxito. Sobre todo en un equipo técnico

7. Demuestra experiencia práctica

No necesitas tener experiencia profesional formal para solicitar un trabajo de ciberseguridad. Sin embargo, puedes obtener una ventaja sobre la competencia al demostrar proyectos y habilidades que has aprendido que son relevantes para la ciberseguridad.

Si tienes un enlace de GitHub a un proyecto en el que trabajaste, o si decidiste probar la creación de un clúster de Kubernets en varias Raspberry Pi, ¡agrégalo a su currículum!

8. Mantén tu resumen relevante

Con demasiada frecuencia recibo CVs que ocupan mucho espacio y enumeran cursos universitarios completos relacionados con la ciberseguridad cuando el candidato ha estado en el campo durante más de 5 años.


Asegúrate que tu currículum solo incluya información relevante. Pese a ello, también es posible la experiencia relevante en un área distinta o afín a la ciberseguridad, ya que siempre es agradable ver la diversidad de experiencias.

Las clases universitarias y un GPA elevado, realmente no son relevantes a menos que estés solicitando tu primer trabajo.
Por otra parte, no soy de la opinión de que un currículum debe, pase lo que pase, ser de una sola página, el contenido no debe sentirse flojo. Rara vez veo la necesidad de que un currículum tenga más de una página, a menos que haya pasado años en el campo en varios roles.

9. Sé profesional

La ciberseguridad en general tiende a ser una industria relativamente informal (más aún en la era de las entrevistas digitales). Sin embargo, las primeras impresiones son extremadamente importantes, así que afianza el hecho de vestirte y actuar profesionalmente durante su entrevista (¡Y también si te contratan!).

He visto entrevistas a candidatos con camisetas manchadas, camisetas con gráficos inapropiados y otros atuendos poco profesionales. Esta es tu oportunidad de causar una buena impresión, y aunque no diría que necesitas vestirse con traje y corbata, como mínimo debes vestirte con ropa informal de negocios, similar a la que usarías si tuvieras que venir a una oficina.

Además de lo que vistes, la forma en que hablas es extremadamente importante. Aun si hemos tenido malos gerentes en el pasado o trabajado para compañías terribles; que no pase en tu entrevista el hablar mal de empleadores o empresas anteriores. Si te preguntan por qué te vas, o qué problemas tuviste con un trabajo, es mejor simplemente decir que el trabajo "no encajaba bien" y dejarlo así. No querrás que el entrevistador asuma que así es como hablarías de ellos.

La forma en que se comporta un candidato y qué tan diplomático es extremadamente importante. Dado lo pequeños que son muchos equipos de ciberseguridad, puedes encontrarte hablando con el gerente, y el entrevistador estará atento a cómo cree que te comportarías en esas situaciones.
Por último, y esto debería ser evidente, es siempre ser cortés. Ya sea con el reclutador de recursos humanos, el reclutador externo, el entrevistador o la recepcionista, siempre sé cortés. Las personas no quieren contratar y trabajar con alguien que consideran grosero o irrespetuoso.

10. El método STAR

La ciberseguridad es un campo de alto riesgo y ritmo acelerado donde el pensamiento crítico y analítico, la gestión del ego (el tuyo y el de los demás), la resolución de conflictos y el liderazgo juegan un papel clave en el éxito del equipo.

Los entrevistadores suelen buscar a alguien que tenga una mentalidad de hacker, alguien que sea innovador y pueda pensar críticamente para resolver problemas.

Ven preparado para discutir situaciones en las que ha tenido que lidiar con prioridades en conflicto, resolver problemas complejos, explicar información técnica a una audiencia no técnica e incluso discutir áreas donde ves oportunidades de crecimiento en tu desempeño.

Si bien no entraré en varios escenarios en esta publicación, un resultado clave que busco es si el candidato comprende cómo enmarcar el riesgo de ciberseguridad.

Hay momentos en los que es necesario tomar riesgos, y; es nuestro trabajo proporcionar la información adecuada para que las decisiones que se tomen sean informadas. Lo bien que un candidato puede analizar un problema vale más que la experiencia escrita en el currículum.

Especialmente al responder a las preguntas de la entrevista de comportamiento, el método STAR proporciona un buen marco de cómo proporcionar respuestas:

  • Describe la situación en la que te encontrabas.
  • ¿Qué tarea estaba realizando y cuál era el objetivo deseado?
  • Describe la(s) acción(es) que tomaste para abordar la situación. Sé específico y concéntrate en tus contribuciones.
  • ¿Cuál fue el resultado de sus acciones?

Los trabajos disponibles en ciberseguridad son muchos y cubren numerosas especializaciones que van desde roles técnicos y prácticos hasta roles de Gobierno y diseño. Utiliza estos consejos para conseguir el trabajo perfecto y... ¡Te doy la bienvenida a la Ciberseguridad!