Algunos profesionales de la ciberseguridad ingresan directamente a la industria después de terminar la escuela. Otros se unen a través del trabajo en campos adyacentes como la ingeniería de software y el cumplimiento. Y otros, como Tracy Z. Maleeff, también conocida como la InfoSecSherpa, encuentran su camino hacia la industria de la ciberseguridad después de pasar años trabajando en empleos que no suelen estar asociados con la ciberseguridad, como la ciencia de bibliotecas.

Investigadora de seguridad en el Krebs Stamos Group, Maleeff no solo ha hecho una transición exitosa hacia una carrera en ciberseguridad, sino que también ha surgido como uno de los nombres más destacados para el asesoramiento sobre carreras en ciberseguridad y en temas candentes.

Descubra más abajo sobre el fascinante viaje de Maleeff desde bibliotecaria en un bufete de abogados hasta profesional de la ciberseguridad y líder de pensamiento.

Dejar un Campo que Amaba y Pasar a la Tecnología

Tracy Maleeff todavía estaba muy enamorada de la ciencia de bibliotecas cuando comenzó a considerar un cambio. A pesar de esto, después de años trabajando como bibliotecaria en un bufete de abogados, Maleeff sintió que era el momento de seguir adelante y probar cosas nuevas.

Tracy descubrió un gusto por la seguridad física a una edad temprana al aprender a abrir una cerradura con una tarjeta de biblioteca.[/caption]

“Mi camino hacia la ciberseguridad en realidad comienza en una nota un poco triste”, dijo Maleeff. “Me estaba desplazando entre Center City, Filadelfia y los suburbios donde vivía, y simplemente sentí que estaba muy confundida con mi carrera. Había trabajado tan duro para convertirme en bibliotecaria. Tengo un Máster en Ciencia de la Biblioteca y la Información de la Universidad de Pittsburgh, y había estado en bibliotecas durante unos 15 años, pero simplemente no veía un futuro en ello para mí. Los siguientes niveles eran directores, donde realmente es más sobre la gestión de personas y no tanto la gestión de la biblioteca, y también en este momento en 2014, había muchas fusiones de bufetes de abogados y despidos.

“Así que realmente estaba preocupada por tener una carrera futura. No quería ser una de muchas bibliotecarias de bufetes de abogados luchando por los trabajos que quedaban en Filadelfia. Eso simplemente me entristecía mucho. Para pasar el tiempo, leía para tratar de quitarme eso de la mente y encontré un artículo en la Revista Entrepreneur que se titulaba ‘Cómo Hacer Inmune a Tu Carrera Para el 2015.’ Lo leí, y lo que realmente me llamó la atención fue que decía que para descubrir qué deberías estar haciendo en una carrera, encuentres los diferentes puntos de tus trabajos anteriores que realmente te entusiasmaron, te vigorizaron, y te desafiaron de una manera que te emocionara. Aconsejaba encontrar un hilo común. Lo pensé y me di cuenta de que la tecnología era ese hilo común para mí.”

Tracy en DEF CON 2016 con Tarah Wheeler y Keren Elazari.

Tracy trabajando en el stand de la Women's Society of Cyberjutsu en la conferencia BlackHat, reuniéndose con Marina Krotofil.

Decidiendo por la Ciberseguridad

A pesar de que Maleeff ahora tenía claridad en cuanto a un nuevo campo general en el que quería unirse, no estaba segura de qué área de la tecnología quería incursionar. Después de asistir a varios encuentros de tecnología y eventos, el consejo de un amigo finalmente la ayudó a centrarse en ciberseguridad.

“Estaba realmente emocionada con la perspectiva de unirme al mundo de la tecnología, pero rápidamente me di cuenta de que, aunque me gustaba la tecnología, el ambiente alrededor de eventos tecnológicos simplemente se sentía poco acogedor,” dijo Maleeff. “Así que me estaba frustrando, y un amigo notó mi frustración. Llevaba mucho tiempo en tecnología, en el backend en seguridad, pero no sabía esto porque esos términos me eran desconocidos.”

“Después de verme dar vueltas, dijo, ‘Escucha, déjame contarte sobre el backend y la ciberseguridad. Creo que te gustaría, creo que serías buena en ello,’ y luego, como el destino lo quiso, fue a la conferencia BlackHat ese año y vio una mesa para la Women's Society of Cyberjutsu. Comenzó a hablar con ellos, contarles sobre mí, y la siguiente cosa que supe es que estaba de vuelta en mi oficina en Filadelfia, recibiendo mensajes en mi teléfono de las fotos de su folleto con clases que ofrecían para mujeres para ponerse al día en ciberseguridad, junto con las notas de aliento. Al mes siguiente, tomé el taller de fundamentos de ciberseguridad en dos partes de The Women's Society of Cyberjutsu y me conquistaron en el escaneo de puertos. Pensé, ‘¿Dónde ha estado esto toda mi vida?’”

Mientras se acostumbraba a los aspectos técnicos de la ciberseguridad, Maleeff comenzó a asumir un rol activo en la promoción de las mejores prácticas de ciberseguridad, liderando la programación del Mes de la Concientización sobre la Ciberseguridad en su bufete de abogados.

“Una vez que comencé a tomar clases, la ciberseguridad realmente comenzó a resonar en mí,” dijo Maleeff, “se convirtió en mi hobby peculiar.” “Tanto así que en septiembre de 2015, envié un correo electrónico al CIO del bufete de abogados donde todavía trabajaba como bibliotecaria y pregunté, ‘¿qué está haciendo el bufete para el Mes de la Concientización sobre la Ciberseguridad en octubre y puedo estar involucrada?’ Y cuando su respuesta fue ‘¿qué es el Mes de la Concientización sobre la Ciberseguridad,’ y yo estaba preparada. Tenía un plan de cinco puntos que reuní, tenía diapositivas, tenía toda una explicación. Se lo presenté y pensó que era genial y me puso a cargo de un programa de concienciación sobre seguridad de cinco semanas de duración. Fue una gran experiencia y me hizo querer ir aún más lejos en la ciberseguridad.”

Transición a Ciberseguridad

A pesar de tener ahora una idea clara de dónde quería centrarse, Maleeff necesitaba encontrar una manera de realmente pasar del campo de la biblioteca legal a la ciberseguridad.

“Una vez que probé la ciberseguridad, supe que era a donde quería ir,” dijo Maleeff. Sin embargo,  sabía que no podía simplemente hacer un cambio lateral del mundo de la biblioteca a InfoSec y que necesitaba algún tipo de período de adaptación para estudiar y actualizarme, establecer contactos con personas y comprender la industria. Sin mencionar que aún necesitaba tener un ingreso. Aproveché mis habilidades de bibliotecaria como freelancer e hice proyectos de investigación y gestión de redes sociales para cualquier compañía de tecnología o ciberseguridad que me contratara. Avancé rápido hasta febrero de 2016, dejé el bufete de abogados y comencé a conseguir trabajos como freelancer.”

“Solo unas pocas semanas después de renunciar al bufete de abogados, estaba en un avión hacia San Francisco para asistir a RSA porque una compañía me había contratado para hacer algo de trabajo para ellos en el lugar en el campo de la investigación y la gestión de redes sociales, y eso dio inicio básicamente a un año y medio de asistir a muchas conferencias, conocer a muchas personas, tomar clases, y simplemente aprender mucho y absorber la industria, y tratar de descubrir mi papel en ella. Utilicé mis habilidades en ciencia de bibliotecas como una forma de presentarme al mundo de la Seguridad de la Información y lo que podía ofrecer.”

A partir de ahí, Maleeff utilizó sus habilidades para ayudar a crear contenido e investigar que ayudara a sus clientes a articular mejor su propuesta de valor, mientras continuaba construyendo sus habilidades y su red de contactos en ciberseguridad. A través de estos esfuerzos, pudo asegurar su primera posición.

“A través de la creación de redes, pude ponerme en el radar de una compañía farmacéutica que estaba buscando contratar a un analista SOC de nivel de entrada y lo que me dijeron durante la entrevista fue que pueden enseñarme la tecnología. Son todas estas otras habilidades las que aporto que no pueden enseñarle a alguien. Es realmente importante que las personas sepan que las habilidades transferibles son enormemente importantes también en ciberseguridad.”

Tracy es una gran fanática de los eventos Security BSides. Esta foto es del evento BSides en Virginia del Norte.[/caption]

Vida como Influencer en Redes Sociales

Con el número promedio de seguidores en Twitter rondando los 700, superar los 1,000 es motivo de celebración para muchos usuarios de Twitter. Pero con casi 50,000 seguidores, Maleeff – también conocida como, InfoSecSherpa – ha estado disfrutando durante mucho tiempo de las grandes alturas de redes sociales en ciberseguridad, proporcionando orientación tanto a quienes están en el campo como a quienes buscan unirse a él.

“Mi historia en redes sociales en realidad data de mis días en la biblioteca también”, dijo Maleeff. “Muchas personas me pedían consejos y opiniones sobre la ciencia de bibliotecas así que se me ocurrió el nombre de Library Sherpa porque estaba tratando de pensar en algo sobre ayudar a las personas. Así veo mi función, como una guía.

“Luego creé otra cuenta para merodear en InfoSec Twitter, InfoSecSherpa. Cuando surgían preguntas que estaban en mi terreno para ayudar, intervenía para ayudar y simplemente creció desde allí. Fue increíble porque decidí poner mi foto en el perfil y luego iba a eventos y la gente me reconocía y decía, ‘Espera, ¿no eres InfoSecSherpa,’  y luego eso comenzaba mi creación de redes. Me sentaba, charlaba con ellos y conocía a personas. Sabía que quería poder crear una entidad en esta comunidad y esta industria. Sabía que no había un camino existente para mí, así que sabía que tenía que abrirme mi propio camino y simplemente hacerlo.”

Tracy animando a su equipo favorito de la Premier League inglesa, Everton, con su esposo en Goodison Park en Liverpool, Reino Unido.

Perspectivas del Espacio de Ciberseguridad

Maleeff ciertamente cree que el espacio de ciberseguridad tiene un futuro brillante. Sin embargo, hay algunas cosas que ella sabe que la industria tiene que abordar y busca destacar.

“Hay un montón de conceptos erróneos sobre la ciberseguridad, pero uno de los más grandes es que los humanos no están en el centro de toda la seguridad. Algunas personas en la industria prefieren pensar en la seguridad más como unos y ceros y redes y cosas así. Sí, hay componentes muy técnicos de la ciberseguridad. No lo discuto, pero en el núcleo de la seguridad, ya sea física o ciberseguridad, somos todos humanos. Los actores de amenazas son humanos, las víctimas de phishing son humanos, somos humanos. Cuando estaba en la compañía farmacéutica, respondí al correo electrónico de un usuario y ella se sorprendió de que yo fuera humana. No pensaba que hubiera personas en el departamento de seguridad. Pensaba que todo eran computadoras y automatización.”

“Creo que el concepto erróneo entre la industria es que realmente no estamos centrados en el ser humano, pero lo estamos. Y luego, para las personas que quieren ingresar a la industria, creo que muchas asumen que es todo técnico, pero eso no es cierto,” dijo Maleeff. “Hay tantos roles no técnicos o roles menos técnicos que no requieren certificaciones técnicas avanzadas y que pueden ser sus roles de GRC (Gobernanza, Riesgo y Cumplimiento) o capacitación en conciencia de seguridad/riesgo humano. Realmente hay algo para casi todos en la industria de la Seguridad de la Información.”

Para ayudar a disipar este mito, Maleeff señaló que es sumamente importante para la industria colaborar más para atraer talento con las habilidades y la pasión adecuadas, no solo buscar un unicornio.

“Hay mucho potencial para crecer profesionalmente en la industria de la ciberseguridad,” dijo Maleeff. “Pero para realizarlo, debemos hacer como industria para colaborar con el personal, recursos humanos, directores de talento para corregir las descripciones de trabajos. Algunas están tan fuera de lugar, exigiendo un CISSP para una posición de nivel de entrada, y cosas poco realistas así. Concedido, el (ISC)² ha emitido declaraciones más recientemente reconociendo que esta certificación no es para alguien completamente nuevo en la industria y eso definitivamente es un buen comienzo. Para realmente cerrar la brecha de talento, las empresas necesitan estar dispuestas a aceptar a personas como yo, personas que cambian de carrera que tienen un gran valor añadido y traerlas porque podemos ayudar con diferentes puntos de vista, entendiendo diferentes modelos de amenazas. Hay muchos conjuntos de habilidades que necesitamos en la industria de la Seguridad de la Información. La diversidad de pensamiento resuelve problemas y los modelos de amenazas varían mucho, así que ¿por qué no ser más seguros con más representación de todos los modelos de amenaza? Las empresas necesitan ser más proactivas con las iniciativas DEI así como la capacitación para ayudar al mundo a mejorar su postura de seguridad.”

¡Tracy y su taza de la National Cybersecurity Alliance!

Conoce más sobre Tracy Z. Maleeff aquí: https://linktr.ee/infosecsherpa