Algunos profesionales de la ciberseguridad se lanzan directamente a la industria después de terminar la escuela. Otros se unen a través del trabajo en campos adyacentes como la ingeniería de software y el cumplimiento. Y otros, como Tracy Z. Maleeff, también conocida como InfoSecSherpa, encuentran su camino en la industria de la ciberseguridad después de pasar años trabajando en trabajos que normalmente no están asociados con la ciberseguridad, como la bibliotecología.
Investigador de seguridad en Krebs Stamos Group, Maleeff no solo ha hecho una transición exitosa a una carrera de ciberseguridad, sino que se ha convertido en uno de los nombres más destacados en cuanto a asesoramiento profesional en ciberseguridad y conocimientos sobre temas candentes.
Obtenga más información a continuación sobre el fascinante viaje de Maleeff desde bibliotecario de un bufete de abogados hasta profesional de la ciberseguridad y líder de opinión.
Dejar un campo que amaba y mudarse a la tecnología
Tracy Maleeff todavía estaba muy enamorada de la bibliotecología cuando comenzó a considerar un cambio. Sin embargo, después de años de trabajar como bibliotecaria de un bufete de abogados, Maleeff sintió que era hora de pasar a probar cosas nuevas.
"Mi viaje hacia la ciberseguridad en realidad comienza con una nota un poco triste", dijo Maleeff. "Viajaba de un lado a otro entre el centro de la ciudad, Filadelfia y los suburbios donde vivía, y sentía que estaba muy confundido con mi carrera. Había trabajado muy duro para convertirme en bibliotecaria. Tengo una maestría en Biblioteconomía y Ciencias de la Información de la Universidad de Pittsburgh, y había estado en bibliotecas durante unos 15 años, pero realmente no veía un futuro para mí. Los siguientes niveles fueron los directores, donde realmente hay más gestión de personas y no tanto la gestión de la biblioteca, y también en este momento en 2014, hubo muchas fusiones y despidos de bufetes de abogados.
"Así que estaba realmente preocupado por tener una carrera futura. No quería ser uno de los muchos bibliotecarios de bufetes de abogados que luchaban por los puestos de trabajo que quedaban en Filadelfia. Me entristeció mucho. Para pasar el tiempo, leí para tratar de distraerme de eso y encontré este artículo en la revista Entrepreneur que se titulaba 'Cómo preparar tu carrera para el futuro en 2015'. Lo leí, y lo que realmente me llamó la atención fue que decía que averiguaras lo que deberías estar haciendo para una carrera, encontrar los diferentes puntos en tus trabajos anteriores que realmente te emocionaban, te vigorizaban y te desafiaban de una manera que te emocionaba. Aconsejó encontrar un hilo conductor. Lo pensé y me di cuenta de que la tecnología era ese hilo conductor para mí".
Decidirse por la cibernética
Aunque Maleeff ahora tenía claridad en términos de un nuevo campo general al que quería unirse, no estaba segura de en qué área de la tecnología quería sumergirse. Después de asistir a varias reuniones y eventos tecnológicos, el consejo de una amiga finalmente la ayudó a concentrarse en la cibernética.
"Estaba muy entusiasmado con la perspectiva de unirme al mundo de la tecnología, pero rápidamente me di cuenta de que, si bien me gustaba la tecnología, la atmósfera en torno a los eventos tecnológicos se sentía poco acogedora", dijo Maleeff. "Así que me estaba frustrando, y un amigo se dio cuenta de mi frustración. Había estado en la tecnología durante mucho tiempo, en el backend de la seguridad, pero yo no lo sabía porque esos términos no me eran familiares".
"Después de verme girar mis ruedas, me dijo: 'Escucha, déjame contarte sobre backend y ciberseguridad. Creo que te gustaría, creo que serías bueno en eso', y luego, por cosas del destino, fue a la conferencia de BlackHat ese año y vio una mesa de la Sociedad de Mujeres de Cyberjutsu. Empezó a hablar con ellas, a hablarles de mí, y lo siguiente que sé es que estoy de vuelta en mi oficina en Filadelfia, recibiendo mensajes de texto en mi teléfono con fotos de su folleto con clases que ofrecían para que las mujeres se pusieran al día sobre ciberseguridad, junto con las notas de aliento. Al mes siguiente, tomé el taller de fundamentos de ciberseguridad de dos partes de The Women's Society of Cyberjutsu y me tuvieron en el escaneo de puertos. Pensé: '¿Dónde ha estado esto toda mi vida?'".
Mientras se aclimataba a los aspectos técnicos de la ciberseguridad, Maleeff comenzó a asumir un papel activo en la promoción de las mejores prácticas de ciberseguridad, liderando la programación del Mes de Concientización sobre la Ciberseguridad en su bufete de abogados.
"Una vez que comencé a tomar clases, la ciberseguridad realmente comenzó a resonar en mí", dijo Maleeff, "se convirtió en mi pasatiempo peculiar". "Tanto es así que en septiembre de 2015, envié un correo electrónico al CIO del bufete de abogados en el que todavía trabajaba como bibliotecario y le pregunté: '¿Qué está haciendo el bufete para el Mes de la Concienciación sobre la Ciberseguridad en octubre y puedo participar?' Y cuando su respuesta fue '¿qué es el Mes de la Concientización sobre la Ciberseguridad?', y yo estaba preparado. Tenía un plan de cinco puntos que elaboré, tenía diapositivas, tenía una explicación completa. Se lo presenté y le pareció genial y me puso a cargo de un programa de concientización sobre seguridad de cinco semanas de duración. Fue una gran experiencia y me hizo querer ir aún más lejos en ciberseguridad".
Transición a la cibernética
A pesar de que ahora tenía una idea clara de dónde quería centrarse, Maleeff necesitaba encontrar una manera de pasar del campo de la bibliotecología legal a la ciberseguridad.
"Una vez que probé la ciberseguridad, supe que ahí era donde quería ir", dijo Maleeff. Sin embargo, sabía que no podía simplemente hacer un movimiento lateral del mundo de las bibliotecas a InfoSec y que necesitaba algún tipo de tiempo de reserva para estudiar, ponerme al día y establecer contactos con la gente y comprender la industria. Sin mencionar que todavía necesitaba tener un ingreso. Aproveché mis habilidades como bibliotecaria como freelance e hice proyectos de investigación y gestión de redes sociales para cualquier empresa de tecnología o ciberseguridad que me contratara. En febrero de 2016, dejé el bufete de abogados y empecé a trabajar como freelance".
"Apenas unas semanas después, después de renunciar al bufete de abogados, estaba en un avión a San Francisco para asistir a RSA porque una empresa me había contratado para hacer un trabajo para ellos in situ en el campo de la investigación y la gestión de redes sociales, y eso dio inicio básicamente a un año y medio de ir a muchas conferencias. Conocí a mucha gente, tomé clases y realmente aprendí y absorbí la industria y traté de descubrir mi papel en ella. Utilicé mis habilidades en bibliotecología como una forma de introducirme en el mundo de la seguridad de la información y lo que podía ofrecer".
A partir de ahí, Maleeff utilizó sus habilidades para ayudar a crear contenido e investigar lo que ayudó a sus clientes a articular mejor su propuesta de valor, mientras continuaba desarrollando sus habilidades de ciberseguridad y su creación de redes. A través de estos esfuerzos pudo asegurar su primera posición.
"A través de la creación de redes, pude entrar en el radar de una empresa farmacéutica que buscaba contratar a un analista de SOC de nivel inicial y lo que me dijeron durante la entrevista fue que podemos enseñarte la tecnología. Son todas estas otras habilidades que traes y que no podemos enseñarle a alguien. Es muy importante que la gente sepa que las habilidades transferibles también son muy importantes en la cibernética".
La vida como influencer en las redes sociales
Con un promedio de seguidores en Twitter de alrededor de 700, eclipsar los 1.000 es motivo de celebración para muchos usuarios de Twitter. Pero con casi 50.000 seguidores, Maleeff, también conocido como InfoSecSherpa, ha disfrutado durante mucho tiempo de las vertiginosas alturas de las redes sociales de ciberseguridad, proporcionando orientación tanto a quienes están en el campo como a los que buscan unirse a él.
"Mi historia en las redes sociales también se remonta a mis días en la biblioteca", dijo Maleeff. "Mucha gente me pedía consejos e ideas sobre la bibliotecología, así que se me ocurrió el nombre de Library Sherpa porque estaba tratando de pensar en algo sobre cómo ayudar a la gente. Así es como veo mi papel, como guía.
"Luego creé otra cuenta para acechar en el Twitter de InfoSec, InfoSecSherpa. Cuando surgían preguntas que estaban en mi timonel para ayudar, así que me lanzaba a ayudar y simplemente crecía a partir de ahí. Fue una locura porque decidí poner mi foto en el perfil y luego iba a eventos y la gente me reconocía y decía: 'Espera, ¿no eres InfoSecSherpa?', y luego eso comenzaba mi networking. Me sentaba, charlaba con ellos y conocía a la gente. Sabía que quería ser capaz de crear una entidad en esta comunidad y en esta industria. Sabía que no había un camino existente para mí, así que sabía que tenía que abrirme mi propio camino y simplemente hacer uno".
Perspectivas sobre el espacio de la ciberseguridad
Maleeff ciertamente cree que el espacio de la ciberseguridad tiene un futuro brillante. Sin embargo, hay algunas cosas que sabe que la industria tiene que abordar y que está tratando de destacar.
"Hay un montón de conceptos erróneos sobre la ciberseguridad, pero uno de los más importantes es que los humanos no están en el centro de toda la seguridad. Algunas personas en la industria prefieren pensar en la seguridad más como unos, ceros, redes y cosas así. Sí, hay componentes muy técnicos en la ciberseguridad. No lo discuto, pero en el núcleo de la seguridad, ya sea física o cibernética, todos son humanos. Los actores de amenazas son humanos, las víctimas del phishing son humanos, somos humanos. Cuando estaba en la compañía farmacéutica, respondí al correo electrónico de una usuaria y se sorprendió de que yo fuera humana. No creía que hubiera personas en el departamento de seguridad. Pensó que todo eran computadoras y estaban automatizados".
"Creo que la idea errónea entre la industria es que realmente no estamos centrados en el ser humano, pero lo estamos. Y luego, para las personas que quieren entrar en la industria, creo que demasiadas personas asumen que todo es técnico, pero eso no es cierto", dijo Maleeff. "Hay muchos roles no técnicos o roles técnicos inferiores que no requieren certificaciones técnicas avanzadas y que pueden ser sus roles de GRC (Gobernanza, Riesgo y Cumplimiento) o capacitación en conciencia de seguridad/riesgo humano. Realmente hay algo para casi todos en la industria de la seguridad de la información".
Para ayudar a disipar este mito, Maleeff señaló que es muy importante que la industria colabore más para atraer talento con las habilidades y la pasión adecuadas, no solo buscar un unicornio.
"Hay mucho potencial para crecer profesionalmente en la industria de la ciberseguridad", dijo Maleeff. "Pero para lograrlo, tenemos que hacer como industria colaborar con el personal, los recursos humanos, los directores de talento para corregir las descripciones de los puestos. Algunos están muy fuera de lugar, requiriendo un CISSP para un puesto de nivel de entrada, y cosas poco realistas como esa. Por supuesto, el (ISC)² ha emitido declaraciones más recientemente reconociendo que esta certificación no es para alguien nuevo en la industria y eso es definitivamente un buen comienzo. Para cerrar realmente la brecha de talento, las empresas deben estar dispuestas a contratar a personas como yo, personas que cambian de carrera y que tienen un gran valor agregado y traerlas porque podemos ayudar con diferentes puntos de vista, entendiendo diferentes modelos de amenazas. Hay tantos conjuntos de habilidades diferentes que necesitamos en la industria de la seguridad de la información. La diversidad de pensamiento resuelve problemas y los modelos de amenazas varían mucho, así que ¿por qué no estar más seguros con una mayor representación de todos los modelos de amenazas? Las empresas deben ser más proactivas con las iniciativas de DEI, así como con la formación, para ayudar al mundo a mejorar su postura de seguridad".
Conoce más sobre Tracy Z. Maleeff aquí: https://linktr.ee/infosecsherpa