A pesar de la percepción común, los profesionales de la ciberseguridad proceden de todos los ámbitos de la vida.
Desde los Eagle Scouts a los refugiados de Wall Street, el espacio de la ciberseguridad está repleto de personas de todos los orígenes. Incluso profesionales de la silvicultura como Sunil Mallik se han abierto camino en este sector.
Director de Seguridad de Datos, Aplicaciones y Plataformas de Discover, el camino de Sunil hacia la ciberseguridad ha recorrido todo el mundo, desde los agrestes bosques de África Occidental hasta los salones de Deloitte. Pero, ¿cómo llegó exactamente a la ciberseguridad un licenciado en química y antiguo especialista en madera? ¿Y cómo ha cambiado su visión del sector desde que empezó a trabajar en ciberseguridad?
Descúbralo a continuación en nuestra conversación con Sunil.
DEL BOSQUE A UN PRIMER EMPLEO EN CIBERNÉTICA
Aunque algunos profesionales de la ciberseguridad siguen una línea recta desde la educación en ciberseguridad directamente hacia una carrera en ciberseguridad, hay un enorme segmento de la mano de obra de la ciberseguridad que ha entrado en el área desde otros campos. Algunos, como Sunil, llegan a la ciberseguridad casi sin querer.
"Siempre me han gustado las cosas relacionadas con la ciberseguridad, como la tecnología y los juegos, pero al principio la ciberseguridad no fue el camino que elegí", explica Sunil. "En lugar de eso, me licencié en química y luego hice un máster en silvicultura. Pasé un año en Liberia y trabajé para una empresa maderera en África Occidental, pero sabía que quería cambiar de carrera. Así que, para ampliar mis estudios, me vine a Estados Unidos y estudié en Virginia Tech, donde obtuve un MBA y un máster en contabilidad y sistemas de información. Con ese bagaje, entré en una de las cuatro grandes empresas de contabilidad, Deloitte. Ahí es donde empecé a transicionar un poco hacia la ciberseguridad".
"En Deloitte, empecé mi carrera en el área de riesgo tecnológico y luego pasé a la de ciberseguridad, dado que el ciberriesgo es parte integrante del riesgo tecnológico. Por ejemplo, en el riesgo tecnológico se examina cómo gestiona una organización el riesgo relacionado con la confidencialidad, integridad y disponibilidad de los datos. Entonces, la mayor parte del trabajo de asesoramiento está vinculado a lo bien que las organizaciones aplican los controles generales de TI para gestionar el riesgo. Para aportar algo de relevancia a la ciberseguridad, los profesionales del riesgo evalúan lo bien que la entidad gestiona sus riesgos de ciberseguridad relacionados con la seguridad de la red, la disponibilidad, la seguridad de las aplicaciones, etcétera. Esto surgió de forma natural y era algo que me interesaba mucho".
CONVERTIRSE EN CIBERDIRECTIVO Y CRECER COMO LÍDER
Tras su incursión inicial en el trabajo de la ciberseguridad, Sunil trabajó en diversos puestos y funciones laborales en Deloitte, incluyendo el paso de varios años de su década de permanencia en el diseño de programas de ciberseguridad, controles e implementación de tecnologías relacionadas con la ciberseguridad para agencias federales y civiles como parte del equipo de servicios de riesgos cibernéticos de Deloitte. Sin embargo, tras 10 años en Deloitte, Sunil dejó la empresa para asumir un cargo de mayor responsabilidad en Freddie Mac.
"En Deloitte pude hacer muchas cosas diferentes y adquirir distintas habilidades", dice Sunil. "Pero después de 10 años decidí dejar Deloitte para desarrollar mi carrera y vine a Freddie Mac, donde fui responsable de seguridad de la información empresarial (BISO). Convertirse en BISO es una forma estupenda de asumir más responsabilidades, porque un BISO es una especie de mini-CISO para una línea de negocio concreta que hace muchas de las mismas cosas que un CISO, pero sin algunas de las tareas de cara al exterior. Por ejemplo, como BISO, básicamente estás traduciendo el riesgo de seguridad a la empresa, diciéndoles dónde tienen que centrarse y ayudándoles a abordar las debilidades de su entorno. Por tanto, te da la posibilidad de adquirir nuevas habilidades prácticas al tiempo que asumes responsabilidades en todos los ciberdominios".
Además de las responsabilidades añadidas en términos de trabajo diario, el papel de Sunil como BISO le brindó su primera oportunidad real de dirigir un equipo de profesionales de la ciberseguridad, algo que siempre había deseado.
Pocos años después de asumir el cargo de BISO, le llegó la responsabilidad añadida de dirigir y gestionar la función de Arquitectura, Garantía y Asesoramiento de Seguridad, y la experiencia única y agradable de dirigir un gran equipo cibernético", afirma Sunil. "Dirigir un equipo te muestra realmente cuántos tipos de habilidades y personalidades existen en la ciberseguridad. Por lo tanto, uno de los mayores retos como líder es encontrar la manera de asegurarse de que todo el mundo participa en los debates y derribar las barreras existentes para que todos puedan compartir información y sentirse cómodos. Esta ha sido una de las mejores lecciones que he aprendido hasta ahora y puede que no la hubiera aprendido si no hubiera tenido la oportunidad de dirigir un equipo."
TRABAJAR PARA COLMAR LA BRECHA DE TALENTO
A medida que Sunil se ha ido afianzando en la ciberseguridad, ha trabajado duro para cambiar las percepciones que existen en torno al sector. En concreto, ha tratado de poner de relieve los actuales descuidos en la contratación de personal para el campo de la ciberseguridad, así como de disipar mitos sobre lo que se necesita para ser un profesional de la ciberseguridad.
"Hay muchas percepciones erróneas sobre lo que es trabajar en cibernética y las habilidades que se necesitan", dijo Sunil. "Y cuando empecé a trabajar en este sector, empecé a comprender mejor qué habilidades se necesitan realmente y qué es lo que te hace tener éxito en la cibernética, frente a lo que se piensa. Creo que empecé a comprenderlo cuando empecé a dirigir equipos. Pude ver quiénes eran los que más rendían y qué atributos tenían y cómo encajaba con lo que se percibe".
"Uno de los mayores mitos es que es necesario tener un título técnico o de ciberseguridad. Por ejemplo, las titulaciones en ciberseguridad han evolucionado en los últimos cuatro o cinco años. Antes de eso, ni siquiera existía como un área específica o centrada en la que se pudiera obtener un título universitario, pero aún así lo pedimos en la contratación por pura costumbre".
"Dentro de la cibernética, existe el ámbito de la gobernanza, el riesgo y el cumplimiento, el de la gestión de la vulnerabilidad y el de la seguridad de las aplicaciones. Y no todos ellos requieren siquiera un título técnico. Tenemos programas que se limitan a la divulgación y la concienciación. Para esos, necesitas entender a los usuarios más que las áreas técnicas. Así que definitivamente no debes dejar que un título técnico te impida seguir una carrera en ciberseguridad".
Sunil también señaló que, si bien las certificaciones y otros puntos de referencia formalizados son útiles para el aprendizaje, no deben servir como el fin de todo.
"No cabe duda de que las certificaciones ayudan a afirmar y validar que se tienen conocimientos en un área determinada, pero eso no debería impedir presentarse y no debería ser un requisito estricto para determinados puestos en la cibernética", afirma Sunil. "Conseguir certificaciones puede llevar mucho tiempo, y la gente tiene vidas muy ocupadas. Por lo tanto, que alguien no tenga una determinada certificación no significa que no tenga los conocimientos, las habilidades o la dedicación para ser un profesional de la ciberseguridad."
A LA ESPERA DE LO PRÓXIMO EN CIBERNÉTICA
La ciberseguridad es uno de los sectores más apasionantes y de más rápido crecimiento en la actualidad. Y a pesar de los continuos problemas de crecimiento, Sunil está ansioso por ver qué le depara el futuro al sector.
"La cibernética ha cambiado de muchas maneras en los últimos años, y seguirá haciéndolo", afirma Sunil. "Hoy en día, la cibernética forma parte y cada vez está más entrelazada con nuestra vida cotidiana.. A muchas de las lecciones que utilizamos para proteger las empresas se aplican también a nuestra vida personal.. La comunidad de la ciberseguridad es joven y entusiasta., y el espacio es tan collaborativo como siempre. Por tanto, si conseguimos limar asperezas en materia de contratación, el futuro se presenta muy prometedor.. Animaría a cualquiera que tenga interés en el espacio de la ciberseguridad a que considere unirse a él".