Un día en la vida de un auditor de ciberseguridad: Un vistazo al trabajo

¿Es posible ganar seis cifras en ciberseguridad sin ser un experto en programación?

No es una afirmación exagerada decir que puedes ganar seis cifras en ciberseguridad sin saber piratear código o tener habilidades técnicas imprescindibles, ni siquiera un título universitario. En este artículo te voy a demostrar cómo, mostrándote un día en la vida de un auditor de ciberseguridad y cómo llevar a cabo una evaluación de seguridad cibernética. Así podrás tener la confianza y la claridad para comenzar tu carrera de seis cifras en ciberseguridad este año. ¿Estás listo? ¡Vamos!

Sobre el autor

Soy César, un experto en ciberseguridad reconocido internacionalmente, y ayudo a los profesionales de IT a mejorar sus empleos y tener una carrera de seis cifras en ciberseguridad. Si quieres unirte a mí en este viaje, asegúrate de suscribirte al canal y activar las notificaciones para recibir nuevo contenido que te garantizará llevar tu carrera al siguiente nivel.

El marco de trabajo en la auditoría de ciberseguridad

Si quieres ser un auditor de ciberseguridad, debes seguir algún tipo de marco de trabajo para auditar sistemas y responsabilizar adecuadamente al personal correspondiente por los estándares de seguridad. Yo construí mi carrera sobre el marco de trabajo PCI DSS (Payment Card Industry Data Security Standard), que es el estándar de seguridad que todas las empresas deben seguir si almacenan, procesan o transmiten datos de tarjetas de crédito.

Este estándar de seguridad es de gran impacto mundial y puedes encontrarlo en el sitio web del Consejo de Pagos con Tarjeta (PCI council), el organismo regulador de estos estándares. Desde su sitio web, puedes descargar el estándar actual, que actualmente es la versión 3.2.1, aunque la versión 4.0 estará disponible en 2025. Necesitas conocer las reglas para llevar a cabo tus evaluaciones de seguridad, así que asegúrate de obtener el estándar desde el sitio web del PCI council.

Artículos relacionados  El impacto de la computación cuántica en la criptografía

Descargando el estándar PCI DSS

Una vez que hayas descargado el estándar PCI DSS, tendrás acceso a un documento de más de 200 páginas que contiene todos los controles aplicables que las empresas deben seguir si almacenan, procesan o transmiten datos de tarjetas de crédito. Aunque no podemos analizar cada uno de los requisitos en este artículo, lo importante es que el estándar es gratuito y está disponible para su descarga, por lo que puedes acceder a él y familiarizarte con los controles aplicables.

En mi carrera, trabajé tanto como Isa (Internal Security Assessor) como QSA (Qualified Security Assessor). El Isa trabaja en la empresa como un empleado temporal para ayudar a preparar la evaluación de seguridad, mientras que el QSA es un auditor externo y consultor que realiza la auditoría para asegurarse de que la empresa cumple con los estándares.

Ejemplo de evaluación de seguridad utilizando el estándar PCI DSS

Para entender mejor este proceso, vamos a realizar una evaluación de seguridad utilizando el estándar PCI DSS. Examinemos algunos de los controles en un firewall.

El requerimiento 8 de PCI DSS establece que se deben limitar los intentos repetidos de acceso bloqueando la cuenta de usuario después de no más de seis intentos fallidos. Vayamos al firewall y verifiquemos este control.

En este caso, estamos utilizando un firewall SonicWall NSA. Si miramos la configuración de la cuenta de administrador, vemos que está establecido para bloquear la cuenta después de 10 intentos fallidos. ¿Es esto cumplimiento con el estándar? No, ya que el estándar establece que la cuenta debe bloquearse después de no más de seis intentos. Como auditor de seguridad, debería informar a la empresa que viola este requisito y debe corregir la configuración para cumplir con el estándar.

Artículos relacionados  Problemas comunes en modelos predictivos

Continuando con el análisis del firewall, el requerimiento 8 también establece que la duración del bloqueo de la cuenta debe ser de al menos 30 minutos o hasta que un administrador habilite la cuenta del usuario. Vemos que el período de bloqueo en este firewall está configurado en cinco minutos, lo que no cumple con el estándar. Nuevamente, esto debe informarse a la empresa y corregirse.

Tomemos otro ejemplo, el requerimiento 8.1.8 establece que si una sesión ha estado inactiva durante más de 15 minutos, se debe exigir al usuario que se vuelva a autenticar para reactivar la terminal o sesión. En el firewall, vemos que el tiempo de inactividad está configurado en 30 minutos, lo cual no cumple con el estándar que exige un mínimo de 15 minutos. Esto también debe reportarse y corregirse.

Como puedes ver, la evaluación de seguridad utilizando el estándar PCI DSS no requiere ser un experto en programación ni tener años de experiencia. Solo necesitas seguir el estándar, entender los requisitos y saber cómo interpretarlos. Esta es la clave para agregar valor y obtener una compensación en esta industria.

Trabajos de seis cifras en ciberseguridad

¿Sabías que hay miles de trabajos de seis cifras en la industria de la ciberseguridad esperando ser ocupados por personas como tú? Si tienes un entendimiento del marco de trabajo PCI DSS, puedes aprovechar estas oportunidades. Entonces, ¿dónde puedes encontrar la formación para entender este marco de trabajo y realizar auditorías de seguridad? ¡Aquí mismo! En la Academia de Formación en Ciberseguridad de César, puedo enseñarte cómo dominar este marco de trabajo y llevar tu carrera al siguiente nivel. Visita boydclewis.com/GRC para obtener más información y solicitar una oportunidad de unirte a nuestra exclusiva academia.

Resumen

Temas principalesDetalles
Marco de trabajoEl estándar PCI DSS es el marco de trabajo utilizado en la auditoría de ciberseguridad.
Evaluación de seguridadSe deben realizar evaluaciones de seguridad siguiendo el estándar PCI DSS. Ejemplos de controles de firewall mostrados.
Oportunidades de empleoHay miles de empleos de seis cifras en ciberseguridad disponibles para aquellos con conocimientos del marco de trabajo PCI DSS.
Formación en ciberseguridadLa Academia de Formación en Ciberseguridad de César ofrece la oportunidad de dominar el marco de trabajo PCI DSS y avanzar en tu carrera.
Artículos relacionados  Introducción a la Inteligencia de Amenazas Cibernéticas

Preguntas frecuentes

¿Necesito ser un programador experto para trabajar en ciberseguridad?

No, no es necesario ser un programador experto para trabajar en ciberseguridad. Hay diferentes áreas y roles en la industria que no requieren habilidades de programación avanzadas.

¿Es necesario contar con un título universitario en ciberseguridad?

No, no es imprescindible tener un título universitario en ciberseguridad para tener una carrera exitosa en este campo. Lo más importante es tener conocimientos y habilidades prácticas en ciberseguridad.

¿Dónde puedo encontrar más información sobre el estándar PCI DSS y la evaluación de seguridad?

Puedes obtener más información sobre el estándar PCI DSS y la evaluación de seguridad en el sitio web del Consejo de Pagos con Tarjeta (PCI council) y en la Academia de Formación en Ciberseguridad de César.

Espero que este artículo te haya dado una idea de cómo puedes tener una carrera exitosa en ciberseguridad sin necesidad de ser un experto en programación. Recuerda, el conocimiento del marco de trabajo y la capacidad para interpretar los requisitos son clave. ¡No dudes en revisar los artículos relacionados para obtener más información y continuar tu viaje hacia una carrera de seis cifras en ciberseguridad!

¡Hasta la próxima!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *