Bienvenido @AlanSimonin; buena pregunta.
Otra pregunta paralela a esto, en mi forma de pensar, es preguntar: "¿Qué tipo de trabajos en Seguridad de TI existen?". Sinceramente, no pude decirles nada, pero mi enfoque para ingresar a la industria (también estoy en un nivel básico) fue:
Traté de averiguar qué tipos de trabajos había en un nivel inicial y compararlos / contrastarlos con mis habilidades, mis gustos y cómo podría llegar a ellos: Analista de seguridad y pruebas de penetración para jóvenes, por ejemplo. Luego, una vez que compilé una (muy) pequeña lista de Trabajos de seguridad de TI de nivel de entrada, miré mis antecedentes.
Luego, también consideré el tipo de negocio (instituciones financieras, consultoría de seguridad, etc.).
Para un analista de seguridad, por ejemplo, mi opinión es que en algunos casos solo necesita un título en computación y poder demostrar en su CV o carta de presentación que tiene un gran interés en la seguridad. ¿Cómo lo demuestras? Al demostrar participación en blogs, tener su propio sitio web o publicar artículos sobre las investigaciones que realice. Estas investigaciones no necesariamente tienen que ser originales o revolucionarias, sino consistentes en demostrar que eres capaz de organizar tus pensamientos y tener una buena estructura para presentarlos.
Actualmente estoy trabajando en Gestión de la Seguridad de TI para una institución financiera; respondiendo a tu pregunta, ¿cómo es trabajar allí? En primer lugar, es genial. Me encanta mi trabajo, las horas son flexibles, tengo la opción de trabajar desde casa, y mi equipo es pequeño pero con un grupo de personas realmente agradables y serviciales. Mucho de lo que hago está relacionado con la creación y la mejora del proceso para el manejo de la respuesta a incidentes, las solicitudes de acceso a cortafuegos, DDoS, la gestión de vulnerabilidades, la coordinación de proyectos futuros, el análisis de registros, etc. Todo su enfoque en la seguridad: me encanta. Pasé mucho tiempo intercambiando correos electrónicos y utilizando Word y Excel (... el mundo no es perfecto). Otra cosa que hago es ser miembro de nuestro CAB (Consejo Asesor de Cambios, que si un proyecto necesita implementar cualquier cambio dentro de la infraestructura, el gerente del proyecto tiene que pasar por la aprobación de los miembros del CAB). También tengo algunas cosas técnicas, pero es para que yo admita la gestión de un alcance más amplio. Me pagan muy bien considerando que este es un trabajo de nivel de entrada. También recibo dinero extra por trabajar en OnCall.
En cuanto a las certificaciones que se deben tomar, no te enojes demasiado con ellas. Especialmente porque son muy caros y cada vez que empieces a unirte a una empresa, es probable que inviertan en ti y paguen tu capacitación y certificaciones como ya me ocurrió. ¿Tiene un fondo de codificación o red más fuerte?
Respondiendo a su próxima pregunta, ¿se trata de un asunto académico? Buena pregunta, en realidad muy buena: el Grado es tu pie en la puerta. Te ayuda a conseguir tu primer trabajo; Sus siguientes trabajos se basarán principalmente en su experiencia y prestigio dentro de la comunidad de Seguridad. Para ser honesto, en términos de lo que aprendí en la Universidad, estoy usando muy poco en el trabajo. La mayoría de las cosas que uso en el trabajo provienen de mi propia curiosidad independiente por aprender. Pongámoslo de esta manera: supongamos que conoces a alguien importante en una empresa de seguridad que conoce tu forma de pensar, tu integridad moral y reconoce tu pasión por la seguridad. Es muy probable que, si esta persona es realmente abierta acerca de la seguridad, le dará un puesto de analista de seguridad aunque no tenga un título. Un título en mi opinión es una forma en que un futuro empleador debe saber que usted (como alguien que este empleador no conoce) ha pasado suficiente tiempo para demostrar que realmente disfruta de su área de estudio: no demuestra conocimiento o experiencia; Aparte de eso, creo que los Grados de Seguridad son bastante inútiles. Lo mismo se aplica para las certificaciones. ¡He trabajado con pentesters altamente calificados que ni siquiera tienen un título! Lo juro. Pero, por supuesto, si desea credibilidad, debe tener un par de certificados bajo su manga.
Finalmente, solo para devolverte una idea, si no tienes una formación técnica sólida, pero disfrutas de la forma de pensar de Seguridad, haz algunas investigaciones sobre prevención de delitos y delitos electrónicos dentro de las instituciones financieras: No pague tanto como la seguridad en TI, pero ha habido una nueva tendencia de fusionar estas dos disciplinas (es decir, antifraude y TI). Tal vez si te metes en uno, podrías usarlo como una forma de infiltrarte en el otro como alguien que conozco ya lo ha hecho. (Disculpas por ser tan prolix)