Cisco Cybersecurity Operations

Capítulo 1: La ciberseguridad y el Centro de Operaciones de Seguridad

1.0. Introducción
1.0.1.1. Bienvenido

En este capítulo, conocerán a los actores, los métodos y los motivos de los ciberataques. Las
personas se vuelcan a la ciberdelincuencia por diferentes motivos. Los Centros de Operaciones de
Seguridad trabajan para combatir el ciberdelito. Prepararse para trabajar en un Centro de
Operaciones de Seguridad (Security Operations Center, SOC) implica obtener certificados, asistir a
cursos de educación formal y hacer uso de servicios de empleo para adquirir experiencia en
pasantías y empleos.

1.0.1.2. Actividad: Un hacker experto nos muestra cómo se hace

En esta actividad de clase, se verá un video de TED Talk que analiza diversas vulnerabilidades en la
seguridad. También se investigará una de las vulnerabilidades mencionadas en el video.

Actividad de clase: Un hacker experto nos muestra cómo se hace

1.1. El peligro
1.1.1. Historias de Guerra
1.1.1.1 Personas secuestradas

1
 Cisco Cybersecurity Operations

Sarah pasó por su cafetería favorita para tomar su bebida de la tarde. Realizó el pedido, le pagó al
empleado y esperó mientras los baristas trabajaban sin descanso para cumplir con los pedidos
pendientes. Sarah sacó su teléfono, abrió el cliente inalámbrico y se conectó a lo que ella suponía
que era la red inalámbrica libre de la cafetería.

Sin embargo, sentado en un rincón de la tienda, un hacker acababa de configurar una zona de
cobertura inalámbrica abierta “falsa” como si fuera la red inalámbrica de la cafetería. Cuando
Sarah se conectó al sitio web de su banco, el hacker le usurpó la sesión y obtuvo acceso a las
cuentas bancarias.

Haga clic aquí para echar un vistazo rápido a un video publicado en 2008 que demuestra cómo una
red inalámbrica es vulnerable a la piratería. En este curso, conocerán las tecnologías de seguridad
que evitan fácilmente este tipo de ataques.

1.1.1.2. Empresas a las que

se piden rescates

Rashid, un empleado en el
departamento financiero de una
empresa importante que cotiza en
bolsa, recibe un correo electrónico
de su CEO con un PDF adjunto. El
PDF es sobre las ganancias del tercer
trimestre de la empresa. Rashid no recuerda que su departamento haya creado ese PDF. Esto
despierta su curiosidad y decide abrir el archivo adjunto.

La misma situación ocurre en toda la organización, ya que decenas de otros empleados se ven
tentados a hacer clic en el archivo adjunto. Cuando se abre el PDF, el ransomware se instala en las
computadoras de los empleados y comienza el proceso de recopilación y encriptación de datos
corporativos. El objetivo de los atacantes es ganar dinero, ya que piden un rescate por regresarle a
la empresa sus datos.

Haga clic aquí para ver una dramatización de cómo podría suceder este ataque de ransomware.

1.1.1.3 Naciones objetivo

Algunos de los programas de malware actuales son tan sofisticados y costosos de crear que los
expertos en seguridad creen que solamente un estado nacional o un grupo de naciones podrían

2
 Cisco Cybersecurity Operations

tener la influencia y financiación para crearlo. Este malware puede tener como objetivo atacar la
infraestructura vulnerable de una nación, como el sistema de agua o la red eléctrica.

Este fue el propósito del gusano Stuxnet, que infectó unidades USB. Estas unidades fueron
transportadas por cinco proveedores de componentes iraníes, con la intención de infiltrarse en
instalaciones nucleares que recibían soporte de dichos proveedores. Stuxnet fue diseñado para
infiltrar sistemas operativos Windows y, luego, atacar el software Step 7. Step 7 fue desarrollado
por Siemens para sus controladores lógicos programables (Programmable Logic Controllers, PLC).
Stuxnet estaba buscando un modelo específico de los PLC Siemens que controlaran las centrífugas
de plantas nucleares. El gusano se transmitió de las unidades USB infectadas a los PLC y,
finalmente, dañó muchas de las centrífugas.

Zero Days, una película estrenada en 2016, busca documentar el desarrollo e implementación de
los ataques dirigidos mediante el malware Stuxnet.

Nota: Busquen la película Zero Days si el enlace no funciona en su país de residencia.

1.1.1.4. Práctica de laboratorio: Instalar la máquina virtual

CyberOps Workstation

En esta práctica de laboratorio, es necesario instalar VirtualBox en sus computadoras personales.

Luego, es necesario descargar e instalar la máquina virtual (VM) de CyberOps Workstation.

Práctica de laboratorio: Instalar la máquina virtual CyberOps  Workstation

1.1.1.5. Práctica de laboratorio: Casos prácticos de ciberseguridad

En esta práctica de laboratorio, se analizarán los casos y se responderán preguntas al respecto.

Práctica de laboratorio: Casos prácticos de ciberseguridad

1.1.2.1 Aficionados

Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del crimen
organizado, agentes patrocinados por el estado y grupos terroristas. Los actores maliciosos son
individuos o un grupo de personas que realizan ciberataques contra otro individuo u organización.
Los ciberataques son actos intencionales y maliciosos que tienen como objetivo afectar
negativamente a otra persona u organización.

Los aficionados, también conocidos como script kiddies, tienen poca o ninguna habilidad. A
menudo utilizan herramientas ya existentes o instrucciones que encuentran en Internet para

3
 Cisco Cybersecurity Operations

iniciar ataques. Algunos solo son curiosos, mientras que otros intentan provocar daños para
demostrar sus habilidades. A pesar de que usan herramientas básicas, los resultados pueden ser
devastadores.

1.1.2.2. Hacktivistas

Los hacktivistas son hackers que protestan contra una variedad de ideas políticas y sociales. Los
hacktivistas protestan públicamente contra las organizaciones o los gobiernos mediante la
publicación de artículos y videos, la filtración de información confidencial y la interrupción de
servicios web con tráfico ilegítimo mediante ataques de denegación de servicio distribuido (DDoS).

1.1.2.3. Beneficio financiero

Gran parte de la actividad de hacking que amenaza nuestra seguridad constantemente está
motivada por el beneficio financiero. Estos ciberdelincuentes quieren obtener acceso a nuestras
cuentas bancarias, datos personales y cualquier otro dato que pueda utilizar para generar flujo de
efectivo.

4
 Cisco Cybersecurity Operations

1.1.2.4. Secretos comerciales y la política global

En los últimos años, se han visto muchas historias sobre estados nacionales que realizan hacking a
otros países o interfieren con la política interna. Los estados de una nación también están
interesados en utilizar el ciberespacio para espionaje industrial. El robo de la propiedad intelectual
puede otorgar una ventaja significativa a un país en el comercio internacional.

La defensa contra las consecuencias del ciberespionaje y la ciberguerra patrocinados por el estado
continuará siendo una prioridad para los profesionales de la ciberseguridad.

1.1.2.5. ¿Cuán segura es Internet de las cosas?

Internet de las cosas (IoT) se encuentra a nuestro alrededor y se expande con rapidez. Apenas
estamos comenzando a aprovechar los beneficios de IoT. Constantemente se están desarrollando
nuevas maneras de utilizar elementos conectados. IoT ayuda a los individuos a conectar elementos
para mejorar la calidad de vida. Por ejemplo, muchas personas utilizan actualmente dispositivos
portátiles conectados para realizar el seguimiento de su actividad física. ¿Cuántos dispositivos
poseen actualmente que se conecten a su red doméstica o a Internet?

¿Qué grado de seguridad ofrecen estos dispositivos? Por ejemplo, ¿quién escribió el firmware?
¿Prestó atención el programador a los defectos de seguridad? ¿Es vulnerable a ataques el
termostato conectado en sus hogares? ¿Qué hay de su grabadora de video digital (DVR)? Si se
encuentran vulnerabilidades de seguridad, ¿es posible aplicar un parche en el firmware del
dispositivo para eliminar la vulnerabilidad? Muchos dispositivos en Internet no se actualizan con el
firmware más reciente. Algunos dispositivos más antiguos ni siquiera se desarrollaron para
actualizarse con parches. Estas dos situaciones crean oportunidades para los actores maliciosos y
riesgos de seguridad para los propietarios de estos dispositivos.

En octubre de 2016, un ataque de DDoS contra el proveedor de nombres de dominio Dyn

interrumpió el funcionamiento de muchos sitios web populares. El ataque provino de una gran
cantidad de cámaras web, DVR, routers y otros dispositivos de IoT afectados por software
malicioso. Estos dispositivos formaron una “botnet” que los hackers pudieron controlar. Esta
botnet se usó para crear un ataque enorme de DDoS que desactivó servicios esenciales de
Internet. Dyn ha publicado un blog aquí para explicar el ataque y su reacción ante el problema.

Avi Rubin, profesor de Ciencias de la computación en la Universidad Johns Hopkins, destaca los
peligros de no proteger todos nuestros dispositivos conectados. Haga clic aquí para ver su charla
de TED.

1.1.2.6. Práctica de laboratorio: Averiguar los detalles de los ataques

5
 Cisco Cybersecurity Operations

En esta práctica de laboratorio, se investigarán y analizarán vulnerabilidades de aplicaciones de

IoT.

Práctica de laboratorio 1.1.2.6: Averiguar los detalles de los ataques

1.1.3.1. PII y PHI

El impacto económico de los ciberataques es difícil de determinar con precisión; sin embargo,
según un artículo en Forbes, se calcula que las empresas pierden USD 400 mil millones al año por
ciberataques.

La información que permite identificar personas (Personally Identifiable Information, PII) es

cualquier dato que pueda utilizarse para identificar inequívocamente a una persona. Algunos
ejemplos de PII son los siguientes:

 Nombre
 Número de seguridad social
 Cumpleaños
 Números de tarjetas de crédito
 Números de cuentas bancarias
 Identificación emitida por el gobierno
 Información sobre dirección (calle, correo electrónico, números de teléfono)

Uno de los objetivos más lucrativos de los ciberdelincuentes es obtener listas de PII que puedan
vender en la web oscura. Solamente es posible tener acceso a la web oscura con software
especializado y la utilizan los ciberdelincuentes para proteger sus actividades. La PII robada puede
utilizarse para crear cuentas falsas, como tarjetas de crédito y préstamos a corto plazo.

La Información confidencial sobre la salud (Protected Health Information, PHI) es un subconjunto

de la PII. La comunidad médica crea y mantiene registros médicos electrónicos (EMR) que
contienen PHI. En los Estados Unidos, la manipulación de la PHI está regulada por la Ley de
Transferibilidad y Responsabilidad del Seguro Médico (HIPAA). La regulación equivalente en la
Unión Europea se denomina Protección de datos.

La mayoría de los ataques a empresas y organizaciones informados en las noticias involucran el

robo de PII o PHI. En solo tres meses durante el 2016, ocurrieron los siguientes ataques:

 En marzo de 2016, una violación de los datos de un proveedor de atención médica dejó
al descubierto los datos personales de 2,2 millones de pacientes.
 En abril de 2016, robaron de un organismo estatal una computadora portátil y unidades
portátiles que incluían información personal de 5 millones de personas.

6
 Cisco Cybersecurity Operations

 En mayo de 2016, una violación de los datos de una empresa de pagos dejó expuesta
información sobre nóminas, impuestos y beneficios de más de 600 000 empresas.

1.1.3.2. Pérdida de la ventaja competitiva

Las empresas están cada vez más preocupadas por el espionaje corporativo en el ciberespacio.
Una importante preocupación adicional es la pérdida de confianza que surge cuando una empresa
es incapaz de proteger los datos personales de sus clientes. La pérdida de la ventaja competitiva
puede deberse más a esta falta de confianza que al hecho de que otra empresa o país robe
secretos comerciales.

1.1.3.3. Política y seguridad nacional

No solo las empresas sufren ataques. En febrero de 2016, un hacker publicó los datos personales
de 20 000 empleados de la Oficina Federal de Investigaciones (FBI) de EE. UU. y de
9000 empleados del Departamento de Seguridad Nacional (DHS) de EE. UU. Aparentemente, el
hacker tuvo motivos políticos.

El gusano Stuxnet se diseñó específicamente para impedir el avance de Irán en el enriquecimiento

de uranio que podría usarse en un arma nuclear. Stuxnet es un claro ejemplo de un ataque a la red
motivado por asuntos de seguridad nacional. La ciberguerra es una posibilidad concreta. Los
hackers guerreros patrocinados por el estado pueden causar interrupciones y destrucciones de
servicios y recursos vitales dentro de una nación enemiga. Internet se ha tornado esencial como
medio para actividades comerciales y financieras. La interrupción de estas actividades puede
devastar la economía de una nación. Los controladores, similares a los atacados por Stuxnet,
también se utilizan para controlar el caudal de agua en diques y la alimentación en redes
eléctricas. Los ataques contra estos controladores pueden tener graves consecuencias.

1.1.3.4. Práctica de laboratorio: Visualizar a los Sombreros negros

En esta práctica de laboratorio, se investigarán y analizarán incidentes de ciberseguridad para

crear situaciones sobre cómo las organizaciones pueden evitar o mitigar el impacto de un ataque.

Práctica de laboratorio 1.1.3.4: Visualizar los sombreros negros

1.2. Soldados en la guerra contra la delincuencia

1.2.1. EL centro de operaciones de seguridad moderno
1.2.1.1 Elementos de un SOC

7
 Cisco Cybersecurity Operations

La defensa contra las amenazas actuales requiere un enfoque formalizado, estructurado y

disciplinado a cargo de profesionales de centros de operaciones de seguridad. Los SOC
proporcionan una amplia gama de servicios, que abarcan desde el seguimiento y la gestión hasta
soluciones completas contra amenazas y seguridad alojada que se pueden personalizar para
satisfacer las necesidades del cliente. Los SOC pueden ser totalmente internos (una empresa
puede ser propietaria e implementarlos) o es posible tercerizar los elementos de un SOC a
proveedores de seguridad, como los Servicios administrados para seguridad de Cisco.

Los elementos principales de un SOC (que aparecen en la figura) son las personas, los procesos y la
tecnología.

1.2.1.2. Las personas en el SOC

El SANS Institute (www.sans.org) divide en cuatro los roles que las personas desempeñan en los
SOC:

 Analista de alertas de categoría 1: estos profesionales monitorean alertas entrantes,

verifican que realmente haya ocurrido un incidente y reenvían los informes a la categoría  2 si
es necesario.

 Personal de respuesta ante los incidentes de categoría 2: estos profesionales son

responsables de investigar los incidentes en detalle y sugerir soluciones o medidas que
deben adoptarse.

 Experto en la materia (SME)/buscador de categoría 3: estos profesionales son expertos

en redes, terminales, inteligencia de amenazas e ingeniería inversa de malware. Son
especialistas en seguir los procesos del malware para determinar su impacto y cómo
eliminarlo. También están profundamente involucrados en la búsqueda de posibles
amenazas y la implementación de herramientas de detección de amenazas.

8
 Cisco Cybersecurity Operations

 Administrador del SOC: este profesional administra todos los recursos del SOC y sirve
como punto de contacto para el cliente o la organización en su totalidad.

En este curso, se ofrece la preparación para una certificación adecuada para el puesto de analista
de alertas de categoría 1, también conocido como analista de ciberseguridad.

La figura del SANS Institute representa gráficamente cómo interactúan entre sí estos roles.

1.2.1.3. Los procesos en el SOC

El día de un analista de categoría 1 comienza con el monitoreo de colas de alertas de seguridad.

Con frecuencia, se utiliza un sistema de informes que les permite a los analistas seleccionar alertas
de una cola para investigar. Dado que el software que genera alertas puede activar falsas alarmas,
una de las tareas del analista de categoría 1 puede ser verificar que una alerta sea realmente un
incidente de seguridad. Cuando se establece la verificación, es posible reenviar el incidente a
investigadores u otro personal de seguridad para que tomen medidas, o categorizarlo como
resuelto si es una falsa alarma.

Si un informe no se puede resolver, el analista de categoría 1 reenviará el informe a un analista de

categoría 2 para que lo investigue en detalle e implemente una solución. Si el analista de
categoría 2 no puede resolver el informe, se lo reenviará a un analista de categoría 3 con
conocimiento experto y habilidades de búsqueda de amenazas.

9
 Cisco Cybersecurity Operations

1.2.1.4. Las tecnologías en el SOC

Como se muestra en la figura, un SOC necesita un sistema de administración de información y

eventos de seguridad (SIEM) o equivalente. Este sistema combina datos de varias tecnologías.

Los sistemas SIEM se usan para recopilar y filtrar datos; detectar, clasificar, analizar e investigar
amenazas; y administrar recursos a fin de implementar medidas preventivas y afrontar futuras
amenazas. Las tecnologías del SOC incluyen una o más de las siguientes:

10
 Cisco Cybersecurity Operations

 Recopilación, correlación y análisis de eventos

 Monitoreo de la seguridad
 Control de la seguridad
 Administración de archivos de registro
 Evaluación de vulnerabilidades
 Seguimiento de vulnerabilidades
 Inteligencia de amenazas

1.2.1.5. Seguridad empresarial y administrada

Para redes medianas y grandes, la organización se beneficiará de implementar un SOC de nivel

empresarial. El SOC puede ser una solución interna completa. Sin embargo, muchas
organizaciones importantes tercerizan, al menos en parte, las operaciones del SOC a un proveedor
de soluciones de seguridad.

Cisco cuenta con un equipo de expertos que ayudan a garantizar la resolución oportuna y precisa
de incidentes. Cisco ofrece una amplia gama de capacidades de respuesta, preparación y
administración de incidentes:

 Servicio Cisco Smart Net Total Care para la resolución rápida de problemas
 Equipo de respuesta ante los incidentes de seguridad de los productos (PSIRT) de Cisco
 Equipo de respuesta ante los incidentes de seguridad de las computadoras (CSIRT) de
Cisco
 Servicios administrados de Cisco
 Operaciones tácticas de Cisco (TacOps)
 Programa de seguridad física y seguridad de Cisco

1.2.1.6. Comparación entre seguridad y disponibilidad

La mayoría de las redes empresariales tienen que estar funcionando en todo momento. El
personal de seguridad entiende que, para que la organización logre sus prioridades, debe
mantenerse la disponibilidad de la red.

Cada empresa o industria tiene una tolerancia limitada al tiempo de inactividad de la red. Esa
tolerancia suele basarse en una comparación entre el costo del tiempo de inactividad y el costo de
protección contra el tiempo de inactividad. Por ejemplo, en un comercio minorista pequeño con
una sola ubicación, puede resultar suficiente que un router sea el único punto de falla. Sin
embargo, si gran parte de las ventas de ese comercio proviene de compradores en línea, el
propietario puede decidir brindar determinado nivel de redundancia para asegurar que siempre
haya disponible una conexión.

11
 Cisco Cybersecurity Operations

El tiempo de actividad preferido suele medirse según la cantidad de minutos de inactividad en

un año, como se ve en la figura. Entre los ejemplos, un tiempo de actividad de “cinco nueves”
indica que la red está activa el 99,999 % del tiempo, es decir, permanece inactiva menos de
5 minutos por año. “Cuatro nueves” equivale a un tiempo de inactividad de 53 minutos por año.

Sin embargo, el nivel de seguridad no debe ser tan alto como para interferir en las necesidades de
los empleados o las funciones empresariales. El secreto es lograr siempre un equilibrio entre un
buen nivel de seguridad y la posibilidad de que la empresa funcione con eficacia.

1.2.1.7. Actividad: identificar terminología del SOC

1.2.2. Convertirse en un defensor

12
 Cisco Cybersecurity Operations

1.2.2.1. Certificaciones

Numerosas organizaciones ofrecen una serie de certificaciones de ciberseguridad que son

relevantes para trabajar en SOC.

Cisco CCNA Cyber Ops

La certificación CCNA Cyber Ops proporciona un valioso primer paso en la adquisición del
conocimiento y las habilidades que se necesitan para trabajar con un equipo de SOC. Puede ser
una parte valiosa de una profesión en el fascinante y cada vez más importante campo de las
operaciones de ciberseguridad.

Certificación CompTIA Cybersecurity Analyst

La certificación CompTIA Cybersecurity Analyst (CSA+) es una certificación profesional de TI

independiente. Valida el conocimiento y las habilidades que se necesitan para configurar y utilizar
herramientas de detección de amenazas, realizar análisis de datos e interpretar los resultados para
identificar vulnerabilidades, amenazas y riesgos en una organización. El objetivo final es lograr la
capacidad de proteger aplicaciones y sistemas dentro de una organización.

Certificaciones de seguridad de la información (ISC)²

(ISC)² es una organización internacional sin fines de lucro que ofrece la famosa certificación de
CISSP. También ofrece una variedad de otras certificaciones de diversas especialidades en
ciberseguridad.

Certificación global de seguridad verificada de la información (Global Information Assurance

Certification, GIAC)

GIAC, que se fundó en 1999, es una de las organizaciones de certificación de seguridad más
antiguas. Ofrece una amplia gama de certificaciones en siete categorías.

Otras certificaciones relacionadas con la seguridad

Busquen “certificaciones de ciberseguridad” para obtener información acerca de otras

certificaciones de proveedores e independientes.

1.2.2.2. Educación adicional

Títulos

Toda persona que considere trabajar en ciberseguridad, debería pensar seriamente en comenzar
una carrera de grado técnica o una licenciatura en ciencias informáticas, ingeniería eléctrica,

13
 Cisco Cybersecurity Operations

tecnología de la información o seguridad de la información. Muchas instituciones educativas

ofrecen especializaciones y certificaciones relacionadas con la seguridad.

Programación con Python

La programación por computadora es una habilidad esencial para cualquiera que desee trabajar en
ciberseguridad. Si nunca aprendió a programar, Python es el primer lenguaje que debe aprender.
Python es un lenguaje de código abierto orientado a objetos que usan frecuentemente los
analistas de ciberseguridad. También es un lenguaje de programación popular para sistemas
basados en Linux y redes definidas por software (SDN).

1.2.2.3. Fuentes de información sobre trabajo

Una variedad de sitios web y aplicaciones móviles publicita trabajos de tecnología de la

información. Cada sitio está dirigido a diversos postulantes y proporciona diferentes herramientas
para que los candidatos busquen su puesto de trabajo ideal. Muchos sitios son agregadores de
sitios de trabajo. Los agregadores de sitios de trabajo publican en un solo lugar recopilaciones de
anuncios de otros paneles de empleo y sitios de profesionales de empresas.

Indeed.com

Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de
180 millones de visitantes exclusivos por mes de más de 50 países diferentes. Indeed.com es
verdaderamente un sitio de trabajo mundial. Ayuda a las empresas de todos los tamaños a
contratar a los mejores talentos y ofrece las mejores oportunidades para quienes buscan trabajo.

CareerBuilder.com

CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este sitio atrae a
los candidatos específicos que poseen la mayor educación y las credenciales más altas. Los
empleadores que publican en CareerBuilder comúnmente obtienen más candidatos con títulos
universitarios, credenciales avanzadas y certificaciones industriales.

USAJobs.gov

El gobierno federal de EE. UU. publica cualquier vacante en USAJobs. Haga clic aquí para obtener
más información sobre cómo postularse.

Información sobre salarios

El sitio web glassdoor.com proporciona información salarial de diferentes lugares, empresas y

tipos de trabajo. Busquen “analista de ciberseguridad” para conocer los salarios y requisitos de
vacantes actuales.

14
 Cisco Cybersecurity Operations

LinkedIn

LinkedIn es una red profesional de más de 530 millones de usuarios en más de 200 países cuyo
objetivo es ayudar a las personas a ser más productivas y exitosas. LinkedIn también es un
excelente sitio para obtener información profesional y oportunidades laborales. Haga
clic aquí para obtener más información sobre LinkedIn y crear una cuenta.

1.2.2.4. Cómo obtener experiencia

Pasantías

Las pasantías son un excelente método para comenzar a trabajar en el campo de la

ciberseguridad. A veces, las pasantías se convierten en una oferta de trabajo a tiempo completo.
De todas maneras, hasta una pasantía temporal permite adquirir experiencia en el funcionamiento
interno de una organización de ciberseguridad. Los contactos que se logran durante una pasantía
también pueden resultar un recurso valioso a medida que se avanza en una profesión. Haga
clic aquí para leer un artículo de Forbes sobre los 10 mejores sitios web para pasantías.

Beca de ciberseguridad Cisco

Para ayudar a reducir la brecha de habilidades de seguridad, Cisco presentó el Programa de becas
de ciberseguridad global en 2016. Cisco tiene por objetivo aumentar el grupo de talentos con
conocimiento experto en ciberseguridad esencial. Las inscripciones comienzan en el otoño y se
nombrará a los beneficiarios a finales de la primavera. Haga clic aquí para obtener más
información sobre las becas.

Agencias temporarias

Si resulta difícil encontrar un primer trabajo, una empresa de trabajo temporal puede ser un
excelente puntapié inicial. La mayoría de estas empresas ayudan a perfeccionar las hojas de vida y
a formular recomendaciones sobre las habilidades adicionales que un candidato podría obtener
para atraer más a posibles empleadores.

Muchas organizaciones utilizan empresas de trabajo temporal para cubrir vacantes durante los
primeros 90 días. Luego, si el empleado realiza un buen trabajo, la organización puede ofrecer
comprarle el contrato a la empresa de trabajo temporal para convertir al empleado en un
trabajador permanente a tiempo completo.

El primer trabajo

Sin ninguna experiencia en el campo de la ciberseguridad, lo más recomendable es buscar una

empresa que esté dispuesta a brindar entrenamiento para un puesto similar al de analista de

15
 Cisco Cybersecurity Operations

categoría 1. Trabajar para un centro de llamadas o mesa de soporte puede ser el primer paso para
obtener la experiencia necesaria para avanzar en su profesión.

¿Cuánto tiempo es necesario permanecer en el primer trabajo? Generalmente, se recomienda

completar un ciclo completo de evaluación antes de abandonar una empresa. Este ciclo suele ser
de más de 18 meses. Normalmente, los posibles empleadores querrán saber si se cumplieron o
superaron las expectativas en el trabajo actual o anterior.

1.2.2.5. Práctica de laboratorio: Convertirse en defensor

En esta práctica de laboratorio, se investigará y analizará qué se necesita para ser un defensor de
la red.

Práctica de laboratorio: Convertirse en defensor

1.3. Resumen: La ciberseguridad y el Centro de Operaciones de Seguridad

En el comienzo del capítulo, aprendieron que las personas, las empresas y hasta las naciones
pueden ser víctimas de ciberataques. Hay varios tipos de atacantes, incluidos los aficionados que
atacan por diversión y prestigio, los hacktivistas que atacan para respaldar una causa política, y los
hackers profesionales que atacan con fines de lucro. Además, las naciones pueden atacar a otras
para obtener beneficios económicos mediante el robo de propiedad intelectual, o para dañar o
destruir los recursos de otro país. Las redes vulnerables a los ataques no son solamente redes
empresariales de computadoras y servidores, sino también miles de dispositivos en Internet de las
cosas.

Los centros de operaciones de seguridad (SOC) son responsables de prevenir y detectar la

ciberdelincuencia, y de responder ante ella. Los SOC se componen de personas que siguen
procesos de utilización de tecnologías para responder a las amenazas. Hay cuatro roles principales
en el SOC. Los analistas de categoría 1 verifican las alertas de seguridad usando datos de la red. El
personal de respuesta de categoría 2 verifica los incidentes y decide cómo actuar. Los
SME/buscadores de categoría 3 son expertos capaces de investigar amenazas al máximo nivel. El
cuarto rol es el de los administradores del SOC. Administran los recursos del centro y se
comunican con los clientes. Los clientes pueden ser internos o externos. Un SOC puede estar a
cargo de una sola empresa o puede prestar servicios a muchas empresas. Por último, aunque la
seguridad de la red es extremadamente importante, no puede interferir con la capacidad de la
empresa y sus empleados de cumplir con la misión de una organización.

Para trabajar en un SOC, ahora saben que es posible estudiar para obtener certificaciones
ofrecidas por una serie de diferentes organizaciones. Además, pueden obtener títulos de
educación superior relevantes para el campo de las ciberoperaciones y aprender otras habilidades,
como la programación mediante Python. Es posible encontrar trabajo en numerosos sitios web de

16
 Cisco Cybersecurity Operations

empleo, y hay empresas que pueden ayudar a encontrar trabajos temporales, pasantías o trabajos
permanentes.

17