20 Mejores Carreras en Ciberseguridad

1: Cazador de Amenazas
Este experto aplica nueva inteligencia de amenazas contra la evidencia existente para identificar a los atacantes que se han
deslizado a través de mecanismos de detección en tiempo real. La práctica de la caza de amenazas requiere varios conjuntos
de habilidades, que incluyen inteligencia de amenazas, análisis forense de sistemas y redes, y procesos de desarrollo
investigativo. Este rol transita la respuesta a incidentes de un proceso de investigación puramente reactivo a uno proactivo,
descubriendo adversarios o sus huellas basadas en el desarrollo de la inteligencia.
¿Por qué es importante este papel? Los cazadores de amenazas buscan proactivamente evidencia de atacantes que no
fueron identificados por los métodos tradicionales de detección. Sus descubrimientos a menudo incluyen adversarios latentes
que han estado presentes por períodos prolongados de tiempo.
Cursos SANS recomendados: SEC504 (Certificación GCIH),SEC511 (Certificación GMON), FOR608, FOR508 (Certificación
GCFA), FOR509, ICS515 (Certificación GRID), FOR572 (Certificación GNFA), FOR578 (Certificación GCTI), FOR710,
FOR610 (Certificación GREM), SEC541, y ICS612

2: Teamer Rojo
En este rol, tendrá el desafío de mirar los problemas y situaciones desde la perspectiva de un adversario. La atención se
centra en mejorar el Equipo Azul probando y midiendo las políticas, procedimientos y tecnologías de detección y respuesta
de la organización. Este rol incluye la realización de la emulación adversaria, un tipo de ejercicio del Equipo Rojo donde el
Equipo Rojo emula cómo funciona el adversario, siguiendo las mismas tácticas, técnicas y procedimientos (TTP), con un
objetivo específico similar a los de amenazas o adversarios realistas. También puede incluir la creación de implantes
personalizados y marcos C2 para evadir la detección.
¿Por qué es importante este papel? Este papel es importante para ayudar a responder la pregunta común de "¿puede
sucedernos ese ataque que derribó a la compañía?". Los Red Teamers tendrán una visión holística de la preparación de la
organización para un ataque real y sofisticado probando a los defensores, no solo a las defensas.
Cursos SANS recomendados: SEC565, SEC670, SEC560 (Certificación GPEN), SEC660 (Certificación GXPN), SEC760, y
SEC504 (Certificación GCIH)
3: Analista forense digital
Este experto aplica habilidades forenses digitales a una gran cantidad de medios que abarcan una investigación. La práctica
de ser un examinador forense digital requiere varios conjuntos de habilidades, incluida la recopilación de pruebas,
computadoras, teléfonos inteligentes, nube y análisis forense de redes, y una mentalidad investigativa. Estos expertos analizan
sistemas comprometidos o medios digitales involucrados en una investigación que puede usarse para determinar lo que
realmente sucedió. Los medios digitales contienen huellas que los datos forenses físicos y la escena del crimen pueden no
incluir.
¿Por qué es importante este papel? Usted es el detective en el mundo de la ciberseguridad, busca en computadoras, teléfonos
inteligentes, datos en la nube y redes para obtener evidencia a raíz de un incidente / crimen. La oportunidad de aprender
nunca se detiene. La tecnología siempre avanza, como lo es su carrera.
Cursos SANS recomendados: FOR308, FOR498 (Certificación GBFA), FOR500 (Certificación GCFE), FOR608, FOR508
(Certificación GCFA), FOR509, FOR518 (Certificación de GIME), FOR572 (Certificación GNFA), y FOR585 (Certificación
GASF)

4: Teamer Purpura
En este puesto de trabajo bastante reciente, tiene una gran comprensión de cómo funcionan las defensas de ciberseguridad
("Equipo Azul") y cómo operan los adversarios ("Equipo Rojo"). Durante sus actividades cotidianas, organizará y automatizará
la emulación de técnicas adversarias, destacará posibles nuevas fuentes de registro y utilizará casos que ayuden a aumentar
la cobertura de detección del SOC y a proponer controles de seguridad para mejorar la resiliencia contra las técnicas. También
trabajará para ayudar a coordinar la comunicación efectiva entre los roles defensivos y ofensivos tradicionales.
¿Por qué es importante este papel? Ayuda a los azules y los rojos a entenderse mejor. Los equipos azules han estado
hablando tradicionalmente sobre controles de seguridad, fuentes de registro, casos de uso, etc. Por otro lado, los equipos
rojos hablan tradicionalmente sobre cargas útiles, exploits, implantes, etc. Ayuda a cerrar la brecha asegurando que el rojo y
el azul hablen un idioma común y puedan trabajar juntos para mejorar la ciberseguridad general de la organización
Cursos SANS recomendados: SEC504 (Certificación GCIH), SEC599 (Certificación GDAT), SEC598 y SEC699
5: Analista de Malware
Los analistas de malware enfrentan las capacidades de los atacantes de frente, asegurando la respuesta y contención más
rápida y efectiva de un ataque cibernético. Miras profundamente dentro del software malicioso que comprende la naturaleza
de la amenaza: cómo entró, qué defecto explotó y qué ha hecho, está tratando de hacer o tiene el potencial de lograrlo.
¿Por qué es importante este papel? Si se le da la tarea de caracterizar exhaustivamente las capacidades de una pieza de
código malicioso, sabe que se enfrenta a un caso de suma importancia. El manejo, desmontaje, depuración y análisis
adecuados de los binarios requiere herramientas, técnicas y procedimientos específicos y el conocimiento de cómo ver a
través del código sus verdaderas funciones. Los ingenieros inversos poseen estas habilidades preciosas y pueden ser un
punto de inflexión a favor de los investigadores durante las operaciones de respuesta a incidentes. Ya sea extrayendo firmas
críticas para ayudar a una mejor detección o produciendo inteligencia de amenazas para informar a colegas en toda la
industria, los analistas de malware son un recurso invaluable de investigación.
Cursos SANS recomendados: FOR710, FOR610 (Certificación GREM), FOR518 (Certificación de GIME), y FOR585
(Certificación GASF)

6: CISO / ISO o Director de Seguridad

Como director de seguridad de la información, usted será el equilibrio entre el departamento de TI y la sala de juntas, con una
comprensión equitativa de la seguridad comercial y de la información. Junto con la capacidad de influir y negociar, también
tendrá un conocimiento profundo de los mercados globales, las políticas y la legislación. Con la capacidad de pensar
creativamente, el CISO será un solucionador de problemas natural y encontrará formas de saltar a la mente de un
cibercriminal, descubriendo nuevas amenazas y sus soluciones.
¿Por qué es importante este papel? La tendencia es que los CISO tengan un fuerte equilibrio entre la perspicacia empresarial
y el conocimiento tecnológico para estar al día con los problemas de seguridad de la información desde un punto de vista
técnico, Comprender cómo implementar la planificación de seguridad en los objetivos comerciales más amplios, y poder
construir una seguridad duradera y una cultura basada en el riesgo para proteger a la organización.
Cursos SANS recomendados: MGT512 (Certificación GSLC), MGT514 (Certificación GSTRT), MGT521, MGT520, SEC388
7: Blue Teamer - All-Around Defender
Este trabajo, que puede tener diferentes títulos según la organización, a menudo se caracteriza por la amplitud de tareas y
conocimientos requeridos. El defensor general y Blue Teamer es la persona que puede ser un contacto de seguridad primario
para una organización pequeña y debe ocuparse de la ingeniería y la arquitectura, la triada CID y la respuesta ante incidentes,
la administración de herramientas de seguridad y más.
¿Por qué es importante este papel? Este rol laboral es muy importante, ya que a menudo aparece en organizaciones pequeñas
y medianas que no tienen presupuesto para un equipo de seguridad completo con roles dedicados para cada función. El
defensor general no es necesariamente un título de trabajo oficial, ya que es el alcance del trabajo de defensa que tales
defensores pueden hacer, un poco de todo para todos.
Cursos SANS recomendados: SEC530 (Certificación GDSA), SEC450 (Certificación GSOC), SEC503 (Certificación GCIA),
SEC511 (Certificación GMON, SEC505 (Certificación GCWN), SEC555 (Certificación GCDA), y SEC586

8: Arquitecto e ingeniero de seguridad

Diseñe, implemente y ajuste una combinación efectiva de controles centrados en la red y centrados en los datos para equilibrar
la prevención, detección y respuesta. Los arquitectos e ingenieros de seguridad pueden observar una defensa empresarial de
manera integral y construir seguridad en cada capa. Pueden equilibrar los requisitos comerciales y técnicos junto con varias
políticas de seguridad y procedimientos para implementar arquitecturas de seguridad defendibles.
¿Por qué es importante este papel? Un arquitecto e ingeniero de seguridad es un versátil Blue Teamer y ciberdefensor que
posee habilidades y arsenales para proteger los datos críticos de una organización, desde el punto final hasta la nube, a través
de redes y aplicaciones.
Cursos SANS recomendados: SEC503 (Certificación GCIA), SEC505 (Certificación GCWN), SEC511 (Certificación GMON),
y SEC530 (Certificación GDSA)
9: Miembro del Equipo de Respuesta a Incidentes
Este rol dinámico y acelerado implica identificar, mitigar y erradicar a los atacantes mientras sus operaciones aún se
desarrollan.
¿Por qué es importante este papel? Si bien prevenir las infracciones es siempre el objetivo final, una realidad inquebrantable
de seguridad de la información es que debemos asumir que un atacante suficientemente dedicado eventualmente tendrá
éxito. Una vez que se ha determinado que se ha producido una violación, los respondedores a incidentes son llamados a la
acción para localizar a los atacantes, minimizar su capacidad de dañar a la víctima y, en última instancia, eliminarlos del medio
ambiente. Este rol requiere un pensamiento rápido, habilidades técnicas y de documentación sólidas, y la capacidad de
adaptarse a las metodologías de los atacantes. Además, los respondedores incidentes trabajan como parte de un equipo, con
una amplia variedad de especializaciones. En última instancia, deben transmitir de manera efectiva sus hallazgos a audiencias
que van desde una gestión técnica profunda hasta ejecutiva.
Cursos SANS recomendados: FOR308, FOR498 (Certificación GBFA), FOR500 (Certificación GCFE), FOR508 (Certificación
GCFA), FOR608, FOR509, FOR585 (Certificación GASF), FOR518 (Certificación de GIME), FOR572 (Certificación GCFA),
FOR578 (Certificación GCTI), FOR710, y FOR610 (Certificación GREM),SEC402, SEC504 (Certificación GCIH), SEC508
(Certificación GCFA)

10: Analista / Ingeniero de Seguridad Cibernética

Como este es uno de los trabajos mejor pagados en el campo, las habilidades requeridas para dominar las responsabilidades
involucradas son avanzadas. Debe ser altamente competente en detección de amenazas, análisis de amenazas y protección
contra amenazas. Este es un papel vital en la preservación de la seguridad e integridad de los datos de una organización.
¿Por qué es importante este papel? Este es un rol proactivo, creando planes de contingencia que la compañía implementará
en caso de un ataque exitoso. Dado que los atacantes cibernéticos utilizan constantemente nuevas herramientas y estrategias,
los analistas / ingenieros de ciberseguridad deben mantenerse informados sobre las herramientas y técnicas que existen para
lograr una defensa sólida.
Cursos SANS recomendados: SEC401 (Certificación GSEC), SEC450 (Certificación GSOC), ICS410 (Certificación GICSP),
ICS456 (Certificación GCIP), SEC501 (Certificación CTED), SEC540 (La certificación GIAC llegará pronto), SEC503
(Certificación GCIA), SEC530 (Certificación GDSA), SEC555 (Certificación GCDA), SEC504 (Certificación GCIH), SEC511
(Certificación GMON), SEC586, FOR509, y MGT551 (Certificación GSOM)
11: OSINT Investigador / Analista
Estos profesionales ingeniosos recopilan requisitos de sus clientes y luego, utilizando recursos abiertos y principalmente
recursos en Internet, recopilan datos relevantes para su investigación. Pueden investigar dominios y direcciones IP, empresas,
personas, problemas, transacciones financieras y otros objetivos en su trabajo. Sus objetivos son reunir, analizar e informar
sus hallazgos objetivos a sus clientes para que los clientes puedan obtener información sobre un tema o problema antes de
actuar.
¿Por qué es importante este papel? Hay una gran cantidad de datos accesibles en Internet. El problema que tienen muchas
personas es que no entienden la mejor manera de descubrir y cosechar estos datos. Los investigadores de OSINT tienen las
habilidades y los recursos para descubrir y obtener datos de fuentes de todo el mundo. Apoyan a personas en otras áreas de
ciberseguridad, inteligencia, militares y negocios. Son los buscadores de cosas y los conocedores de los secretos.
Cursos SANS recomendados: SEC487 (Certificación GOSI), SEC587, y FOR578 (Certificación GCTI)

12: Director Técnico

Este experto define las estrategias tecnológicas en conjunto con los equipos de desarrollo, evalúa el riesgo, establece
estándares y procedimientos para medir el progreso y participa en la creación y desarrollo de un equipo fuerte.
¿Por qué es importante este papel? Con una amplia gama de tecnologías en uso que requieren más tiempo y conocimiento
para administrar, la escasez global de talento de ciberseguridad, una migración sin precedentes a la nube y el cumplimiento
legal y regulatorio a menudo aumentan y complican más el asunto, un director técnico desempeña un papel clave en las
operaciones exitosas de una organización.
Cursos SANS recomendados: MGT516, SEC566 (Certificación GCCC), MGT551, y SEC557
13: Analista de Seguridad en la Nube
El analista de seguridad en la nube es responsable de la seguridad en la nube y las operaciones diarias. Este rol contribuye
al diseño, integración y prueba de herramientas para la gestión de seguridad, recomienda mejoras de configuración, evalúa
la postura general de seguridad en la nube de la organización y proporciona experiencia técnica para la toma de decisiones
de la organización.
¿Por qué es importante este papel? Con un movimiento sin precedentes de las soluciones tradicionales en las instalaciones
a la nube y la escasez de expertos en seguridad en la nube, esta posición ayuda a una organización a posicionarse de manera
reflexiva y segura en un entorno multicloud necesario para el mundo empresarial actual.
Cursos SANS recomendados: SEC488 (Certificación GCLD), SEC510 (Certificación GPCS), SEC541, SEC401 (Certificación
GSEC), SEC588 (Certificación GCPN), SEC557, y FOR509

14: Analista de detección de intrusos / (SOC)

Los analistas del Centro de Operaciones de Seguridad (SOC) trabajan junto con ingenieros de seguridad y gerentes de SOC
para implementar la prevención, detección, monitoreo y respuesta activa. Trabajando en estrecha colaboración con los
equipos de respuesta a incidentes, un analista de SOC abordará los problemas de seguridad cuando se detecte, de manera
rápida y efectiva. Con un ojo para los detalles y las anomalías, estos analistas ven las cosas que la mayoría de los demás
pierden.
¿Por qué es importante este papel? Los analistas de SOC ayudan a las organizaciones a tener mayor velocidad en la
identificación de ataques y remediarlos antes de que causen más daños. También ayudan a cumplir con los requisitos de
regulación que requieren monitoreo de seguridad, gestión de vulnerabilidad o una función de respuesta a incidentes.
Cursos SANS recomendados: SEC450 (Certificación GSOC), FOR608, FOR508 (Certificación GCFA), SEC511 (Certificación
GMON), SEC555 (Certificación GCDA), SEC503 (Certificación GCIA), FOR572 (Certificación GNFA), y SEC504 (Certificación
GCIH), MGT551(Certificación GSOM)
15: Oficial de Concienciación en Seguridad
Los oficiales de concientización de seguridad trabajan junto a su equipo de seguridad para identificar los riesgos de grado
humano de su organización y los comportamientos que manejan esos riesgos. Luego son responsables de desarrollar y
administrar un programa continuo para capacitar y comunicarse efectivamente con la fuerza laboral para prohibir esos
comportamientos seguros. Los programas altamente maduros no solo afectan el comportamiento de la fuerza laboral, sino
que también crean una fuerte cultura de seguridad.
¿Por qué es importante este papel? Las personas se han convertido en los principales impulsores de incidentes e infracciones
hoy en día, y sin embargo, el problema es que la mayoría de las organizaciones aún abordan la seguridad desde una
perspectiva puramente técnica. Su función será clave para permitir que su organización cierre esa brecha y aborde también
el lado humano. Posiblemente uno de los campos más importantes y de más rápido crecimiento en ciberseguridad en la
actualidad.
Cursos SANS recomendados: MGT433 (Certificación SSAP), MGT521, y MGT512 (Certificación GSLC)

16: Investigador de Vulnerabilidad y Desarrollador de Exploits

En este rol, trabajará para encontrar 0 días (vulnerabilidades desconocidas) en una amplia gama de aplicaciones y dispositivos
utilizados por organizaciones y consumidores. Encuentra vulnerabilidades ante los adversarios
¿Por qué es importante este papel? Los investigadores encuentran constantemente vulnerabilidades en productos y
aplicaciones populares que van desde dispositivos de Internet de las cosas (IoT) hasta aplicaciones comerciales y dispositivos
de red. Los dispositivos parénticos como las bombas de insulina y los marcapasos son objetivos. Si no tenemos la
investigación correcta y encontramos este tipo de vulnerabilidades ante los adversarios, las consecuencias pueden ser graves.
Cursos SANS recomendados: SEC660 (Certificación GXPN), SEC760, SEC661, y SEC670
17: Pen-tester de Aplicaciones
Los pen-tester de aplicaciones analizan la integridad de seguridad de las aplicaciones y defensas de una empresa mediante
la evaluación de la superficie de ataque de todos los servicios basados en la web vulnerables dentro del alcance, aplicaciones
del lado del cliente, procesos del lado del servidor y más. Al imitar a un atacante malicioso, los pen-tester de aplicaciones
trabajan para evitar las barreras de seguridad con el fin de obtener acceso a información confidencial o ingresar a los sistemas
internos de la compañía a través de técnicas como el movimiento pivote o lateral.
¿Por qué es importante este papel? Las aplicaciones web son críticas para realizar operaciones comerciales, tanto internas
como externas. Estas aplicaciones a menudo usan complementos de código abierto que pueden poner a estas aplicaciones
en riesgo de un incumplimiento de seguridad.
Cursos SANS recomendados: SEC504 (Certificación GCIH), SEC522 (Certificación GWEB), SEC542 (Certificación GWAPT),
SEC552, SEC560 (Certificación GPEN), SEC588 (Certificación GCPN), SEC642, SEC661, y SEC760

18: Consultor de Evaluación de Seguridad ICS / OT

Un pie en el emocionante mundo de las operaciones ofensivas y el otro pie en los entornos críticos de control de procesos
esenciales para la vida. Descubra las vulnerabilidades del sistema y trabaje con los propietarios de activos y operadores para
mitigar los descubrimientos y evitar la explotación de los adversarios.
¿Por qué es importante este papel? Los incidentes de seguridad, tanto de naturaleza intencional como accidental, que afectan
a OT (principalmente en los sistemas ICS) pueden considerarse de alto impacto pero de baja frecuencia (HILF); no ocurren
con frecuencia, pero cuando hacen el costo para el negocio puede ser considerable.
Cursos SANS recomendados: SEC560 Certificación GPEN), ICS612, ICS515 (Certificación GRID), ICS456 (Certificación
GCIP), y ICS410 (Certificación GICSP), ICS418
19: Ingeniero DevSecOps
Como ingeniero de DevSecOps, desarrolla capacidades de seguridad automatizadas que aprovechan las mejores
herramientas y procesos para inyectar seguridad en la tubería de DevOps. Esto incluye liderazgo en áreas clave para
DevSecOps, como gestión de vulnerabilidad, monitoreo y registro, operaciones de seguridad, pruebas de seguridad y
seguridad de aplicaciones.
¿Por qué es importante este papel? DevSecOps es una respuesta natural y necesaria al efecto de cuello de botella de los
modelos de seguridad más antiguos en la tubería de entrega continua moderna. El objetivo es cerrar las brechas tradicionales
entre TI y seguridad al tiempo que garantiza la entrega rápida y segura de aplicaciones y la funcionalidad comercial.
Cursos SANS recomendados: SEC522 (Certificación GWEB), SEC540 (Certificación GCSA), SEC510 (Certificación GPCS),
y SEC534

20: Analista de Explotación de Medios

Este experto aplica habilidades forenses digitales a una gran cantidad de medios que abarca una investigación. Si investigar
delitos informáticos lo emociona y desea hacer una carrera de recuperación de sistemas de archivos que han sido pirateados,
dañados o utilizados en un delito, este puede ser el camino para usted. En esta posición, ayudará en los exámenes forenses
de computadoras y medios de una variedad de fuentes, con el fin de desarrollar evidencia forense sólida.
¿Por qué es importante este papel? A menudo es el primero en responder o el primero en tocar la evidencia involucrada en
un acto criminal. Los casos comunes involucran terrorismo, contrainteligencia, aplicación de la ley y amenaza interna. Usted
es la persona en la que se confía para llevar a cabo la explotación de los medios desde la adquisición hasta el informe final y
es una parte integral de la investigación.
Cursos SANS recomendados: FOR308, FOR500 (Certificación GCFE), FOR608, FOR508 (Certificación GCFA), FOR572
(Certificación GNFA), FOR585 (Certificación GASF), FOR518 (Certificación GIME), y FOR498 (Certificación GBFA)