Algunos profesionales de ciberseguridad saltan directamente a la industria después de terminar la escuela. Otros se incorporan a través de trabajos en campos afines como la ingeniería de software y el cumplimiento normativo. Y otros, como Tracy Z. Maleeff, también conocida como InfoSecSherpa, encuentran su camino en la industria de la ciberseguridad después de pasar años trabajando en empleos que no suelen asociarse con la ciberseguridad, como la bibliotecología.

Como investigadora de seguridad en el Krebs Stamos Group, Maleeff no solo ha logrado hacer una transición exitosa a una carrera en ciberseguridad, sino que también se ha convertido en uno de los nombres más destacados en asesoramiento e información sobre carreras en ciberseguridad y temas candentes.

Conoce más abajo la fascinante trayectoria de Maleeff, de bibliotecaria en un bufete de abogados a profesional de la ciberseguridad y líder de opinión.

Dejar atrás un campo que amaba y pasar a la tecnología

Tracy Maleeff seguía muy enamorada de la bibliotecología cuando empezó a considerar un cambio. Aun así, después de años trabajando como bibliotecaria en un bufete de abogados, Maleeff sintió que era momento de seguir adelante y probar cosas nuevas.

Tracy descubrió la seguridad física a una edad temprana al aprender a forzar una cerradura usando una tarjeta de biblioteca.[/caption]

“Mi camino hacia la ciberseguridad en realidad comienza con una nota un poco triste,” dijo Maleeff. “Iba y venía entre Center City, Filadelfia, y los suburbios donde vivía, y simplemente sentía que estaba muy confundida respecto a mi carrera. Me había esforzado tanto para convertirme en bibliotecaria. Tengo una maestría en Bibliotecología y Ciencias de la Información de la Universidad de Pittsburgh, y había estado en bibliotecas durante unos 15 años, pero realmente no veía un futuro para mí en eso. Los siguientes niveles eran puestos de directora, y eso se trata más de gestión de personas que de gestión de la biblioteca, y además en ese momento, en 2014, hubo muchas fusiones y despidos en bufetes de abogados.

“Así que me preocupaba mucho tener un futuro profesional. No quería ser una de tantas bibliotecarias de bufete compitiendo por los pocos puestos que quedaban en Filadelfia. Eso me puso muy triste. Para pasar el tiempo, leía para distraerme y encontré este artículo en Entrepreneur Magazine que se titulaba ‘Cómo hacer que tu carrera sea resistente al futuro en 2015.’ Lo leí, y lo que realmente me llamó la atención fue que decía que, para descubrir qué deberías hacer como carrera, debías identificar los distintos momentos de tus trabajos anteriores que realmente te emocionaron, te dieron energía y te desafiaron de una manera que te hiciera sentir entusiasmo. Aconsejaba encontrar un hilo conductor. Lo pensé y me di cuenta de que la tecnología era ese hilo conductor para mí.”

Tracy en DEF CON 2016 con Tarah Wheeler y Keren Elazari.

Tracy trabajando en el stand de la Women’s Society of Cyberjutsu en la conferencia Black Hat, reunida con Marina Krotofil.

Decidirse por la ciberseguridad

Aunque Maleeff ya tenía claridad sobre el nuevo campo general al que quería unirse, no estaba segura de qué área de la tecnología quería explorar a fondo. Después de asistir a varios encuentros y eventos tecnológicos, el consejo de una amiga terminó ayudándole a enfocarse en la ciberseguridad.

“Estaba muy emocionada por la posibilidad de unirme al mundo de la tecnología, pero pronto me di cuenta de que, aunque me gustaba la tecnología, el ambiente en torno a los eventos tecnológicos simplemente se sentía poco acogedor,” dijo Maleeff. “Así que me estaba frustrando, y un amigo notó mi frustración. Él llevaba mucho tiempo en tecnología, en la parte de backend y seguridad, pero yo no lo sabía porque esos términos me eran desconocidos.”

“Después de verme dar vueltas sin avanzar, me dijo: ‘Mira, déjame hablarte sobre backend y ciberseguridad. Creo que te gustaría, creo que se te daría bien’, y luego, como el destino quiso, resultó que fue a la conferencia Black Hat ese año y vio una mesa de la Women’s Society of Cyberjutsu. Empezó a hablar con ellas, contándoles sobre mí, y al poco tiempo yo estaba de vuelta en mi oficina en Filadelfia, recibiendo en mi teléfono mensajes de texto con fotos de su folleto, donde ofrecían clases para que las mujeres se pusieran al día con la ciberseguridad, junto con notas de ánimo. Al mes siguiente tomé el taller de fundamentos de ciberseguridad de dos partes de The Women's Society of Cyberjutsu y me ganaron con el escaneo de puertos. Pensé: ‘¿Dónde ha estado esto toda mi vida?’”

Mientras se familiarizaba con los aspectos técnicos de la ciberseguridad, Maleeff comenzó a asumir un papel activo en la promoción de las mejores prácticas de ciberseguridad, liderando la programación del Mes de la Concientización sobre la Ciberseguridad en su bufete de abogados.

“Una vez que empecé a tomar clases, la ciberseguridad realmente empezó a resonar conmigo,” dijo Maleeff, “se convirtió en mi pasatiempo peculiar.” “Tanto así que en septiembre de 2015 le envié un correo electrónico al director de información del bufete donde seguía trabajando como bibliotecaria y le pregunté: ‘¿Qué está haciendo la firma para el Mes de la Concientización sobre la Ciberseguridad en octubre y puedo involucrarme?’ Y cuando su respuesta fue ‘¿qué es el Mes de la Concientización sobre la Ciberseguridad?’, yo estaba preparada. Tenía un plan de cinco puntos que armé, tenía diapositivas, tenía una explicación completa. Se la presenté y le pareció genial; me puso a cargo de un programa de concientización en seguridad de cinco semanas. Fue una gran experiencia, y me hizo querer ir todavía más lejos en ciberseguridad.”

Hacer la transición a la ciberseguridad

A pesar de que ya tenía una idea clara de dónde quería enfocarse, Maleeff necesitaba encontrar una manera de pasar realmente del campo de bibliotecaria jurídica a la ciberseguridad.

“Una vez que probé la ciberseguridad, supe que ese era el camino que quería seguir,” dijo Maleeff. Sin embargo, sabía que no podía simplemente hacer un movimiento lateral del mundo de las bibliotecas a InfoSec y que necesitaba algún tipo de tiempo de transición para estudiar, ponerme al día, hacer contactos y entender la industria. Sin mencionar que todavía necesitaba tener ingresos. Aproveché mis habilidades como bibliotecaria como freelance y realicé proyectos de investigación y gestión de redes sociales para cualquier empresa de tecnología o ciberseguridad que me quisiera contratar. Avancemos rápido hasta febrero de 2016: dejé el bufete y empecé a conseguir trabajo freelance.”

“Solo unas semanas después de renunciar al bufete, ya estaba en un avión rumbo a San Francisco para asistir a RSA porque una empresa me había contratado para hacer trabajo in situ en el área de investigación y gestión de redes sociales, y eso inició básicamente un año y medio en el que asistí a muchas conferencias, conocí a muchas personas, tomé clases y simplemente aprendí y absorbí mucho de la industria, tratando de descubrir cuál era mi papel en ella. Usé mis habilidades en bibliotecología como una forma de presentarme al mundo de la seguridad de la información y de lo que podía aportar.”

A partir de ahí, Maleeff utilizó sus habilidades para ayudar a crear contenido y realizar investigaciones que ayudaran a sus clientes a articular mejor su propuesta de valor, mientras seguía desarrollando sus habilidades en ciberseguridad y haciendo contactos. Gracias a estos esfuerzos pudo conseguir su primer puesto.

“A través de mi red de contactos, logré llamar la atención de una empresa farmacéutica que buscaba contratar a un analista SOC de nivel inicial y lo que me dijeron en la entrevista fue que la parte técnica te la podemos enseñar. Son todas estas otras habilidades que aportas las que no podemos enseñarle a alguien. Es realmente importante que la gente sepa que las habilidades transferibles también son sumamente importantes en ciberseguridad.”

Tracy es una gran fanática de los eventos Security BSides. Esta foto es del evento BSides Northern Virginia.[/caption]

La vida como influencer de redes sociales

Con un promedio de seguidores en Twitter de alrededor de 700, superar los 1,000 es motivo de celebración para muchos usuarios de Twitter. Pero con casi 50,000 seguidores, Maleeff —también conocida como InfoSecSherpa— ha disfrutado desde hace mucho de las alturas vertiginosas de las redes sociales de ciberseguridad, ofreciendo orientación tanto a quienes trabajan en el campo como a quienes buscan unirse a él.

“Mi historial en redes sociales en realidad se remonta también a mis días en la biblioteca,” dijo Maleeff. “Muchas personas me pedían consejos e ideas sobre bibliotecología, así que se me ocurrió el nombre Library Sherpa porque estaba tratando de pensar en algo relacionado con ayudar a la gente. Así es como veo mi papel, como guía.

“Luego creé otra cuenta para merodear por InfoSec Twitter, InfoSecSherpa. Cuando surgían preguntas que estaban dentro de mi área para ayudar, saltaba para colaborar y simplemente creció a partir de ahí. Fue una locura porque decidí poner mi foto en el perfil y luego iba a eventos y la gente me reconocía y me decía: ‘Espera, ¿no eres InfoSecSherpa?’ y eso empezaba mi networking. Me sentaba, charlaba con ellos y conocía a la gente. Sabía que quería poder crear una presencia en esta comunidad y en esta industria. Sabía que no existía un camino ya trazado para mí, así que sabía que tenía que abrirme el mío propio y simplemente hacerlo.”

Tracy animando a su equipo favorito de la English Premier League, Everton, con su esposo en Goodison Park en Liverpool, Reino Unido.

Perspectiva sobre el espacio de la ciberseguridad

Maleeff ciertamente cree que el campo de la ciberseguridad tiene un futuro prometedor. Sin embargo, hay algunas cosas que sabe que la industria debe abordar y que ella quiere destacar.

“Hay un montón de ideas erróneas sobre la ciberseguridad, pero una de las más grandes es que los seres humanos no están en el centro de toda la seguridad. Algunas personas en la industria prefieren pensar en la seguridad más como unos y ceros, redes y cosas por el estilo. Sí, hay componentes muy técnicos en la ciberseguridad. No lo discuto, pero en el núcleo de la seguridad, ya sea física o de ciberseguridad, todo son seres humanos. Los actores de amenaza son humanos, las víctimas del phishing son humanos, somos humanos. Cuando estaba en la empresa farmacéutica, respondí el correo electrónico de una usuaria y ella se sorprendió de que yo fuera humana. No pensaba que hubiera personas en el departamento de seguridad. Creía que todo eran computadoras y automatización.”

“Creo que el error de la industria es que en realidad no somos centrados en el ser humano, pero sí lo somos. Y luego, para las personas que quieren entrar en la industria, creo que demasiada gente asume que todo es técnico, pero eso no es cierto,” dijo Maleeff. “Hay tantos puestos no técnicos o de menor nivel técnico que no requieren certificaciones técnicas avanzadas y que pueden ser tus roles de GRC (gobernanza, riesgo y cumplimiento) o de capacitación en concientización sobre seguridad/riesgo humano. Realmente hay algo para casi todos en la industria de la seguridad de la información.”

Para ayudar a disipar este mito, Maleeff señaló que es sumamente importante que la industria colabore más para atraer talento con las habilidades y la pasión adecuadas, no solo buscar un unicornio.

“Hay muchísimo potencial para crecer profesionalmente en la industria de la ciberseguridad,” dijo Maleeff. “Pero para aprovecharlo, necesitamos actuar como industria y colaborar con el personal, recursos humanos y directores de talento para corregir las descripciones de puestos. Algunas están totalmente fuera de lugar, exigiendo un CISSP para un puesto de nivel inicial, y cosas irreales como esas. Claro, (ISC)² ha emitido declaraciones más recientes reconociendo que esta certificación no es para alguien completamente nuevo en la industria, y eso definitivamente es un buen comienzo. Para cerrar realmente la brecha de talento, las empresas necesitan estar dispuestas a contratar a personas como yo, personas que cambian de carrera y que aportan un gran valor añadido, y sumarlas porque podemos ayudar con distintos puntos de vista, entendiendo diferentes modelos de amenaza. Hay muchísimas habilidades distintas que necesitamos en la industria de la seguridad de la información. La diversidad de pensamiento resuelve problemas y los modelos de amenaza varían enormemente, así que ¿por qué no ser más seguros con una mayor representación de todos los modelos de amenaza? Las empresas también necesitan ser más proactivas con las iniciativas de DEI, así como con la capacitación, para ayudar al mundo a mejorar su postura de seguridad.”

¡Tracy y su taza de la National Cybersecurity Alliance!

Conoce más sobre Tracy Z. Maleeff aquí: https://linktr.ee/infosecsherpa