Desde los Eagle Scouts hasta refugiados de Wall Street, el ámbito de la ciberseguridad está lleno de personas de distintos orígenes. Incluso profesionales de la silvicultura como Sunil Mallik han encontrado su camino en este espacio.

Como director de Datos, Aplicaciones y Seguridad de Plataformas en Discover, el recorrido de Sunil hacia la ciberseguridad ha abarcado el mundo, desde los bosques agrestes de África Occidental hasta las oficinas de Deloitte. Pero, ¿cómo hizo exactamente un graduado en química y ex especialista en madera para entrar en la ciberseguridad? ¿Y cómo ha cambiado su perspectiva sobre la industria desde que se incorporó por primera vez a la ciberseguridad? 

Descúbrelo a continuación en nuestra conversación con Sunil.

Del bosque a su primer trabajo en ciberseguridad

Aunque algunos profesionales de ciberseguridad siguen una ruta directa desde la educación en ciberseguridad hasta una carrera en ciberseguridad, existe un gran segmento de la fuerza laboral de ciberseguridad que ha llegado al área desde otros campos. Algunos, como Sunil, incluso llegan al mundo cyber casi sin querer.

Sunil con sus hijos en su alma máter, la Pamplin School of Business, Virginia Tech.

“Siempre me han gustado las cosas relacionadas con la ciberseguridad —como la tecnología y los videojuegos—, pero al principio la ciberseguridad no fue la ruta inicial que elegí”, dijo Sunil. “En cambio, hice mi licenciatura en química y luego mi maestría en silvicultura. A partir de ahí, pasé un año en Liberia y trabajé para una empresa maderera en África Occidental, pero sabía que eventualmente quería cambiar a una trayectoria profesional diferente. Así que, para continuar mis estudios, vine a Estados Unidos y asistí a Virginia Tech, donde obtuve mi MBA y también mi maestría en contabilidad y sistemas de información. Con ese antecedente entré en una de las cuatro grandes firmas de contabilidad, Deloitte. Ahí fue donde empecé a hacer la transición hacia la ciberseguridad.”

“En Deloitte, comencé mi carrera en el área de riesgo tecnológico y luego me fui encaminando hacia la ciberseguridad, dado que el riesgo cibernético es una parte integral del riesgo tecnológico. Por ejemplo, en riesgo tecnológico, se analiza cómo una organización gestiona el riesgo relacionado con la confidencialidad, integridad y disponibilidad de los datos. Después, la mayor parte del trabajo de asesoría está vinculada a qué tan bien las organizaciones aplican los controles generales de TI para gestionar el riesgo. Para darle algo de contexto a la ciberseguridad, los profesionales de riesgo evalúan qué tan bien la entidad gestiona sus riesgos de ciberseguridad relacionados con la seguridad de la red, la disponibilidad, la seguridad de las aplicaciones y así sucesivamente. Todo esto simplemente ocurrió de forma natural y era algo que realmente me interesaba.”

Convertirse en un ejecutivo de ciberseguridad y crecer como líder

Tras su incursión inicial en el trabajo de ciberseguridad, Sunil desempeñó una variedad de funciones y puestos en Deloitte, incluyendo varios años de su permanencia de una década diseñando programas y controles de ciberseguridad, e implementando tecnologías relacionadas con la ciberseguridad para agencias federales y civiles como parte del equipo de servicios de riesgo cibernético de Deloitte. Sin embargo, después de 10 años en Deloitte, Sunil dejó la empresa para asumir un cargo de mayor nivel en Freddie Mac.

“En Deloitte realmente pude hacer muchas cosas distintas y desarrollar diferentes habilidades”, dijo Sunil. “Pero después de 10 años decidí dejar Deloitte para hacer crecer mi carrera y llegué a Freddie Mac, donde fui el Director de Seguridad de la Información del Negocio (BISO). Convertirse en BISO es una excelente manera de asumir más responsabilidades porque un BISO es como un mini-CISO para una línea de negocio específica que hace muchas de las mismas cosas que hace un CISO, solo que sin algunas de las tareas de cara al exterior. Por ejemplo, como BISO, básicamente traduces el riesgo de seguridad para el negocio, les dices en qué deben concentrarse y los ayudas a abordar las debilidades de su entorno. Así, te da la capacidad de adquirir nuevas habilidades prácticas mientras también asumes responsabilidades en todos los dominios de ciberseguridad.”

Además de las responsabilidades añadidas en el trabajo diario, el rol de Sunil como BISO le brindó su primera verdadera oportunidad de liderar un equipo de profesionales de ciberseguridad, algo que siempre había esperado.

“Unos años después de asumir el rol de BISO, recibió la responsabilidad adicional de liderar y gestionar el puesto de Arquitectura de Seguridad, Aseguramiento y Asesoría, y tuvo una experiencia única y gratificante al gestionar un gran equipo de ciberseguridad”, dijo Sunil. “Gestionar un equipo realmente te muestra cuántos tipos diferentes de habilidades y personalidades existen en la ciberseguridad. Así que uno de los mayores desafíos como líder es encontrar maneras de asegurarse de que todos participen en las conversaciones y de derribar cualquier barrera que exista para que todos puedan compartir información y sentirse cómodos. Esta ha sido una de las mejores lecciones que he aprendido hasta ahora, y quizá no la habría obtenido si no hubiera tenido la oportunidad de liderar un equipo.”

Trabajando para cerrar la brecha de talento

A medida que Sunil se ha ido arraigando más en la ciberseguridad, ha trabajado arduamente para cambiar las percepciones que existen en torno a la industria. Más específicamente, ha tratado de destacar las actuales omisiones que existen al reclutar personas para el campo de la ciberseguridad, así como de ayudar a disipar mitos sobre lo que se necesita para ser un profesional de la ciberseguridad.

“Existen muchas ideas erróneas sobre cómo es trabajar en ciberseguridad y sobre las habilidades que necesitas”, dijo Sunil. “Y a medida que comencé a trabajar en este ámbito, empecé a comprender más a fondo qué conjuntos de habilidades se requieren realmente y qué te hace realmente exitoso en ciberseguridad, frente a lo que la gente percibe. Creo que realmente empecé a entenderlo cuando comencé a gestionar equipos. Podía ver quiénes eran los de mejor desempeño, qué atributos tenían y cómo eso se comparaba con la percepción existente.”

“Uno de los mayores de estos mitos es que necesitas tener un título en ciberseguridad o en un área técnica. Por ejemplo, si lo ves, las carreras de ciberseguridad han evolucionado en los últimos, diría yo, cuatro o cinco años. Antes de eso, ni siquiera existía como un área dedicada o enfocada en la que pudieras ir y obtener un título universitario – pero aun así lo pedimos en los procesos de reclutamiento solo por costumbre.”

“Dentro de ciberseguridad, está el dominio de gobierno, riesgo y cumplimiento; está el dominio de gestión de vulnerabilidades; está el dominio de seguridad de aplicaciones. Y no todos requieren siquiera tener un título técnico. Quiero decir, tenemos programas que solo realizan actividades de divulgación y capacitación de concientización. Para esos, necesitas entender más a los usuarios que las áreas técnicas. Así que definitivamente no deberías dejar que un título técnico te impida perseguir una carrera en ciberseguridad.”

Sunil también señaló que, aunque las certificaciones y otros parámetros formalizados ayudan en el aprendizaje, no deberían ser la solución definitiva ni lo único que importa.

“Sin duda, las certificaciones ayudan a dar afirmación y validación de que tienes conocimientos en un área determinada, pero eso no debería detenerte de postularte y no debería ser un requisito obligatorio para ciertos puestos en ciberseguridad”, dijo Sunil. “Obtener certificaciones puede llevar mucho tiempo y la gente tiene vidas ocupadas. Por lo tanto, que alguien no tenga cierta certificación no significa que no tenga el conocimiento, las habilidades o la dedicación para ser un profesional de ciberseguridad.”

Mirando hacia lo que sigue en ciberseguridad

La ciberseguridad es una de las industrias de más rápido crecimiento y más emocionantes de la actualidad. Y, a pesar de algunas dificultades de crecimiento que persisten, Sunil espera con entusiasmo ver qué sigue para la industria. 

“La ciberseguridad ha cambiado de muchas maneras en los últimos años, y seguirá haciéndolo”, dijo Sunil. “Hoy en día, la ciberseguridad es una parte activa de las discusiones en la sala de juntas y cada vez está más entrelazada con nuestra vida diaria.  Muchas de las lecciones que usamos para proteger a las empresas también se aplican a nuestra vida personal. La comunidad de ciberseguridad es joven y entusiasta, y este espacio es más colaborativo que nunca. Por lo tanto, si logramos resolver algunos de los problemas en términos de reclutamiento, el futuro se ve muy prometedor. Yo animaría a cualquiera que tenga interés en el ámbito de la ciberseguridad a considerar unirse a él.” 

Una de las partes favoritas de Sunil de trabajar en ciberseguridad es la oportunidad de formar parte de un equipo. Aquí está con el Director de Seguridad de Infraestructura de Discover y miembro de la junta de NCA, Shaun Khalfan, y el resto del equipo de ciberseguridad de Discover.