[02/01/2022] Los profesionales de la ciberseguridad interesados en elevar sus perfiles como expertos en la materia pueden contar con las redes sociales para ser más visibles. Sin embargo, dado que todos están en línea, esto puede no ser suficiente. CSO habló con el analista de Forrester, Jinan Budge, y los profesionales de ciberseguridad, Katie Moussouris, Troy Hunt, Rachel Tobac y Christina Morillo sobre sus trayectorias, viajes y sus consejos para aquellos que desean construir su perfil público.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Algunos de estos profesionales han sido conocidos por su trabajo durante más de dos décadas, mientras que otros pueden haberse vuelto más prominentes en la última década. Pero todos han visto y experimentado lo bueno y lo malo.
Paso 1: Defina su área de especialización en ciberseguridad y qué significa el éxito para usted
Los profesionales pueden usar muchos canales para compartir su conocimiento: blogs, contenido de video, tuits, etcétera. La forma en que un profesional decide compartir conocimiento variará y puede que no funcione en el primer intento, pero una cosa es clave: ser uno mismo y discutir un tema con el que se sienta cómodo y entienda.
Budge afirma que es importante entenderse a uno mismo para poder hablar de las cosas que le importan. "A veces uno necesita eliminar la presión de crear un perfil alto, y suena contradictorio, pero creo que una vez que hace eso y sabe quién es, eso es todo”.
La elección de su área de especialización es importante. En algún momento, es posible que deba tomar decisiones cuando se le presenten oportunidades. Aprovechar cada oportunidad puede ayudar a aumentar la visibilidad, pero también puede confundir a aquellos que buscan cierto tipo de contenido. Si tiene eso claramente definido, será más fácil decidir qué oportunidades rechazar.
Defina qué significa para usted la visibilidad y el éxito. "Puede que usted no quiera, necesariamente, las mismas cosas que todos los demás tienen, y eso está bien. Solo tenga muy claro lo que quiere, lo que es y lo que no está dispuesto a sacrificar, y haga un plan para usted mismo”, comenta Morillo. "No hay un libro de jugadas. Defina en qué es bueno. Averigüe eso, lo que le hace sentir bien”. Encontrar la fórmula propia es la lección de Morillo.
Algunos puntos clave de Tobac incluye construirlo en público para mostrarles a las personas en qué está trabajando y qué está haciendo para que pueda recibir comentarios, y saber qué funciona y qué no. También haga una investigación de UX; conozca a su audiencia. Más importante aún, acostúmbrese a dar cosas gratis. "No tiene que develar todo gratuitamente. Eso es importante. Pero tiene que dar muchos de sus pensamientos, consejos y trucos de forma gratuita. Y creo que eso es lo que realmente ayuda a las personas a comprender cómo mantenerse a salvo. Creo que Katie [Moussouris] y Troy [Hunt] lo hacen muy bien, donde hablan sobre lo que han aprendido, cómo uno puede implementarlo en su trabajo y cómo mantenerse a salvo. Y Troy creó un producto completamente gratuito para el público en general”, afirma, refiriéndose a Have I Been Pwned de Troy Hunt, donde cualquier persona puede buscar en múltiples robos de datos para verificar si su dirección de correo electrónico o número de teléfono se ha visto comprometido.
Paso 2: Comience a crear contenido
Una vez que sepa con qué se siente cómodo hablando, comience a hablar de ello. Cuando Budge comenzó a trabajar en Forrester, el director gerente le sugirió que debería escribir blogs. Pensó que no tenía nada que decir y que no sabía cómo hacerlo, pero "una vez que empieza, no puede parar”, señala. Esto puede funcionar como práctica para discutir temas, puede generar preguntas de los lectores, cosas que quizás no haya considerado inicialmente, etcétera.
Hunt comenzó a escribir blogs. Afirma que hace 13 años, cuando estaba contratando en Pfizer, miraba los currículos y se preguntaba cómo podía saber si esta o aquella persona sabía las cosas que decían saber. Buscaría candidatos en Stack Overflow o GitHub, pero no los encontraría allí. De ahí surgió su primera idea de blog, Por qué las identidades en línea son movimientos profesionales inteligentes. Él afirma que los profesionales de la tecnología, en general, deberían tener algo que mostrar a los posibles empleadores -algo que muchos expertos en tecnología han estado haciendo- además de las referencias, que son personas elegidas por el candidato y probablemente alguien que diga cosas buenas sobre ellos. Esto también fue parte de cómo Hunt comenzó su presencia en línea: siguiendo sus propios consejos y escribiendo sobre cosas que le interesaban.
Ahora, mirando hacia atrás, puede ver cómo estaban las cosas "por todas partes” mientras hablaba en términos generales sobre tecnología. Eventualmente, aterrizó en InfoSec, que es por lo que es más conocido. "Creo que solo tiene que descubrir su camino en la vida en línea... Probablemente me tomó un buen año o dos encontrar el ritmo”, afirma Hunt.
Paso 3: Abróchese el cinturón ante las críticas
Estos expertos hacen que parezca fácil estar en el ojo público hoy en día, pero no es así. Ellos han compartido algunos de los obstáculos que enfrentaron.
Hunt ha visto a otros hacer frente a un comportamiento atroz y más implacable que él, "particularmente si se basa en la sexualidad, el género, las creencias religiosas o cosas que son extremadamente personales y específicas, que equivalen a alguien que simplemente no está de acuerdo con la libertad individual de la vida de cada uno”. Ha sufrido abusos en línea, generalmente en forma de personas que cuestionan su derecho a discutir un tema. Él cree que esto sucede porque no era un penetration tester con experiencia, por lo que discutir el tema hizo que la gente lo cuestionara. Hubo problemas más graves, como una amenaza de muerte, pero la persona no vivía en Australia, por lo que no podía hacerle daño físicamente.
Para Moussouris este no era el caso hasta que las plataformas de redes sociales permitieron a las personas acceder fácilmente a cualquier persona. Con su carrera ya establecida antes del lanzamiento de Twitter, se encontró lidiando con diferentes comportamientos en las redes sociales. "Diría que los obstáculos allí [Twitter] han sido porque es un medio público, y Twitter en especial tiende a tener mucha gente que piensa que puede pasar unos dos segundos considerando un tema complejo y recitando sus opiniones. Creo que ha sido un desafío para mí haber sido pionera en varios espacios, básicamente recibir muchas explicaciones en Twitter, donde la gente me explica cómo funciona la divulgación de vulnerabilidades cuando escribí los estándares internacionales para ello”, afirma.
Moussouris también señala que Wikipedia tiene un problema de género, ya que ha habido, al menos, dos intentos de crear una página para ella y ambos fueron eliminados hasta alrededor del 2017, cuando el intento final quedó.
No es solo un simple abuso lo que puede afectar a las personas o volverse agotador. Tobac se ha enfrentado a un problema diferente: a menudo se le ha pasado por alto no solo por ser mujer, sino también por su estatura. Ella afirma que en las reuniones a menudo le decían: "esperaremos a que llegue el CEO y podemos comenzar”, y ella tendría que decir: "estoy aquí, podemos comenzar”.
También piensa que la gente espera que los que están a cargo tengan ciertas características. "No esperan que alguien tenga poder de decisión o que sea un CEO y pueda tomar esas decisiones. Es posible que piensen: 'oh, esa es una persona pequeña allí en la esquina. No creo que sea la CEO'. Creo que me subestiman rutinariamente debido a mi estatura, o a lo que la gente espera que sea un hacker o un CEO”.
Morillo dijo que fue objeto de chismes y habladurías con frecuencia. Compartir esas experiencias atrajo otro tipo de atención de las gerencias de las empresas en las que trabajó, en donde los líderes "expresaron" que las personas que veían o escuchaban lo que ella estaba compartiendo podían percibir que su empleador abusaba de ella. Eso la hizo observar más lo que compartió y cuáles podrían ser las repercusiones.
No es de extrañar y todos los profesionales coincidieron en que hay más críticas online contra las mujeres que contra los hombres, y eso aumenta cuando se suman otros factores como la raza o la religión.
Otros consejos para la creación de perfiles de expertos en ciberseguridad
Moussouris plantea un tema similar: cómo las mujeres tienden a editarse a sí mismas y no son buenas para la autopromoción. "Creo que, en lugar de advertir a las personas sobre lo que está demasiado lejos en términos de promocionarse a uno mismo y sus logros, deberíamos pensar en cómo puede defender y recordarles a las personas sus logros. Porque, por lo que he experimentado, especialmente en Twitter, incluso las personas que me han estado siguiendo por un tiempo no saben exactamente qué es lo que hago o por lo que soy conocida... uno debe defenderse y asegurarse de que las personas sepan qué es lo que le gusta hacer”, afirma.
Eso afecta a las mujeres incluso cuando solicitan puestos de trabajo. Según la analista de Gartner, Neha Kumar, las mujeres son reacias a postular a un trabajo cuando ven que cumplen entre el 60% y el 70% de los criterios. "Es algo que se da por hecho para los hombres que no ven la necesidad de cumplir con todos los criterios el día 1, mientras que las mujeres sienten que deben cumplir al menos el 80% de los criterios. Esta es una realidad”.
Una forma de superar eso, no solo para las mujeres sino para todos, es escuchar a los expertos, sugiere Budge. Hay expertos que ayudan a las personas a construir marcas, hay entrenadores ejecutivos, hay entrenadores ejecutivos específicamente que ayudan a las mujeres a construir sus marcas y talleres. De hecho, Hunt ha hecho exactamente este trabajo de ayudar a otros a construir su marca.
Cuando se trata de la percepción que Morillo tenía de otros profesionales visibles de InfoSec, ella afirma: "no existen los unicornios”. Solía creer que algunas personas eran intocables y que estaban haciendo cosas al "nivel de la genialidad de Einstein”, y aprendió que eso no siempre es cierto. "Todos podemos lograr las mismas cosas. Es solo que tenemos diferentes travesías, y las vías para llegar allí pueden verse un poco diferentes”.
Oportunidades laborales que (no siempre) vienen de ser muy conocido
Los resultados de ser muy conocido pueden ser bastante diferentes. Moussouris, que dirige su propia empresa, Luta Security, desde hace más de seis años, afirma que no llegó ni un solo contrato debido a su presencia en las redes sociales, a pesar de que su empresa no hace publicidad. "Sabe, pensaría que sí, pero absolutamente ningún trabajo o contrato... Nunca ha llegado ningún trabajo debido a mi presencia en las redes sociales”, afirma. Sin embargo, debido a que ya era muy conocida y apreciada, su empresa atrae clientes, de boca en boca, de otros clientes o por el trabajo que ha realizado en el pasado.
Tobac, que no emplea un equipo de ventas en su organización, SocialProof Security, afirma que recibe más de 100 clientes cada año. "Descubrí que construir mi empresa en público ha sido realmente efectivo. Las personas tienen la oportunidad de ver cómo reaccionan mis clientes al trabajo que hago porque están publicando al respecto, porque soy muy público acerca de lo que hago”, afirma.
Hunt no es diferente y cuenta con la ayuda de su esposa, quien tiene mucho conocimiento sobre la industria, especialmente sobre eventos y cuál es un precio aceptable para hablar en una conferencia. También es tutor de PluralSight.
Morillo tuvo la oportunidad de hablar en conferencias, de aparecer en revistas. Ella era parte de un libro antes de escribir un par de libros. Pensando en retrospectiva, cree que una combinación de cosas la hizo más visible, como aparecer en la revista Cosmopolitan, al principio de su carrera. Ella afirma que también ha sido invitada a formar parte de organizaciones como Women in Security and Privacy y #ShareTheMicInCyber. Su trabajo actual también fue el resultado de su presencia en línea. Se familiarizó con un profesional en línea. Más tarde se conocieron en persona y un día él se acercó a ella con una oportunidad de trabajo.
Diferentes formas en que se destacan los profesionales de la ciberseguridad
Cada uno de estos profesionales con los que habló CSO ha hecho un gran trabajo para la industria. Lo han hecho a veces de manera inesperada y creativa, pero también, y quizás con mayor relevancia, a través de centrarse en la diversidad y la inclusión.
Hace varios años, Morillo notó que no había fotos de archivo de mujeres de color en tecnología o seguridad. Ella comenzó una pequeña iniciativa llamada Women of Color in Tech Chat, que estaba destinada a ser una discusión. Comenzó a presentar propuestas a organizaciones como Digital Ocean, Microsoft. GitHub y Trello para patrocinar una sesión de fotos para crear estas fotos de archivo. Ella afirma que la primera sesión de fotos fue tan exitosa que la compañía patrocinó otras dos, y que estas fotos ahora se han visto y descargado millones de veces.
Tobac, que tiene un título en neurociencia y psicología del comportamiento, enseñaba a niños con discapacidades antes de dedicarse a la ciberseguridad. No fue una sorpresa que después de que ella ingresara al campo y realizara diferentes trabajos en el espacio -obtuvo tres veces el segundo lugar en el concurso de ingeniería social Capture the Flag de DEF CON- comenzara a compartir conocimientos. Eso evolucionó rápidamente a una capacitación en ciberseguridad, realizada en persona y en línea. Luego dio un paso más: comenzó a crear videos de entrenamiento en formato musical y ha sido un éxito.
Comenzó en algún momento durante la COVID-19, cuando creó un video de ella cantando una melodía de Infosec. Los comentarios fueron tan buenos que comenzó a investigar el tema y encontró estudios que decían que al 80% de las personas les gusta aprender contenido con canciones, y el 20% prefieren el contenido hablado. Entonces, se dispuso a crear entrenamientos en formato musical y, de cuatro a seis semanas después de lanzar el primer video, SocialProof había hecho ciento sesenta demos. Ahora el contenido está disponible en diferentes idiomas, incluidos francés, francés canadiense, mandarín, portugués, español y sueco.
Moussouris está detrás de Pay Equity Now Foundation, que surgió de una búsqueda para inspirar y apoyar los esfuerzos para cerrar las brechas salariales de género y raza, y un deseo de que las acciones hablen más que las palabras. Ella es mitad isleña del Pacífico y habla de ello. Ella entiende que, aunque es más privilegiada que otros grupos marginados, usa su voz para promover a aquellos donde puede.
La diversidad asegura que las discusiones no se vuelvan obsoletas
Algo que advierte Budge, de Forrester, es lo que experimentó hace 15 años, cuando vio que algunas personas adquirían un perfil muy alto, pero todos hablaban lo mismo, lo que generaba conversaciones estancadas. "La diversidad de puntos de vista y perspectivas es muy importante, y es por eso por lo que me encanta ver a tantas personas diferentes y a tantos individuos distintos elevarse, en términos de sus marcas personales, porque nosotros no podemos. No podemos darnos el lujo de tener la misma vieja conversación obsoleta”, afirma.
Esta diversidad incluye muchos aspectos. No se trata solo de género o raza, sino también de personas de diferentes grupos de edad, personas que trabajan en los diferentes espacios de ciberseguridad, etcétera.
Budge afirma que cuando comenzó su carrera, la mayoría de los hombres daban conferencias y asistían a ellas. Fue una generación "donde nosotras [las mujeres] tuvimos que romper [las puertas]”. Esto está cambiando, lo que beneficia y ayuda a proporcionar un modelo a seguir para las mujeres y otros grupos que no están fuertemente representados.
Este cambio se produce de muchas maneras, una de ellas es la Australian Women in Security Network que apoya la creación de un código de conducta para las conferencias. "Nos aseguramos de que haya tanto hombres como mujeres que se presenten para hablar en las conferencias”, afirma.
Patrocinio de nuevos talentos y futuros
Budge señala que, a veces, crear un perfil es algo muy privilegiado. Lo que quiere decir es que, si bien algunas personas pueden tener tiempo para trabajar en ello, otras pueden no ser igual de afortunadas, o es posible que no puedan permitirse asistir a conferencias al principio de sus carreras. También menciona que muchas personas tendrán otras responsabilidades que limitan su tiempo, como los niños o el cuidado de padres enfermos, o tener que desempeñarse en dos trabajos. "Y mi consejo es: patrocine a las personas, patrocine a las personas desfavorecidas y ayude a promoverlas”, sostiene.
Un ejemplo simple de esto sucedió durante la preparación de esta historia. Moussouris sugirió algunos nombres de personas que han "usado muy efectivamente su marca personal para difundir conocimiento”, uno de estos nombres fue el de Tobac. Tobac, a su vez, sugirió que habláramos con Camille Stewart. Stewart, quien es la subdirectora nacional cibernética de tecnología y ecosistema del gobierno federal de Estados Unidos, no pudo participar debido a otros compromisos, pero rápidamente sugirió a Morillo.
Moussouris también afirma que siempre trata de encontrar la fuente original de algo que podría compartir en las redes sociales, por ejemplo. También menciona la iniciativa #ShareTheMicInCyber -creada por Stewart- que cuenta con profesionales de ciberseguridad que destacan a las personas de color.
Más allá de Tobac, también habló de cómo Tanya Janca utiliza las redes sociales para crear conciencia sobre el desarrollo de aplicaciones seguras. También se menciona a Limor Fried, la fundadora y directora ejecutiva de Adafruit, de quien Moussouris afirma: "para mí, ella es una de las grandes inspiraciones para el 'maker movement'en el mundo”. Otra presencia en el 'maker movement'es Naomi Wu, quien también aprovecha su presencia para compartir útiles tutoriales, pero que ha enfrentado muchas críticas por tener su sede en China y también por presentarse de una forma físicamente provocativa.
Morillo anota que ésta no es la primera vez que Stewart le ofrece oportunidades. Anteriormente, había propuesto a Morillo para reemplazarla en la beca New America Share the Mic, aunque pasó por un proceso de entrevista.
¿Debe haber límites?
Cuando se trata de poner límites a lo que uno comparte en línea, depende. Tanto Hunt como Moussouris entienden que la población en general puede no querer compartir mucha información personal en línea, pero eligieron ser públicos. Mencionó a @SwiftOnSecurity como un ejemplo de alguien en seguridad de la información que tiene un perfil de Twitter anónimo exitoso. Como todo lo demás, esta es una elección.
Hunt, por ejemplo, compartirá fotos de sus hijos mientras que muchas personas deciden no hacerlo. Sin embargo, una cosa que afirma que nunca creará es una cuenta solo para fanáticos. Ha escrito blogs que eran muy personales y nunca los publicó. "Y si no estuviera seguro”, afirma, "sugeriría simplemente comenzar con las cosas mínimas, más básicas, con las que está seguro de que se siente cómodo, y luego ver a dónde va con el tiempo”.
Basado en el artículo de Samira Sarraf (CSO) y editado por CIO Perú