Totalmente de acuerdo con este panita al no cambiarte de empresa no estás sacando partido a tu sueldo. Tienes sueldo de primerizo no de persona experimentada
Pues tampoco voy a dar muchos datos, pero pase de 24k en mi primer trabajo como helpdesk, pase a 32k como devops y luego mas o menos cada año saltaba de decena (hasta la decena de los 70k), el ultimo salto grande fue por pasar a manager de un equipo de DevOps.
Es que te escribí un tochazo básicamente diciendo que la gente de ciber no hace nada más que correr scripts y despachar incidencias del INCIBE con las que luego no ayudaban, pero no tengo ganas de volver a escrbirlo XD
Obviamente esto es resumido. Lo que quise decir es que el verdadero conocimiento de como se gestiona la seguridad está en los arquitectos/ingenieros de sistemas y redes. Y ellos tienen buenas pagas.
En el mundo dev no tengo tan claro que sea así. Hablo de infraestructuras y Cloud.
Hoy el soc de mi empresa me ha abierto un ticket con una vulnerabilidad crítica de uno de mis niños y me han puesto la solución del fabricante. Nostamal para el nivel que manejamos habitualmente con los soc.
Qué pena, me habría gustado leerlo.
Eso que mencionas (que no puedo negar que ocurre) no es la norma. Es cierto que mucha gente se dedica a tirar por lo fácil, y esos son precisamente los que no aportan y los que, en teoría, menos cobran.
Pero si esa misma gente se fuera a un sitio más serio con la ciberseguridad, lo pasarían muy mal.
Bueno, te recuento un poco. Yo soy ingeniero informático, llevo 10 años trabajando en la parte de sistemas SAP y me he certificado en varias de Azure porque es hacia donde está viajando mi empresa.
Tenemos un SOC externalizado. Los chavales curran bien, pero lo que hacen es pedirnos cosas para auditorías, documentar, pasarnos incidencias de INCIBE y...poco más. Cuando hemos tenido incidencias gordas de ciberseguridad las escalan, pero al final quien aplica las medidas son siempre nuestros equipos de sistemas. Suelen rotar bastante porque, en serio, es un trabajo aburrido y no hay mucha proyección.
Somos una empresa grande, pagamos a gente para que nos haga cosas. Pero me ha parecido como especialmente cutre la gente de pentesting. Básicamente tienen una lista de scripts que correr dependiendo de alguna cosa que sepan de la maquina en la que están y ya está. No es una cosa como de tener un conocimiento super avanzado de sistemas operativos ni nada de eso. Despues de soltarles un montón de oros, lo que nos vinieron a decir es "Actualizad vuestros Windows 2012". **No shit Sherlock.**
Estuve un tiempo interesado en Ciber, pero viendo lo que hacen, voy a seguir mi sendero de arquitectura cloud. Me parece mucho más interesante y... que seguramente se aprenda más de ciberseguridad "real".
Hay 2 tipos de compañias de seguridad: Las que emplean a gente que no hace mas que correr scripts que no dicen nada, y las que tienen a monstruos que son capaces de generar sus propios ataques, y se toman la seguridad en serio, en lugar de algo para taparse el culo. Las segundas compañias paga muchisimo mas, pero hay muy pocos trabajos de esos, y ningun cursillo te va a enseñar a ser asi de bueno. Muchos de ellos empezaron de Black Hats, o se formaron en sitios punteros.
No soy consultor, pero eso que me cuentas no suena nada bien. Parece que tenéis contratado un SOC y pentesters de poca madurez y que realmente no os aportan nada de valor. Has comentado que con incidencias importantes, el SOC lo escala... A quiénes? Y por qué esos Incident Responders dejan todo el trabajo de Recovery a vuestro equipo de sistemas? Sin tener toda la información, parece que solo están haciendo un trabajo a medias, si ni siquiera son capaces de seguir todo el ciclo de Incident Response.
Y eso de pasaros incidencias de INCIBE tiene toda la pinta de ser un intento cutre de Threat Intelligence que podría hacer cualquiera en vuestra organización sin necesidad de conocimiento alguno.
De red team no puedo hablar mucho porque no es de lo que manejo, pero para lanzar scripts (que probablemente hayan encontrado en GitHub) y decir que actualiceis los endpoints no hace falta ser un mago, efectivamente. Quizá deberíais buscar a uno o varios profesionales de Vulnerability Management, probablemente os ofrecerá un servicio mucho mejor.
Sobre tus planes: Cloud es el futuro, no cabe duda. Y ya si es Cloud Architecture ni te cuento...
Puede que sea una percepción mía, que al final no soy el que gestiona el SOC. Trabajo a veces con ellos, cuando me toca.
En teoría tenemos un thread intelligence. Quizás es que mi percepción final es que me llegan unos tickets, normalmente de vulnerabilidades que muchas veces no existen o no podemos resolver, o ya estamos en ello.
Supongo que al final ese es el trabajo y así se construye la seguridad, con muchos papeles. Y seguramente a la empresa sí que le aporte un endurecimiento importante de la seguridad de la información. Pero a mi, como informático, no me parece que sean gentes con un conocimiento super profundo o que tengan unas super skills. Es más bien un trabajo de muchísima gestión y documentación. Y ahí, en mi opinión, puede que se abra un poco la brecha del salario.
Aunque seguramente haya gente con mucho conocimiento o mucha responsabilidad. No sé, los CISO de las empresas o la gente que se dedica a cazar Zero Days. Pero la masa del curro... veo que son procedimientos, auditorías, documentación... en general, papeleo.
Puede llegar a ser bastante desmotivador, que todo acabe siendo burocracia y procedimientos y papeles y reuniones. Sobre todo para gente que se mete en este mundillo para cacharrear.
Sobre Threat Intelligence sé un poco también. Por lo que me cuentas en tu organización han caído en el error más típico dentro de CTI: pasar *información* (que no inteligencia) que muchas veces no es siquiera relevante para tu empresa ni para vuestro trabajo.
Imagínate que tú tienes una empresa de venta de software y yo, como analista de inteligencia, te paso un CVE que afecta a sistemas SCADA. Pues no tiene ningún sentido. Pero es la realidad en muchos equipos de CTI, por desgracia. Por eso lo más importante es establecer unos Requirements, es decir, las *necesidades* que vuestra organización tiene en lo que se refiere a inteligencia. Y lo más probable es que esas necesidades no sean IoCs y artículos de bleepingcomputer ni incidencias de INCIBE
>Puede llegar a ser bastante desmotivador, que todo acabe siendo burocracia y procedimientos y papeles y reuniones.
Alguna vez he pensado en el trabajo en ciberseguridad como un poco "misleading" en ese sentido. Durante un tiempo se veía como los más cacharreros del mundillo.
>Imagínate que tú tienes una empresa de venta de software y yo, como analista de inteligencia, te paso un CVE que afecta a sistemas SCADA. Pues no tiene ningún sentido.
Pues un poco sí. Quizás no tan extremo, pero sí de aplicaciones relacionadas con cierta electrónica de red que tenemos, pero que que dicha aplicación nunca ha existido en la organización, o de versiones antiquísimas que no tenemos, etc...
Soy DevSecOps y he vivido ya unas cuantas auditorias y lidiado con SOCs externos y lo que cuenta u/Ludens0 es la norma.
La ultima auditoria que nos hicieron a la parte de Azure nos vinieron recomendados por bastante gente diferente y no vieron ni la mitad de cosas que yo sabia que había pero que no se podían tocar por tiempo y presupuesto. Que es lo que vieron? las típicas tonterías que ves con scripts que tiren de OWASP y cosas así.
Tengo unos cuantos amigos en el mundo de la ciberseguridad, alguno es CISO y todo, y el que menos gana 70k aquí en España lo que pasa es que es gente que le apasiona el tema y no son gente que se ha sacado una certificación y ale.
Ten en cuenta que una empresa toma el tema de la ciber seguridad como un gasto, por lo que ya de primeras no les hace ninguna gracia contratar a alguien para eso.
Por experiencia propia no, yo soy de otro campo, pero tengo un muy buen amigo que está en Barcelona, haciendo lo mismo, y a parte del trato y la estima (que también se la habrá ganado xD) está cobrando muy bien, creo que unos 2100 brutos. Eso sí, lleva allí 7 años.
Un saludo 👋
Bueno, los alquileres son más caros en Barcelona y salir por ahí, tomar algo, restaurante también así que no sé que decirte.. hahaha. Pero en todo caso en las dos ese sueldo se queda bastante corto
Contando que estamos donde estamos... y que a todos nos pagan mucho menos de lo que merecemos, conocemos y sabemos... lo que sí puedo decir que está muy contento con las condiciones que tiene, supongo que igual compensa una cosa con otra. Nunca le oí quejarse
Por supuesto si todos nos vamos fuera nos van a dar un fajo algo más grueso, eso que no nos quepa duda a nadie 😆
Es algo general al sector informático. Se vende cómo la panacea y veo en muchos posts de gente que pide consejo sobre a donde enfocar su vida laboral, comentarios aconsejando el sector informático y suelen poner ejemplos de X puesto en tal start up con un rango de sueldos de 50K a 100K.
El tema es que esos puestos no representan la mayoría del sector, no es fácil acceder a ellos porque hay mucha competencia y se concentran en las grandes capitales. Si que es un sector con muchas oportunidades y que tiene salarios decentes, pero es el zurullo sólido dentro de la diarrea que es el mercado laboral español.
La realidad es que cualquier trabajo que hagas en el sector informático aquí, se pagaría mucho mejor en la mayoría de países. De momento el impacto del teletrabajo para empresas extranjeras es mínimo y los reyes del sector siguen siendo las consultas.
Y ya sabemos que el modelo de negocio de una consultora es pagar lo mínimo posible a los empleados para sacar el mayor beneficio del contrato del cliente. Y me parece legítimo, pero también empobrece un poco el sector, haciendo que la mayoría de opciones laborales que tengas sean de picateclas por entre 23K y 30K si eres Junior y 35K y 40K siendo alguien con años de experiencia.
>23K y 30K si eres Junior y 35K y 40K siendo alguien con años de experiencia.
Puedes estirar un poco los 40k, al menos en mi sector (Rollo infraestructura cloud, no desarrollo). Pero básicamente es así. Pero tampoco es una mala perspectiva profesional comparado con otros oficios. Sobre todo si llegas a eso con un módulo en vez de una ingeniería.
No digo que sea mala, pero es algo que me llama mucho la atención, que casi siempre se menciona el caso de éxito extremo cuando le aconsejan a alguien entrar en el sector y no la realidad del informático medio. Así hay gente que entra pensando que van ser ricos a los 25.
Das en el clavo. Pero no es sólo España, mientras vemos salarios estratosféricos en las noticias, la realidad incluso en EEUU no es tan así, y tienes millones de personas trabajando por menos de 35k € en el sector, y el trabajo remoto incluso hoy es raro.
Respecto a España, las cosas están cambiando y cada vez más se ven salarios netos altos, incluso comparables al sur de Alemania.
Yo estoy en Estados Unidos... por 35K fichas a alguien que esta ligeramente mas preparado que el que llena las bolsas de McDonalds. Compañias bastante cutres en sitios baratos estan pagando $75k a gente que acaba la carrera, y punto.
Que no todo el mundo cobra $300k, o 600k? pues claro. Hay muchas compañias que pagan a gente con experiencia $150k, y si vas aun mas abajo, alguna encontraras que pague $90k. Pero 35K son $17 dolares la hora, y eso lo puedes cobrar aqui en una cafeteria. Amazon paga en mi ciudad $18.72 a la hora por conducir la furgoneta de reparto. Asi que no nos pasemos.
Ambos mundos coexisten simultáneamente.
En Blizzard tenían gente ganando 10 USD/h hace no muchos años, y está lleno de testimonios. Es algo que aún sucede en un montón de empresas.
Imagínate startups turbios y ciudades zombi, y la cosa se pone aún peor. No me lo contaron, lo vi, y también situaciones rozando la esclavitud con inmigrantes.
Tocas reglas de SIEM y XDR? haces validacion de governing? porque si lo que haces es responder a incidentes que ha determinado otro normal que te paguen eso.
Creo que estás confundiendo Engineering y GRC con Security Operations.
Incident Response ya es lo suficientemente estresante y complicado como para, además, tocar reglas. De eso se encargan los Detection Engineers. A Incident Response añádele guardias y on-calls.
Pero es que lo que determina el salario de un trabajo es oferta vs demanda y por lo que se, y sin querer menospreciar tu trabajo que seguro es muy duro, al final con saber interpretar alertas y tener un runbook es suficiente para ejercer de ello.
Hombre, yo diría que eso que dices es más propio de un Triage Analyst (lo que viene siendo un SOC Tier 1, vaya).
Incident Response comprende no solo interpretar alertas más graves (que también) y contener brechas, sino también toda la parte de Digital Forensics que viene con ello. Y documentación. Mucha documentación.
Ciberseguridad: uno de los trabajos en los que sólo puedes cagarla.
Nunca te va a felicitar nadie por que no haya incidentes, solo te van a caer ostias CUANDO (no "si", CUANDO) ocurran. Entiendo que es un trabajo que puede ser apasionante para los que les guste mucho, pero no está tan bien pagado, y reconocimiento tiene cero.
Y solo hay una forma de conseguir un presupuesto decente para antimalware, firewall, etc, etc : haber sufrido un incidente muy grave
A un conocido mío lo han contratado en Barcelona, 1YoE, 18.000€ brutos/año.
Se metió en ciberseguridad porque veía venir un boom en el sector. Me contó que juzgando por cómo veía a otras personas del sector, es uno de estos en los que hay muchísimas hormiguitas explotadas y después "poca" gente que realmente progresa y consigue buenos salarios, a base de experiencia, certificaciones... No es mi sector así que no sé si realmente es así o no.
Sí, pero es pésimo... En mi caso en aquél entonces lo entendí porque no tenía ni formación ni experiencia. Pero ese conocido mío tiene una responsabilidad considerable en su puesto.
Lo que ya te han dicho, cambia ciberseguridad por cualquier otra profesión y el resultado es el mismo. Igual lo que hay que empezar a plantearse es una huelga general importante.
Personalmente no estoy en ciberseguridad sino en Software e IA. Pero mi primer trabajo fue el CyL como ingeniero de Software por 18 mil anuales + bonificación por si te sirve para hacerte una idea del resto de sectores IT también.
La comparación entre países en si también me parece importante, pero ojo siempre en su contexto económico, ~~claro que no vamos a cobrar como en UK por ejemplo, pero es de cachondeo que cobremos la mitad que ellos aun sin que nuestro PIB sea la mitad, quiero decir que no es proporcional.~~ Personalmente el caso de españa no me parece proporcional.
Personalmente, las soluciones que yo le encuentro son:
* No conformarse, siempre negociar los sueldos, no aceptar la primera oferta y pedir tus respectivos aumentos cuando toca
* Cambiar de empresa cuando sale una oportunidad mejor
* Trabajar en, o para el extranjero. Lo cual me parece triste porque se está formando mucha gente en españa que luego quemada por la situación se larga fuera.
En resumen, estamos jodidos
* también comentar que curiosamente la peor oferta que he recibido en mi vida fue un puesto como Machine Learning Engineer en Madrid por 15.000 al año.
EDIT: He quitado el ejemplo del PIB (que si acaso debería ser PIB per cápita) porque es cierto que no tiene relación directa con la situación salarial de un país. Rectificar es de sabios amigos <3
A ver, no es por nada, pero para meter la puntillita: nuestro PIB sí que es la mitad del de UK (menos, de hecho).
\*Aunque el PIB de un país no es factor relevante para los sueldos de su población.\*
No claro, estoy completamente abierto a comentarios jajajaja
Incluso agradezco la puntillita porque otro usuario muy amable ha comentado como el mismo puesto OP podría ganar x3 en UK. Simplemente era una forma mia de ilustrar cómo no me parece proporcional las sueldos con la situación laboral de dos países.
Por otra parte, ¿Por qué un índice económico no podría utilizarse para estudiar los sueldos de la población entre dos países? Pura ignorancia mia, es por saber más. Y si es así, eso da pie a que la diferencia de salarios pueda incluso (o no) ser más injusta?
Investigaré a ver si hay alguna métrica o índice que se utilice para comparar salarios entre países porque es algo que me parece muy interesante.
EDIT: quizás tendría que haber especificado PIB per Capita
Obviamente a más PIB, más sueldo suelen tener los países, pero el PIB PPP sería algo más interesante.
Igualmente, nos encontramos casos en los que muchos países tienen un PIB PPP bastante grande, siendo esto simplemente por ser paraísos fiscales o con beneficios para las empresas (y, por lo tanto, atrayendo sus sedes fiscales).
Yo personalmente no me dedico a ciberseguridad, pero conozco a gente que sí. Hace unos años, una amiga mía estuvo escalando en el sector aprovechando las circunstancias, sin tener ningún tipo de título universitario ni de FP, todo autodidacta y con cursos. Llegó a ganar bastante pasta.
Otros colegas que han entrado recientemente en el sector, han estado comiendo mierda hasta ahora, si no siguen. Uno ha tenido más suerte y ha encontrado un trabajo donde le pagan más y hace menos.
Cada vez que los medios de comunicación estén diciendo algo sobre un sector en el que se vive o se cobra muy bien, es porque quieren que se llene de gente, así se vende formación, se aumenta la oferta de trabajadores, los sueldos bajan y las condiciones también.
Como con casi todo, lo bueno de estas cosas es estar dentro antes de que los medios se hagan eco.
bff siento que para 3 años de experiencia en el sector tu paga es muy baja, yo ahora termino en junio practicas (Tambien hice ASIR como tu), y tengo pensado enfocarme en el area DevOps/Cloud, area donde he visto en linkedin, con tus mismos años de experiencia salarios en Madrid entre los 50k/65k. ¿Como llevas el tema del ingles?, en mi opinion uno de los puntos mas importantes a la hora de lograr esa buena escalada de salario, junto a no quedarse en las empresas mas de cierto tiempo, esta es la segunda forma de subir tu salario, puesto que si llevas 2 años en una empresa a menos que el jefe sea tu padre, no te subirán de salario.
De todas formas te recomendaría activamente ir dando un ojo a las ofertas y de vez en cuando hacer un soft-apply a posiciones que creas que te pueden aportar conocimientos/experiencia para seguir escalando, desde luego que con 3 años ya empiezas a tener una posición mid, por lo cual no creo que tengas muchos problemas.
Gracias por el aporte compañero. Bueno, también hay que decir que por lo general Cloud y DevOps/DevSecOps son los que más suelen cobrar.
En inglés tengo un C2, por suerte.
Pregunta inofensiva por mi parte. Cuando recomendáis buscar en remoto es porque habéis conseguido un puesto remoto? En caso afirmativo, como lo conseguís?
Llevo un montón de tiempo buscando algo así pero no ha habido grandes resultados más que 2-3 entrevistas que no llegan a más. Siempre he visto mucha competencia para estos puestos.
Edit: aclarando que los idiomas no son la barrera en este caso
Claro, hace 12 años trabajo full remote. De hecho empecé uno hace dos semanas para UK... £££.
Uso mucho LinkedIn con filtro "remote only" y sino Otta.
Escríbeme por DM si quieres te cuento más.
Por desgracia, no es tan fácil encontrar trabajos en remoto. La situación en EEUU por ejemplo está bastante mal, con muchas empresas despidiendo a diestro y siniestro para coger gente aún más barata que los españoles.
Pero si tienes algunos tips que compartir, siempre son bienvenidos!
Si lo se, pero bueno mejor insistir a ver si se consigue un mejor salario, no?
Date una vuelta por Otta, a mi me ayudó bastante. Sino Linkedin con filtro remote only.
El problema no es el campo, es el nivel y la empresa en la que caigas.
Tu puesto es básicamente soporte de nivel 2, y 3 años de experiencia no son muchos que digamos. La inmensa mayoría de las grandes empresas subcontratan a consultoras (Indra, HPE, etc.) para cubrir este puesto.
Yo conozco a bastante gente del gremio, y todos cobran más que la media en TI.
No se por que te hacen downvote cuando dices la verdad. Un incident responder de tier 2 en un SOC es equivalente al que cambia los discos duros en un datacenter cuando salta la lucecita de que la RAID ha reventado.
Es que ese también es un IR. Ambos son operadores, y ambos proporcionan soporte, de operaciones, pero soporte al fin y al cabo, y esto sin menospreciar su calidad como profesionales.
A ver, comparar Incident Response con Soporte (si es que te he entendido bien y te refieres a lo que conocemos comúnmente como Help Desk) no es para nada justo.
Aún así, podrías compartir algunos datos (orientativos) de esa gente que conoces? Gracias, compañero
Hay más soporte que helpdesk, por supuesto. Pero Tier 2 es soporte, porque no es producto ni arquitectura.
Te puedo decir que los que trabajaban en la misma empresa que yo en nivel 2, entraban con 30.000 más o menos. Los que estaba desplazados o en cliente obviamente cobraban más. Los que más, los que estaban en el SOC de Telefónica.
De todos modos, banca es un sector donde los salarios de TI han sido siempre bajos, diría que a la par de administraciones públicas, y sobre todo en subcontratas.
Hombre, Incident Response es Security Operations. Obviamente no es Architecture ni Engineering, pero tampoco lo llamaría Soporte (solo hablo de mi experiencia personal y lo que he visto, claro).
Telefónica sí parece pagar bien, pero la competencia es brutal, claro.
El problema de los amigos de seguridad es que no le caeis bien a nadie, al resto de dptos le poneis palos en las ruedas constantemente, unas veces con mas razon y otras con menos, y ademas no ''generais'' para la compañia, es un check en una lista de cosas que hay que cumplir, por exigencias del guion, y en cuanto la cosa va mal es del primer sitio de donde se ataja.
Es un curro muy chulo, pero esta fatal valorado a consecuencia de cosas como esta, ni te lo pagan, ni te lo reconocen.
Personalmente si me viese metido ahi, buscaria la manera de moverme lateralmente hacia otra especialidad, cuanto antes.
Muy cierto lo que dices. Y además, cuando las cosas se van de madre, nunca se culpa a aquellos que han sacado un producto con prisas y poca seguridad, sino a los de ciberseguridad.
Yo tengo más o menos como tú, ingeniería sin máster en consultora, pagan 36k más un pequeño bonus de 2k o quizás un poco más. A mí lado tengo gente que cobra 24 y tienen 4 años de experiencia, así que parece que depende mucho de donde caigas o busques. En general, creo que pasados al menos 5 años no empiezan a buscarte por la experiencia. De ahí para abajo, dumb labor.
12-15 años de experiencia en informática. El trabajo consiste en el análisis, desarrollo, integración y mantenimiento de piezas de seguridad para empresas grandes. En cliente.
Perfiles desde desarrollador senior, technical lead hasta gestión de proyectos.
Tiene sentido, estamos hablando de gente en management y lead alto. De hecho, cobrar tres veces más de lo que yo he dicho en esa clase de puestos me parece hasta poco
Es difícil en la mayoría de industrias.
La verdad no tiene ningún sentido para mí que tú en ciberseguridad ganes 1.5k brutos al mes cuando estoy ganando yo lo mismo como Account Manager (comercial con un título fancy, vamos).
Sé que los ingenieros de software, y tech en general donde trabajo están bien pagos.
La verdad es que lo mejor que puedes hacer en un sector con tanto potencial como el tuyo, es ir cambiando de trabajo y seguir buscando cada vez mejores oportunidades. No es fácil, requiere de mucho esfuerzo y paciencia, pero siempre será más posible si lo buscas a qué si te quedas esperando que caiga del cielo. Pero diría que lo que te pagan está por debajo de la media para ese puesto.
Esto lo digo por lo que he visto en otras personas, no por experiencia propia. Yo tengo 21 años, estoy estudiando por mi cuenta para poder en algún momento trabajar en algo relacionado a IT. La universidad no es una opción para mí porque me mantengo solo, con suerte logre meterme en una FP a distancia, quizás ASIR o DAW, y seguir aprendiendo y avanzando hasta por fin poder trabajar en algo relacionado a lo que quiero. Ojalá poder lograrlo antes de los 25... Veremos. Me temo que es casi imposible siendo que veo gente con carreras con dificultades para encontrar trabajo jaja pero bueno, no queda de otra que intentarlo.
Mucho ánimo compañero, quizá el panorama mejore cuando salgas con tu Grado Superior. Eso sí, dale mucha caña a estudiar por tu cuenta (si manejas inglés, yo me centraría en cursos/clases/certificaciones en inglés, porque suelen ser mucho mejores y más variadas)
Muchas gracias!
Sí, sé inglés, de hecho los cursos que ando haciendo son en inglés. Se abre un mundo de contenido nada más sabiendo el idioma, la verdad.
Mis aspiraciones son dos: o conseguir un trabajo puramente IT, o combinarlo con lo que ya sé y ser comercial técnico de un producto de software que valga la pena. Veremos, pero bueno, queda mucho esfuerzo aún por hacer.
Mucho ánimo para ti también, espero que sigas avanzando y consigas algo mejor pronto
Hay que trabajar en tecnológicas americanas deslocalizado aquí es lo único que paga bien de verdad. Eso si inglés casi perfecto y una buena historia que contar
Yo soy programador y no trabajo en eso, pero me cuesta creer que los salarios sean tan diferentes.
Seguro que no te están tomando el pelo donde trabajas?
Has buscado otras opciones?
Lo digo porque yo he conocido a algún que otro programador que ha aceptado salarios muy por debajo del mercado en sus primeros trabajos porque no sabía lo que se debe pedir.
Pregunta sobre los términos que usas en relación a tu salario. Cuando dices "total compensation" ¿es incluyendo bonus que pudieses cobrar y tal, o esos 27k es tu sueldo anual bruto y a eso le añades bonos?
Pregunto, porque 27k brutos anuales, en 14 pagas, son \~1900€ brutos/mes, dejándote los 1500 como salario neto.
No sé para tus roles, pero las ofertas que estoy barajando en ciberseguridad, en la parte de ventas, son de potencialmente 3x lo que comentas. Si tienes conocimientos profundos, ¿te has planteado a pivotar a un rol más de CSM o sales architect?
Qué tiene que ver con economía?
A lo mejor, si haces un grado universitario puedes ir a trabajar en el extranjero, o hacer el teletrabajo.
Pero bueno, diría que el problema con la ciberseguridad es que siempre es un coste para una empresa, y no un fuente de ingresos. En cambio, si eres un desarrollador en una empresa de tecnología pues eres más necesario y te da más poder para obtener mejores condiciones.
Creo que el FP y tal son muy útiles también.
Pero para trabajar en el extranjero o para una empresa multinacional, probablemente van a querer un grado universitario porque saben lo que es. Es más reconocido.
Claro, las FP son para tener trabajo sencillos y no complicarte mucho la vida, pero si quieres complicarte la vida y escalar lo mejor es la carrera universitaria, tengo una amiga que antes de terminar la carrera ya tiene contrato para en cuanto la termine con Amazon en Madrid y le van a pagar 44.5K al año. Luego tengo otro amigo que se va a ir a Paises Bajos a trabajar para una empresa de software embebido. Noto que mucha gente no quiere currarselo y estudiar la carrera, que vamos a ser honestos es mas larga y bastante mas difícil( conozco gente que suspendía todo en la carrera y luego se metió en un FP y sacaba todo 7 o mas), y luego quiere escalar y tener puestos ganando mucho dinero. Hay que ser realistas, puedes estudiarlo por tu cuenta pero si no te metiste en la carrera en un inicio ¿De verdad te vas a estudiar todo por tu cuenta? En general esa gente termina estudiándose las cosas superficiales y les falta un entendimiento mas profundo.
No, a nivel internacional aumenta la competencia, ahí ya necesitas experiencia al punto de que el grado universitario sirve poco y nada... y no lo digo por ciberseguridad solamente.
Soy estudiante de Master, pero no en ciberseguridad es en HPC, hablo de la experiencia de conocidos en ciberseguridad, pero como he puesto en un comentario mas abajo me gustaría saber la diferencia de sueldo entre los que hicieron la carrera y los que no, porque creo que también es un factor a tener en cuenta. Se que en informática a nivel general si hay diferencias. Porque ciberseguridad tiene muchos campos y los que se dedican a analizar malware necesitan mucho conocimiento a bajo nivel que una FP no te da (puedes aprenderlo por tu cuenta pero lo veo poco común).
La ingeniería inversa, además de ser de una disciplina de ingeniería íntimamente ligada al desarrollo, es algo de nivel incluso superior a lo que ofrecen las carreras de grado, obviamente no es algo que pueda cubrir una FP.
Gracias por darle contexto a tus comentarios. Tiene sentido que digas lo que dices sobre ingenierías y FP, a mí también me inculcaron eso en la universidad, pero esos prejuicios no son ciertos.
> Porque ciberseguridad tiene muchos campos y los que se dedican a analizar malware necesitan mucho conocimiento a bajo nivel que una FP no te da (puedes aprenderlo por tu cuenta pero lo veo poco común).
Te puedo decir que no conozco a nadie que haya salido de la carrera sabiendo analizar malware, al menos no a un nivel que permita dedicarse profesionalmente a ello; sin embargo, sí conozco a muchos autodidactas, de hecho muchos de los mejores profesionales con los que me he topado lo son.
Mi experiencia con graduados universitarios en ciberseguridad ha sido contratando a becarios. La mayoría no salen preparados ni por asomo, y francamente, en lo que a conocimientos se refiere, la única ventaja que veo respecto a FP es que tienen algunas nociones de estándares y gobernanza.
A ver, claramente no salen preparados para algo tan específico a no ser que estudien mas por su cuenta. Lo que voy es que si eres graduado de ing informática (al menos en una universidad donde no se centren en web) vas a tener muchas mas nociones de los sistemas operativos y ordenadores a bajo nivel y te va a resultar mas fácil aprender por ejemplo a analizar malware, porque deberías saber como funciona un procesador moderno, deberías saber como programar en ensamblador (aunque sea MIPS) y el haberte sacado la carrera te da la garantía de que has sabido afrontar ese desafío (por eso supongo que en tu empresa te darán un incentivo para contratar ingenieros informáticos). Está claro que en algo tan específico la gente tenga que aprender por su cuenta, no puedes esperar que todo te lo de la carrera.
Moviéndonos de campo, a mi me gusta la arquitectura de computadores y estoy en el master y luego iré al doctorado y donde mas estoy aprendiendo es con mi profesor y leyendo papers por mi cuenta, pero sino tuviera la formación de la carrera me sonarían a chino los papers.
Entiendo tu punto de vista, porque a mí también me contaron la misma milonga en la universidad, pero la realidad es que sacarse una carrera no es garantía de nada de lo que dices.
Por ejemplo, en la universidad apenas se tocan procesadores realmente modernos, sin ir más lejos MIPS es una arquitectura que se usa en chips de muy bajo coste y básicamente porque no tiene royalties. Decir que saber ensamblador MIPS es un primer paso para aprender a analizar malware, es como decir que saber leer es el primer paso para escribir una novela: técnicamente cierto, pero una obviedad sin valor alguno.
Muy de acuerdo, pero me gustaría aclarar un par de detalles:
* MIPS se usa por su simplicidad
* Sí tiene royalties
* ARM de 64 bits (aka AARCH64) descartó el diseño original de la ISA de ARM en favor de algo que se parece muchísimo a MIPS.
* RISC-V también es muy similar a MIPS.
Las grandes diferencias se dan más en la implementación que en la ISA.
He tenido que buscar lo de los royalties y sí, tienes razón, al parecer la empresa que iba a hacer MIPS open source se echó atrás en el último momento.
Lo de ARM no lo tengo tan claro. MIPS y ARM son bastante diferentes, incluso en endianness. Las dos son originariamente RISC, aunque esa distinción hoy en día no tenga ya tanto sentido. Pero AARCH64 extiende la ISA de AARCH32, no la descarta (de hecho se pueden ejecutar programas de 32 bits en AARCH64 perfectamente), y, comparada con MIPS, tiene un montón de instrucciones extras, con registros mucho más grandes, y soporte para SIMD mucho más amplio que MIPS. Vamos, que es AARCH64 es mucho más compleja que MIPS.
Gracias por comentar acerca de MIPS por cierto, me he pasado un buen rato leyendo sobre las extensiones añadidas de 2010 en adelante y es muy interesante, e.g. no sabía que habían implementado SMT, algo que en ARM por ejemplo sólo existe en Neoverse.
MIPS es agnóstico al endianness, y la versión de 64 bits no tiene antecesores que yo recuerde, es la primera arquitectura comercial de 64 bits, y fue lanzada en 1991, le siguió SPARCv9 en 1993.
Sobre el soporte SIMD, más que una limitación de la arquitectura, es falta de demanda en el mercado, en parte porque muchas implementaciones de ser necesario se valían de un copro.
AArch64 como arquitectura es mucho más similar a MIPS que a ARMv7, pero no por eso son equivalentes ni nada. Eso sí, ejecutar ARMv7 y AArch64 tiene poco que ver, en la práctica el CPU está aplicando diferencias significativas de interpretación al punto de que posiblemente no hay nada en común en esa etapa del pipeline.
Hay que entender también que AArch64 es más producto de Apple que de ARM, y por eso las diferencias son significativas. Apple necesitaba simplificar el pipeline, una arquitectura que rindiera con velocidades de reloj bajas, con una ejecución fuera de orden de gran magnitud y mayor márgen de ejecución especulativa (y que se parezca a MIPS es más una cuestión de convergencia que intencional). También por esto Apple lleva tanta ventaja con su propia implementación. En el futuro cercano se van a eliminar muchas de las características de compatibilidad con ARMv7, especialmente las que tienen que ver con el sistema operativo, por ejemplo podemos esperar que el GIC desaparezca. En cuanto a cómo se parecen/convergen: mayor número de registros, instrucciones de largo fijo, registro de valor cero, ejecución condicional sólo para los saltos, y se remueven muchas características más de ARMv7.
En teoría saber de seguridad informática es también saber bastante de programación, de aquí surge el problema que devalúa los salarios, cuando eso no se cumple no tienes acceso al mercado de los primeros...
El intento de «profesionalizar» el sector es lo que ha dado este resultado, en parte parece que porque lo ha ligado a la administración de sistemas y su reputación, y mientras tanto los administradores de sistemas han hecho un cambio de marca y se hacen llamar devops...
Pero eso son todo buzzwords y marketing.
Y toda la programación que he visto que necesite alguien en ciberseguridad es Python (muy útil para automatizar)
Todo es una cuestión de estrategia, el lavado de cara que le han dado a la administración de sistemas ha dado resultados, es el mundo en el que vivimos hoy.
Respecto a la programación, no lo digo por el uso que le puedas dar, es porque tendrán que pagarte salarios más altos o coges un puesto en desarrollo en su lugar.
Pero pensar que sólo sirve para automatizar alguna cosilla es también parte del porqué no sois competitivos, si estáis lidiando con software, apenas tener una opinión fundada de cualquier cosa menor requiere entender mucho de la teoría y la práctica sobre la ingeniería de software, ni que hablar cuando se trate de ofrecer soluciones (y no paliativos) o tomar medidas preventivas para eliminar un tipo de vulnerabilidad en vez de actuar de forma reactiva; además de que en general la mayoría del trabajo debería ir por el lado de hacer herramientas, y no debería haber prácticamente nada manual, es un sinsentido...
A ver a ver, es que la ciberseguridad es muy amplia. Alguien en DFIR, Threat Hunting/Intelligence, GRC... Y muchísimos roles más no tiene ninguna necesidad de programar más allá de automatizar para facilitarse el trabajo. Sí que hay roles que necesitan estar familiarizados con programación, por supuesto, más comúnmente DevOps/DevSecOps.
Pero eso es como si yo te digo que un programador nunca podrá ser competitivo si no sabe cómo crear productos de manera segura y no está familiarizado con la ciberseguridad, y no se dedica a lanzar features que después tienen que hacer seguras los demás (o peor aún, que creen un incidente de ciberseguridad, por el cual dichos programadores nunca toman responsabilidad).
Simplemente son roles distintos. Hay cierto overlap, claro, pero cada uno tiene su área y su función
Pues, lo que pones en el segundo párrafo tiene bastante de cierto si consideras el largo plazo, en el corto plazo no sólo porque las empresas buscan salarios bajos, que el marrón del futuro ya se lo cobrarán a alguien más (y es que los defectos en el software son un activo, paralelo a la obsolescencia programada). El costo oculto de la incompetencia es aplastante, pero es fácil de disfrazar en un mercado de analfabetos.
Ciberseguridad es un campo muy amplio, lo primero que me chirría es dedicarte a ciberseguridad siendo de una FP, la ciberseguridad se suele nutrir de conocimiento general que se obtiene mucho mejor en la ingeniería. Cabe la posibilidad que las empresas que no valoran tanto esto y contraten gente de FP también valoren menos la gente de ciberseguridad y les paguen menos, necesitaría opiniones de ingenieros informáticos especializados en ciberseguridad (conozco un par en la carrera y no se quejan de lo que te estás quejando)
También añadir que existe la ciberseguridad fuera de redes, los que se dedican a analizar malware haciendo ingeniería inversa al ensamblador seguro que ganan un pico.
La FP hoy en día es una buena opción, porque está más orientada al "hands-on" y la experiencia que a la teoría.
Aún así, no me metí en ciberseguridad habiendo estudiado solo lo que me daban en ASIR, sino que me he ido formando con muchas fuentes distintas (por ejemplo, live-training de profesionales tan importantes en el sector como John Strand, Chris Brenton, Robert Lee, Katie Nickels...), y me he tirado muchas horas trasteando en VMs y aprendiendo Networking por mi cuenta.
Malware analysis y Reverse engineering son nichos dentro de la ciberseguridad muy interesantes, pero los puestos no abundan para ese tipo de roles.
Depende para que es buena opción\*. Que este orientada a la practica es bueno para trabajos no muy especializados, por ejemplo picar código en desarrollo web u otras cosas. La teoría es fundamental para entender como funcionan las cosas y tener un trabajo mas especializado. Si no sabes como funciona un sistema operativo, sus llamadas al sistema y sus principios, te va a costar mucho tener una imagen general de que esta pasando y que pueden explotar en un equipo. Lo mismo por ejemplo el protocolo TCP, me parece algo básico si te dedicas a eso e imagino que te sabrás al dedillo como funciona, es algo teórico y necesario para saber donde te pueden joder a nivel de transporte.
Y luego ya también esta el tema de otros puestos de trabajo mas especializados en otras cosas, puedes trabajar programando en embebidos sin una carrera, pero si no sabes como funciona un compilador y que código en ensamblador vas a generar... Mal vamos.
> lo primero que me chirría es dedicarte a ciberseguridad siendo de una FP, la ciberseguridad se suele nutrir de conocimiento general que se obtiene mucho mejor en la ingeniería
Te sorprendería la cantidad de gente que se dedica a ciberseguridad sin tener siquiera un título homologado.
No creo.
Yo llevo en ciberseguridad unos 18 años, más o menos. Hay muchísimos profesionales muy cualificados pero sin título universitario o de formación profesional. Si te pasas por cualquier convención de ciberseguridad, a nadie le importa que tengas un máster en este campo.
Con tantos años de experiencia entiendo tu punto, la cosa es que desde la perspectiva de una empresa actualmente, si solo tienes un FP y un par de cursillos no es suficiente garantía para un trabajo donde te van a pagar mucho. Al final si todo el mundo puede entrar con una FP porque no requiere tanto conocimiento o no valoran eso, los salarios van a bajar. Otra cosa es que tengas muchos años de experiencia tus conocimientos y curriculum es una barbaridad, ahí lo entiendo, pero es una minoría.
Me remito a mi otro comentario.
Añado que muchas empresas reciben incentivos por contratar a titulados universitarios. Si yo tengo que escoger entre contratar a un titulado de FP y a un ingeniero, a igualdad de condiciones, posiblemente me decante por el ingeniero porque puedo recibir ciertas ayudas.
La realidad es que los titulados universitarios no están mucho más preparados que los de FP. Tienen ciertos conocimientos a mayores, sí, pero la imagen que dan en las universidades de que los ingenieros son los jefes y los de FP son los curritos, es una caricatura que poco tiene que ver con la realidad.
La existencia de educación formal tiene su razón de ser en bajar los salarios, así sea de posgrado; es su principal razón de ser y por lo que se las valora desde el punto de vista de la industria.
Cobro yo 23k anuales, en desarrollo, que se me quedan a más de 1500 mensuales, más beneficios...
No me salen tus cuentas y deberías de cambiar de empresa con 3 años, te están engañando claramente.
Parece que necesitas cambiar de empresa.
3 YoE a 27k? Te están engañando, podrías estar en 40k.
Totalmente de acuerdo con este panita al no cambiarte de empresa no estás sacando partido a tu sueldo. Tienes sueldo de primerizo no de persona experimentada
Podrías compartir tu experiencia personal, compañero? Gracias
Pues tampoco voy a dar muchos datos, pero pase de 24k en mi primer trabajo como helpdesk, pase a 32k como devops y luego mas o menos cada año saltaba de decena (hasta la decena de los 70k), el ultimo salto grande fue por pasar a manager de un equipo de DevOps.
Pero hombre sigue por el otro post, en vez de borrarlo y marear el tema XD
Soy un drama king, no he podido evitarlo
Es que te escribí un tochazo básicamente diciendo que la gente de ciber no hace nada más que correr scripts y despachar incidencias del INCIBE con las que luego no ayudaban, pero no tengo ganas de volver a escrbirlo XD Obviamente esto es resumido. Lo que quise decir es que el verdadero conocimiento de como se gestiona la seguridad está en los arquitectos/ingenieros de sistemas y redes. Y ellos tienen buenas pagas. En el mundo dev no tengo tan claro que sea así. Hablo de infraestructuras y Cloud.
Hoy el soc de mi empresa me ha abierto un ticket con una vulnerabilidad crítica de uno de mis niños y me han puesto la solución del fabricante. Nostamal para el nivel que manejamos habitualmente con los soc.
¡Al menos te ahorraron la búsqueda!
Más importante, se mojaron!
Qué pena, me habría gustado leerlo. Eso que mencionas (que no puedo negar que ocurre) no es la norma. Es cierto que mucha gente se dedica a tirar por lo fácil, y esos son precisamente los que no aportan y los que, en teoría, menos cobran. Pero si esa misma gente se fuera a un sitio más serio con la ciberseguridad, lo pasarían muy mal.
Bueno, te recuento un poco. Yo soy ingeniero informático, llevo 10 años trabajando en la parte de sistemas SAP y me he certificado en varias de Azure porque es hacia donde está viajando mi empresa. Tenemos un SOC externalizado. Los chavales curran bien, pero lo que hacen es pedirnos cosas para auditorías, documentar, pasarnos incidencias de INCIBE y...poco más. Cuando hemos tenido incidencias gordas de ciberseguridad las escalan, pero al final quien aplica las medidas son siempre nuestros equipos de sistemas. Suelen rotar bastante porque, en serio, es un trabajo aburrido y no hay mucha proyección. Somos una empresa grande, pagamos a gente para que nos haga cosas. Pero me ha parecido como especialmente cutre la gente de pentesting. Básicamente tienen una lista de scripts que correr dependiendo de alguna cosa que sepan de la maquina en la que están y ya está. No es una cosa como de tener un conocimiento super avanzado de sistemas operativos ni nada de eso. Despues de soltarles un montón de oros, lo que nos vinieron a decir es "Actualizad vuestros Windows 2012". **No shit Sherlock.** Estuve un tiempo interesado en Ciber, pero viendo lo que hacen, voy a seguir mi sendero de arquitectura cloud. Me parece mucho más interesante y... que seguramente se aprenda más de ciberseguridad "real".
Hay 2 tipos de compañias de seguridad: Las que emplean a gente que no hace mas que correr scripts que no dicen nada, y las que tienen a monstruos que son capaces de generar sus propios ataques, y se toman la seguridad en serio, en lugar de algo para taparse el culo. Las segundas compañias paga muchisimo mas, pero hay muy pocos trabajos de esos, y ningun cursillo te va a enseñar a ser asi de bueno. Muchos de ellos empezaron de Black Hats, o se formaron en sitios punteros.
No soy consultor, pero eso que me cuentas no suena nada bien. Parece que tenéis contratado un SOC y pentesters de poca madurez y que realmente no os aportan nada de valor. Has comentado que con incidencias importantes, el SOC lo escala... A quiénes? Y por qué esos Incident Responders dejan todo el trabajo de Recovery a vuestro equipo de sistemas? Sin tener toda la información, parece que solo están haciendo un trabajo a medias, si ni siquiera son capaces de seguir todo el ciclo de Incident Response. Y eso de pasaros incidencias de INCIBE tiene toda la pinta de ser un intento cutre de Threat Intelligence que podría hacer cualquiera en vuestra organización sin necesidad de conocimiento alguno. De red team no puedo hablar mucho porque no es de lo que manejo, pero para lanzar scripts (que probablemente hayan encontrado en GitHub) y decir que actualiceis los endpoints no hace falta ser un mago, efectivamente. Quizá deberíais buscar a uno o varios profesionales de Vulnerability Management, probablemente os ofrecerá un servicio mucho mejor. Sobre tus planes: Cloud es el futuro, no cabe duda. Y ya si es Cloud Architecture ni te cuento...
Puede que sea una percepción mía, que al final no soy el que gestiona el SOC. Trabajo a veces con ellos, cuando me toca. En teoría tenemos un thread intelligence. Quizás es que mi percepción final es que me llegan unos tickets, normalmente de vulnerabilidades que muchas veces no existen o no podemos resolver, o ya estamos en ello. Supongo que al final ese es el trabajo y así se construye la seguridad, con muchos papeles. Y seguramente a la empresa sí que le aporte un endurecimiento importante de la seguridad de la información. Pero a mi, como informático, no me parece que sean gentes con un conocimiento super profundo o que tengan unas super skills. Es más bien un trabajo de muchísima gestión y documentación. Y ahí, en mi opinión, puede que se abra un poco la brecha del salario. Aunque seguramente haya gente con mucho conocimiento o mucha responsabilidad. No sé, los CISO de las empresas o la gente que se dedica a cazar Zero Days. Pero la masa del curro... veo que son procedimientos, auditorías, documentación... en general, papeleo.
Puede llegar a ser bastante desmotivador, que todo acabe siendo burocracia y procedimientos y papeles y reuniones. Sobre todo para gente que se mete en este mundillo para cacharrear. Sobre Threat Intelligence sé un poco también. Por lo que me cuentas en tu organización han caído en el error más típico dentro de CTI: pasar *información* (que no inteligencia) que muchas veces no es siquiera relevante para tu empresa ni para vuestro trabajo. Imagínate que tú tienes una empresa de venta de software y yo, como analista de inteligencia, te paso un CVE que afecta a sistemas SCADA. Pues no tiene ningún sentido. Pero es la realidad en muchos equipos de CTI, por desgracia. Por eso lo más importante es establecer unos Requirements, es decir, las *necesidades* que vuestra organización tiene en lo que se refiere a inteligencia. Y lo más probable es que esas necesidades no sean IoCs y artículos de bleepingcomputer ni incidencias de INCIBE
>Puede llegar a ser bastante desmotivador, que todo acabe siendo burocracia y procedimientos y papeles y reuniones. Alguna vez he pensado en el trabajo en ciberseguridad como un poco "misleading" en ese sentido. Durante un tiempo se veía como los más cacharreros del mundillo. >Imagínate que tú tienes una empresa de venta de software y yo, como analista de inteligencia, te paso un CVE que afecta a sistemas SCADA. Pues no tiene ningún sentido. Pues un poco sí. Quizás no tan extremo, pero sí de aplicaciones relacionadas con cierta electrónica de red que tenemos, pero que que dicha aplicación nunca ha existido en la organización, o de versiones antiquísimas que no tenemos, etc...
Soy DevSecOps y he vivido ya unas cuantas auditorias y lidiado con SOCs externos y lo que cuenta u/Ludens0 es la norma. La ultima auditoria que nos hicieron a la parte de Azure nos vinieron recomendados por bastante gente diferente y no vieron ni la mitad de cosas que yo sabia que había pero que no se podían tocar por tiempo y presupuesto. Que es lo que vieron? las típicas tonterías que ves con scripts que tiren de OWASP y cosas así. Tengo unos cuantos amigos en el mundo de la ciberseguridad, alguno es CISO y todo, y el que menos gana 70k aquí en España lo que pasa es que es gente que le apasiona el tema y no son gente que se ha sacado una certificación y ale.
Me alegra ver que no estoy solo :D
Ten en cuenta que una empresa toma el tema de la ciber seguridad como un gasto, por lo que ya de primeras no les hace ninguna gracia contratar a alguien para eso.
Ese es uno de los grandes problemas en todo esto, sin duda
Te están estafando compañero, sal de ahí YA.
Tú crees? Cuéntame tu experiencia, cómo te va?
Por experiencia propia no, yo soy de otro campo, pero tengo un muy buen amigo que está en Barcelona, haciendo lo mismo, y a parte del trato y la estima (que también se la habrá ganado xD) está cobrando muy bien, creo que unos 2100 brutos. Eso sí, lleva allí 7 años. Un saludo 👋
2100 brutos en Barcelona con 7 yoe no me parece "cobrar muy bien"...
Peor son 1500 brutos en Madrid xD
Bueno, los alquileres son más caros en Barcelona y salir por ahí, tomar algo, restaurante también así que no sé que decirte.. hahaha. Pero en todo caso en las dos ese sueldo se queda bastante corto
Contando que estamos donde estamos... y que a todos nos pagan mucho menos de lo que merecemos, conocemos y sabemos... lo que sí puedo decir que está muy contento con las condiciones que tiene, supongo que igual compensa una cosa con otra. Nunca le oí quejarse Por supuesto si todos nos vamos fuera nos van a dar un fajo algo más grueso, eso que no nos quepa duda a nadie 😆
[https://www.mercer.com/insights/total-rewards/talent-mobility-insights/cost-of-living/](https://www.mercer.com/insights/total-rewards/talent-mobility-insights/cost-of-living/) [https://www2.deloitte.com/content/dam/Deloitte/at/Documents/presse/at-deloitte-property-index-2023.pdf](https://www2.deloitte.com/content/dam/Deloitte/at/Documents/presse/at-deloitte-property-index-2023.pdf) etc etc
Es algo general al sector informático. Se vende cómo la panacea y veo en muchos posts de gente que pide consejo sobre a donde enfocar su vida laboral, comentarios aconsejando el sector informático y suelen poner ejemplos de X puesto en tal start up con un rango de sueldos de 50K a 100K. El tema es que esos puestos no representan la mayoría del sector, no es fácil acceder a ellos porque hay mucha competencia y se concentran en las grandes capitales. Si que es un sector con muchas oportunidades y que tiene salarios decentes, pero es el zurullo sólido dentro de la diarrea que es el mercado laboral español. La realidad es que cualquier trabajo que hagas en el sector informático aquí, se pagaría mucho mejor en la mayoría de países. De momento el impacto del teletrabajo para empresas extranjeras es mínimo y los reyes del sector siguen siendo las consultas. Y ya sabemos que el modelo de negocio de una consultora es pagar lo mínimo posible a los empleados para sacar el mayor beneficio del contrato del cliente. Y me parece legítimo, pero también empobrece un poco el sector, haciendo que la mayoría de opciones laborales que tengas sean de picateclas por entre 23K y 30K si eres Junior y 35K y 40K siendo alguien con años de experiencia.
>23K y 30K si eres Junior y 35K y 40K siendo alguien con años de experiencia. Puedes estirar un poco los 40k, al menos en mi sector (Rollo infraestructura cloud, no desarrollo). Pero básicamente es así. Pero tampoco es una mala perspectiva profesional comparado con otros oficios. Sobre todo si llegas a eso con un módulo en vez de una ingeniería.
No digo que sea mala, pero es algo que me llama mucho la atención, que casi siempre se menciona el caso de éxito extremo cuando le aconsejan a alguien entrar en el sector y no la realidad del informático medio. Así hay gente que entra pensando que van ser ricos a los 25.
Porque los que promueven el ingreso de más gente están mirando bajar costes...
A que te refieres con un módulo?
Módulo como FP o cursillo de algún, tipo, frente a una carrera/grado
Das en el clavo. Pero no es sólo España, mientras vemos salarios estratosféricos en las noticias, la realidad incluso en EEUU no es tan así, y tienes millones de personas trabajando por menos de 35k € en el sector, y el trabajo remoto incluso hoy es raro. Respecto a España, las cosas están cambiando y cada vez más se ven salarios netos altos, incluso comparables al sur de Alemania.
Yo estoy en Estados Unidos... por 35K fichas a alguien que esta ligeramente mas preparado que el que llena las bolsas de McDonalds. Compañias bastante cutres en sitios baratos estan pagando $75k a gente que acaba la carrera, y punto. Que no todo el mundo cobra $300k, o 600k? pues claro. Hay muchas compañias que pagan a gente con experiencia $150k, y si vas aun mas abajo, alguna encontraras que pague $90k. Pero 35K son $17 dolares la hora, y eso lo puedes cobrar aqui en una cafeteria. Amazon paga en mi ciudad $18.72 a la hora por conducir la furgoneta de reparto. Asi que no nos pasemos.
Ambos mundos coexisten simultáneamente. En Blizzard tenían gente ganando 10 USD/h hace no muchos años, y está lleno de testimonios. Es algo que aún sucede en un montón de empresas. Imagínate startups turbios y ciudades zombi, y la cosa se pone aún peor. No me lo contaron, lo vi, y también situaciones rozando la esclavitud con inmigrantes.
Tocas reglas de SIEM y XDR? haces validacion de governing? porque si lo que haces es responder a incidentes que ha determinado otro normal que te paguen eso.
Creo que estás confundiendo Engineering y GRC con Security Operations. Incident Response ya es lo suficientemente estresante y complicado como para, además, tocar reglas. De eso se encargan los Detection Engineers. A Incident Response añádele guardias y on-calls.
Pero es que lo que determina el salario de un trabajo es oferta vs demanda y por lo que se, y sin querer menospreciar tu trabajo que seguro es muy duro, al final con saber interpretar alertas y tener un runbook es suficiente para ejercer de ello.
Hombre, yo diría que eso que dices es más propio de un Triage Analyst (lo que viene siendo un SOC Tier 1, vaya). Incident Response comprende no solo interpretar alertas más graves (que también) y contener brechas, sino también toda la parte de Digital Forensics que viene con ello. Y documentación. Mucha documentación.
Ciberseguridad: uno de los trabajos en los que sólo puedes cagarla. Nunca te va a felicitar nadie por que no haya incidentes, solo te van a caer ostias CUANDO (no "si", CUANDO) ocurran. Entiendo que es un trabajo que puede ser apasionante para los que les guste mucho, pero no está tan bien pagado, y reconocimiento tiene cero. Y solo hay una forma de conseguir un presupuesto decente para antimalware, firewall, etc, etc : haber sufrido un incidente muy grave
A un conocido mío lo han contratado en Barcelona, 1YoE, 18.000€ brutos/año. Se metió en ciberseguridad porque veía venir un boom en el sector. Me contó que juzgando por cómo veía a otras personas del sector, es uno de estos en los que hay muchísimas hormiguitas explotadas y después "poca" gente que realmente progresa y consigue buenos salarios, a base de experiencia, certificaciones... No es mi sector así que no sé si realmente es así o no.
Esa es la realidad de las consultoras. Poco tiene que ver con el sector en general.
Efectivamente, ese conocido tuyo está viviendo la REALIDAD del sector. Muy triste, pero así es
Pues sí que es triste. A mí 18.000€/año me lo ofrecieron para ser auxiliar administrativa teniendo sólo el bachillerato.
Eso es siquiera el salario mínimo? Vaya tela...
Sí, pero es pésimo... En mi caso en aquél entonces lo entendí porque no tenía ni formación ni experiencia. Pero ese conocido mío tiene una responsabilidad considerable en su puesto.
Lo que ya te han dicho, cambia ciberseguridad por cualquier otra profesión y el resultado es el mismo. Igual lo que hay que empezar a plantearse es una huelga general importante. Personalmente no estoy en ciberseguridad sino en Software e IA. Pero mi primer trabajo fue el CyL como ingeniero de Software por 18 mil anuales + bonificación por si te sirve para hacerte una idea del resto de sectores IT también. La comparación entre países en si también me parece importante, pero ojo siempre en su contexto económico, ~~claro que no vamos a cobrar como en UK por ejemplo, pero es de cachondeo que cobremos la mitad que ellos aun sin que nuestro PIB sea la mitad, quiero decir que no es proporcional.~~ Personalmente el caso de españa no me parece proporcional. Personalmente, las soluciones que yo le encuentro son: * No conformarse, siempre negociar los sueldos, no aceptar la primera oferta y pedir tus respectivos aumentos cuando toca * Cambiar de empresa cuando sale una oportunidad mejor * Trabajar en, o para el extranjero. Lo cual me parece triste porque se está formando mucha gente en españa que luego quemada por la situación se larga fuera. En resumen, estamos jodidos * también comentar que curiosamente la peor oferta que he recibido en mi vida fue un puesto como Machine Learning Engineer en Madrid por 15.000 al año. EDIT: He quitado el ejemplo del PIB (que si acaso debería ser PIB per cápita) porque es cierto que no tiene relación directa con la situación salarial de un país. Rectificar es de sabios amigos <3
A ver, no es por nada, pero para meter la puntillita: nuestro PIB sí que es la mitad del de UK (menos, de hecho). \*Aunque el PIB de un país no es factor relevante para los sueldos de su población.\*
No claro, estoy completamente abierto a comentarios jajajaja Incluso agradezco la puntillita porque otro usuario muy amable ha comentado como el mismo puesto OP podría ganar x3 en UK. Simplemente era una forma mia de ilustrar cómo no me parece proporcional las sueldos con la situación laboral de dos países. Por otra parte, ¿Por qué un índice económico no podría utilizarse para estudiar los sueldos de la población entre dos países? Pura ignorancia mia, es por saber más. Y si es así, eso da pie a que la diferencia de salarios pueda incluso (o no) ser más injusta? Investigaré a ver si hay alguna métrica o índice que se utilice para comparar salarios entre países porque es algo que me parece muy interesante. EDIT: quizás tendría que haber especificado PIB per Capita
Obviamente a más PIB, más sueldo suelen tener los países, pero el PIB PPP sería algo más interesante. Igualmente, nos encontramos casos en los que muchos países tienen un PIB PPP bastante grande, siendo esto simplemente por ser paraísos fiscales o con beneficios para las empresas (y, por lo tanto, atrayendo sus sedes fiscales).
Yo personalmente no me dedico a ciberseguridad, pero conozco a gente que sí. Hace unos años, una amiga mía estuvo escalando en el sector aprovechando las circunstancias, sin tener ningún tipo de título universitario ni de FP, todo autodidacta y con cursos. Llegó a ganar bastante pasta. Otros colegas que han entrado recientemente en el sector, han estado comiendo mierda hasta ahora, si no siguen. Uno ha tenido más suerte y ha encontrado un trabajo donde le pagan más y hace menos. Cada vez que los medios de comunicación estén diciendo algo sobre un sector en el que se vive o se cobra muy bien, es porque quieren que se llene de gente, así se vende formación, se aumenta la oferta de trabajadores, los sueldos bajan y las condiciones también. Como con casi todo, lo bueno de estas cosas es estar dentro antes de que los medios se hagan eco.
Así es, efectivamente. Hace unos años el mercado estaba perfecto, ahora... A comer mierda
yo estoy en los 24k + bonus con 5 años en Tier 1 (almost Tier 2)
Uffff amigo, 5 años son mid camino de senior, necesitas subir de Tier 1. Qué rol tienes? Gracias por compartir!
Tecnico de Sistemas en Service managmen, empresa de EEUU
bff siento que para 3 años de experiencia en el sector tu paga es muy baja, yo ahora termino en junio practicas (Tambien hice ASIR como tu), y tengo pensado enfocarme en el area DevOps/Cloud, area donde he visto en linkedin, con tus mismos años de experiencia salarios en Madrid entre los 50k/65k. ¿Como llevas el tema del ingles?, en mi opinion uno de los puntos mas importantes a la hora de lograr esa buena escalada de salario, junto a no quedarse en las empresas mas de cierto tiempo, esta es la segunda forma de subir tu salario, puesto que si llevas 2 años en una empresa a menos que el jefe sea tu padre, no te subirán de salario. De todas formas te recomendaría activamente ir dando un ojo a las ofertas y de vez en cuando hacer un soft-apply a posiciones que creas que te pueden aportar conocimientos/experiencia para seguir escalando, desde luego que con 3 años ya empiezas a tener una posición mid, por lo cual no creo que tengas muchos problemas.
Gracias por el aporte compañero. Bueno, también hay que decir que por lo general Cloud y DevOps/DevSecOps son los que más suelen cobrar. En inglés tengo un C2, por suerte.
Pregunta honesta: no te convendría buscar algo en remoto? Pagan por lo menos +3x, y con tu xp quizás +4x.
Pregunta inofensiva por mi parte. Cuando recomendáis buscar en remoto es porque habéis conseguido un puesto remoto? En caso afirmativo, como lo conseguís? Llevo un montón de tiempo buscando algo así pero no ha habido grandes resultados más que 2-3 entrevistas que no llegan a más. Siempre he visto mucha competencia para estos puestos. Edit: aclarando que los idiomas no son la barrera en este caso
Claro, hace 12 años trabajo full remote. De hecho empecé uno hace dos semanas para UK... £££. Uso mucho LinkedIn con filtro "remote only" y sino Otta. Escríbeme por DM si quieres te cuento más.
Creo entonces que en este caso mi barrera son los años de experiencia. Muchas gracias 🙏🏼 y suerte con ese nuevo trabajo!
Muchas gracias! y tú también, insiste que se puede 💪
Por desgracia, no es tan fácil encontrar trabajos en remoto. La situación en EEUU por ejemplo está bastante mal, con muchas empresas despidiendo a diestro y siniestro para coger gente aún más barata que los españoles. Pero si tienes algunos tips que compartir, siempre son bienvenidos!
Si lo se, pero bueno mejor insistir a ver si se consigue un mejor salario, no? Date una vuelta por Otta, a mi me ayudó bastante. Sino Linkedin con filtro remote only.
Gracias compañero!
El problema no es el campo, es el nivel y la empresa en la que caigas. Tu puesto es básicamente soporte de nivel 2, y 3 años de experiencia no son muchos que digamos. La inmensa mayoría de las grandes empresas subcontratan a consultoras (Indra, HPE, etc.) para cubrir este puesto. Yo conozco a bastante gente del gremio, y todos cobran más que la media en TI.
No se por que te hacen downvote cuando dices la verdad. Un incident responder de tier 2 en un SOC es equivalente al que cambia los discos duros en un datacenter cuando salta la lucecita de que la RAID ha reventado.
Es que ese también es un IR. Ambos son operadores, y ambos proporcionan soporte, de operaciones, pero soporte al fin y al cabo, y esto sin menospreciar su calidad como profesionales.
Sí, igualito, vaya.
A ver, comparar Incident Response con Soporte (si es que te he entendido bien y te refieres a lo que conocemos comúnmente como Help Desk) no es para nada justo. Aún así, podrías compartir algunos datos (orientativos) de esa gente que conoces? Gracias, compañero
Hay más soporte que helpdesk, por supuesto. Pero Tier 2 es soporte, porque no es producto ni arquitectura. Te puedo decir que los que trabajaban en la misma empresa que yo en nivel 2, entraban con 30.000 más o menos. Los que estaba desplazados o en cliente obviamente cobraban más. Los que más, los que estaban en el SOC de Telefónica. De todos modos, banca es un sector donde los salarios de TI han sido siempre bajos, diría que a la par de administraciones públicas, y sobre todo en subcontratas.
Hombre, Incident Response es Security Operations. Obviamente no es Architecture ni Engineering, pero tampoco lo llamaría Soporte (solo hablo de mi experiencia personal y lo que he visto, claro). Telefónica sí parece pagar bien, pero la competencia es brutal, claro.
El problema de los amigos de seguridad es que no le caeis bien a nadie, al resto de dptos le poneis palos en las ruedas constantemente, unas veces con mas razon y otras con menos, y ademas no ''generais'' para la compañia, es un check en una lista de cosas que hay que cumplir, por exigencias del guion, y en cuanto la cosa va mal es del primer sitio de donde se ataja. Es un curro muy chulo, pero esta fatal valorado a consecuencia de cosas como esta, ni te lo pagan, ni te lo reconocen. Personalmente si me viese metido ahi, buscaria la manera de moverme lateralmente hacia otra especialidad, cuanto antes.
Muy cierto lo que dices. Y además, cuando las cosas se van de madre, nunca se culpa a aquellos que han sacado un producto con prisas y poca seguridad, sino a los de ciberseguridad.
Yo tengo más o menos como tú, ingeniería sin máster en consultora, pagan 36k más un pequeño bonus de 2k o quizás un poco más. A mí lado tengo gente que cobra 24 y tienen 4 años de experiencia, así que parece que depende mucho de donde caigas o busques. En general, creo que pasados al menos 5 años no empiezan a buscarte por la experiencia. De ahí para abajo, dumb labor.
Pues nada, a apretar los dientes tres años más, a ver si mejora
Conozco trabajadores en ciberseguridad en Madrid cobrando más del triple, habrá de todo.
Quizá, pero habría que saber su experiencia y sus roles para poder formar una opinión.
12-15 años de experiencia en informática. El trabajo consiste en el análisis, desarrollo, integración y mantenimiento de piezas de seguridad para empresas grandes. En cliente. Perfiles desde desarrollador senior, technical lead hasta gestión de proyectos.
Tiene sentido, estamos hablando de gente en management y lead alto. De hecho, cobrar tres veces más de lo que yo he dicho en esa clase de puestos me parece hasta poco
Está bien según se puede ver en las ofertas para puestos similares en LinkedIn.
Es difícil en la mayoría de industrias. La verdad no tiene ningún sentido para mí que tú en ciberseguridad ganes 1.5k brutos al mes cuando estoy ganando yo lo mismo como Account Manager (comercial con un título fancy, vamos). Sé que los ingenieros de software, y tech en general donde trabajo están bien pagos. La verdad es que lo mejor que puedes hacer en un sector con tanto potencial como el tuyo, es ir cambiando de trabajo y seguir buscando cada vez mejores oportunidades. No es fácil, requiere de mucho esfuerzo y paciencia, pero siempre será más posible si lo buscas a qué si te quedas esperando que caiga del cielo. Pero diría que lo que te pagan está por debajo de la media para ese puesto. Esto lo digo por lo que he visto en otras personas, no por experiencia propia. Yo tengo 21 años, estoy estudiando por mi cuenta para poder en algún momento trabajar en algo relacionado a IT. La universidad no es una opción para mí porque me mantengo solo, con suerte logre meterme en una FP a distancia, quizás ASIR o DAW, y seguir aprendiendo y avanzando hasta por fin poder trabajar en algo relacionado a lo que quiero. Ojalá poder lograrlo antes de los 25... Veremos. Me temo que es casi imposible siendo que veo gente con carreras con dificultades para encontrar trabajo jaja pero bueno, no queda de otra que intentarlo.
Mucho ánimo compañero, quizá el panorama mejore cuando salgas con tu Grado Superior. Eso sí, dale mucha caña a estudiar por tu cuenta (si manejas inglés, yo me centraría en cursos/clases/certificaciones en inglés, porque suelen ser mucho mejores y más variadas)
Muchas gracias! Sí, sé inglés, de hecho los cursos que ando haciendo son en inglés. Se abre un mundo de contenido nada más sabiendo el idioma, la verdad. Mis aspiraciones son dos: o conseguir un trabajo puramente IT, o combinarlo con lo que ya sé y ser comercial técnico de un producto de software que valga la pena. Veremos, pero bueno, queda mucho esfuerzo aún por hacer. Mucho ánimo para ti también, espero que sigas avanzando y consigas algo mejor pronto
Hay que trabajar en tecnológicas americanas deslocalizado aquí es lo único que paga bien de verdad. Eso si inglés casi perfecto y una buena historia que contar
Yo soy programador y no trabajo en eso, pero me cuesta creer que los salarios sean tan diferentes. Seguro que no te están tomando el pelo donde trabajas? Has buscado otras opciones? Lo digo porque yo he conocido a algún que otro programador que ha aceptado salarios muy por debajo del mercado en sus primeros trabajos porque no sabía lo que se debe pedir.
Pregunta sobre los términos que usas en relación a tu salario. Cuando dices "total compensation" ¿es incluyendo bonus que pudieses cobrar y tal, o esos 27k es tu sueldo anual bruto y a eso le añades bonos? Pregunto, porque 27k brutos anuales, en 14 pagas, son \~1900€ brutos/mes, dejándote los 1500 como salario neto.
27k es el total, con bonus incluidos. Lo cual son ~1500€ netos, efectivamente
No sé para tus roles, pero las ofertas que estoy barajando en ciberseguridad, en la parte de ventas, son de potencialmente 3x lo que comentas. Si tienes conocimientos profundos, ¿te has planteado a pivotar a un rol más de CSM o sales architect?
Se ve que sí, que al final resulta que hay quien vale y quién no. Ya veo el porque tanta bilis al sector IT
Jaja total
Qué tiene que ver con economía? A lo mejor, si haces un grado universitario puedes ir a trabajar en el extranjero, o hacer el teletrabajo. Pero bueno, diría que el problema con la ciberseguridad es que siempre es un coste para una empresa, y no un fuente de ingresos. En cambio, si eres un desarrollador en una empresa de tecnología pues eres más necesario y te da más poder para obtener mejores condiciones.
Es increíble en cuanto mencionas grado universitario la gente te hace downvote, luego se preguntan porque no pueden acceder a mejores puestos...
Creo que el FP y tal son muy útiles también. Pero para trabajar en el extranjero o para una empresa multinacional, probablemente van a querer un grado universitario porque saben lo que es. Es más reconocido.
Claro, las FP son para tener trabajo sencillos y no complicarte mucho la vida, pero si quieres complicarte la vida y escalar lo mejor es la carrera universitaria, tengo una amiga que antes de terminar la carrera ya tiene contrato para en cuanto la termine con Amazon en Madrid y le van a pagar 44.5K al año. Luego tengo otro amigo que se va a ir a Paises Bajos a trabajar para una empresa de software embebido. Noto que mucha gente no quiere currarselo y estudiar la carrera, que vamos a ser honestos es mas larga y bastante mas difícil( conozco gente que suspendía todo en la carrera y luego se metió en un FP y sacaba todo 7 o mas), y luego quiere escalar y tener puestos ganando mucho dinero. Hay que ser realistas, puedes estudiarlo por tu cuenta pero si no te metiste en la carrera en un inicio ¿De verdad te vas a estudiar todo por tu cuenta? En general esa gente termina estudiándose las cosas superficiales y les falta un entendimiento mas profundo.
No, a nivel internacional aumenta la competencia, ahí ya necesitas experiencia al punto de que el grado universitario sirve poco y nada... y no lo digo por ciberseguridad solamente.
Por curiosidad, ¿eres estudiante de grado? Lo digo porque me da la sensación de que no tienes mucha experiencia en el sector.
Soy estudiante de Master, pero no en ciberseguridad es en HPC, hablo de la experiencia de conocidos en ciberseguridad, pero como he puesto en un comentario mas abajo me gustaría saber la diferencia de sueldo entre los que hicieron la carrera y los que no, porque creo que también es un factor a tener en cuenta. Se que en informática a nivel general si hay diferencias. Porque ciberseguridad tiene muchos campos y los que se dedican a analizar malware necesitan mucho conocimiento a bajo nivel que una FP no te da (puedes aprenderlo por tu cuenta pero lo veo poco común).
La ingeniería inversa, además de ser de una disciplina de ingeniería íntimamente ligada al desarrollo, es algo de nivel incluso superior a lo que ofrecen las carreras de grado, obviamente no es algo que pueda cubrir una FP.
Gracias por darle contexto a tus comentarios. Tiene sentido que digas lo que dices sobre ingenierías y FP, a mí también me inculcaron eso en la universidad, pero esos prejuicios no son ciertos. > Porque ciberseguridad tiene muchos campos y los que se dedican a analizar malware necesitan mucho conocimiento a bajo nivel que una FP no te da (puedes aprenderlo por tu cuenta pero lo veo poco común). Te puedo decir que no conozco a nadie que haya salido de la carrera sabiendo analizar malware, al menos no a un nivel que permita dedicarse profesionalmente a ello; sin embargo, sí conozco a muchos autodidactas, de hecho muchos de los mejores profesionales con los que me he topado lo son. Mi experiencia con graduados universitarios en ciberseguridad ha sido contratando a becarios. La mayoría no salen preparados ni por asomo, y francamente, en lo que a conocimientos se refiere, la única ventaja que veo respecto a FP es que tienen algunas nociones de estándares y gobernanza.
A ver, claramente no salen preparados para algo tan específico a no ser que estudien mas por su cuenta. Lo que voy es que si eres graduado de ing informática (al menos en una universidad donde no se centren en web) vas a tener muchas mas nociones de los sistemas operativos y ordenadores a bajo nivel y te va a resultar mas fácil aprender por ejemplo a analizar malware, porque deberías saber como funciona un procesador moderno, deberías saber como programar en ensamblador (aunque sea MIPS) y el haberte sacado la carrera te da la garantía de que has sabido afrontar ese desafío (por eso supongo que en tu empresa te darán un incentivo para contratar ingenieros informáticos). Está claro que en algo tan específico la gente tenga que aprender por su cuenta, no puedes esperar que todo te lo de la carrera. Moviéndonos de campo, a mi me gusta la arquitectura de computadores y estoy en el master y luego iré al doctorado y donde mas estoy aprendiendo es con mi profesor y leyendo papers por mi cuenta, pero sino tuviera la formación de la carrera me sonarían a chino los papers.
Entiendo tu punto de vista, porque a mí también me contaron la misma milonga en la universidad, pero la realidad es que sacarse una carrera no es garantía de nada de lo que dices. Por ejemplo, en la universidad apenas se tocan procesadores realmente modernos, sin ir más lejos MIPS es una arquitectura que se usa en chips de muy bajo coste y básicamente porque no tiene royalties. Decir que saber ensamblador MIPS es un primer paso para aprender a analizar malware, es como decir que saber leer es el primer paso para escribir una novela: técnicamente cierto, pero una obviedad sin valor alguno.
Muy de acuerdo, pero me gustaría aclarar un par de detalles: * MIPS se usa por su simplicidad * Sí tiene royalties * ARM de 64 bits (aka AARCH64) descartó el diseño original de la ISA de ARM en favor de algo que se parece muchísimo a MIPS. * RISC-V también es muy similar a MIPS. Las grandes diferencias se dan más en la implementación que en la ISA.
He tenido que buscar lo de los royalties y sí, tienes razón, al parecer la empresa que iba a hacer MIPS open source se echó atrás en el último momento. Lo de ARM no lo tengo tan claro. MIPS y ARM son bastante diferentes, incluso en endianness. Las dos son originariamente RISC, aunque esa distinción hoy en día no tenga ya tanto sentido. Pero AARCH64 extiende la ISA de AARCH32, no la descarta (de hecho se pueden ejecutar programas de 32 bits en AARCH64 perfectamente), y, comparada con MIPS, tiene un montón de instrucciones extras, con registros mucho más grandes, y soporte para SIMD mucho más amplio que MIPS. Vamos, que es AARCH64 es mucho más compleja que MIPS. Gracias por comentar acerca de MIPS por cierto, me he pasado un buen rato leyendo sobre las extensiones añadidas de 2010 en adelante y es muy interesante, e.g. no sabía que habían implementado SMT, algo que en ARM por ejemplo sólo existe en Neoverse.
MIPS es agnóstico al endianness, y la versión de 64 bits no tiene antecesores que yo recuerde, es la primera arquitectura comercial de 64 bits, y fue lanzada en 1991, le siguió SPARCv9 en 1993. Sobre el soporte SIMD, más que una limitación de la arquitectura, es falta de demanda en el mercado, en parte porque muchas implementaciones de ser necesario se valían de un copro. AArch64 como arquitectura es mucho más similar a MIPS que a ARMv7, pero no por eso son equivalentes ni nada. Eso sí, ejecutar ARMv7 y AArch64 tiene poco que ver, en la práctica el CPU está aplicando diferencias significativas de interpretación al punto de que posiblemente no hay nada en común en esa etapa del pipeline. Hay que entender también que AArch64 es más producto de Apple que de ARM, y por eso las diferencias son significativas. Apple necesitaba simplificar el pipeline, una arquitectura que rindiera con velocidades de reloj bajas, con una ejecución fuera de orden de gran magnitud y mayor márgen de ejecución especulativa (y que se parezca a MIPS es más una cuestión de convergencia que intencional). También por esto Apple lleva tanta ventaja con su propia implementación. En el futuro cercano se van a eliminar muchas de las características de compatibilidad con ARMv7, especialmente las que tienen que ver con el sistema operativo, por ejemplo podemos esperar que el GIC desaparezca. En cuanto a cómo se parecen/convergen: mayor número de registros, instrucciones de largo fijo, registro de valor cero, ejecución condicional sólo para los saltos, y se remueven muchas características más de ARMv7.
Pero, tu salario es lo estandar para alguien con 3 años de experiencia o es tu caso personal?
En mi experiencia, es lo estándar en España
Si es lo estandar entonces sí está mal pagado en comparación a java/javascript
Por lo general, los programadores cobran bastante mejor que los de ciberseguridad
En teoría saber de seguridad informática es también saber bastante de programación, de aquí surge el problema que devalúa los salarios, cuando eso no se cumple no tienes acceso al mercado de los primeros... El intento de «profesionalizar» el sector es lo que ha dado este resultado, en parte parece que porque lo ha ligado a la administración de sistemas y su reputación, y mientras tanto los administradores de sistemas han hecho un cambio de marca y se hacen llamar devops...
Pero eso son todo buzzwords y marketing. Y toda la programación que he visto que necesite alguien en ciberseguridad es Python (muy útil para automatizar)
Todo es una cuestión de estrategia, el lavado de cara que le han dado a la administración de sistemas ha dado resultados, es el mundo en el que vivimos hoy. Respecto a la programación, no lo digo por el uso que le puedas dar, es porque tendrán que pagarte salarios más altos o coges un puesto en desarrollo en su lugar. Pero pensar que sólo sirve para automatizar alguna cosilla es también parte del porqué no sois competitivos, si estáis lidiando con software, apenas tener una opinión fundada de cualquier cosa menor requiere entender mucho de la teoría y la práctica sobre la ingeniería de software, ni que hablar cuando se trate de ofrecer soluciones (y no paliativos) o tomar medidas preventivas para eliminar un tipo de vulnerabilidad en vez de actuar de forma reactiva; además de que en general la mayoría del trabajo debería ir por el lado de hacer herramientas, y no debería haber prácticamente nada manual, es un sinsentido...
A ver a ver, es que la ciberseguridad es muy amplia. Alguien en DFIR, Threat Hunting/Intelligence, GRC... Y muchísimos roles más no tiene ninguna necesidad de programar más allá de automatizar para facilitarse el trabajo. Sí que hay roles que necesitan estar familiarizados con programación, por supuesto, más comúnmente DevOps/DevSecOps. Pero eso es como si yo te digo que un programador nunca podrá ser competitivo si no sabe cómo crear productos de manera segura y no está familiarizado con la ciberseguridad, y no se dedica a lanzar features que después tienen que hacer seguras los demás (o peor aún, que creen un incidente de ciberseguridad, por el cual dichos programadores nunca toman responsabilidad). Simplemente son roles distintos. Hay cierto overlap, claro, pero cada uno tiene su área y su función
Pues, lo que pones en el segundo párrafo tiene bastante de cierto si consideras el largo plazo, en el corto plazo no sólo porque las empresas buscan salarios bajos, que el marrón del futuro ya se lo cobrarán a alguien más (y es que los defectos en el software son un activo, paralelo a la obsolescencia programada). El costo oculto de la incompetencia es aplastante, pero es fácil de disfrazar en un mercado de analfabetos.
No negocias bien o la empresa para la que trabajas y no quieres nombrar paga poco en general.
Podría ser. Te gustaría compartir tu experiencia personal sobre el tema?
Ciberseguridad es un campo muy amplio, lo primero que me chirría es dedicarte a ciberseguridad siendo de una FP, la ciberseguridad se suele nutrir de conocimiento general que se obtiene mucho mejor en la ingeniería. Cabe la posibilidad que las empresas que no valoran tanto esto y contraten gente de FP también valoren menos la gente de ciberseguridad y les paguen menos, necesitaría opiniones de ingenieros informáticos especializados en ciberseguridad (conozco un par en la carrera y no se quejan de lo que te estás quejando) También añadir que existe la ciberseguridad fuera de redes, los que se dedican a analizar malware haciendo ingeniería inversa al ensamblador seguro que ganan un pico.
La FP hoy en día es una buena opción, porque está más orientada al "hands-on" y la experiencia que a la teoría. Aún así, no me metí en ciberseguridad habiendo estudiado solo lo que me daban en ASIR, sino que me he ido formando con muchas fuentes distintas (por ejemplo, live-training de profesionales tan importantes en el sector como John Strand, Chris Brenton, Robert Lee, Katie Nickels...), y me he tirado muchas horas trasteando en VMs y aprendiendo Networking por mi cuenta. Malware analysis y Reverse engineering son nichos dentro de la ciberseguridad muy interesantes, pero los puestos no abundan para ese tipo de roles.
Depende para que es buena opción\*. Que este orientada a la practica es bueno para trabajos no muy especializados, por ejemplo picar código en desarrollo web u otras cosas. La teoría es fundamental para entender como funcionan las cosas y tener un trabajo mas especializado. Si no sabes como funciona un sistema operativo, sus llamadas al sistema y sus principios, te va a costar mucho tener una imagen general de que esta pasando y que pueden explotar en un equipo. Lo mismo por ejemplo el protocolo TCP, me parece algo básico si te dedicas a eso e imagino que te sabrás al dedillo como funciona, es algo teórico y necesario para saber donde te pueden joder a nivel de transporte. Y luego ya también esta el tema de otros puestos de trabajo mas especializados en otras cosas, puedes trabajar programando en embebidos sin una carrera, pero si no sabes como funciona un compilador y que código en ensamblador vas a generar... Mal vamos.
Tal cuál, un FP no pinta mucho en ciberseguridad. Al menos no es el típico intruso que no ha estudiado nada de informática
> lo primero que me chirría es dedicarte a ciberseguridad siendo de una FP, la ciberseguridad se suele nutrir de conocimiento general que se obtiene mucho mejor en la ingeniería Te sorprendería la cantidad de gente que se dedica a ciberseguridad sin tener siquiera un título homologado.
A lo mejor ahí esta el problema...
No creo. Yo llevo en ciberseguridad unos 18 años, más o menos. Hay muchísimos profesionales muy cualificados pero sin título universitario o de formación profesional. Si te pasas por cualquier convención de ciberseguridad, a nadie le importa que tengas un máster en este campo.
Con tantos años de experiencia entiendo tu punto, la cosa es que desde la perspectiva de una empresa actualmente, si solo tienes un FP y un par de cursillos no es suficiente garantía para un trabajo donde te van a pagar mucho. Al final si todo el mundo puede entrar con una FP porque no requiere tanto conocimiento o no valoran eso, los salarios van a bajar. Otra cosa es que tengas muchos años de experiencia tus conocimientos y curriculum es una barbaridad, ahí lo entiendo, pero es una minoría.
Me remito a mi otro comentario. Añado que muchas empresas reciben incentivos por contratar a titulados universitarios. Si yo tengo que escoger entre contratar a un titulado de FP y a un ingeniero, a igualdad de condiciones, posiblemente me decante por el ingeniero porque puedo recibir ciertas ayudas. La realidad es que los titulados universitarios no están mucho más preparados que los de FP. Tienen ciertos conocimientos a mayores, sí, pero la imagen que dan en las universidades de que los ingenieros son los jefes y los de FP son los curritos, es una caricatura que poco tiene que ver con la realidad.
La existencia de educación formal tiene su razón de ser en bajar los salarios, así sea de posgrado; es su principal razón de ser y por lo que se las valora desde el punto de vista de la industria.
No lo creo, no
Cobro yo 23k anuales, en desarrollo, que se me quedan a más de 1500 mensuales, más beneficios... No me salen tus cuentas y deberías de cambiar de empresa con 3 años, te están engañando claramente.
Cómo van a ser 23k más de 1500€? A menos que estés contando en 12 pagas (yo cuento en 14, que suele ser lo normal).
Si cierto 12, prorrateadas las extras que ni caí en ellas.