Guía completa para saber qué hace cada rol y cómo acceder
La ciberseguridad no es un único trabajo: es un ecosistema. Aquí te cuento, con claridad y sin rodeos, quién hace qué, qué herramientas usa y cómo puedes entrar según tu punto de partida. Vamos al grano y en positivo, como nos gusta en TRUST Lab.
Mapa de roles: estratégicos, tácticos y operativos
Roles estratégicos (CISO, CSO, DPO)
Habilidades clave
Traducción de riesgo técnico a impacto negocio.
Gobierno (políticas, estándares, apetito de riesgo).
Gestión de crisis, continuidad y comunicación con comité directivo.
Herramientas/entregables
Programa de seguridad (roadmap anual), política corporativa, matriz de riesgos.
Tablero ejecutivo (KRI/KPI) y plan de respuesta a incidentes a nivel corporativo.
KPIs que miran
% de controles críticos implantados, exposición de riesgos top, tiempo de cierre de brechas de auditoría, cobertura de concienciación.
Ruta 30/60/90 (para quienes aspiran)
30: aprende a construir una política mínima viable y mapa de riesgos.
60: define un roadmap trimestral con quick wins y métricas.
90: arma el tablero ejecutivo y simula un ejercicio de crisis.
Roles arquitectónicos y de gobierno (Arquitecto, GRC, Risk/Compliance)
Misión
Convertir la estrategia en arquitecturas y controles: Zero Trust, segmentación, identidades, cifrado, gestión de terceros y evidencias de cumplimiento.Habilidades clave
Diseño seguro en on-prem y cloud (AWS/Azure/GCP).
Modelado de amenazas y catálogos de control (ISO 27001/NIST CSF).
Evaluaciones a proveedores, contratos y due diligence.
Herramientas/entregables
Arquitectura de referencia y patrones (red, IAM, cifrado, logging).
Matrices de control, riesgos y evidencias para auditorías.
Playbooks de gobierno: alta de proveedores, gestión de excepciones.
KPIs
Cobertura de controles por dominio, tiempo medio de cierre de no conformidades, % de proveedores críticos evaluados.
Ruta 30/60/90
30: mapa de activos y dependencias + baseline de controles.
60: patrones repetibles (plantillas) y guía de “cómo pedir una excepción”.
90: assessment de terceros y plan de remediación priorizado.
Roles operativos (Analista SOC, Respuesta a Incidentes, Blue Team)
Misión
Monitorizar, detectar y responder. Reducir MTTD/MTTR y cortar el impacto.
Habilidades clave
Logs, TTPs y hunting; scripting básico (Python/PowerShell).
Afinado de SIEM y EDR/XDR, creación de casos de uso.
Comunicación clara durante incidentes.
Herramientas
SIEM (consultas KQL/SQL/Sigma), EDR/XDR, UEBA, sandbox, ticketing.
Automatización con SOAR para tareas repetitivas.
Entregables
Runbooks de respuesta, informes diarios/semanales, métricas de detección.
KPIs
MTTD/MTTR, ratio de falsos positivos, tiempo de contención, cumplimiento de SLA.
Ruta 30/60/90
30: instalar lab, 5 casos de uso (phishing, credenciales, ransomware, privilegios, exfiltración).
60: playbooks y simulacros; reduce falsos positivos en 30%.
90: automatiza dos respuestas (SOAR) y presenta informe mensual con hallazgos.
Roles ofensivos (Hacker ético/Pentester, Red Team)
Misión
Atacar como un adversario para fortalecer defensas: pruebas web/mobile, AD, cloud, ingeniería social y ejercicios de equipos rojos.Habilidades clave
Reconocimiento, explotación y post-explotación.
Reporting que negocio entiende (impacto, prioridad, remediación).
OPSEC, emulación de amenazas, marcos como MITRE ATT&CK.
Herramientas
Nmap, Burp, Metasploit, frameworks de Red Team, bloodhound/kerberoast para AD, tooling de phishing.
Entregables
Informe ejecutivo + técnico, PoC, matriz de riesgos, checklist de remediación.
KPIs
Severidad media de hallazgos, time-to-fix, repetición de fallos (“déjà vu”).
Ruta 30/60/90
30: fundamentos web y lab en local; checklist de pruebas.
60: especialízate (web, mobile o AD) y refina el reporting.
90: ejercicio completo end-to-end con PoC y guía de remediación.
Perfiles especializados (Forense, Cloud Security, DevSecOps, OT/ICS)
Forense digital
Misión
Recolectar, preservar y analizar evidencias para reconstruir incidentes y sustentar decisiones legales/técnicas.Habilidades
Cadena de custodia, timeline, artefactos de SO/AD, memoria, malware.
Redacción de informes forenses claros y defendibles.
Herramientas
Suites forenses (Autopsy/FTK/EnCase), Volatility, YARA, sandboxes.
Entregables/KPIs
Informe forense con línea de tiempo, indicadores y recomendaciones.
KPIs: calidad de evidencias, tiempo de análisis, tasa de casos con causa raíz clara.
Ruta 30/60/90
30: laboratorio con imágenes de disco/memoria y checklist de adquisición.
60: playbook de análisis de ransomware + informe modelo.
90: simulacro con cadena de custodia y presentación ejecutiva.
Cloud Security (AWS/Azure/GCP)
Misión
Proteger identidades, redes, datos y pipelines en la nube, con foco en automatización y postura continua.Habilidades
IAM avanzado (principio de menor privilegio, roles temporales), CSPM y IaC (Terraform), cifrado y gestión de secretos, DevSecOps.
Lectura de logs cloud (CloudTrail, Activity Logs, Audit Logs) y detecciones nativas.
Herramientas
Servicios nativos (GuardDuty, Defender for Cloud, Security Command Center), CSPM, CIEM, Vault/Secret Manager, KMS.
IaC + policy as code (OPA/Conftest) y pipelines CI/CD.
Entregables/KPIs
Baselines de identidad y seguridad por defecto, tablero de postura, librería de módulos IaC seguros.
KPIs: reducción de permisos excesivos, % recursos con cifrado/telemetría, drift de configuración, tiempo de cierre de hallazgos del CSPM.
Ruta 30/60/90
30: cuentas/proyectos de sandbox + modelo de identidades y logging.
60: IaC con módulos reutilizables y políticas; inventario CSPM.
90: automatiza guardrails (policy as code) y detecciones básicas.
DevSecOps / AppSec
Misión
Integrar seguridad desde el código: prevenir vulnerabilidades sin frenar la entrega.Habilidades
SAST/DAST, SCA, threat modeling, revisión de PR, hardening de CI/CD, gestión de secretos y SBOM.
Trabajo cercano con desarrollo: lenguaje claro y automatizaciones que no estorben.
Herramientas
SAST/DAST/SCA, pipelines (GitHub/GitLab/ADO), contenedores (Docker/Kubernetes), firmas y políticas (Sigstore, OPA).
Entregables/KPIs
Políticas de quality gates, plantillas de pipeline seguras, librería de componentes aprobados.
KPIs: vulnerabilidades bloqueantes por release, lead time afectado, % de findings corregidos antes de producción.
Ruta 30/60/90
30: añade SAST + SCA a un repo demo y documenta el flujo.
60: threat model de una funcionalidad y gates por severidad.
90: SBOM + firma de artefactos + despliegue con policy as code.
OT/ICS (entornos industriales) — prioridad máxima en críticos
Misión
Proteger sistemas industriales (SCADA, PLCs, HMI) donde la disponibilidad y la seguridad física son críticas. Aquí fallar puede parar producción o afectar a personas.Habilidades
Protocolos industriales (Modbus, DNP3, OPC UA), inventario pasivo de activos, segmentación IT/OT, gestión de parches planificada.
Coordinación con ingeniería, safety y operaciones; comprensión de procesos (energía, manufactura, agua, transporte).
Herramientas
Monitorización pasiva/IDS para OT, asset discovery no intrusivo, firewalls industriales, gateways seguros, jump servers.
Gestión de parches fuera de ventana productiva; backup de lógicas PLC.
Entregables
Mapa de red OT con zonas y conductos (ISA/IEC 62443), política de acceso remoto, plan de respuesta a incidentes OT (incluye seguridad física).
Procedimientos de cambio controlado y playbooks de contingencia.
KPIs
% de activos inventariados/segmentados, tiempo de restauración de lógicas, número de accesos remotos auditados, ratio de parches críticos aplicados en ventana.
Ruta 30/60/90
30: inventario pasivo + zonificación inicial (Zonas y Conductos) y lista de accesos remotos.
60: hardening de gateways y saltos, monitorización pasiva y listas blancas; simulacro de caída de HMI.
90: playbook OT, copias verificadas de lógicas y ejercicio conjunto con planta (producción + mantenimiento).
Cómo se conectan estos perfiles en el día a día
CISO/CSO/DPO definen prioridades y apetito de riesgo.
Arquitecto/GRC traduce a controles y patrones, y valida terceros.
Cloud/AppSec/OT diseñan e implantan controles específicos.
SOC/Blue/IR monitorizan y responden; Red Team/Pentest ponen a prueba.
Forense cierra el ciclo con causa raíz y mejoras permanentes.
Resultado: un circuito continuo de prevención → detección → respuesta → aprendizaje. Cuando este circuito fluye, sube la madurez y bajan las sorpresas.
| Rol | Misión | Herramientas/Tech | Certificaciones típicas | KPIs | Ruta 90 días (resumen) |
|---|---|---|---|---|---|
| CISO / CSO / DPO | Definir estrategia, priorizar riesgos y cumplimiento. | Dashboards, GRC, risk matrix. | CISSP, ISO 27001 Lead, CCSP | Controles críticos, cierre de auditorías | Política mínima viable → roadmap trimestral → tablero ejecutivo. |
| Arquitecto / GRC | Diseñar controles y patrones (Zero Trust, IAM, cifrado). | Catálogos de control, IaC, revisiones de terceros. | ISO 27001 Lead, CCSK/CCSP | Cobertura de controles, remediación | Inventario + baseline → plantillas → assessment a proveedores. |
| Analista SOC / IR / Blue Team | Detectar y responder a incidentes. | SIEM, EDR/XDR, SOAR, KQL/SQL. | Security+, CySA+, GCIA/GCED | MTTD/MTTR, falsos positivos | 5 casos de uso → playbooks → automatizar 2 respuestas. |
| Pentester / Red Team | Atacar para fortalecer defensas. | Nmap, Burp, AD tooling, ATT&CK. | eJPT/PNPT, OSCP, OSEP/CRTO | Severidad media, time-to-fix | Lab web/AD → especialización → ejercicio end-to-end + informe. |
| Forense | Recolectar y analizar evidencias. | Autopsy/EnCase, Volatility, YARA. | CHFI, GCFA | Causa raíz, tiempo de análisis | Imágenes + checklist → playbook ransomware → simulacro completo. |
| Cloud Security | Proteger identidades, datos y posture en la nube. | IAM, CSPM/CIEM, Terraform, KMS. | AZ-500 / AWS Security / GCP Prof. Security, CCSK/CCSP | Permisos excesivos, drift, hallazgos CSPM | Modelo IAM + logging → IaC + policies → guardrails automatizados. |
| DevSecOps / AppSec | Seguridad desde el código y el pipeline. | SAST/DAST/SCA, CI/CD, SBOM, OPA. | CKS, eMAPT/OWASP tracks | Findings previos a prod, lead-time | SAST+SCA → threat model → firma artefactos + policy as code. |
| OT / ICS Crítico | Proteger sistemas industriales (SCADA/PLC/HMI). | IDS pasivo OT, firewalls industriales, jump servers. | ISA/IEC 62443, vendors OT | Inventario/segmentación, RTO lógicas | Inventario pasivo + zonas → hardening gateways → playbook OT + backups. |
Si quieres estar al día en ciberseguridad, amenazas emergentes y recomendaciones reales, síguenos en Instagram.
Qué hace cada perfil: misiones, herramientas y KPIs
CISO/CSO: priorizar riesgos, presupuesto, políticas, métricas de seguridad, gestión de crisis.
Arquitecto: diseñar controles, segmentación, identidades, cifrado, patrones cloud.
GRC: inventario de riesgos, evidencias de cumplimiento, auditorías, formación, terceros.
Analista SOC: triage de alertas, hunting, tuning de reglas, casos de uso, informes diarios.
IR: contención, erradicación, lecciones aprendidas, tabletop exercises.
Pentester/Red Team: reconocimiento, explotación, post-explotación, reporting.
Forense: adquisición, cadena de custodia, timeline, análisis de malware.
Cloud Sec: IaC seguro, posture management, secretos, costes vs. riesgo.
DevSecOps/AppSec: SAST/DAST, threat modeling, SCA, pipelines seguras.
OT/ICS: inventario, segmentación, monitoreo pasivo, parches planificados.
Herramientas típicas
Detección/Respuesta: SIEM, EDR/XDR, UEBA.
Ofensiva: Nmap, Burp, Metasploit, frameworks Red Team.
Gobierno: suites GRC, catálogos de control, gestión de terceros.
Cloud: CSPM, IaC (Terraform), KMS, identidad (IAM).
Análisis: sandboxes, tooling forense, OSINT.
KPIs que importan
MTTD/MTTR, cobertura de controles, porcentaje de findings críticos corregidos, tiempo de hardening de identidades y madurez por dominio.
En talleres internos medimos avances con pocos indicadores, pero accionables. La simplicidad mueve a la gente.
Cómo entrar en ciberseguridad según tu punto de partida
De IT generalista a SOC/Blue Team
Ruta sugerida (3 meses): fortalece fundamentos (redes, Linux, logs), practica con un SIEM open, aprende a escribir reglas y a escalar incidentes.
Qué mostrar: un caso de uso documentado de detección + “runbook”.
Error típico: obsesionarse con “todas” las herramientas. Enfoca en detectar 3 amenazas bien.
De desarrollo a DevSecOps/AppSec
Ruta: integra SAST y SCA en un pipeline, practica threat modeling en una app propia y crea políticas de branch protegidas.
Qué mostrar: un repositorio con CI/CD seguro y evidencias de vulnerabilidades corregidas.
De datos/legal a GRC/Privacidad
Ruta: aprende frameworks (ISO 27001, NIST CSF), mapea riesgos y diseña un plan de formación.
Qué mostrar: una matriz de riesgos y un programa de concienciación “mínimo viable”.
Certificaciones recomendadas por perfil (y por qué)
Primeras certificaciones
Security+: base sólida en conceptos y controles.
eJPT/PNPT (equivalentes de entrada): práctica ofensiva guiada.
AZ-900/Cloud fundamentals: lenguaje común cloud; si apuntas a Cloud Sec, añade AZ-500 o equivalentes.
Intermedio/avanzado
CEH/OSCP: pentesting con diferentes profundidades.
CISSP: gobierno y gestión, clave para CISO/GRC.
CCSK/CCSP: seguridad cloud a nivel arquitectónico.
Cómo elegir
Piensa en rol objetivo → brecha de habilidades → cert que la cierra.
Prioriza certs con laboratorios y casos prácticos.
Acompaña con un portafolio: informes, runbooks, pipelines.
Salarios orientativos y demanda del mercado en España
Junior SOC/Blue Team: entrada con sueldos de arranque y crecimiento rápido al año si demuestras automatización (detecciones en KQL/Sigma, scripts de respuesta).
Pentesting/Red Team: salto según nicho (web, mobile, AD, cloud) y capacidad de reportar con claridad.
Cloud Security y Arquitectura: prima alta por automatización e identidad.
GRC/Privacidad: estabilidad y proyección hacia roles de gestión.
Factores que más suben el salario
Cloud + automatización.
Inglés B2+ para proyectos internacionales.
Portafolio demostrable (no solo certificados).
Soft skills: comunicar riesgo y priorizar sin drama.
Conclusión
La ciberseguridad ofrece puestos de trabajo para perfiles distintos: técnicos, de gobierno y de estrategia. Si eliges un rol objetivo, diseñas una ruta de 90 días y creas un proyecto demostrable, entras antes y con confianza. Aquí tienes una hoja de ruta práctica para avanzar sin ruido: clara, humana y accionable, con la actitud positiva que nos define en TRUST Lab.
Los más transversales: Analista SOC/Blue Team, Cloud Security y AppSec/DevSecOps. Combinan base sólida (detección, gestión de identidades, automatización) con especialización en nubes y ciclo de desarrollo. Funcionan igual de bien en pymes y en grandes empresas, y abren puertas hacia arquitectura, respuesta a incidentes o liderazgo técnico.
SOC/Blue/IR: CompTIA Security+, CySA+ (y GCIA/GCED si hay presupuesto).
Pentest/Red Team: eJPT/PNPT para empezar; OSCP/CRTO al especializarte.
Cloud Security: AZ-500 / AWS Security / GCP Professional Security + CCSK/CCSP.
GRC/Arquitectura/CISO: ISO 27001 Lead, CISSP, CCSP.
AppSec/DevSecOps: rutas OWASP, CKS (Kubernetes), eMAPT según foco.
Forense: CHFI/GCFA. En OT/ICS, familia ISA/IEC 62443.
Elige un primer rol y crea una pieza demostrable:
SOC: 5 casos de uso en un SIEM open + 2 playbooks de respuesta.
AppSec: pipeline CI/CD con SAST+SCA y un threat model sencillo.
Pentest: informe end-to-end de un laboratorio (hallazgo → remediación).
Cloud: módulos Terraform con políticas por defecto y logging activado.
GRC: matriz de riesgos y un plan de concienciación “mínimo viable”.
Publica el resultado (GitHub/portafolio) y acompáñalo con una cert de entrada.
Analista SOC: detecta y responde; vive en SIEM/EDR, mide MTTD/MTTR.
Pentester/Red Team: ataca para mejorar defensas; entrega PoCs e informes claros.
Arquitecto/GRC: diseña controles/políticas, patrones Zero Trust y gestiona riesgos con negocio y auditoría. Son complementarios en el ciclo prevención → detección → respuesta.
SOC/IR: KQL/SQL, SIEM+EDR, SOAR, PowerShell/Python.
Pentest: Nmap, Burp, scripting (Python), tooling de Active Directory.
Cloud: IAM, Terraform, CSPM/CIEM, KMS y logging nativo (CloudTrail/Defender).
AppSec/DevSecOps: SAST/DAST/SCA, CI/CD, SBOM, OPA/Sigstore.
GRC/Arquitectura: ISO/NIST, catálogos de control, herramientas de riesgo.
OT/ICS: inventario pasivo, IDS/monitorización OT, segmentación ISA/IEC 62443.
Dependen de país y seniority. Factores que empujan al alza:
Cloud + automatización (identidad, IaC, detecciones).
Inglés B2+ para proyectos internacionales.
Portafolio demostrable y reporting entendible para negocio.
Especialización en nichos: OT/ICS, AppSec en CI/CD, Red Team avanzado.
