Harvard · Resume

Seguridad · 2026

CV Formato Harvard para Ingenieros de Ciberseguridad

Los SOC, equipos de seguridad cloud y áreas de product security escanean por incidentes que lideraste, MTTR reducido y CVEs cerrados — no por un muro de siglas.

Empezar mi CVgratis · sin login
Harvard Resume··~5 min

¿Cómo se hace un CV de Ingenieros de Ciberseguridad en formato Harvard?

El reclutamiento en seguridad es adversarial por instinto: los líderes de MSSPs, equipos de product security de FAANG, bancos y startups cloud-native leen un CV como leen una alerta — buscando señal y descartando ruido. En los primeros 8 segundos miran si tus certificaciones encajan con el nivel (OSCP vs Security+), el stack que realmente defendiste (SIEM, EDR, cloud) y los incidentes que lideraste de punta a punta. El formato Harvard de una página te obliga a abrir con detecciones construidas, MTTR reducido y riesgo mitigado — no con un volcado de 40 líneas de herramientas que grita 'junior'.

Qué buscan los recruiters

  • Certificaciones según nivel: Security+ / CySA+ (entrada), OSCP / GCIH / GCIA (intermedio), OSCE / GXPN / CISSP (senior)
  • Stack defensivo nombrado: Splunk / Sentinel / Elastic SIEM, CrowdStrike / SentinelOne EDR, Wiz / Prisma Cloud (CSPM)
  • Métricas de incidentes: MTTD/MTTR reducido, alertas triadas, tasa de verdaderos positivos, P1 contenidos sin brecha
  • Prueba ofensiva: CVEs publicados, pagos/ranking de bug bounty (HackerOne, Bugcrowd), posiciones en CTF
  • Seguridad cloud + IaC: hardening AWS/GCP/Azure, policy-as-code con Terraform/CloudFormation, cobertura de CIS Benchmarks
  • Frameworks aplicados, no solo listados: mapeo a MITRE ATT&CK, NIST CSF, evidencia de SOC 2 / ISO 27001 / PCI-DSS

Secciones requeridas, en este orden

Header y señal de especialización

  • Añade un tagline de una línea bajo tu nombre para declarar el track: 'Detection & Response Engineer · Cloud-Native · 5 años' — seguridad se fragmenta mucho (blue/red/AppSec/GRC/cloud) y los reclutadores filtran por eso
  • Pon GitHub bajo la línea de contacto si tienes detecciones públicas, reglas Sigma o tooling; un blog con write-ups reales (no reposts) es señal fuerte de investigación y red team
  • Sin foto, sin fecha de nacimiento — y nunca listes nombres de herramientas internas de tu empleador ni CVEs aún bajo NDA

Sección de Certificaciones (colócala arriba)

  • En seguridad las certificaciones van cerca del tope — justo después de Educación, en cursiva, con el año (los reclutadores verifican vigencia en CISSP/OSCP)
  • Lista solo las del nivel adecuado: un senior con OSCP + CISSP debería quitar Security+; apilar 8 certificaciones de entrada se lee como relleno junior
  • Indica con honestidad las que estás cursando ('OSCP — examen agendado Q3 2026'); valoran la búsqueda, pero descartan las inventadas que pueden verificar

Bullets de Experiencia — defiende con números

  • Abre cada bullet con lo que construiste o contuviste, no con la herramienta: 'Construí 40 detecciones Sigma' supera a 'Usé Splunk'
  • Cuantifica el resultado de seguridad: alertas reducidas, MTTR recortado, rutas de ataque cerradas, hallazgos de auditoría remediados, falsos positivos bajados
  • Mapea tu trabajo a MITRE ATT&CK o a un control de cumplimiento cuando aplique — señala que piensas en frameworks que el hiring manager respeta
  • Separa lo ofensivo (pentests, operaciones red team, CVEs) de lo defensivo (detecciones, respuesta a incidentes, hardening) para que ubiquen tu track al instante

Ejemplo en formato Harvard

CV Harvard para Ingenieros de Ciberseguridad · 2026
Harvard format · 1 página

Bullets fuertes vs débiles

Antes

Monitoreé alertas de seguridad y respondí a incidentes en el SOC

Después

Construí 38 reglas de detección en Splunk ES mapeadas a MITRE ATT&CK (T1059, T1003, T1486), reduciendo el mean-time-to-detect de 42min a 9min y los falsos positivos en 61% sobre un parque de 4.000 endpoints; contuve 3 intentos de ransomware P1 antes del cifrado

Nombra el SIEM (Splunk ES), el framework (ATT&CK con IDs de técnica reales), las métricas (MTTD 42→9min, FP -61%), la escala (4K endpoints) y el resultado (3 P1 contenidos pre-cifrado). Un líder de SOC infiere detection engineering de producción en 4 segundos.

Antes

Realicé pruebas de penetración y encontré vulnerabilidades para clientes

Después

Lideré 14 pentests de aplicaciones web y cloud (OWASP Top 10, escalación de privilegios en AWS IAM) para clientes fintech; descubrí y reporté responsablemente la CVE-2025-XXXXX (bypass de autenticación, CVSS 9.1) que afectaba 200+ despliegues; escribí playbooks de remediación adoptados por 3 SOCs cliente

Cantidad de engagements + alcance (web + cloud, metodología nombrada), una CVE publicada con CVSS y radio de impacto, e impacto posterior (playbooks adoptados). Un líder de red team lee profundidad, no un genérico 'encontré vulnerabilidades'.

Antes

Ayudé a migrar la empresa a la nube de forma segura y configuré monitoreo

Después

Endurecí una AWS Organization de 12 cuentas al CIS Benchmark Level 2 con policy-as-code en Terraform y Wiz (CSPM); cerré 340 misconfiguraciones de severidad alta, apliqué SCPs que bloquean S3 públicos + EBS sin cifrar, y reduje los hallazgos críticos de cloud un 78% trimestre a trimestre

Alcance cloud (Org AWS de 12 cuentas), el estándar (CIS L2), las herramientas (Terraform IaC + Wiz) y reducción de riesgo cuantificada (340 hallazgos cerrados, -78% QoQ). Un manager de cloud security infiere ownership real de policy-as-code.

Antes

Trabajé en cumplimiento y ayudé a pasar la auditoría de seguridad

Después

Lideré la recolección de evidencia de SOC 2 Type II sobre 64 controles; construí monitoreo automatizado de controles en Vanta integrado con CloudTrail y GitHub, reduciendo el esfuerzo manual de evidencia ~120 horas/trimestre y logrando cero excepciones en la primera auditoría

Cantidad de controles (64), las herramientas (Vanta + CloudTrail + GitHub), tiempo ahorrado cuantificado (~120 hrs/trimestre) y el resultado (cero excepciones a la primera). GRC e ingeniería leen a alguien que automatiza el cumplimiento en vez de apagar incendios.

Errores comunes específicos

  • Volcar todas las herramientas que abriste alguna vez en un muro de 30 líneas. Los líderes de seguridad valoran profundidad — lista 8-12 que podrían testearte en vivo, agrupadas por función (SIEM, EDR, cloud, IaC).
  • Listar certificaciones sin lógica de nivel — un CISSP junto a cinco badges de entrada se lee como relleno. Muestra la más alta, quita la obsoleta.
  • 'Monitoreé alertas' / 'respondí a incidentes' sin métricas. Sin MTTR, conteo de alertas o P1 contenidos, un bullet de seguridad es invisible.
  • Adjudicarte CVEs, ranking de bug bounty o posiciones de CTF que no puedes respaldar — en seguridad verifican tu perfil de HackerOne, la atribución de la CVE y tu ranking en CTFtime en minutos.
  • Listar frameworks de cumplimiento (SOC 2, ISO 27001, PCI-DSS) sin decir qué controles lideraste o qué automatizaste — 'familiarizado con SOC 2' no le dice nada a quien revisa.

Tu CV empieza aquí. Decides después si pagas.

Empezar mi CV

Preguntas frecuentes

¿Debería listar posiciones en CTF y ganancias de bug bounty en el CV?
Sí, si son notables y verificables. Un top-100 en HackerOne, una posición de equipo en CTFtime o finales de DEF CON CTF van en Premios o Skills con la plataforma nombrada. Por debajo de eso, mete una línea dentro de un bullet de proyecto en vez de dedicar una sección — los reclutadores revisarán CTFtime y HackerOne directamente.
¿Cómo escribo bullets si mi mejor trabajo es clasificado, está bajo NDA o cubre CVEs activas?
Generaliza el contexto y mantén el impacto concreto: 'Detecté y contuve una intrusión dirigida en un entorno de servicios financieros, reduciendo el dwell time a <24h.' Para CVEs en embargo, lista 'CVE en divulgación coordinada (CVSS 8.x, clase auth-bypass)' sin el proveedor. Los líderes de seguridad conocen y respetan la convención.
¿Qué certificaciones realmente mueven la aguja y dónde van en la página?
Mapéalas a tu objetivo: OSCP/OSCE para roles ofensivos y de pentest, GCIH/GCIA/GCFA para blue team y DFIR, CISSP/CCSP para senior y arquitectura, y específicas de cloud (AWS Security Specialty, GCP PCSE) para roles de seguridad cloud. Ponlas en un bloque de Certificaciones justo después de Educación, con el año — la vigencia importa porque varias requieren renovación con CPE.
¿Es realista una página para un ingeniero de seguridad con experiencia ofensiva y defensiva?
Sí, y se espera hasta nivel senior. Elige tu track, abre con los 2-3 roles más fuertes y recorta el muro de herramientas a lo relevante. Solo perfiles principal/arquitecto o con un historial largo de publicaciones y CVEs justifican una segunda página — y aun así el formato Harvard de una página es la portada que el hiring manager escanea primero.

Recursos relacionados