Embed Size (px)
Citation preview
72 red seguridad julio 2009
certificacionesopinión
Las certificaciones se han conver-tido en una de las principales herra-mientas que utilizan las empresas para validar los conocimientos de los profesionales en seguridad que requieren tanto a nivel técnico como gerencial. De igual forma las certifica-ciones son la manera que estos mis-mos profesionales tienen para acre-ditar sus conocimientos a lo largo de los años de formación y experiencia en el mercado de la seguridad, per-mitiendo obtener puestos de mayor cualificación y responsabilidad así como beneficios salariales.
No obstante las certificaciones no pueden compensar la experiencia real y, por tanto, estos dos elemen-tos deben ir siempre de la mano a la hora de valorar el currículum de los profesionales en seguridad.
Estos requerimientos de certifi-caciones también se utilizan para establecer criterios de participación y valoración en concursos, de forma que las empresas que aportan mayor volumen de certificados obtienen puntuaciones más altas que pueden llegar a marcar la diferencia entre
ganar o perder un importante con-trato.
Existe una gran diversidad de cer-tificaciones en materia de seguridad que engloban desde los aspectos más generales hasta las técnicas o productos de seguridad más espe-cíficos.
Algunas de las características que definen una certificación son:
1. Orientación general versus téc-nicas/aspectos específicos.
2. Independiente de producto/pro-veedor versus dependiente de pro-ducto/proveedor.
3. Examen teórico versus examen teórico/práctico.
4. Requerimiento o no de expe-riencia profesional.
5. Requerimiento o no de "recer-tificación".
Dentro de las certificaciones más demandadas y de obligada obten-ción por responsables de seguridad TI, consultores y auditores en segu-ridad están la Certified Information Systems Auditor (CISA) y la Certified Information Security Manager (CISM) de ISACA, así como la Certified Information Systems Security Professional (CISSP) de ISC2. Estas certificaciones engloban aspectos generales de la seguridad de la infor-mación.
En cuanto a certificaciones especí-ficas, encontramos las independien-tes de producto o proveedores con-cretos, como pueden ser las valiosas certificaciones del EC-Council entre las que destacan la Certified Ethical Hacker (CEH) o la certifi-cación Computer Hacking Forensic Investigator (CHFI), que forman a los profesionales en técnicas de audi-toría de hacking y de investigación forense, respectivamente.
Algunas de las certificaciones técnicas más reconocidas son las que SANS proporciona a través de la combinación de certificacio-
nes Global Information Assurance Certification (GIAC) que comprenden detección de intrusos, cortafuegos, análisis forense, seguridad en sis-temas operativos, bases de datos, hacking y seguridad de software entre otras.
También tenemos certificaciones vinculadas a estándares ISO o BS como son ISO/IEC 27001:2005 Lead Auditor, BS 25999:2005 Lead Auditor o ISO/IEC 20000:2005 Lead Auditor. Son certificaciones dirigidas a profesionales con responsabilida-des en auditoría, implementación y mantenimiento de estos estándares.
La seguridad en el ciclo de vida del desarrollo de software (Secure Software Development Life Cycle -S-SDLC-) se ha convertido en los últimos años en uno de los ámbitos de la seguridad en que todas las empre-sas focalizan sus esfuerzos ya que supone uno, si no el principal, punto de entrada de las intrusiones. En este ámbito encontramos certificaciones como: EC-Council Certified Secure Programmer (ECSP) del EC-Council y Certified Systems Security Lifecycle Professional (CSSLP) del ISC2.
ECSP sienta las bases necesa-rias por parte de todos los desa-rrolladores de aplicaciones y de las organizaciones de desarrollo para producir aplicaciones con una mayor estabilidad y seguridad que presen-tan menos riesgos para el consu-midor. Se focaliza en tecnologías de desarrollo como C#, C++, Java, PHP, ASP, .NET y SQL. Mientras que CSSLP es la primera certificación que cubre todos los aspectos de la seguridad en el ciclo de vida del desarrollo de software, independiente de las tecnologías de programación empleadas, y que pretende cubrir un requerimiento imprescindible, dada la importancia cada vez más crítica en los desarrollos web, para los partici-pantes en el desarrollo en cualquiera de sus etapas.
Miguel Ángel Domínguez TorresDirector de Consultoría deInternet Security Auditors (ISECAuditors)
Tendencias en Certificación de Seguridad de la Información
72 red seguridad julio 2009
certificacionesopinión
Las certificaciones se han conver-tido en una de las principales herra-mientas que utilizan las empresas para validar los conocimientos de los profesionales en seguridad que requieren tanto a nivel técnico como gerencial. De igual forma las certifica-ciones son la manera que estos mis-mos profesionales tienen para acre-ditar sus conocimientos a lo largo de los años de formación y experiencia en el mercado de la seguridad, per-mitiendo obtener puestos de mayor cualificación y responsabilidad así como beneficios salariales.
No obstante las certificaciones no pueden compensar la experiencia real y, por tanto, estos dos elemen-tos deben ir siempre de la mano a la hora de valorar el currículum de los profesionales en seguridad.
Estos requerimientos de certifi-caciones también se utilizan para establecer criterios de participación y valoración en concursos, de forma que las empresas que aportan mayor volumen de certificados obtienen puntuaciones más altas que pueden llegar a marcar la diferencia entre
ganar o perder un importante con-trato.
Existe una gran diversidad de cer-tificaciones en materia de seguridad que engloban desde los aspectos más generales hasta las técnicas o productos de seguridad más espe-cíficos.
Algunas de las características que definen una certificación son:
1. Orientación general versus téc-nicas/aspectos específicos.
2. Independiente de producto/pro-veedor versus dependiente de pro-ducto/proveedor.
3. Examen teórico versus examen teórico/práctico.
4. Requerimiento o no de expe-riencia profesional.
5. Requerimiento o no de "recer-tificación".
Dentro de las certificaciones más demandadas y de obligada obten-ción por responsables de seguridad TI, consultores y auditores en segu-ridad están la Certified Information Systems Auditor (CISA) y la Certified Information Security Manager (CISM) de ISACA, así como la Certified Information Systems Security Professional (CISSP) de ISC2. Estas certificaciones engloban aspectos generales de la seguridad de la infor-mación.
En cuanto a certificaciones especí-ficas, encontramos las independien-tes de producto o proveedores con-cretos, como pueden ser las valiosas certificaciones del EC-Council entre las que destacan la Certified Ethical Hacker (CEH) o la certifi-cación Computer Hacking Forensic Investigator (CHFI), que forman a los profesionales en técnicas de audi-toría de hacking y de investigación forense, respectivamente.
Algunas de las certificaciones técnicas más reconocidas son las que SANS proporciona a través de la combinación de certificacio-
nes Global Information Assurance Certification (GIAC) que comprenden detección de intrusos, cortafuegos, análisis forense, seguridad en sis-temas operativos, bases de datos, hacking y seguridad de software entre otras.
También tenemos certificaciones vinculadas a estándares ISO o BS como son ISO/IEC 27001:2005 Lead Auditor, BS 25999:2005 Lead Auditor o ISO/IEC 20000:2005 Lead Auditor. Son certificaciones dirigidas a profesionales con responsabilida-des en auditoría, implementación y mantenimiento de estos estándares.
La seguridad en el ciclo de vida del desarrollo de software (Secure Software Development Life Cycle -S-SDLC-) se ha convertido en los últimos años en uno de los ámbitos de la seguridad en que todas las empre-sas focalizan sus esfuerzos ya que supone uno, si no el principal, punto de entrada de las intrusiones. En este ámbito encontramos certificaciones como: EC-Council Certified Secure Programmer (ECSP) del EC-Council y Certified Systems Security Lifecycle Professional (CSSLP) del ISC2.
ECSP sienta las bases necesa-rias por parte de todos los desa-rrolladores de aplicaciones y de las organizaciones de desarrollo para producir aplicaciones con una mayor estabilidad y seguridad que presen-tan menos riesgos para el consu-midor. Se focaliza en tecnologías de desarrollo como C#, C++, Java, PHP, ASP, .NET y SQL. Mientras que CSSLP es la primera certificación que cubre todos los aspectos de la seguridad en el ciclo de vida del desarrollo de software, independiente de las tecnologías de programación empleadas, y que pretende cubrir un requerimiento imprescindible, dada la importancia cada vez más crítica en los desarrollos web, para los partici-pantes en el desarrollo en cualquiera de sus etapas.
Miguel Ángel Domínguez TorresDirector de Consultoría deInternet Security Auditors (ISECAuditors)
Tendencias en Certificación de Seguridad de la Información
red seguridad julio 2009 73
certificaciones opinión
Tabla resumen de certificaciones.
Por la parte de las certificaciones específicas de proveedor encon-tramos las de Microsoft, Cisco, Checkpoint, Citrix, Juniper, Sun Microsystems, Oracle..., entre otras muchas. Estas certificaciones acre-ditan conocimientos muy específicos en cuanto al despliegue de solu-ciones del proveedor en cuestión y están enfocadas principalmente a técnicos de sistemas, redes o bases de datos que desarrollan sus funcio-nes con productos de estos provee-dores. También son un requerimiento para consultores técnicos que se especializan en el despliegue de este tipo de productos.
Algunas certificaciones requie-ren experiencia laboral previa, y en verdad son estas las más valiosas ya que vinculan los conocimientos técnicos con la necesidad de que estos estén aplicados en situaciones concretas en las distintas empresas donde ha trabajado o colaborado el profesional certificado.
Además las certificaciones deben requerir una formación continuada del profesional certificado de manera que mediante programas de "recerti-ficación" se garantice que los cono-cimientos están actualizados a lo largo del tiempo en que se mantiene el certificado. Estos programas de "recertificación" pueden optar por realizar exámenes o bien requerir las evidencias necesarias de formación continua mediante asistencia a con-gresos, formación, artículos y otras actividades que garantizan que el profesional se mantiene actualizado en los conocimientos requeridos por la certificación.
Teniendo esto en cuenta, la mayo-ría de las certificaciones deben ser renovadas después de algunos años, por lo general antes de cinco años.
Además de las certificaciones en seguridad y de la experiencia, un buen profesional de la seguridad debe complementar su formación en otros ámbitos no menos importantes como son el trabajo en equipo, la gestión de proyectos o las técnicas
de entrevistas y redacción de infor-mes que permitan generar resultados de alta calidad.
En la ilustración, se muestra una tabla resumen de las principales cer-tificaciones en seguridad comenta-das anteriormente.
ConclusionesEn conclusión, las certificaciones en seguridad son beneficiosas tanto para empresas como profesiona-les de la seguridad, los primeros obteniendo ventajas competitivas y personal mejor cualificado, y los segundos mejorando el currículum y optando a mejores puestos y remu-neraciones económicas.
Por supuesto, las certificaciones deben valorarse en su justa medida y nunca debemos olvidar que deben ir acompañadas de la necesaria expe-riencia que avale la puesta en prác-tica de los conocimientos requeridos por las certificaciones.
No existe una certificación única que proporcione los conocimientos necesarios a los profesionales. Es necesario seleccionar aquellas certi-ficaciones que en cada momento se adecúan mejor a la carrera profesio-nal y funciones a desarrollar.
Las certificaciones evidencian el deseo de los profesionales de la seguridad en mantenerse actuali-zados.
