CISSP, CCENT, CISA, CCIE, CCNA, LPT, GIAC, SSCP… ¿Quién da más?; o como ser un experto en seguridad informática y no morir en el intento
Por: Jesús Nazareno Torrecillas Rodríguez (Director de Seguridad de Empresa D.S.E. Universidad Pontifica de Comillas (Madrid)
Cuando uno se va introduciendo en el mundo de la Seguridad Informática muchas veces tiene ante sí muchos retos que en la mayoría de ocasiones son bastante difíciles de resolver en solitario.
Cuando uno se va introduciendo en el mundo de la Seguridad Informática muchas veces tiene ante sí muchos retos que en la mayoría de ocasiones son bastante difíciles de resolver en solitario. Uno de estos retos es en qué certificarse y para qué sirve una certificación en Seguridad de la Información. Otro reto no menos importante es ¿A quien contratamos?
Hay un viejo refrán que dice: “ El hábito (vestiduras) no hace al monje pero si lo condiciona” Y otro que se deriva del primero dice: “No por tener un buen hábito se es un buen monje”. Hoy en día se debe estar certificado en alguna disciplina de Seguridad para que lo consideren a uno experto en Seguridad de la Información. Es por ello que los entusiastas y profesionales en Informática están muy confundidos en saber cuál es el camino correcto para ser un auténtico experto en Seguridad Informática y que tengan oportunidades de conseguir un buen trabajo en este sector profesional tan demandado en la actualidad pero tan lleno de obstáculos, trampas, e imprecisiones al no conocer exactamente cual es el perfil profesional que se desea contratar, ni qué requerimientos curriculares debe tener el candidato para desarrollar un trabajo acorde a las exigencias del negocio en el que van a desempeñar su función.
Otro punto muy importante a considerar es que los fabricantes de hardware y software, desde los más reputados a los menos conocidos han visto un filón de oro en el gran negocio de las certificaciones en Seguridad de la Información y por eso han creado certificaciones en Seguridad para sus productos, con lo que la situación se ha complicado aún más, ya que si uno se certifica en una marca, esa certificación en teoría no cuenta para ser considerado experto en otras marcas…
En el marco tan competitivo y de moda de la Seguridad de la Información muchas empresas auditoras (desde las más serias hasta las de dudosa ética y moralidad) también han hecho su Agosto certificando en diferentes productos o metodologías a informáticos recién titulados o egresados, con el fin de ofrecer rápidamente servicios a empresas como “expertos” de Seguridad, Consultoría, Auditoría, Test de penetración, etc… Esta situación de contar con gente certificada en casi todo, pero mal preparada trabajando como expertos en consultoras o auditoras de Seguridad de la Información ha generado varapalos, reveses, y grandes decepciones entre sus clientes. El motivo es simple: Ciertas consultoras financieras vieron un nicho de negocio en la Seguridad de la Información y como ya comenté contrataron gente sin experiencia, ofreciendo servicios de consultoría. He conocido casos extremos de empresas de renombre en el ramo de la consultoría, que sus “auditores” les mostraban a sus clientes informes procedentes de escanners automáticos y gratuitos como x-scan, nmap, Nessus, u otros y cobraban el informe sobre cada IP a más de 2.000 dólares y lo peor del caso es que el informe presentado solían estar cargados de falsos positivos. Esta situación aquí y en China se llama fraude.
Muchas empresas de “consultoría” en vez de ofrecer buenos trabajos de consultoría-auditoría se han centrado exclusivamente en ganar dinero rápidamente y a toda costa y ese es el origen de que por ejemplo en México los clientes insatisfechos estén reacios a contratar a más consultoras. Además una parte importante de empresas están muy reticentes y se sienten confundidos por haber en el mercado tanto “auditor- consultor” joven con poca experiencia profesional y certificado, los cuales tienen sus tarjetas de visitas llenas de alfabetos completos de siglas de acrónimos de dudosa comprensión para los neófitos.
Es una queja común y muy generalizada por parte de muchas empresas sobre que las grandes consultoras financieras son muy buenas para hacer innumerables metodologías y documentar procedimientos y procesos, pero carecen de la experiencia operativa para encontrar en las redes: Topos, infiltrados, fugas de información, phishing, pharming, y resto de amenazas. Es un hecho generalizado de que tanto las grandes auditoras financieras con áreas de tecnología, como auditoras de tipo medio, sabiendo esta situación (inexperiencia de su personal y descontento de sus clientes), al final acaban subcontratando a verdaderos expertos (sin certificar) que realmente conocen por donde atacar un sistema informático y que soluciones aportarle para corregir los problemas presentados. De ahí que existan muchas pequeñas empresas auditoras que ahora mismo están teniendo cierta relevancia gracias al trabajo que les proporcionan las grandes auditoras.
La respuesta de las empresas de auditoras norteamericanas y empresas dedicadas a la Seguridad frente a tanto intrusismo profesional, ha sido el poner de moda el que los “expertos” de Seguridad Informática deban estar certificados en metodologías de Seguridad de la Información, y si un informático no está acreditado con alguna de estas certificaciones y por muy bueno que sea, las posibilidades de trabajar como auditor-consultor son bastante escasas. El ejemplo del origen de todo esto fue la tristemente famosa y omnipotente Arthur Andersen y el escándalo con Enron, ahí se vieron las malas artes de las consultoras y dio origen a la famosa ley Sarbanes Oxley y las certificaciones asociadas.
Para algunas certificaciones en Seguridad los candidatos a dichas certificaciones primeramente deben rellenar un manifiesto en el cual se comprometen a no desvelar el contenido de la información, ni ha manifestar públicamente su opinión sobre la mencionada certificación. Opinión la cual en muchas de ellas es decepcionante porque dichas están más dirigidas a procedimientos teóricos y a retóricas indigeribles, en vez de a verdaderamente enseñar la operativa como experto en Seguridad de la Información.
Los departamentos de RH cuando se enfrascan en la ardua tarea de buscar a un candidato como experto en Seguridad de la Información buscan perfiles del tipo: Ingeniero de Telecomunicaciones, 5 años de experiencia laboral, certificado CISSP, CISA, CCNA, MCP, MCSE, y todo lo que se nos ocurra…y como postre añaden que el candidato sea menor de 30 años. El problema de que alguien tenga este perfil es que o bien se ha pasado toda su vida estudiando sin haber trabajado auditando compañías, o le han regalado las titulaciones. Pues es casi imposible certificarse en varias de ellas en pocos años por la dinámica y obsolescencia de las vulnerabilidades, procedimientos, hardware, etc. De ahí me viene a la memoria los famosos refranes que dicen: “El que mucho abarca poco aprieta” y “Dime de qué alardeas y te diré de que careces”. Además las empresas que emiten certificaciones saben de sobra el concepto de “obsolescencia” y por eso periódicamente los candidatos deben revalidar con examen sus certificaciones pagando un alto precio por estas revalidaciones.
En no pocas compañías el proceso de selección de un candidato para un puesto directivo como Director, Gerente, Consultor, etc…en Seguridad de la Información se vuelve un auténtico dolor de cabeza para el departamento de Recursos Humanos debido a que al día de hoy existen más de 50 (cincuenta) certificaciones reconocidas y algunas de ellas antagónicas, y por desgracia es una situación bastante reiterada de que cuando se selecciona a un candidato éste acabe por no cumplir todas las expectativas para las que se contrató, y al final la compañía acabe subcontratando a otros expertos sin tanta titulación ni tantos acrónimos en su tarjeta de visita con el fin de resolver problemas que el experto certificado contratado no ha podido abordar por inexperiencia en su desempeño. Si bien es cierto que existen grandes universidades por todo el mundo con programas muy completos y maestrías en Seguridad, el problema es que las titulaciones obtenidas muchas veces a los candidatos les cuesta mucho defenderlas frente a los departamentos de RH.
Como corolario comentaré que las certificaciones como Experto de Seguridad de la Información han intentado poner en orden el caos laboral de tanto “auditor” pero al haber proliferado tantas certificaciones y desde tan diverso origen el efecto ha sido todavía más contradictorio y en este momento hay una gran confusión tanto para los profesionales que desean que los consideren como tales, como para las compañías serias que desean contar entre sus filas a buenos expertos certificados.
Mi consejo para los no certificados es que con una buena certificación de propósito general como puede ser CISSP, CISA, etc se pueden conseguir buenos empleos, pero si luego no cuentan con una buena base de conocimiento en hardware, software, redes, virus, antivirus, spam, etc… al final la verdad sobre su verdadero nivel de conocimiento saldrá a relucir y le costará mucho trabajo que le consideren como profesional serio y responsable. Hackers de menos de veinte años de edad son la mayoría, pero los verdaderos expertos contra el hacktivismo son los que tienen más de 40 años, pues la Seguridad de la Información es una carrera de por vida como la medicina o el buen vino: Cuantos más años se tenga mejor preparado se estará o mejor sabor tendrá.
Por último mi consejo para los profesionales serios que buscan contar con buenos candidatos en Seguridad de la Información en sus compañías, es que inviertan tiempo en formar a gente en sus propias compañías y que estos candidatos vean una larga carrera profesional en estas empresas. De esta forma evitaremos el hecho de que expertos bien preparados y mal pagados se vayan a los pocos años a otras empresas o peor aún a sus competidores a buscar mejor salario y acaben compartiendo las fortalezas o miserias de la anterior empresa.
Seguridad de la Información es una larga y tortuosa carrera profesional y las siglas en las tarjetas de visita no garantizan que se sepa al 100% lo que nos han enseñado. Depende de todos nosotros el irnos cultivando y actualizando constantemente para seguir estando en la cresta de la ola y dignificar esta profesión.
Acerca del autor: Jesús Torrecillas nació en Tenerife (Islas Canarias en España) Está considerado como un reconocido y prestigioso experto internacional en Seguridad de la Información. En la actualidad trabaja como consultor en Seguridad de la Información en CEMEX Central en México. Así mismo es un conferencista muy reputado en materias como Seguridad de la Información, Análisis del riesgo informático, Concientización en
Seguridad, y temas relacionados sobre hacktivismo y prevención del delito informático.
Empezó en la tecnología a la temprana edad con menos de 14 años diseñando sistemas electrónicos. Su trayectoria profesional es indistinta tanto en software como en hardware habiendo obtenido diversas certificaciones en Novell, Microsoft, IBM, Universidad Pontificia de Comillas, etc…
Fuente: http://bsecure.com.mx/articulos.php?id_sec=52&id_art=6692
Cuando uno se va introduciendo en el mundo de la Seguridad Informática muchas veces tiene ante sí muchos retos que en la mayoría de ocasiones son bastante difíciles de resolver en solitario.
Cuando uno se va introduciendo en el mundo de la Seguridad Informática muchas veces tiene ante sí muchos retos que en la mayoría de ocasiones son bastante difíciles de resolver en solitario. Uno de estos retos es en qué certificarse y para qué sirve una certificación en Seguridad de la Información. Otro reto no menos importante es ¿A quien contratamos?
Hay un viejo refrán que dice: “ El hábito (vestiduras) no hace al monje pero si lo condiciona” Y otro que se deriva del primero dice: “No por tener un buen hábito se es un buen monje”. Hoy en día se debe estar certificado en alguna disciplina de Seguridad para que lo consideren a uno experto en Seguridad de la Información. Es por ello que los entusiastas y profesionales en Informática están muy confundidos en saber cuál es el camino correcto para ser un auténtico experto en Seguridad Informática y que tengan oportunidades de conseguir un buen trabajo en este sector profesional tan demandado en la actualidad pero tan lleno de obstáculos, trampas, e imprecisiones al no conocer exactamente cual es el perfil profesional que se desea contratar, ni qué requerimientos curriculares debe tener el candidato para desarrollar un trabajo acorde a las exigencias del negocio en el que van a desempeñar su función.
Otro punto muy importante a considerar es que los fabricantes de hardware y software, desde los más reputados a los menos conocidos han visto un filón de oro en el gran negocio de las certificaciones en Seguridad de la Información y por eso han creado certificaciones en Seguridad para sus productos, con lo que la situación se ha complicado aún más, ya que si uno se certifica en una marca, esa certificación en teoría no cuenta para ser considerado experto en otras marcas…
En el marco tan competitivo y de moda de la Seguridad de la Información muchas empresas auditoras (desde las más serias hasta las de dudosa ética y moralidad) también han hecho su Agosto certificando en diferentes productos o metodologías a informáticos recién titulados o egresados, con el fin de ofrecer rápidamente servicios a empresas como “expertos” de Seguridad, Consultoría, Auditoría, Test de penetración, etc… Esta situación de contar con gente certificada en casi todo, pero mal preparada trabajando como expertos en consultoras o auditoras de Seguridad de la Información ha generado varapalos, reveses, y grandes decepciones entre sus clientes. El motivo es simple: Ciertas consultoras financieras vieron un nicho de negocio en la Seguridad de la Información y como ya comenté contrataron gente sin experiencia, ofreciendo servicios de consultoría. He conocido casos extremos de empresas de renombre en el ramo de la consultoría, que sus “auditores” les mostraban a sus clientes informes procedentes de escanners automáticos y gratuitos como x-scan, nmap, Nessus, u otros y cobraban el informe sobre cada IP a más de 2.000 dólares y lo peor del caso es que el informe presentado solían estar cargados de falsos positivos. Esta situación aquí y en China se llama fraude.
Muchas empresas de “consultoría” en vez de ofrecer buenos trabajos de consultoría-auditoría se han centrado exclusivamente en ganar dinero rápidamente y a toda costa y ese es el origen de que por ejemplo en México los clientes insatisfechos estén reacios a contratar a más consultoras. Además una parte importante de empresas están muy reticentes y se sienten confundidos por haber en el mercado tanto “auditor- consultor” joven con poca experiencia profesional y certificado, los cuales tienen sus tarjetas de visitas llenas de alfabetos completos de siglas de acrónimos de dudosa comprensión para los neófitos.
Es una queja común y muy generalizada por parte de muchas empresas sobre que las grandes consultoras financieras son muy buenas para hacer innumerables metodologías y documentar procedimientos y procesos, pero carecen de la experiencia operativa para encontrar en las redes: Topos, infiltrados, fugas de información, phishing, pharming, y resto de amenazas. Es un hecho generalizado de que tanto las grandes auditoras financieras con áreas de tecnología, como auditoras de tipo medio, sabiendo esta situación (inexperiencia de su personal y descontento de sus clientes), al final acaban subcontratando a verdaderos expertos (sin certificar) que realmente conocen por donde atacar un sistema informático y que soluciones aportarle para corregir los problemas presentados. De ahí que existan muchas pequeñas empresas auditoras que ahora mismo están teniendo cierta relevancia gracias al trabajo que les proporcionan las grandes auditoras.
La respuesta de las empresas de auditoras norteamericanas y empresas dedicadas a la Seguridad frente a tanto intrusismo profesional, ha sido el poner de moda el que los “expertos” de Seguridad Informática deban estar certificados en metodologías de Seguridad de la Información, y si un informático no está acreditado con alguna de estas certificaciones y por muy bueno que sea, las posibilidades de trabajar como auditor-consultor son bastante escasas. El ejemplo del origen de todo esto fue la tristemente famosa y omnipotente Arthur Andersen y el escándalo con Enron, ahí se vieron las malas artes de las consultoras y dio origen a la famosa ley Sarbanes Oxley y las certificaciones asociadas.
Para algunas certificaciones en Seguridad los candidatos a dichas certificaciones primeramente deben rellenar un manifiesto en el cual se comprometen a no desvelar el contenido de la información, ni ha manifestar públicamente su opinión sobre la mencionada certificación. Opinión la cual en muchas de ellas es decepcionante porque dichas están más dirigidas a procedimientos teóricos y a retóricas indigeribles, en vez de a verdaderamente enseñar la operativa como experto en Seguridad de la Información.
Los departamentos de RH cuando se enfrascan en la ardua tarea de buscar a un candidato como experto en Seguridad de la Información buscan perfiles del tipo: Ingeniero de Telecomunicaciones, 5 años de experiencia laboral, certificado CISSP, CISA, CCNA, MCP, MCSE, y todo lo que se nos ocurra…y como postre añaden que el candidato sea menor de 30 años. El problema de que alguien tenga este perfil es que o bien se ha pasado toda su vida estudiando sin haber trabajado auditando compañías, o le han regalado las titulaciones. Pues es casi imposible certificarse en varias de ellas en pocos años por la dinámica y obsolescencia de las vulnerabilidades, procedimientos, hardware, etc. De ahí me viene a la memoria los famosos refranes que dicen: “El que mucho abarca poco aprieta” y “Dime de qué alardeas y te diré de que careces”. Además las empresas que emiten certificaciones saben de sobra el concepto de “obsolescencia” y por eso periódicamente los candidatos deben revalidar con examen sus certificaciones pagando un alto precio por estas revalidaciones.
En no pocas compañías el proceso de selección de un candidato para un puesto directivo como Director, Gerente, Consultor, etc…en Seguridad de la Información se vuelve un auténtico dolor de cabeza para el departamento de Recursos Humanos debido a que al día de hoy existen más de 50 (cincuenta) certificaciones reconocidas y algunas de ellas antagónicas, y por desgracia es una situación bastante reiterada de que cuando se selecciona a un candidato éste acabe por no cumplir todas las expectativas para las que se contrató, y al final la compañía acabe subcontratando a otros expertos sin tanta titulación ni tantos acrónimos en su tarjeta de visita con el fin de resolver problemas que el experto certificado contratado no ha podido abordar por inexperiencia en su desempeño. Si bien es cierto que existen grandes universidades por todo el mundo con programas muy completos y maestrías en Seguridad, el problema es que las titulaciones obtenidas muchas veces a los candidatos les cuesta mucho defenderlas frente a los departamentos de RH.
Como corolario comentaré que las certificaciones como Experto de Seguridad de la Información han intentado poner en orden el caos laboral de tanto “auditor” pero al haber proliferado tantas certificaciones y desde tan diverso origen el efecto ha sido todavía más contradictorio y en este momento hay una gran confusión tanto para los profesionales que desean que los consideren como tales, como para las compañías serias que desean contar entre sus filas a buenos expertos certificados.
Mi consejo para los no certificados es que con una buena certificación de propósito general como puede ser CISSP, CISA, etc se pueden conseguir buenos empleos, pero si luego no cuentan con una buena base de conocimiento en hardware, software, redes, virus, antivirus, spam, etc… al final la verdad sobre su verdadero nivel de conocimiento saldrá a relucir y le costará mucho trabajo que le consideren como profesional serio y responsable. Hackers de menos de veinte años de edad son la mayoría, pero los verdaderos expertos contra el hacktivismo son los que tienen más de 40 años, pues la Seguridad de la Información es una carrera de por vida como la medicina o el buen vino: Cuantos más años se tenga mejor preparado se estará o mejor sabor tendrá.
Por último mi consejo para los profesionales serios que buscan contar con buenos candidatos en Seguridad de la Información en sus compañías, es que inviertan tiempo en formar a gente en sus propias compañías y que estos candidatos vean una larga carrera profesional en estas empresas. De esta forma evitaremos el hecho de que expertos bien preparados y mal pagados se vayan a los pocos años a otras empresas o peor aún a sus competidores a buscar mejor salario y acaben compartiendo las fortalezas o miserias de la anterior empresa.
Seguridad de la Información es una larga y tortuosa carrera profesional y las siglas en las tarjetas de visita no garantizan que se sepa al 100% lo que nos han enseñado. Depende de todos nosotros el irnos cultivando y actualizando constantemente para seguir estando en la cresta de la ola y dignificar esta profesión.
Acerca del autor: Jesús Torrecillas nació en Tenerife (Islas Canarias en España) Está considerado como un reconocido y prestigioso experto internacional en Seguridad de la Información. En la actualidad trabaja como consultor en Seguridad de la Información en CEMEX Central en México. Así mismo es un conferencista muy reputado en materias como Seguridad de la Información, Análisis del riesgo informático, Concientización en
Seguridad, y temas relacionados sobre hacktivismo y prevención del delito informático.
Empezó en la tecnología a la temprana edad con menos de 14 años diseñando sistemas electrónicos. Su trayectoria profesional es indistinta tanto en software como en hardware habiendo obtenido diversas certificaciones en Novell, Microsoft, IBM, Universidad Pontificia de Comillas, etc…
Fuente: http://bsecure.com.mx/articulos.php?id_sec=52&id_art=6692
me gusto el articulo y hace re-pensar sobre el negocio" de las certificaciones de seguridad de informacion.
ResponderBorrarsalu2
Roberto Del Villar
Lima-Peru
El mejor artículo que he leído en mi corta carrera, Gracias!
ResponderBorrarMaría Eugenia Rivera
Panamá - Panamá
buen articulo es la verdad hay mucho estúpido en Colombia que busca por ejemplo Lead Auditor que porque el internar auditor es Menos categoría...............Por favor........Asi mismo creen que OSCP es Mejor que CEH o que CPTE de Miles2...........No sean tan tontos de creer que una es mejor que la otra.
ResponderBorrarEspero algún día poder trabajar en ciberseguidad
ResponderBorrarComo dice el autor, no hay un ruta bien definida de como convertirse en un experto.
Uno se debe de estar educando constantemente.
Antonio Navarro
Piura - Perú