Certificarse o no ¿Sirven para algo las certificaciones en seguridad?

Con este tema  doy inicio a una sección que, por definición, intenta ser crítica (de ahí su nombre), polémica y de sana discusión. Mi objetivo es elegir, por un lado, temas que causan preocupación  y,  por otro, tratar algunos en los que existe un aparente acuerdo o inercia dentro del mercado de la seguridad y cuestionar fuertemente las premisas que lo sustentan. Este es el caso del tema que nos ocupa: las certificaciones y su utilidad práctica.

Al dar estos puntos de vista polémicos o innovadores, me expongo a herir susceptibilidades o molestar a algunos (incluyendo, claro, a los proveedores), pero esa no es mi intención. El cuestionamiento nos debe llevar a decisiones mejor pensadas, aunque podamos tener opiniones distintas. Recuerde que en puntos de vista no existe la obligación, ni racional ni ética, de ponernos de acuerdo. “Nada es verdad ni es mentira. Todo depende del color del
cristal con que se mira”.

Para abordar el tema plantearé algunas preguntas relevantes e intentaré transmitir mis puntos de vista. Debo aclarar que hablaré de las certificaciones que un especialista en seguridad puede lograr, no de aquellas que una empresa puede obtener. Así, cuando hable de la certificación ISO-27000, me referiré a la certificación de las personas para auditar con base en esta norma, no al hecho de certificar un proceso o un área de una organización.

.

¿Qué tipos de certificaciones existen?

Una certificación es una declaración formal de una institución autorizada (pública o privada, nacional o internacional) que respalda que el candidato ha aprobado satisfactoriamente un examen o una serie de trámites establecidos por dicha institución.

Existen certificaciones que evalúan los conocimientos generales de seguridad del candidato, como pueden ser CISSP (Certified Information Systems Security Professional) que otorga el ISC2, CISM (Certified Information Systems Manager) de la ISACA o Security+ de CompTIA (Computing Technology Industry Association).

Otras certificaciones se enfocan –preferentemente- sobre temas más específicos y requieren un mayor nivel técnico. En este grupo entran las certificaciones GIAC (Global Information Assurance Certification) del SANs Institute, que abarcan más de 20 certificaciones especializadas, todas bajo el nombre genérico “GIAC”. Por ejemplo la GWAPT (GIAC Web Application Penetration Tester) para pruebas de penetración de aplicaciones Web. La certificación CEH de hacking ético del EC-Council es otro ejemplo de este grupo.

Adicionalmente distintos fabricantes de productos de seguridad han ido creando sus propias certificaciones, tal es el caso de CheckPoint, Cisco, Fortinet o HP-Tipping Point, por mencionar solo algunos. Puedo decir que el número de cursos y certificaciones, así como la profundidad y cobertura que cada fabricante tiene son muy distintas.

.

¿Qué está pasando con las certificaciones de seguridad?

Cada día se generaliza más hablar de certificaciones. En general la gente se ha ido “subiendo al barco” de las certificaciones; es común que en muchos concursos privados y de gobierno, tanto en México como en Latinoamérica, el cliente solicite distintos tipos de certificaciones… podemos decir que están de moda.

Es frecuente que –incluso- las certificaciones se presuman tanto o más que el grado académico. Por ejemplo, en los Estados Unidos algunas personas con doctorado escriben en sus tarjetas de presentación:  “James Anderson, PhD, CISSP”.  En casi todo el mundo poseer una certificación de seguridad genera un diferenciador que se traduce, regularmente, en mejores sueldos.

Es interesante que algunas organizaciones que coordinaban una o dos certificaciones, han visto una oportunidad de mercado y han expandido su oferta, pero para lograr una base de certificados en forma rápida han implementado lo que yo traduciría como “abuelazgo” (la palabra en inglés es “grandfathering”). Eso quiere decir que cuando arranca la certificación, el certificador permite que, cumpliendo ciertos requisitos que incluyen experiencia comprobada en determinadas áreas y sin presentar ningún examen, el candidato reciba su certificación. Me declaro en contra de este estilo de “fast-track”, pues me parece que no ayuda a la homogeneidad en el nivel de los certificados.  Como dice un amigo “no por hacernos viejos nos hacemos sabios”.

.

¿Qué garantiza una certificación?

A riesgo de parecer un abuelito contando cuentos a sus nietos, les voy a compartir una historia personal. En 1999 decidí certificarme como CISSP, así es que me puse a estudiar muy duro para el examen y lo presenté junto con otra persona de Scitum (lo llamaremos Hugo, aunque su nombre real es otro). Afortunadamente lo aprobamos y nos convertimos en los primeros certificados CISSP de la empresa (ya para entonces teníamos varios colegas en Scitum certificados como CISA).  Pocos meses después a Hugo y a mí nos tocó trabajar en un proyecto en el que, entre otras actividades, había que realizar un análisis de riesgos, proponer diversos controles de seguridad y  escribir varias políticas. Para mi sorpresa y pese a su certificación CISSP, Hugo no era capaz de generar un documento congruente que reflejara nuestros hallazgos durante el análisis de riesgos y, mucho menos, escribir políticas de seguridad. Cuando revisaba con él los diversos conceptos de seguridad, sus contestaciones eran claras y correctas, pero –por alguna razón- esos conocimientos no los podía convertir en documentos útiles para el cliente.

Recordé que en otras empresas en las que había estado me habían sucedido situaciones similares con personas que tenían certificaciones en otras áreas de TI: una cosa era que tuvieran los conocimientos sobre la tecnología y otra era que esos mismos conocimientos los pudieran aplicar a una situación de la vida real;  se tratara de diseñar una arquitectura tecnológica, de resolver un problema sobre lentitud en una red o de escribir –como en el caso de Hugo- unas políticas de seguridad.  Desde entonces me he preguntado ¿Qué garantiza una certificación?

Lo que voy a decir tiene dos partes: la mala, aparentemente, y la buena. La parte mala es que yo creo que una certificación no garantiza casi nada y veremos algunos ejemplos más adelante. La parte buena es que una certificación aumenta las probabilidades, por ejemplo, de que la persona que la ostenta, posea ciertos conocimientos y habilidades en seguridad de la información.

El problema es esperar una certeza total sobre esos conocimientos y habilidades. Por ejemplo, si una persona es CISSP, podemos suponer (con un alto porcentaje de probabilidad, más no como una garantía) que tiene un buen nivel de conocimientos generales sobre la seguridad y algunos años de experiencia, pues de otro modo sería casi imposible obtener la certificación CISSP. Por otro lado, ¿podríamos estar seguros que dicho sujeto está calificado para ocupar un puesto de oficial de seguridad (CISO, por sus siglas en inglés)? La respuesta es NO. El que tenga una certificación CISSP no significa que, automáticamente, esté calificado para ese cargo, no sólo porque el perfil del puesto puede demandar otro tipo de habilidades y conocimientos, sino porque para obtener el CISSP no tuvo que demostrar habilidades en los proyectos y en las actividades específicas que requiere ese perfil, sólo presentó un examen de conocimientos y envío pruebas de su experiencia.

En mi opinión, una de las mayores debilidades de muchas certificaciones es que están más enfocadas en probar los conocimientos de los candidatos, que en calificar sus habilidades para enfrentar y resolver los retos y problemas diarios del trabajo. Incluso algunas otras como CISA (Certified Information Systems Auditor) de la ISACA, aunque se preocupa de evaluar que el candidato posea una visión y criterios de auditor de sistemas (y, en mi experiencia, lo hace de una forma eficiente) no evalúa, por ejemplo, si esa persona podrá realizar exitosamente un análisis de riesgos informáticos, o presentar satisfactoriamente los resultados de una auditoría de seguridad. En este grupo podría entrar la certificación de auditor del ISO-27001  que, para mí, es demasiado “light” pues me ha tocado ver personas que no son del área de sistemas y que no tienen ningún conocimiento previo de seguridad en la información y que, con tan solo un curso de cinco días, obtienen su certificación como “Lead Auditor” de la Norma 27001. Por lo anterior yo diría que no siempre es factible aseverar que alguien con esta certificación tiene siquiera conocimientos generales de seguridad.

Aunque lo anterior podría parecer muy obvio para algunos de ustedes, lo cierto es que en muchas ocasiones las empresas contratan un tanto a ciegas a los candidatos, basándose primordialmente en sus certificados (similar a como hasta hace poco se ponderaba demasiado el grado académico al momento de la contratación).

.

¿Deben las empresas invertir en personal certificado?

El contestar esta pregunta me parece muy importante pues, hasta aquí, algunos podrían tener la idea de que no le veo valor al certificarse, o peor aún, que tampoco le confiero mérito a estudiar un posgrado.

Debo decir que sí estoy de acuerdo en que el personal se certifique; son dos cosas las que no me parecen adecuadas: (1) que pensemos que por tener una determinada certificación la persona posee, en forma automática, habilidades o experiencias para el trabajo que va a desempeñar,  y (2) que veamos las certificaciones como un objetivo.

En relación al segundo punto, me he encontrado gente que me dice por ejemplo: “estoy estudiando del libro de Shon Harris para pasar el CISSP”, ¿qué es lo que no veo correcto? Desde mi perspectiva preferiría que las personas dijeran algo como “estoy revisando y estudiando distintos materiales para reforzar mis conocimientos sobre los distintos modelos de control de acceso”.  En otras palabras, creo que deberíamos estar más preocupados por mejorar nuestros conocimientos de seguridad, incluyendo los conocimientos técnicos muy específicos de temas como cómputo forense o hacking ético, o los detalles de una determinada tecnología, que en pasar un examen de certificación. Si nos ocupamos en saber más, el aprobar una certificación debería ser un efecto colateral. Es bueno, pero no es el objetivo final; de hecho, el objetivo final nunca se logra.

.

¿Qué deberíamos tomar en cuenta?

A manera de conclusiones quiero compartirles las siguientes recomendaciones:

  1. Es conveniente sincronizar las certificaciones con el perfil del puesto del candidato, las necesidades de la organización  y las necesidades e intereses de la persona.
  2. No debería perseguirse una certificación solo porque está de moda.
  3. Generalmente es más barato formar a nuestro personal (apoyarlo a certificarse) que contratar personal certificado; el único inconveniente puede ser el tiempo.
  4. Preocúpense por establecer una estrategia de aprendizaje continuo en la gente, en donde no solo se busque tener mejores conocimientos técnicos de seguridad, sino también desarrollar las habilidades y competencias que cada puesto demanda. Dentro de esta estrategia verán que las certificaciones son importantes, pero son apenas un elemento del todo y nunca el objetivo final.

.

[email protected]

Ulises Castillo Hernández. M. en C., CISSP, CISM y CISA

M. en C., CISSP, CISM y CISA Director General de Scitum, egresado con mención honorífica de la Maestría en Seguridad de la Información en la Universidad de Norwich, habiendo participado como conferencista en numerosos eventos relacionados con la computación en México, Estados Unidos y Latinoamérica. Profesor de la Universidad La Salle de 1977 a 1997. Fundador y director de diversas empresas de Tecnología de la Información entre las que destacan Comper, Grupo Scanda y Scitum. 

Tags:

  12 comments for “Certificarse o no ¿Sirven para algo las certificaciones en seguridad?

  1. Eric Weisz
    16/11/2011 at 12:15 PM

    Una certificacion no se puede comparar con la experiencia, es un papel que primero que nada dice que pagaste por que alguien te hiciera un examen, pero como en todo no representa que en la vida real tengas idea de lo que haces.

    Cuando alguien tiene 15 años de experiencia sin duda sera mucho mejor que cualquier recien certificado.

  2. 16/11/2011 at 12:57 PM

    Erick:

    Estoy parcialmente de acuerdo. En mi opinión, tampoco la experiencia es garantía. Como dice un amigo: “no por hacernos viejos, necesariamente nos hacemos más sabios”. En mi experiencia, a la mayoría de la gente no le gusta estudiar y en la mayoría de las universidades del mundo no le dan mucha importancia al desarrollo de habilidades de pensamiento (pensamiento crítico, análisis y resolución de problemas, pensamiento creativo, etcétera).

    En otras palabras, mucha gente tiende a hacer las cosas repetitivamente y, entonces, la experiencia no se ve “nutrida” en el día a día.

    Ahora bien, si alguien ha estado resolviendo distintos tipo de retos y problemas en seguridad durante 15 años (desde hacer un análisis de riesgos o desarrollar una política, reunirse con los altos directivos para convencerlos de aprobar el presupuesto para seguridad, hacer endurecimiento de servidores o bases de datos, realizar análisis de vulnerabilidades o hackeo ético, etcétera) entonces sí, ESTOY 100% de acuerdo contigo, esa persona tendrá mejores conocimientos prácticos y podrá ser mucho más funcional que una persona que sólo tiene ciertas certificaciones de seguridad pero carece de toda esa experiencia.

  3. Jorge Barroso
    01/12/2011 at 12:09 PM

    Buen artículo, pienso que no es el hecho de “certificarse”, a mi punto de vista, lo principal es contar con los conocimientos, reconocidos a un cierto nivel (nacional o internacional) de la certificación que se elige y como dice el artículo dependerá del escalón en donde uno se encuentre y en la dirección a donde se mire; además le proporciona al candidato cierto lenguaje para “depurar” los conocimientos adquiridos por su experiencia (hay que conocer el lenguaje que empleamos y a quén se lo decimos) y por otro lado mantenerse actualizado, un arma muy importante en el ámbito de las TI.

  4. Marco
    07/12/2011 at 12:25 PM

    Una certificación profesional sólo mide habilidades y conocimientos, no mide COMPETENCIAS.

    Puedes tener mucho conocimiento y sin embargo ser un incompetente (para muestra, tantos políticos con doctorados en Harvard que sin embargo no saben cómo manejar la economía de nuestro país) :p

    Además, un pequeño porcentaje del conjunto de conocimientos de algunas certificaciones es simplemente Marketing.

    Con esto no pretendo descalificar las certificaciones profesionales, pero pienso que tampoco debemos darles un valor exagerado fuera del contexto en el que se obtienen. Hay certificaciones (entre ellas algunas de Cisco, Microsoft, etc.) que en realidad sólo miden que puedas pasar un examen.

    Por otro lado, la experiencia te puede ayudar a desarrollar competencias, pero sin una capacitación formal te va a tomar más tiempo lograrlo. Es decir, 15 años de experiencia sin certificaciones tal vez pudieran hacerse equivalentes a 5 años de experiencia si cuentas con una certificación. Pero 0 años de experiencia no te ayudan, sea cual sea la certificación que tengas.

    Mi punto de vista personal: las certificaciones ayudan, pero no lo son todo.

  5. Carlos
    13/02/2012 at 6:50 PM

    Ulises, estoy completamente de acuerdo con el artículo que presentas peroo… he estado leyendo su revista desde hace un buen tiempo y en cada uno de los artículos se expresa la certificación(es) que cada uno de los colaboradores de la revista tiene.
    Lo que quiero decir es que estoy un poco confundido ya que en estricto sentido entonces eres un detractor de Magazcitum.
    En partícular sería mucho mejor (a mi forma de pensar) para Magazcitum si al inicio/final del artiulo en letras MENOS llamativas se dijera que el autor tiene experiencia en.. y obtenido la certificación tal… ya que me parece un tanto pretencioso esta cuestión de poner títulos al inicio.
    Sólo una opinión. Saludos!

  6. Ulises Castillo
    13/02/2012 at 8:30 PM

    Carlos:
    Muy buen punto el que marcas. Antes de darte mis opiniones (un tanto “ambivalentes”) te comento que revisaremos tu recomendación en el comité editorial.

    Por un lado estoy de acuerdo contigo, y si -como lo pienso- las certificaciones no son garantías, entonces deberíamos mencionarlas con menos preponderancia (quizás al final, como sugieres, y dentro del contexto de experiencia de la persona).

    Por otro lado, en casi todos los documentos importantes de revistas y medios especializados (desde los famosos “white papers” de proveedores hasta los libros de la materia, pasando por artículos en revistas, blogs y sitios web)es común el formato que hemos estado utilizando hasta hoy.

    De hecho algunas revistas usan ambos: Al inicio está el nombre de la persona junto con sus certificaciones, y al final hay una breve nota curricular con lo más sobresaliente de su experiencia.

    Por último, de verdad tomamos tu comentario en cuenta y re-evaluaremos un posible cambio.

    Un saludo

  7. 01/09/2012 at 7:37 PM

    Como consigo trabajo en seguridad sin certificados cisa, cissp, ni nada, solo con una carrera. Si no tengo experiencia no tengo trabajo y si no tengo trabajo no tengo experiencia. En resumen el aprobar el examen pienso que es la puerta de entrada para dedicarte a la seguridad.

    Otro tema es que unos sean mas vagos que otros y no se preocupen por investigar. Como leí en algún lado “a la gente no le gusta estudiar”, en cierto modo a nadie le gusta estudiar pero hay quienes detestan hacerlo. En todo caso la Universidad es otra certificación al menos en mi caso.

  8. Ingrid
    26/06/2013 at 11:06 AM

    Lei el articulo y es bastante interesante, yo considero que no hay nada malo en certificarse, lo malo es que al tener una certificacion no apliquemos lo aprendido para ganar experiencia y hacer valer esa certificación. Hay que estudiar, profundizar e investigar sobre nuestra rama, no solo con tener el papel del certificado nos acredita ser expertos en el tema, hay que seguir formandose y aplicar lo aprendido para ganar experiencia, solo así tendra validez nuestro certificado.

  9. Manuel Perez
    11/02/2016 at 5:17 PM

    Yo pienso que si tienes experiencia y además te certificas tiene mucho mas valor. Por otro lado, en las tarjetas de presentación, deben de aparecer las certificaciones que una persona posee? Si es si, donde deben aparecer?

  10. ARTURO HOS
    08/11/2016 at 3:21 PM

    El certificarse es como terminar una licenciatura o ingeniería, el papelito habla en muchos casos, que los resultados pueden variar si en efecto puesto que al igual que uno varia sus resultados despues de salir de la carrera porque habrán varios que saldrá con promedio de 7 y habrán varios que saldrán con promedio de 10 y aun así pueden existir una diferencia pues hay muchas variables.

    A lo que me refiero es que si bien yo puedo saber muchas cosas ya sea por experiencia o por estudios, solo hay dos formas de demostrarlo una en la práctica y otra por el papel que nos avala, ahora si que papelito habla y ya a nosotros nos toca probar o justificar dicho título sea cual sea y la experiencia te lo dan las vivencias mas que los años.

    saludos

  11. Manuel
    17/11/2016 at 2:28 PM

    Seis Pasos para Crear una Cultura de Propiedad de Seguridad

    Todd Thibodeaux, Presidente y Director General, CompTIA

    El estado de la ciberseguridad corporativa es todo menos estático. Con la diversificación de la lista de amenazas potenciales, los riesgos son mayores para asegurar los sistemas y datos de una compañía. Mientras que el costo promedio de violaciones de información crece (actualmente estimado en 4 millones de dólares, el hambre de riesgos de los líderes de negocios disminuye. Sin embargo, menos de la mitad de los profesionales en seguridad de la información opina que las defensas de sus compañías están a la par, de acuerdo a estudios de CompTIA.

    Contrario a lo que algunos líderes de negocios puedan creer, proteger la infraestructura y la propiedad intelectual de su organización no empieza al invertir en un cortafuegos (‘firewall’). Empieza incorporando la ciberseguridad a la cultura de su compañía. La tecnología toca a todos los empleados dentro de una organización, no únicamente a aquéllos en el departamento de TI. La seguridad no debe ser diferente, con un compromiso que se impregne de arriba a abajo.

    Aquí encontrarán seis pasos que pueden ayudar a marcar el tono para una fuerza de trabajo responsable y más alerta:

    1. Reconsidere la estructura de su Grupo Directivo: Una cosa es crear un cargo de Director de Seguridad o Director de Seguridad de la Información, pero a quien esa persona reporta puede influenciar la estrategia de seguridad de su organización. Permitir que su líder máximo de seguridad reporte directamente al Director General, beneficia con mayor visibilidad las operaciones de la compañía y la toma de decisiones. También envía un mensaje más claro a través de la organización de que la ciberseguridad no está aislada en el departamento de TI.

    2. Dar prioridad a los conocimientos del usuario final: Aunque muchos profesionales TI piensan que los empleados de sus organizaciones cuentan con un conocimiento sólido de seguridad, encuestas e incidentes de la vida real nos cuentan una historia diferente. Globalmente, más de la mitad de las organizaciones reportan que un error humano es el factor principal de las violaciones de seguridad e incidentes relacionados. El problema de raíz es la falta de conocimiento del usuario final. Las sesiones “Cibersecurity 101” durante la capacitación de bienvenida a la compañía de los empleados no son suficientes para instalar hábitos sólidos. Los líderes de negocios deben demostrar su apoyo a capacitación sólida para el usuario final – de cursos electrónicos continuos a ejercicios simulados de ataques cibernéticos – y respaldarse con los recursos financieros necesarios.

    3. Establecer las métricas correctas: Uno de los retos más grandes en la implementación de iniciativas nuevas es vencer la creencia de que las estrategias y recursos actuales son “suficientemente buenos.” Le tecnología de la información y los ejecutivos de seguridad pueden y deberían hacer más para asegurar que el protocolo de defensa de sus organizaciones tiene sus raíces en hechos y no en sentimientos. Asociándose con consejeros expertos, pueden desarrollar caminos para medir la eficacia de sus esfuerzos de seguridad actuales, y compararlos con estándares de la industria.

    4. Reunir procesos de negocios y tecnología: Elevar la ciberseguridad a un asunto agnóstico departamental va más allá de la implementación de prevención de pérdida de información o de identificar soluciones administrativas de acceso. Involucra formalizar procesos nuevos (y actualizar los existentes) a través de una combinación de lentes de negocios y de TI. La administración de riesgos y cumplimiento, selección de proveedores nuevos y la capacitación en seguridad del usuario final no pueden ser prácticas que los departamentos TI crean e imponen a sus colegas. La línea de líderes de negocios debe estar igualmente involucrada en la creación de estas políticas para asegurar que se ejecutan efectivamente.

    5. Promover una nueva perspectiva sobre el gasto para seguridad: La seguridad es una rebanada del presupuesto de TI, una que los líderes de negocios históricamente ven como algo que debe contenerse, invirtiendo en ella únicamente cuando sea necesario en tiempos de una crisis real o inminente. Las organizaciones que se esfuerzan en promover una cultura de seguridad necesitan más posturas proactivas hacia su estrategia y presupuesto. Esto significa colocar a la ciberseguridad como una oportunidad de inversión y no como un artículo de línea reticente.

    6. Incentivar responsabilidad: Luchar por apoyo a nuevas políticas y promover el conocimiento de la ciberseguridad puede fácilmente encontrar resistencia y poco interés, por lo que las organizaciones deben ser creativas. Ofrecer beneficios a los departamentos o equipos que participan colectivamente en la mayoría de oportunidades de educación en seguridad, puede motivar al personal no técnico a tomar en serio la seguridad. De igual manera, los empleados que ofrecen nuevas ideas de seguridad o llaman la atención sobre posibles fallas de seguridad, deberían recibir reconocimiento público en la compañía para motivar iniciativas similares dentro de la organización.

    Las organizaciones están tan seguras como su contraseña más débil, procesos de administración o hábitos del usuario final. Cuando los ejecutivos traten a la ciberseguridad como un principio corporativo más que como un deber de TI, todos los empleados tendrán una razón de apoyo a la causa.

  12. Alfredo
    02/03/2017 at 12:22 AM

    Hola buen día, concuerdo, pero al final es un vox populi. Hace tiempo en una entrevista para Project Manager , para lo cual tengo muchos años de experiencia, el manager estaba muy preocupado por que no tuviera certificación, es el otro lado de la moneda. Está más que claro que una certificación no te va a dar el expertise, como profesionales en nuestro marco de profesión lo ideal es que tengamos un sustento teórico (certificación) y la experiencia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*