Certificaciones en seguridad de la información ¿Por dónde empezar?

ConexionesDesde hace tiempo contar con una certificación ha sido un argumento muy utilizado como herramienta de apoyo en la venta de proyectos. En mi escritorio tengo una imagen que incluye la frase “Lo mejor de los estándares es que hay muchos de dónde escoger” y esto es muy cierto, puedo apegarme a un estándar de acuerdo a la industria en la que me desenvuelvo, al entorno regulatorio del país, al gremio profesional al que pertenezco e inclusive de acuerdo a cómo me desempeño en mis labores cotidianas.

Desde otro punto de vista, una certificación puede entonces asociarse a procesos, tecnología o gente.

.

Procesos

ISO-9000 y su enfoque hacia la calidad total detonaron la necesidad de que hubiera una entidad independiente que avalara la capacidad de las organizaciones para desempeñar con eficiencia las diversas tareas que componen los diferentes procesos y que a su vez constituyen el motor de la operación de los negocios.

Prácticamente todos los estándares ISO que conocemos, en particular los asociados a TI (ISO-27001, ISO-20000, ISO-25999, etcétera) siguen la estructura del estándar base ISO 9000.

Es muy importante cuando se trabaja con un estándar tener la seguridad de que es  la versión más actualizada del mismo. No es igual homologar los procesos al estándar ISO27001:2005 que hacer referencia al ISO27001:2013, hay modificaciones relevantes de versión a versión. Si usted está apoyado por un buen grupo de consultores es muy probable que ellos estén al tanto de los ajustes que se requieren para dar cumplimiento a las regulaciones que nos exigen nuestros socios de negocio. En Magazcitum podrá encontrar artículos muy recientes de nuestros colaboradores donde se abordan las peculiaridades de estos cambios.

La necesidad de certificarse ha tomado diferentes matices y dejó de limitarse a los procesos, comenzando a involucrar a la tecnología que los habilita y a la gente que la opera.

.

Tecnología

Para el campo de la tecnología el gobierno de los Estados Unidos y en particular el Departamento de la Defensa crearon hacia finales de la década de los setenta el TCSEC (Trusted Computer System Evaluation Criteria), con enfoque en el atributo de confidencialidad de la información y cuya publicación base es el “Libro Naranja”. Este libro, conocido también como el estándar DoD 5200.28, es a su vez parte de una serie de libros de diferentes colores, asociados cada uno de ellos a diferentes temas de TI y que en conjunto reciben el nombre de Serie Arcoiris (Rainbow Series).

Hacia 1990, Francia, Holanda, Alemania, el Reino Unido y posteriormente el resto de la Unión Europea redefinieron el nivel de aseguramiento y añadieron el atributo de funcionalidad para crear un estándar alterno llamado ITSEC (Information Technology Security Evaluation Criteria) y a partir de ambas propuestas y el estándar canadiense CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) se desarrolló el Common Criteria (CC), hoy ISO/IEC 15408. Este estándar de 7 niveles (EAL1 a EAL7) dictamina el nivel de confiabilidad que se puede tener en una solución tecnológica, sea hardware o software.  Si está por adquirir una solución basada en uno o varios productos de seguridad de diferentes fabricantes, este parámetro le puede dar una idea de qué tan reconocida es la mezcla de tecnologías que contempla con el objeto de compararlas con otras alternativas.

Para obtener mayor información de los criterios de evaluación que mencionamos visite los siguientes enlaces:

http://csrc.nist.gov/publications/history/dod85.pdf

https://www.bsi.bund.de/cae/servlet/contentblob/471346/publicationFile/30220/itsec-en_pdf.pdf

 http://www.commoncriteriaportal.org/products/

Con afán de sentar las bases de comparación tecnológica, una mención aparte merece la aparición y desarrollo del segmento de los laboratorios de pruebas comparativas o benchmarking donde encontramos por ejemplo al Tolly Group, Icsalabs o agencias consultoras que hoy son ampliamente reconocidas como Gartner, Forrester Research y el Yankee Group, cuya incursión y bonanza ha sido alimentada por las necesidades de diferenciación de los fabricantes de soluciones en un medio en el que cada vez es más difícil distinguirse de otros.

Quiero puntualizar que estas referencias no son de ninguna forma exhaustivas, tan solo representan una pequeña muestra de lo que hay en el mercado.

.

Gente

Una certificación en cualquier ámbito se ha vuelto un distintivo inaplazable para la gran mayoría de los profesionales de TI y de alguna forma también para adquirir un nivel de reconocimiento en el gremio.  Para conseguir una promoción, obtener un empleo calificado en una corporación o ser simplemente considerado en un proyecto, tener una certificación se ha vuelto un deber del profesional de TI.

Existen alrededor de dos mil diferentes certificaciones solamente en TI, muchas de ellas atadas al conocimiento de la tecnología de un fabricante y otras al conocimiento y aplicación de los conceptos de varias disciplinas y con independencia de una solución.

Para saber más de las distintas certificaciones que hay en el mercado acceda a:

http://www.itcertificationmaster.com/list-of-all-it-certifications/

Un apunte final: aunque no hay una garantía per se de la capacidad de aquel que ostenta una certificación, siempre es un indicador de que la persona ya ha demostrado un nivel de conocimientos en una evaluación imparcial y de que cuenta con una preparación que puede ir consolidando con la experiencia de los proyectos que pongan a prueba estas capacidades.

[email protected]

————————————————————————————————————————————————————–

A continuación se listan algunas de las certificaciones más reconocidas en seguridad informática, sin seguir necesariamente un orden particular:

CEH- Certified Ethical Hacker: reconoce a individuos en tópicos específicos de la disciplina desde una perspectiva neutral al fabricante. Un hacker ético certificado es un profesional que entiende y conoce la forma de buscar debilidades y vulnerabilidades en los sistemas objetivo valiéndose del mismo conocimiento y herramientas de las que dispone un hacker malicioso.

CHFI- Computer Hacking Forensic Investigator: el análisis forense es un proceso enfocado a detectar los ataques producidos por actividades de hackeo y extraer de manera adecuada la evidencia para reportar un presunto crimen o llevar a cabo auditorías que prevengan ataques en el futuro. Los investigadores que cuentan con esta acreditación manejan un conjunto de técnicas y metodologías para descubrir los datos que residen en un sistema de cómputo, o recuperar información que ha sido borrada, cifrada o dañada. Al entrenarse, los participantes obtienen los elementos necesarios para identificar las huellas del intruso y colectar eficazmente la evidencia para armar un caso que se pueda llevar a los tribunales.

CISSP- Certified Information Systems Security Professional: la certificación estrella de ISC2 es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial. Su cobertura en disciplinas abarca tanto campos técnicos como la seguridad en redes, desarrollo, criptografía  y controles de acceso. El número de profesionales con esta certificación ya se acerca a los 100 mil a nivel mundial.

CISA- Certified Information Systems Auditor: esta certificación es de las más reconocidas y que más tiempo tiene en el medio. Es otorgada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) y se reconoce a nivel mundial cuando se habla de capacidad sobre temas de auditoría y controles de TI.  Existen alrededor de 87 mil profesionales en el mundo con esta certificación.

CSSLP- Certified Secure Software Lifecycle Professional: con la cada vez más generalizada proliferación de vulnerabilidades en los aplicativos, que resultan de los procesos tradicionales de desarrollo de software, un profesional con esta certificación de la ISC2 implanta mejores prácticas y valida las medidas de seguridad que se incorporan al ciclo de vida del desarrollo de software (SDLC). Con una visión holística de la seguridad aplicativa, independiente del lenguaje o la técnica empleada para producir código, esta certificación se creó para analistas, desarrolladores, ingenieros de software, arquitectos de aplicación, gerentes y líderes de proyecto y profesionales de aseguramiento de calidad.

PMP- Project Management Professional: la certificación PMP, otorgada por el Instituto de Administración de Proyectos (PMI), es la acreditación en esta materia con el mayor reconocimiento general. En la actualidad, existen más de 265 mil PMP en más de 180 países.

GIAC- Certified Forensic Analyst (GCFA): es una de las más reconocidas del SANS Institute y su ámbito abarca a los profesionales que trabajan en los campos de cómputo forense y respuesta a incidentes de seguridad de la información. La certificación tiene enfoque en las habilidades fundamentales para recuperar información de sistemas basados en Windows y Linux, de manera que los candidatos demuestren que tienen los conocimientos y habilidades necesarias para conducir investigaciones de incidentes y manejar escenarios avanzados.

Esteban San Román. CISSP, CISA y CEH.

Se desempeña actualmente como Arquitecto de Soluciones en la Dirección de Arquitectura de Scitum, empresa de la cual forma parte desde 2008.

Su experiencia en redes de comunicaciones y soluciones de TI de casi 20 años se ha forjado en empresas como IBM, Anixter, Delta Networks y Technidata, realizando funciones de ingeniero de sistemas, especialista en redes, director de servicios de TI y gerente de soporte preventa. Ha impartido cursos de entrenamiento México y varios países de Latinoamérica en tecnología de redes y certificaciones de seguridad.Su experiencia en redes de comunicaciones y soluciones de TI de casi 20 años se ha forjado en empresas como IBM, Anixter, Delta Networks, Technidata y Scitum, realizando funciones de ingeniero de sistemas, especialista en redes, director de servicios de TI y gerente de soporte preventa. Ha impartido cursos de entrenamiento México y varios países de Latinoamérica en tecnología de redes y certificaciones de seguridad.

 

Tags:

  2 comments for “Certificaciones en seguridad de la información ¿Por dónde empezar?

  1. Francisco
    17/07/2014 at 1:23 PM

    Excelente tópico, muy real, actual y funcional… Gracias y saludos…

  2. Luis
    03/12/2016 at 4:46 AM

    Gracias por su informacion

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*