domingo, 6 de enero de 2013

Valor de la Certificación CISSP


La certificación CISSP de la ISC2 pretende evaluar diversos conocimientos de una persona en materia de seguridad informática. Es reconocida a nivel mundial (incluye México, por si te queda la duda) y hay una buena cantidad de personas que han logrado pasarla y mantenerla.

A lo largo de los años también he leído críticas a esta certificación. Un ejemplo lo da Robert David Graham en su blog ErrataSecurity y otro ejemplo representativo lo da Bejtlich. Valdría la pena que leyeras antes sus comentarios para ver lo que opinan y te haga más sentido lo que voy a decir.

¿Da valor la certificación CISSP? Desde mi punto de vista, sí lo da. Empecemos por decir que yo tengo esta certificación desde hace unos años y hasta escribí un post de cómo pasarla exitosamente.

¿Por qué tiene valor? Pues bien, porque con ella puedes demostrar que tienes cierto nivel en conocimientos de seguridad informática y que dominas cuestiones básicas e intermedias de este campo. 

Podría ser equivalente a hacer el Diplomado de Seguridad Informática donde aprendes el contenido del temario y te hacen un examen y pasas. Para un empleador o hasta para tus colegas, decir que tienes el CISSP demuestra que tienes ciertos conocimientos en la materia. Así de sencillo.

Los detractores de esta certificación argumentan que “no es hands on”, es decir, que es pura teoría y nada de práctica. El examen ciertamente es de opción múltiple, y es ahí donde unos levantan la voz diciendo que es suficiente tener buena memoria y haber hecho dos que tres cosas de seguridad para pasar el CISSP. 

Que nunca has configurado un firewall o un PIX, jamás te has metido a un Linux o dominado el Snort. Y que aun así, puedes pasar el CISSP. ¿Es cierto?

Es cierto. El CISSP es teoría. No te piden que configures nada. Ni que codifiques una vulnerabilidad informática. Lees de un libro y/o atiendes a una clase y con un par de años de experiencia en el campo, creo que tienes una buena oportunidad de pasarlo.

Dicho esto, hay que entender que la CISSP no tiene ese enfoque práctico. Punto. Tiene una orientación teórica. Y el valor que da es que dominas ciertos temas de seguridad que “todo profesional debería de conocer”.

Comparan mucho al CISSP con las certificaciones del SANS, el CEH o las de  Offensive Security. Considero que esto es injusto, ya que estas últimas sí tienen un enfoque práctico y efectivamente son muy valoradas por las personas que le “entran a los fierros”. 

Sin embargo insisto, cada una de ellas tiene un enfoque diferente y cada una tiene valor dentro de su campo de acción.

Como empleador o colega del área de seguridad, tienes que entender la orientación de las diferentes certificaciones y que cada una de ellas tiene un valor diferente. Claro está, si te enfrentas a alguien que no tiene ni idea del área de seguridad, seguramente le sonará igual Chana que Juana. 

Probablemente sepa del CISSP porque es muy popular y la ha escuchado “por ahí” pero la verdad es que no sabe bien qué orientación tiene ni lo que demuestra el profesional que la posee.

Y ya entrado en gastos, también podemos hablar de las certificaciones de CISA y CISM de ISACA. También son teóricas, se lee un libro y/o se asiste a un curso y el examen es de opción múltiple. 

De nueva cuenta, hay que saber qué conocimientos evalúan, y las ventajas (y limitaciones) que quien las ostenta puede traer a un ambiente de seguridad informática corporativo.

Por ejemplo, digamos que quieres contratar a un pentester. Si te muestra el CISSP, la verdad no es algo que agregue demasiado valor y querrás que te demuestre más credenciales y/o experiencia. 

Aguas, no digo que un pentester no debe de tenerla o que no le sirve, pero no es la principal ni única certificación que debe de mostrar.
Si por ejemplo quieres contratar a un CISO, un CIO o alguien que se encargue de un área de seguridad informática, ahí es donde aumentará el valor del CISSP y dirás “hombre, qué bien!”.

El punto es que una certificación  CISSP no va a sobrar (hagas lo que hagas dentro de la seguridad informática).

Es una credencial que es mejor tener que no tener, aunque seas de los que se meten a los fierros. 

Para bien o para mal, en este mundo, los papelitos cuentan, y aunque venga alguien sin credenciales de ningún tipo a decirme que domina la seguridad, que tiene amplia experiencia en tal campo o aquel otro, pues la verdad me rascaré la cabeza porque no tendré elementos para evaluar lo que esta persona dice que sabe.

Escucho voces por ahí que estarán diciendo en este momento “pues un papel tampoco es garantía de nada”. Miren, si sabes de este negocio, no te dolerá tener el CISSP. Punto. Qué bueno que alguien sepa mucho, sea autodidacta, un verdadero hacker… y vuelvo a insistir, no te dolerá tener un CISSP y sí te puede traer varios beneficios.

¿Beneficios? En el mundo empresarial. Ahí contará tu experiencia, tus credenciales y certificaciones en seguridad que puedas mostrar.

Pienso que si deseas ser un profesional de la seguridad 360º, también debes de perseguir certificaciones “hands on” como las excelentes y destacadas de Offenisve Security o las de nivel intermedio como las que ofrece el SANS. 

El CEH (Ethical Hakcer) es de nivel muy básico y tengo varias opiniones al respecto. En resumen, el CEH no te hace ni ético ni hacker; digamos que te introduce en el mundo de las herramientas y eso es todo.

En seguridad, hay que “hacer”, configurar, curiosear en el software o el hardware. No sólo leer blogs o libros y entender términos de seguridad en la Wikipedia. En fin, teoría y práctica, las dos se complementan.

Así es que adelante. Ve los requerimientos que hay que tener, prepárate para pagar ochenta y tantos dólares anuales para mantenerla y juntar las famosas horas CPE (que demuestran horas dedicadas a la seguridad). Algunos piensan que es un gasto inútil ese dinero anual o bien, que es una lata dedicar (y demostrar) X horas al año a la seguridad.

Si hasta ahora no te he convencido ya sea porque piensas que da poco valor, que es muy costosa y que no te funcionará, pues ya no hay más que pueda decir para hacerte cambiar de opinión. A mí me ha servido y a mí me da valor.

4 comentarios:

Zaint Sker dijo...

Bien yo ando preparandome para realizar el examen... de forma preliminar ando con un 50% de aciertos en los dominio , Hize mi diplomado en seguridad en la DGTIC de la UNAM ...Tmb ando viendo si lo presento en ingles o en español... ya que el ingles se me qda mas grabado.. tu blog es muy bueno !!

Yo soy admin de un blog dedicadoa la deep web el lado obscuro jejeje pero bueno solo pasaba a saludar y a leer tu blog

Fausto Cepeda dijo...

Muchas gracias por tus comentarios, suerte en el examen! A ver si me dices cuál es tu blog...sl2.

Irvin Vargas dijo...

Hola Fausto.

¿Que literatura recomiendas para presentar el examen a CISSP?

He leido que el oficial es el "Guide to the CISSP CBK, Third Edition", pero lei que es como si tuviera 10 autores diferentes por los 10 rubros que maneja.

¿Con que otra literatura complementarías la preparacion para el examen?

Saludos y gracias por tu atencion

Fausto Cepeda dijo...

Irvin, mira mi otro post donde contesto tu duda:
http://seguridaddescifrada.blogspot.mx/2010/07/lee-esto-y-pasa-el-cissp.html