[09/09/2019] Dos de las preguntas más comunes que me hacen son: "¿Tener una certificación de seguridad de la información es útil para conseguir un trabajo o comenzar una carrera en seguridad informática?” Y "¿Qué certificación debería obtener?” La respuesta a la primera pregunta es un sí definitivo. Obtener una certificación, aunque no es una muestra acumulativa de toda su experiencia y conocimiento en un área en particular, solo puede ayudarle. Eso es cierto no solo para obtener un nuevo trabajo, sino también para mejorar su conocimiento y experiencia en general, incluso en su trabajo actual.
Los críticos a menudo dicen que una certificación no significa nada, y que la perspicacia y la experiencia son los únicos diferenciadores verdaderos. Como titular de docenas de certificaciones de TI, tengo que discrepar. Más importante aún, la mayoría de los empleadores están de acuerdo conmigo. Si bien una certificación informática no cuenta toda la historia, asegurar que no dice nada sobre una persona es un error.
Cada certificación que obtuve fue gracias a un estudio específico y orientado a objetivos, que los empleadores ven favorablemente, como lo hacen con los títulos universitarios. Aún más relevante, aprendí muchas nuevas habilidades y conocimientos sobre la seguridad de TI mientras estudiaba para cada prueba de certificación. Aprendí cosas nuevas y también obtuve nuevas perspectivas sobre temas que pensé que ya dominaba. Me convertí en un mejor empleado y pensador debido a todas las certificaciones para las que estudié y obtuve. Usted también lo hará.
A veces, una certificación particular es el obstáculo mínimo para obtener una entrevista de trabajo en persona. Si no cuenta con el certificado, no es invitado. Otras veces, tener una certificación específica puede darle una ventaja sobre los candidatos que compiten y que tienen habilidades y experiencia similares, pero no poseen la certificación deseada.
Hoy en día, la seguridad es más importante para la informática e Internet que nunca antes, y los siguientes respetados certificados de seguridad no solo lo ayudarán a destacar entre la multitud, sino que también lo convertirán en un miembro más valioso de la comunidad de seguridad de TI.
Aquí hay un resumen de algunas de las certificaciones de seguridad de TI más deseadas.
Certified Information Systems Security Professional (CISSP), (ISC)2
La certificación Certified Information Systems Security Professional (CISSP) del Consorcio internacional de Certificación de Seguridad de Sistemas de Información(ISC2) es la certificación de seguridad de la información más codiciada y aceptada. Este examen general de certificación de conocimientos de seguridad informática cubre ocho dominios del Cuerpo Común de Conocimientos (CBK), que incluyen control de acceso, seguridad de operaciones y criptografía.
La prueba solía consistir de 250 preguntas de opción múltiple que tenían que ser respondidas en menos de seis horas, pero desde diciembre del 2017, ahora se usan pruebas adaptativas que reducen el número de preguntas y el tiempo de respuesta a un máximo de tres horas. Los candidatos ya deben tener de cuatro a cinco años de experiencia profesional en dos o más de los dominios CBK, y deben contar con el respaldo de un titular del certificado CISSP actual. Aquellos que aprueben la certificación también deben firmar y aceptar seguir una serie de normas éticas, y cada titular de la certificación debe volver a presentar periódicamente pruebas de educación continua, junto con una cuota, para mantener la designación CISSP. El costo inicial del examen es de 699 dólares.
Solía ser un instructor no oficial del examen CISSP, y le he enseñado a cientos de estudiantes cómo tomar y aprobar el examen. En mi experiencia, los candidatos deben comprar al menos dos libros de preparación para el examen CISSP y realizar al menos mil preguntas de práctica. Todos los estudiantes que tuve que siguieron este consejo aprobaron en el primer intento. Si no tiene los cinco años de experiencia requeridos, incluso si aprueba el examen CISSP, solo podrá llamarse a sí mismo un profesional de (ISC)2 y no un CISSP. Si piensa que nunca tendrá la experiencia de cinco años, considere tomar uno de los exámenes más fáciles y más baratos de (ISC)2 (obtendrá el mismo título), o simplemente un examen de otro proveedor de exámenes.
No siempre he sido un gran admirador de las preguntas de la prueba CISSP. Cuando tomé y aprobé el examen, las preguntas no siempre estaban bien editadas o técnicamente correctas. Cuando me comuniqué con (ISC)2 para quejarme, me dijeron que éstas eran probablemente preguntas de prueba "beta” que no contaban para la puntuación. Además, no importa cuánto estudiaba o cuántas preguntas de práctica respondía, una gran parte del examen parecería desconocida. En ese entonces, la mayoría de los examinados de CISSP salían del examen sin saber cómo les fue.
Aunque escuché que la calidad general de las preguntas de la prueba ahora está mejor, los examinados todavía sienten que no saben cómo les fue hasta que se les califica. A pesar de esas críticas significativas, no existe una certificación de seguridad más respetada. Los clientes rara vez preguntan qué certificaciones tengo, pero si lo hacen, casi siempre esperan escucharme decir CISSP porque la persona que pregunta generalmente tiene su CISSP.
A decir verdad, será una mucho mejor persona de seguridad de la información luego de haber estudiado y tomado el examen. Cubre una amplia gama de temas de seguridad de la información, y si alguien comienza a hablar sobre la "tríada CID”, sabrá de qué están hablando. (ISC)2 tiene, al menos, otros siete exámenes de certificación, y todos son muy respetados.
Nota: Manténgase al día con sus requisitos de educación continua. Si no cumple con los requisitos de educación continua de CISSP, es posible que deba volver a tomar el examen y pagar la misma tarifa que la primera vez que lo tomó.
Instituto SANS (SysAdmin Audit, Networking and Security Institute)
La organización y el sitio web del Instituto SANS es un gran recurso para profesionales de la seguridad. Capacitación, investigación, educación, libros, certificaciones: SANS hace mucho y lo hace bien. Si está interesado en ser un técnico experto respetado, SANS le ofrece los certificados. Incluso ofrece al menos un título acreditado a nivel de maestría bajo la marca del Instituto de Tecnología SANS, si desea el máximo logro técnico de nuestro campo.
SANS tiene una gran cantidad de certificaciones, que van desde temas de seguridad muy específicos (análisis de malware, firewalls, seguridad del host, controles de seguridad, etc.) hasta la designación de Experto en Seguridad Global Information Assurance Certification (GIAC). No creo haber tomado un curso SANS que no me haya enseñado más en unas pocas horas, que en las semanas que pasé en clases ofrecidas por otros proveedores de capacitación; y aún no he conocido a un titular de GIAC que no me impresione.
GIAC ofrece más de 30 certificaciones clasificadas en una de cinco áreas temáticas: administración de seguridad, análisis forense, gestión, auditoría y seguridad de software. La mayoría de los exámenes son de libro abierto (pero no de Internet abierto) y tienen un límite de tiempo de dos a cinco horas. El candidato debe completar la certificación dentro de los cuatro meses de intentar el examen. Desafortunadamente, según la guía de examen GIAC, algunos exámenes podrían incluir preguntas de prueba "sin puntaje” como el CISSP. Supongo que habrá menos preguntas de prueba beta, y lo que tienen está mejor supervisado. Los exámenes SANS pueden incluir entornos prácticos del mundo real simulados (pero limitados), para demostrar que el candidato realmente comprende el tema y sabe cómo aplicarlo en la vida real.
Algunos de los exámenes GIAC más populares de SANS son GIAC Information Security Professional, GIAC Certified Incident Handler y GIAC Reverse Engineering; y ofrece cursos que abarcan toda la gama, incluidos Windows, servidores web, pruebas de penetración, seguridad Unix, redes inalámbricas, programación, liderazgo y gestión de programas. La prueba GIAC debe realizarse después de asistir a la capacitación SANS, que generalmente dura una semana; pero puede desafiar (no tomar la capacitación oficial) el examen por 1.899 dólares. Todos los exámenes de certificación GIAC deben renovarse cada cuatro años. Si desea aprender mucho sobre seguridad de la información, cómo hackean los hackers y cómo se hace el malware, inicie su curso SANS ahora. Las certificaciones GIAC son codiciadas, pero caras. A la mayoría de los estudiantes sus empresas les pagan la cuota.
Hacker Ético Certificado (CEH), Consejo de la CE
La certificación Hacker Ético Certificado del Consejo de la CE (CEH) es una forma muy respetada de aprender a ser hacker de sombrero blanco (o profesional en pruebas de penetración). El CEH me presentó algunas herramientas de hacking interesantes que sigo usando hoy. El examen de cuatro horas incluye 125 preguntas de opción múltiple. La tarifa de elegibilidad para la solicitud es de 100 dólares y la tarifa de ejemplo es de 950 a 1.199 dólares. CEH requiere dos años de experiencia relevante y el examen de capacitación oficial cuesta 850 dólares.
A veces escuchará a profesionales de la seguridad de la información con larga trayectoria hablando sobre la certificación CEH. Creo que eso es de generaciones anteriores cuando CEH era una de las únicas certificaciones informáticas para pruebas de penetración, cuando los exámenes de seguridad de la información eran bastante nuevos y más fáciles de aprobar. Hoy en día, la CEH tiene su propia resistencia general, y el Consejo de la CE ofrece una serie de otros exámenes útiles, incluyendo Computer Hacking Forensic Investigator, Licensed Penetration Tester, Certified Incident Handler, y Certified Disaster Recovery Professional. Incluso tiene un examen para un Director de Seguridad de la Información.
Offensive Security Certified Professional (OSCP)
Si su amor por el hacking son las pruebas de penetración y no desea tomar la ruta fácil, el curso y la certificación de Offensive Security Certified Professional (OSCP) ha ganado una reputación bien merecida por su complejidad con una estructura y examen de aprendizaje muy práctico. El curso de capacitación oficial en línea de 800 dólares se llama Prueba de penetración con Kali Linux, e incluye 30 días de acceso al laboratorio. Debido a que se basa en Kali Linux (el sucesor de la distribución de Linux que los probadores de penetración preferían anteriormente, BackTrack), los participantes necesitan una comprensión básica de cómo usar Linux, bash shells y scripts.
OSCP es conocido por presionar más a sus estudiantes y a los examinados que otras rutas de pruebas de penetración. Por ejemplo, el curso OSCP enseña, y el examen requiere, la capacidad de obtener, modificar y usar código de explotación obtenido públicamente. Para el "examen”, el participante recibe instrucciones para conectarse de forma remota a un entorno virtual, donde se espera que comprometa múltiples sistemas operativos y dispositivos dentro de las 24 horas y documente a fondo cómo lo hizo.
Offensive Security ofrece cursos y exámenes más avanzados de pruebas de penetración, incluyendo web, Wireless, y la explotación avanzada de Windows. Es posible que los lectores quieran aprovechar su curso básico en línea gratuito (o para donación) de la herramienta Metasploit.
Seguridad+, CompTIA
CompTIA ofrece exámenes de certificación integrales de nivel básico en reparación de PC (A+), redes (Network+) y seguridad (Security+). Debido a que un examen CompTIA es, a menudo, la primera prueba realizada por muchas personas nuevas en la industria de la computación, desafortunadamente tiene la reputación de ser una certificación demasiado básica.
En mi opinión, y según los estándares de muchos empleadores, esto no es cierto. Es posible que los exámenes no sean tan respetados como otros líderes de certificación, pero son exhaustivos y uno debe estudiar mucho para aprobarlos. La certificación CompTIA Security+ cubre seguridad de red, criptografía, gestión de identidad, cumplimiento, seguridad de operación, amenazas y seguridad de host, entre otros temas. Son 90 minutos para completar 90 preguntas. Tomé el examen Security+ hace mucho tiempo, pero fue más difícil de lo esperado para un examen que cubre los aspectos básicos. Incluso incluye algunos entornos simulados, donde el examinado tiene que seleccionar las opciones correctas. El precio es de 399 dólares.
CompTIA ofrece un nuevo examen de ciberseguridad conocido como el examen CompTIA Advanced Security Practitioner (CASP+). Como puede parecer, cubre temas de seguridad cibernética más avanzados, incluida la forma de implementar soluciones más complejas. Son más de 90 preguntas en 165 minutos. El tiempo extra sobre Security+ le indica el tipo de preguntas que recibirá. El examen CASP+ cuesta 439 dólares.
ISACA
ISACA, anteriormente conocida por su nombre completo, Asociación de Auditoría y Control de Sistemas de Información, ofrece un rango de certificaciones respetadas que se enfocan principalmente en auditoría, gestión y cumplimiento. Sus principales certificaciones incluyen las siguientes: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT), y Certified in Risk and Information Systems Control (CRISC).
Si bien los títulos pueden no impresionarlo, es precisamente su solidez profesional la que vende el valor de estas certificaciones. Si está interesado en la auditoría de sistemas informáticos o la gestión de la seguridad de la información, estas son las certificaciones que debe obtener. Los exámenes ISACA son logrados con frecuencia por los mejores generadores de dinero.
Uno de los primeros y más difíciles exámenes que tomé y aprobé fue un examen de Contador Público Certificado (CPA) a nivel estatal, que por supuesto no tiene nada que ver con la seguridad de la información. El tipo y la estructura de las preguntas del examen ISACA me recuerdan el examen de CPA. He obtenido tanto el CISA como el CISM, y he llegado a la conclusión de que ambas son buenas pruebas de conocimiento de seguridad. Las tarifas de examen son de 575 a 760 dólares, y requieren cinco años de experiencia relevante para que usted sea elegible para tomar los exámenes. Comprar un libro de preparación y resolver unos cientos de preguntas de prueba de práctica, además de su experiencia, debería ser todo lo que necesita para obtener estos certificados.
Crest
A nivel internacional, los cursos y exámenes sin fines de lucro CREST de acreditación de aseguramiento de la información y del organismo de certificación, son comúnmente aceptados en muchos países, incluidos el Reino Unido, Australia, Europa y Asia. La misión de CREST es educar y certificar profesionales de seguridad de la información de calidad. Todos los exámenes aprobados por CREST han sido revisados y aprobados por la Sede de Comunicación del Gobierno del Reino Unido (GCHQ), que es análoga a la NSA de los Estados Unidos.
El examen de seguridad de la información básico de CREST se conoce como CREST Practitioner Security Analyst (CPSA), y hay un examen de pruebas de penetración llamado CREST Registered Tester (o CRT).
Certificaciones específicas de proveedor
Muchos proveedores, como Microsoft y Cisco, ofrecen exámenes específicos de seguridad que vale la pena seguir. Hace años, Microsoft tenía varios exámenes para especialistas en seguridad, como MCSE: Security. La seguridad se ha convertido en una preocupación general para todas las plataformas y tecnologías, y durante años Microsoft ha planteado cada vez más preguntas y pruebas de seguridad en todos sus exámenes.
Sin embargo, todavía hay algunos exámenes de Microsoft específicos en seguridad, incluido el examen de 165 dólares Securing Windows Server 2016. Como es de esperar, la certificación se centra en las nuevas características de seguridad en Microsoft Windows Server 2016, pero va mucho más allá de proteger técnicamente un producto de servidor. Cubre forest design rojo/verde, Just-in-Time Admin, Just Enough Admin y las últimas tecnologías de seguridad de Microsoft como Advance Threat Analytics (ATA). Es posible que los técnicos de seguridad de Microsoft también quieran tomar la prueba Security Fundamentals de Microsoft por 127 dólares.
Las certificaciones de Cisco siempre han sido reconocidas por la industria y se consideran difíciles de aprobar. La certificación Cisco Certified Internetwork Expert (CCIE) se considera el examen más difícil de aprobar en la industria. Según Cisco, menos del 3% de los estudiantes del examen CCIE obtienen la certificación, incluso después de pagar miles de dólares, crear laboratorios en el hogar, y pasar un promedio de 18 meses estudiando para ello.
El certificado Certified Network Associate (CCNA) Security de Cisco es más fácil de obtener y sigue siendo muy respetado. Primero debe tener otra certificación de Cisco válida para tomar el examen CCNA Security. Después de obtener el CCNA Security (o cualquier certificación CCIE aprobada), puede tomar el Certified Network Professional (CCNP) Security de Cisco.
CCIE-Security es el examen de seguridad top de Cisco. Consiste en un examen escrito de dos horas (que debe aprobarse primero), luego una porción de laboratorio de ocho horas. Todos los exámenes de certificación de Cisco son difíciles, pero si obtiene el CCIE Security, podrá ganarse la vida casi en cualquier parte del mundo.
Apple no parece tener un examen específico de seguridad, pero sus exámenes de MacOS tradicionales incluyen algunos componentes de seguridad.
Red Hat y otros certificados de seguridad de Linux
Red Hat ofrece docenas de exámenes de certificación, y, al igual que otros proveedores importantes, ofrece al menos un examen de especialidad en seguridad: Red Hat Certificate of Expertise in Server Security and Hardening. Además de la información normal de Linux sobre el endurecimiento del servidor, los candidatos exitosos deben estar preparados para manejar las vulnerabilidades y exposiciones comunes (CVE) y los informes de avisos de seguridad de Red Hat. El precio es de 600 dólares.
El Instituto Profesional de Linux (LPI) ofrece un examen de seguridad de Linux neutral con respecto a proveedores (LPIC-3 303) que cubre una gran cantidad de temas de seguridad. Los candidatos deben haber aprobado con éxito otros cuatro exámenes LPI de nivel inferior para calificar para el LPIC-3 303. Los exámenes LPI Nivel 3, entre los que está LPIC-3 303, cuesta 299,99 dólares. SANS también ofrece una certificación de seguridad GIAC Unix que aplica a Linux.
Qué certificaciones conseguir primero
Creo firmemente en tomar primero lo que uno conoce mejor. Use su primer examen y certificación para volver a tener buenos hábitos de estudio, y una vez que lo apruebe, desarrolle confianza. Si falla, identifique sus debilidades y vuelva a pararse. Una vez le enseñé a un chico que falló la misma prueba dos docenas de veces en el transcurso de un año. Continuó regresando y finalmente obtuvo un puntaje de aprobación.
Si su experiencia lo califica para tomar el CISSP, sería una excelente certificación para comenzar. El aliento del examen (no la profundidad del material) es lo que hace que el CISSP sea un desafío. La mayoría de las personas que toman el examen lo aprueban, y una vez que haya obtenido la certificación, puede estar preparado para compartir su éxito con cualquiera que lo solicite.
Si desea adquirir nuevas habilidades técnicas, comience con SANS GIAC, CEH u OCSP. Las personas que ya están en auditoría o gestión, o aquellas interesadas en hacerlo, deberían considerar los exámenes ISACA. La gente de cumplimiento debe mirar hacia SANS e ISACA. La prueba de experiencia en una suite de productos de un proveedor se puede compartir rápidamente cuando tiene la certificación de ese mismo proveedor.
También creo firmemente en tomar tantos exámenes de certificación como sea posible mientras sea posible. Es más fácil estudiar y aprobar los exámenes de certificación cuando se encuentra en "modo de estudio”, por lo que una vez que tenga esa mentalidad, continúe e intente aprobar algunos exámenes sucesivamente. Muchas veces, las personas que deciden tomarse un descanso de las certificaciones después de aprobar una o dos, nunca regresan.
Me enorgullecería tener cualquiera de las certificaciones de seguridad de la información de esta lista. Cada una ampliará su conocimiento en seguridad y lo convertirá en un mejor profesional de seguridad de la información. Cada una de estas entidades de certificación se ha ampliado para convertirse en una comunidad completa de personas de ideas afines. No solo obtendrá ayuda para comprender sobre la seguridad de la información, sino también una lista de discusión donde puede hacer preguntas sobre cualquier tema o escenario difícil y obtener ayuda. He hecho amistades en línea que han durado décadas, y aunque no las he conocido en persona, siento que realmente son mis mentores y amigos. Las certificaciones y los ecosistemas en línea que generan solo pueden ayudarlo a usted y a su carrera.
Roger A. Grimes, InfoWorld (EE.UU.)