[16/09/2021] A medida que las empresas trasladan más y más su infraestructura a la nube, se ven obligadas a cambiar su enfoque de la seguridad. Los controles de seguridad que hay que establecer para una infraestructura basada en la nube son diferentes a los de un centro de datos tradicional. También hay amenazas específicas de un entorno en la nube. Un error podría poner en riesgo sus datos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
No es de extrañar que los responsables de la contratación busquen candidatos que puedan demostrar sus conocimientos de seguridad en la nube, y varias empresas y organizaciones han creado certificaciones para ayudar a los candidatos a diferenciarse. Como en muchas otras áreas de TI, estas certificaciones pueden ayudar a dar un impulso a su carrera. "Las certificaciones de seguridad en la nube pueden preparar a los profesionales para el éxito profesional a largo plazo en el diseño, la operación y el mantenimiento de entornos seguros en la nube para las empresas actuales", comenta Joe Vadakkan, director senior de alianzas de servicios en Optiv. "Además de que el proceso es una experiencia de aprendizaje divertida, cada certificación ofrece un beneficio único para comprender los controles de seguridad, los riesgos asociados y las necesidades dinámicas de los modelos operativos en la nube".
Pero ¿qué certificación debería seguir? Hablamos con varios profesionales de la seguridad informática para conocer su opinión sobre las que son las señales más aceptadas de los candidatos de alta calidad. Entre ellas se encuentran las certificaciones de seguridad en la nube tanto para principiantes como para profesionales avanzados.
Principales certificaciones de seguridad en la nube
Tenemos los detalles ocho de las mejores certificaciones de seguridad identificadas: cuatro que son certificaciones generalistas y cuatro construidas en torno a plataformas específicas.
Cuatro buenas certificaciones generales de seguridad en la nube...
1. Certificado de conocimientos de seguridad en la nube (CCSK): Estrictamente hablando, el CCSK, como su nombre indica, es un certificado en lugar de una certificación, pero sigue representando un valioso primer paso en su trayectoria de seguridad en la nube. "Si tiene que elegir una certificación y quiere (como debería) entender más de los conceptos técnicos más allá de un nivel teórico, un CCSK es el camino a seguir", señala Aaron Rosenmund, director de Investigación de Seguridad y Plan de Estudios en Pluralsight. "Es un conocimiento agnóstico del proveedor sobre la seguridad de los datos en la nube. Garantiza que los tecnólogos tengan los conocimientos básicos y profundos necesarios -desde la arquitectura e infraestructura de la nube hasta la seguridad de los datos, la gestión de claves y la gestión de la identidad y el acceso- para utilizar los servicios en la nube de forma más segura".
En el examen CCSK se pide a los participantes que demuestren su conocimiento de tres documentos clave: la Guía de Seguridad de la CSA para las Áreas Críticas de Atención en la Computación en la Nube, la Matriz de Control de la Nube de la CSA y la Evaluación de Riesgos de la Computación en la Nube de la Agencia de Ciberseguridad de la UE. El examen es a libro abierto y se puede realizar en línea.
- Ofrecido por: Cloud Security Alliance
- Requisitos previos: Ninguno
- Formato del examen: 60 preguntas de opción múltiple
- Costo: 395 dólares para realizar el examen (se permite repetirlo una vez si no se aprueba)
- Página web oficial: https://cloudsecurityalliance.org/education/ccsk/
2. CompTIA Cloud+: Cloud+ es estrictamente una certificación general de administración de la nube más que una certificación de seguridad, pero incluye un amplio contenido de seguridad en la nube y muchas personas con las que hablamos la mencionaron como una forma de demostrar que se entiende tanto la nube como el lugar de la seguridad en ella, incluyendo la implementación de controles de seguridad en la nube y la resolución de problemas de seguridad en la nube. Es el sucesor del certificado CompTIA Cloud Essentials+, y es definitivamente más técnico; aunque no hay requisitos formales previos, se recomiendan dos o tres años de experiencia como administrador de sistemas.
"Certificaciones como CompTIA Cloud+ proporcionan una sólida comprensión de los conceptos, el vocabulario común y los enfoques de la nube", señala Dustin Hutchison, PhD, vicepresidente de servicios y CISO en Pondurance. "Sin embargo, no proporcionan habilidades técnicas específicas de la plataforma para el trabajo". (Hablaremos de ellas con más detalle en un momento).
3. Automatización de seguridad en la nube de GIAC (GSA): La certificación GSA Automation puede ser una de las certificaciones menos conocidas de esta lista, pero Adam Gordon, instructor de ITProTV, dice que los gerentes de contratación reconocen su lugar en el mercado. Al igual que las otras certificaciones de las que hemos hablado hasta ahora, no tiene requisitos formales, pero es una de las certificaciones más avanzadas y los candidatos deberían tener entre tres y cinco años de experiencia.
La certificación se construye en torno a la formación de Seguridad en la Nube y Automatización de DevSecOps del Instituto SANS, y aquellos que realicen ese curso pueden obtener un descuento en el precio no insignificante del examen. El examen se centra especialmente en la seguridad de los procesos automatizados asociados a CI/CD, e incluye material sobre servicios específicos de AWS y Azure.
4. Profesional certificado de seguridad en la nube (CCSP): Casi todas las personas con las que hemos hablado están de acuerdo: la CCSP de ISC2 es una de las certificaciones más conocidas y respetadas del mercado. A diferencia de las certificaciones anteriores que hemos analizado, la CCSP está pensada para profesionales de alto nivel y con más experiencia, con un requisito de varios años de empleo en el sector antes de poder solicitar la certificación. "Desde el punto de vista de la experiencia y la credibilidad de la seguridad en la nube, creo que la CCSP es la mejor", afirma Dave Hatter, consultor de seguridad cibernética de IntrustIT. "Es agnóstica en cuanto a proveedores, requiere conocimientos en dominios críticos, exige experiencia en el mundo real, y proviene de una de las organizaciones de ciberseguridad más respetadas del sector".
"Como gerente de contratación con experiencia, los certificados son importantes, ya que muestran el potencial de un candidato para retener el conocimiento, pero lo que los certificados no reflejan claramente es la capacidad del candidato para aplicar ese conocimiento a las aplicaciones del mundo real", añade Chuck Everette, director de Defensa de la Ciberseguridad en Deep Instinct. "El CSSP es muy respetado debido al requisito de que el candidato debe tener un número de años de experiencia laboral remunerada en el campo de la infoseguridad, que realmente se relaciona con el tema de la seguridad en la nube, el riesgo y el cumplimiento".
- Ofrecido por: ISC2
- Requisitos previos: Cinco años de experiencia laboral remunerada en TI, de los cuales al menos tres deben haber sido en infoseguridad, y al menos uno de ellos debe haber involucrado uno o más dominios en el cuerpo común de conocimientos de ISC2 para la seguridad en la nube
- Formato de la prueba: 125 preguntas de opción múltiple
- Costo: 599 dólares para realizar el examen; 125 dólares de cuota de mantenimiento anual
- Sitio web oficial: https://www.isc2.org/Certifications/CCSP
...y cuatro certificaciones específicas para plataformas en la nube
Todas las certificaciones de las que hemos hablado hasta ahora son más o menos neutrales con respecto a los proveedores, aunque la GSA toca algunas tecnologías específicas de determinados proveedores de la nube. Sin embargo, si quiere demostrar que conoce una plataforma en la nube en particular, hay certificaciones específicas de un proveedor que pueden ayudarle a hacerlo.
"Las certificaciones de especialización en seguridad realmente hacen que una persona destaque, porque entenderá las mejores prácticas y metodologías para cada entorno de nube específico", señala Vadakkan de Optiv. "Cada proveedor tiene su propio conjunto de cientos de servicios, por lo que ser un experto en uno aporta mucho valor a una organización".
Echemos un vistazo a cuatro certificaciones que muchos de los expertos con los que hablamos coinciden en que pueden hacerle destacar ante potenciales empleadores que confían en plataformas específicas de la nube.
5. Azure Security Engineer Associate: Esta certificación está destinada a validar su experiencia en la implementación de controles de seguridad y protección contra amenazas en la plataforma Azure de Microsoft, así como las habilidades para gestionar la identidad y el acceso y proteger los datos, las aplicaciones y las redes. Al igual que con muchas de las certificaciones de esta lista, no hay requisitos previos formales, pero esto no es para los novatos: se espera que no solo sea un administrador experto de Azure, sino que también tenga habilidades sólidas de scripting y automatización, y una comprensión de las redes, la virtualización y las arquitecturas de N niveles basadas en la nube.
Para obtener la certificación, debe aprobar el examen AZ-500 de Microsoft.
6. AWS Certified Security -- Specialty: AWS de Amazon es probablemente la plataforma de nube pública más utilizada, por lo que obtener la certificación de seguridad para ella puede aumentar sus perspectivas de trabajo. Un titular de la AWS Certified Security -- Specialty ha demostrado una comprensión de las clasificaciones de datos especializados de AWS y las medidas de protección, cómo AWS implementa el cifrado, y los servicios de seguridad y características integradas en la plataforma.
Aunque no hay requisitos previos formales, Amazon recomienda tener al menos dos años de experiencia práctica en AWS y un mínimo de cinco años de experiencia en seguridad de TI antes de realizar el examen.
7. Professional Cloud Security Engineer: El título de este certificado puede parecer genérico, pero está orientado específicamente a Google Cloud, completando los tres grandes proveedores de plataformas en la nube. El titular de la certificación Professional Cloud Security Engineer debe ser capaz de diseñar e implementar una infraestructura segura en la nube de Google.
Aunque no hay requisitos previos formales, Google recomienda tener al menos un año de experiencia con Google Cloud y tres años de experiencia en el sector en general antes de realizar el examen. Debe estar familiarizado con todos los fundamentos de la seguridad en la nube, como la gestión de identidades y accesos, así como con las tecnologías específicas de protección de datos y respuesta a incidentes de Google.
8. Certified Kubernetes Security Specialist (CKS): Kubernetes es la plataforma dominante para orquestar aplicaciones basadas en contenedores, que en la práctica casi siempre se ejecutan en la nube. La certificación CKS es para los profesionales de alto nivel de Kubernetes que quieren demostrar que entienden las mejores prácticas para asegurar las aplicaciones basadas en contenedores desde la construcción hasta el despliegue y el tiempo de ejecución.
Un administrador con la certificación CKS habrá demostrado su capacidad para configurar y endurecer los clústeres, minimizar las vulnerabilidades en los microservicios y supervisar los problemas de seguridad mientras se ejecutan las aplicaciones.
- Ofrecido por: Cloud Native Computing Foundation
- Requisitos previos: Los candidatos deben ser titulares de un certificado de administrador de Kubernetes
- Formato de la prueba: Prueba basada en el rendimiento en la que los examinados resuelven múltiples tareas desde una línea de comandos ejecutando Kubernetes
- Costo: 375 dólares
- Sitio web oficial: https://www.cncf.io/certification/cks/
Más allá de las certificaciones
Todas estas certificaciones son buenas formas de demostrar sus habilidades a sus actuales o potenciales futuros empleadores: son "una buena forma de poner el pie en la puerta de una empresa que hace seguridad en la nube y son buenas para pasar el filtro del currículum", comenta Karl Fosaaen, director de Prácticas en la Nube de NetSPI. Dicho esto, no son lo más importante, y un currículum que solo contenga certificaciones no impresionará a nadie.
"Los candidatos deben ser capaces de demostrar que comprenden cómo funcionan los componentes de la nube y cómo se integran entre sí en una plataforma determinada", continúa Fosaaen. "Muchas de las certificaciones disponibles en la actualidad solo requieren que la gente memorice la terminología, por lo que no se tiene garantizado un candidato sólido si simplemente tiene una certificación. Para los que contratan con estas certificaciones, asegúrese de que va al nivel extra para asegurarse de que los candidatos realmente entienden los proveedores de la nube que su organización utiliza".
Fosaaen recomienda seguir formaciones específicas para pulir aún más el currículum, como el curso Cloud Penetration Testing del SANS Institute, el Breaching The Cloud Perimeter de BHIS o el Dark Side Ops Training de su propia empresa. Cursos de formación concretos como estos pueden ser un gran complemento al "aprendizaje de libros" de una certificación.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú
Puede ver también: