25 may 2012

Soy Auditor de Seguridad. ¿En qué me puedo certificar? Parte I

Buenas a todos, cuando finalizamos nuestros estudios y damos el salto al mundo laboral casi todos hemos tenido la ingenua idea de que el estudiar se iba a acabar. En muchas profesiones esto ocurre así y no hay que darle más vueltas a la tortilla, pero en la nuestra, y por nuestra me refiero a la seguridad de la información  y a la informática en general, nada más lejos de la realidad. Cuando uno finaliza sus estudios, ya sean universitarios o de formación profesional y salta al mercado laboral (dejando a un lado el doctorado, que de eso hablaré otro día), nos damos cuenta que en este mundo tan exigente nos veremos obligados a mantenernos actualizados en nuestro oficio para ser competitivos, y es más, no solo vale con actualizarnos, sino que hay que demostrarlo, ¿cómo?, pues sencillo, con títulos y certificaciones. A día de hoy nos encontramos con otro plus, y es que viendo el panorama laboral con un 25% de paro en España, hay mucha más competencia a la hora de conseguir un trabajo, y los títulos y certificaciones pueden ser la nota que te haga estar dentro o fuera del proceso de selección que te separa de ver los billetes verdes a fin de mes o seguir viendo a la misma gente en la cola del INEM. Es altamente probable que las certificaciones no definan si eres bueno o malo en tu puesto laboral, pero se tienen muy en cuenta a la hora de seleccionar gente. Es más, una vez que hayas entrado en una empresa, verás como los clientes exigen que el personal que realice los trabajos que solicitan se encuentren certificados en X o en Y, por lo que se te exigirá que vayas obteniendo nuevas certificaciones, ya sabes el dicho de renovarse o morir. Resumiendo, puedes ser muy bueno en tu oficio, pero si no tienes alguna mínima oportunidad de demostrarlo..., o bien tienes cartas de recomendación o necesitarás títulos y certificaciones que acrediten tus bondades.

Después de esta parrafada, en esta cadena de artículos que hoy damos comienzo (y que será muy larga, ya veréis), debatiremos (esperamos más que nunca vuestros comentarios y feedback) sobre las certificaciones que más se solicitan en la empresa en temas de seguridad informática.

Hoy comenzaremos por cuatro de las certificaciones que más se solicitan habitualmente, CISA y CISM, de Isaca y CEH y CHFI, de EC-Council.

  • CHFI (siglas de Computer Hacking Forensic Investigator) es una de las certificaciones más valoradas de EC-Council y que acredita a un investigador forense. Esta certificación se centra en garantizar que el profesional que la posea tiene, al menos, los conocimientos necesarios para extraer evidencias digitales de un escenario que puede comprender distintos sistemas de información. Lo bueno de ser una certificación de EC-Council, es que cuentan con la acreditación ANSI 17024, por lo que se garantiza que es una organización seria y que vela por unos procesos de certificación de alto nivel y valoración. La certificación se obtiene pasando un examen en inglés.
  • CEH (siglas de Certified Ethical Hacker) es otra certificación oficial de EC-Council orientada a acreditar a un profesional del hacking ético que se ocupe de la realización de intentos de intrusión en redes y sistemas. En esta certificación, muy técnica si se compara, por ejemplo, con el CISM, se certifica que el poseedor tiene unos conocimientos bastante completos en seguridad informática, que van desde los ataques en redes de datos hasta ataques web y criptografía.
  • CISA (siglas de Certified Information Systems Auditor) es con toda probabilidad una de las certificaciones más valoradas en la empresa. Creada por ISACA, esta certificación sigue operativa desde 1978 (muchos años sí) y exige contar con una experiencia profesional mínima de cinco años en Auditoría, Control y/o Seguridad de Sistemas de Información para obtenerla. Podéis presentaros al examen sin llegar a los cinco años de experiencia, aprobarlo, y una vez que tengáis los cinco años realizar el trámite para obtenerla. Como pro podéis cambiar hasta dos años de experiencia si tenéis una carrera superior, o una técnica y un máster. La certificación CISA se apoya en la Norma ISO 17024:2003, no es solo de seguridad como si pasa por ejemplo con CEH, CHFI o CISM, e incluye otros temas de auditoría más genéricos que no está de más saber. Es posible que durante los exámenes te encuentres con preguntas que tú, con tu experiencia, responderías de otra manera (como ya se ha debatido largo y tendido en distintos blogs y foros de Internet), pero leyendo el libro e incluso sin leerlo, haciendo tests, aprenderás la "visión de Isaca" y responderás correctamente a la mayoría sin problemas.
  • CISM (siglas de Certified Information Security Manager), también de ISACA, se apoya en la Norma ISO 17024:2003 (al igual que el CISA). y a diferencia de la anterior, esta si se centra exclusivamente en la administración de seguridad de la información.  La certificación se orienta más a gestión que a aspectos técnicos. Los aspectos técnicos que cubre los dominaréis sin problemas si os movéis por este mundillo (por ejemplo, saber que es una SQLi, un XSS, un MiTM, un Firewall o una clave pública/privada). Al igual que en el CISA se exigen cinco años de experiencia, que se pueden reducir a tres con una ingeniería superior o una técnica y un máster.

El próximo día continuaremos hablando de más certificaciones, saludos!

14 comentarios:

  1. Que opinión os merece la OSCP? creéis que en el mercado laboral actual puede ser valiosa y permitir a un trabajador competir con cualquiera que tenga una de las cuatro anteriores que habéis citado?Saludos.

    ResponderEliminar
  2. Adastra: Que opinión os merece la OSCP? creéis que en el mercado laboral actual puede ser valiosa y permitir a un trabajador competir con cualquiera que tenga una de las cuatro anteriores que habéis citado?
    Saludos.Hola @Adastra, la OSCP al ser de la gente de Offensive Security (los de Backtrack, etc. para quien no lo sepa) es una garantía de que será una certificación muy buena técnicamente. Su máximo rival a mi ver sería el CEH de Ec-Council. Yo creo que OSCP a nivel de formación y contenidos es mejor que CEH (opinión personal), pero a nivel de fama, creo que tiene más el CEH, imagino que porque OSCP se ha dado menos publicidad.¿Qué opináis el resto?saludos!

    ResponderEliminar
  3. Increible la oferta de infojobs! 6000 € al año y hay 39 inscritos... pero como están las cosas en Murcia??!!!Joder, sin plantear como de cierto es infojobs trends y sin tener en cuenta que no discrimina entre comunidades, un Tecnico de Sistemas cobra normalmente otra cosa:Salirios Tecnico de SistemasSaludos

    ResponderEliminar
  4. Hola,Un punto importante sobre el tema de las certificaciones es debemos intentar tener claro nuestro objetivo laboral. Una certificación como CISA te abrirá la puerta a auditorías más formales y relacionadas con el negocio y una CHFI te abrirá la puerta a puestos más técnicos.Con todas se aprende y todas son importantes, pero como no tenemos ni tiempo ni dinero ilimitados creo que es importante priorizar.También es importante sacarle el máximo provecho a la formación que realicemos en este sentido y no centrarnos en aprobar y obtener la certificación, sino en aprender.Saludos.

    ResponderEliminar
  5. Florencio Cano: Hola,Un punto importante sobre el tema de las certificaciones es debemos intentar tener claro nuestro objetivo laboral. Una certificación como CISA te abrirá la puerta a auditorías más formales y relacionadas con el negocio y una CHFI te abrirá la puerta a puestos más técnicos.Con todas se aprende y todas son importantes, pero como no tenemos ni tiempo ni dinero ilimitados creo que es importante priorizar.También es importante sacarle el máximo provecho a la formación que realicemos en este sentido y no centrarnos en aprobar y obtener la certificación, sino en aprender.Saludos.+1

    ResponderEliminar
  6. Trabajo para una compañia americana y el tema de las certificaciones esta bastante bien valorado aqui. Es una forma de abrir puertas y evolucionar a departamentos mas interesantes.Casi todos mis compañeros poseen alguna ya sea de fabricante (MS, Cisco..) o gestionada por un tercero (ISC2, Isaca....)En cuanto a las de seguridad, la mas valorada y la que poseen muchos de los integrantes de departamentos de IT security es CISSP.Esta la conozco bastantes, estoy certificado, y por lo que he leido es similar al CISA de Isaca.En cuando al CEH, que tambien estoy certificado, como bien decis en una certificacion mucho mas tecnica y, bajo mi punto de vista, de menor valor.No es comparable la prueba que pase para obtener el CISSP con la del CEH, esta ultima fue mucho mas sencilla.Un saludo y seguire atentamente como evoluciona este post, puede resultar muy interesante.

    ResponderEliminar
  7. [...] viernes Juanan nos propone lo siguiente, si eres auditor de seguridad…¿En qué puedes certificarte?¿Son [...]

    ResponderEliminar
  8. Hola, buenas tardes, yo quería empezar a formarme en seguridad informática para poder trabajar en el ámbito de la seguridad informática y quería empezar con las certificaciones CEH, CHFI y ECSA de Ec-council.La duda que tengo es que para que te den el titulo es necesario tener 2 años de experiencia, pero mi pregunta es, ¿podría hacer el examen igual sin tener experiencia?Aunque no me den el titulo, ¿me darían un papel conforme tengo los conocimientos y aprobé el examen?Es para poder presentárselo a una empresa y decir que aprobé los exámenes pero que no tengo el titulo porque no tengo experiencia.Un saludo.

    ResponderEliminar
  9. Hola Anxo, yo aprobé el examen del CHFI el pasado mes de Septiembre y hace un par de semanas me llegó el certificado oficial, recuerdo que marqué mientras rellenaba la documentación, el número de años que llevaba dedicándome al ámbito de la seguridad, pero en ningún momento me pidieron documentación para contrastar la experiencia (como si ocurrió por ejemplo con el CISA de ISACA).Por otro lado, aunque imagino que ya lo sabes, para obtener el ECSA necesitas primero haber superado el CEH y el CHFI.Un saludo, ánimo!

    ResponderEliminar
  10. Muchas gracias por tener la amabilidad de responder tan rápido.Es que yo quería empezar a estudiar esas certificaciones, para formarme en el ámbito de seguridad informática y poder empezar a trabajar en ello.Y como para que te den el titulo exigen 2 años de experiencia, por eso preguntaba si podía hacer el examen y que me dieran un papel conforme aprobé el examen.Una pregunta si no es mucha molestia, ¿que material utilizaste para preparar la certificación de ceh y de chfi?¿Hiciste un curso, o lo estudiaste por tu cuenta?Muchas gracias.Un saludo.

    ResponderEliminar
  11. Buenas Anxo. Yo de Ec-Council solo tengo el CHFI y me hice un curso intensivo de 48 horas antes de presentarme. En el curso te dan los tres libros oficiales, que contienen básicamente las diapositivas del curso (que no te entregan en formato electrónico por temas de copyright y para que la gente haga el curso).saludos!

    ResponderEliminar
  12. Entonces, al no tener experiencia, ¿sabes si me puedo presentar al examen?Es para no pagar y luego que no lo pueda hacer.Muchas gracias.

    ResponderEliminar
  13. No te lo puedo garantizar, pero te dejo el link del Centro donde me saqué el CHFI, enviales un correo y ellos te lo podrán confirmar: http://it-institute.org/chfi-computer-hacking-forensic-investigator.htmlUn saludo!

    ResponderEliminar
  14. Vale, muchísimas gracias por ser tan amable y contestarme tan rápido.Un saludo.

    ResponderEliminar