Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre certificaciones de seguridad charlando sobre cuatro nuevas certificaciones que se suelen pedir habitualmente a los auditores/consultores de seguridad de la información:
- OSCP: siglas de Offensive Security Certified Professional. Es una certificación de la gente de Offensive Security, creadores de Backtrack, lo que ya os da una pista de qué acreditará la certificación. Se obtiene de una manera diferente a otras certificaciones, no hay tests multirespuesta que den lugar a dudas (como indican desde su sitio web) y el examen es púramente práctico. Se realiza en un laboratorio y consiste en pasar una serie de pruebas hacking por las que se irán proporcionando puntos, lo que nosotros llamaríamos CTF o Reto Hacking, pero que acaba en la obtención de una certificación en vez de un iPad o una bolsa de ganchitos. No es tan conocida como si pueda ser el CEH por ejemplo, pero certifica que el que obtiene la certificación es realmente un experto en seguridad a nivel técnico.
- CISSP: siglas de Certified Information Systems Security Professional. Es una certificación de la International Information Systems Security Certification Consortium (ISC)2, que tiene como objetivo reconocer a los profesionales con una formación en el área de seguridad de la información. Tiene un alcance genérico y abarca en su temario, bastante técnico, aspectos que van desde la criptografía y la seguridad de aplicaciones a aspectos legales y regulatorios. De las certificaciones exclusivas de seguridad, es una de las más valoradas.
- CRISC: siglas de Certified Risk & Information System Control. Es una certificación de ISACA (como CISA y CISM, de las que ya hablamos en el anterior artículo) creada en 2010, y destinada a reconocer las capacidades profesionales para diseñar, implementar y mantener sistemas de información para mitigar riesgos. La certificación requiere las mismas condiciones de CISA y CISM para su obtención (examen tipo test y 5 años mínimos de experiencia).
- ITIL: siglas de Information Technologies Infrastructure Library. Es un conjunto de mejores prácticas para la dirección y gestión de servicios de tecnologías de la información creadas por la OGC (Office of Government Commerce). ITIL se distribuye en un conjunto de libros que tienen como objetivo la mejora de la calidad de los servicios de tecnologías de la información que presta una organización. ITIL a diferencia de estándares como los de ISO o modelos como CMMI del SEI, no certifica organizaciones, pero sí certifica personas, a las que acredita como expertos en gestión y dirección de tecnologías de la información. La certificación no es exclusiva de seguridad, si no que es mucho más amplia (como CISA), pero es una de las certificaciones más solicitadas a auditores. Cuenta con varios niveles que arrancan en el "Itil Foundation", el más sencillo de obtener, hasta el "Itil Máster"
¿Y vosotros tenéis alguna de las certificaciones de las que hemos hablado hoy? ¿Os parecen útiles? ¿Las recomendaríais?
saludos!
No hay comentarios:
Publicar un comentario