Soy Auditor de Seguridad. ¿En qué me puedo certificar? Parte I

Buenas a todos, cuando finalizamos nuestros estudios y damos el salto al mundo laboral casi todos hemos tenido la ingenua idea de que el estudiar se iba a acabar. En muchas profesiones esto ocurre así y no hay que darle más vueltas a la tortilla, pero en la nuestra, y por nuestra me refiero a la seguridad de la información  y a la informática en general, nada más lejos de la realidad. Cuando uno finaliza sus estudios, ya sean universitarios o de formación profesional y salta al mercado laboral (dejando a un lado el doctorado, que de eso hablaré otro día), nos damos cuenta que en este mundo tan exigente nos veremos obligados a mantenernos actualizados en nuestro oficio para ser competitivos, y es más, no solo vale con actualizarnos, sino que hay que demostrarlo, ¿cómo?, pues sencillo, con títulos y certificaciones. A día de hoy nos encontramos con otro plus, y es que viendo el panorama laboral con un 25% de paro en España, hay mucha más competencia a la hora de conseguir un trabajo, y los títulos y certificaciones pueden ser la nota que te haga estar dentro o fuera del proceso de selección que te separa de ver los billetes verdes a fin de mes o seguir viendo a la misma gente en la cola del INEM. Es altamente probable que las certificaciones no definan si eres bueno o malo en tu puesto laboral, pero se tienen muy en cuenta a la hora de seleccionar gente. Es más, una vez que hayas entrado en una empresa, verás como los clientes exigen que el personal que realice los trabajos que solicitan se encuentren certificados en X o en Y, por lo que se te exigirá que vayas obteniendo nuevas certificaciones, ya sabes el dicho de renovarse o morir. Resumiendo, puedes ser muy bueno en tu oficio, pero si no tienes alguna mínima oportunidad de demostrarlo..., o bien tienes cartas de recomendación o necesitarás títulos y certificaciones que acrediten tus bondades.

Después de esta parrafada, en esta cadena de artículos que hoy damos comienzo (y que será muy larga, ya veréis), debatiremos (esperamos más que nunca vuestros comentarios y feedback) sobre las certificaciones que más se solicitan en la empresa en temas de seguridad informática.

Hoy comenzaremos por cuatro de las certificaciones que más se solicitan habitualmente, CISA y CISM, de Isaca y CEH y CHFI, de EC-Council.

  • CHFI (siglas de Computer Hacking Forensic Investigator) es una de las certificaciones más valoradas de EC-Council y que acredita a un investigador forense. Esta certificación se centra en garantizar que el profesional que la posea tiene, al menos, los conocimientos necesarios para extraer evidencias digitales de un escenario que puede comprender distintos sistemas de información. Lo bueno de ser una certificación de EC-Council, es que cuentan con la acreditación ANSI 17024, por lo que se garantiza que es una organización seria y que vela por unos procesos de certificación de alto nivel y valoración. La certificación se obtiene pasando un examen en inglés.
  • CEH (siglas de Certified Ethical Hacker) es otra certificación oficial de EC-Council orientada a acreditar a un profesional del hacking ético que se ocupe de la realización de intentos de intrusión en redes y sistemas. En esta certificación, muy técnica si se compara, por ejemplo, con el CISM, se certifica que el poseedor tiene unos conocimientos bastante completos en seguridad informática, que van desde los ataques en redes de datos hasta ataques web y criptografía.
  • CISA (siglas de Certified Information Systems Auditor) es con toda probabilidad una de las certificaciones más valoradas en la empresa. Creada por ISACA, esta certificación sigue operativa desde 1978 (muchos años sí) y exige contar con una experiencia profesional mínima de cinco años en Auditoría, Control y/o Seguridad de Sistemas de Información para obtenerla. Podéis presentaros al examen sin llegar a los cinco años de experiencia, aprobarlo, y una vez que tengáis los cinco años realizar el trámite para obtenerla. Como pro podéis cambiar hasta dos años de experiencia si tenéis una carrera superior, o una técnica y un máster. La certificación CISA se apoya en la Norma ISO 17024:2003, no es solo de seguridad como si pasa por ejemplo con CEH, CHFI o CISM, e incluye otros temas de auditoría más genéricos que no está de más saber. Es posible que durante los exámenes te encuentres con preguntas que tú, con tu experiencia, responderías de otra manera (como ya se ha debatido largo y tendido en distintos blogs y foros de Internet), pero leyendo el libro e incluso sin leerlo, haciendo tests, aprenderás la "visión de Isaca" y responderás correctamente a la mayoría sin problemas.
  • CISM (siglas de Certified Information Security Manager), también de ISACA, se apoya en la Norma ISO 17024:2003 (al igual que el CISA). y a diferencia de la anterior, esta si se centra exclusivamente en la administración de seguridad de la información.  La certificación se orienta más a gestión que a aspectos técnicos. Los aspectos técnicos que cubre los dominaréis sin problemas si os movéis por este mundillo (por ejemplo, saber que es una SQLi, un XSS, un MiTM, un Firewall o una clave pública/privada). Al igual que en el CISA se exigen cinco años de experiencia, que se pueden reducir a tres con una ingeniería superior o una técnica y un máster.

El próximo día continuaremos hablando de más certificaciones, saludos!