Certificaciones y haters



Buenos días. Hace un par de meses participé en la presentación del programa de mentoring del grado de ingeniería de la ciberseguridad de la Universidad Rey Juan Carlos y tuve la oportunidad de hablar con los alumnos de diversos temas en los que estaban interesados, entre ellos, qué estudiar al salir de la Universidad. Por ello, he decidido estrenarme en Flu Project con un tema que para mí suele ser bastante polémico: las certificaciones de ciberseguridad. He decidido hablar sobre ellas, ya que fue un tema sobre el que me preguntaron los alumnos y pese a que se sale de la línea habitual de publicación del blog, me parecía muy interesante tratarlo por diversas circunstancias. Quiero dejar claro que, el artículo es una opinión personal (y no de este blog), y que está basada en mi experiencia en el sector. Por tanto, la considero tan buena o mala como la de cualquier otro profesional del sector y no como una verdad absoluta.

Si hablo de este tema, es porque últimamente en España está bastante de moda desacreditar los certificados y certificaciones, muchas veces sin haber llegado a plantearse ni siquiera cursarlas. Y es que, como dijo Julio Camba hace muchos años, la envidia del español no es conseguir un coche como el del vecino, sino conseguir que el vecino no tenga coche. Esto, por desgracia, se puede aplicar al mundo de las certificaciones. Hay de muchos tipos, al igual que hay muchos tipos de profesionales, los cuales pueden llegar a necesitar formación adicional. Por esto, no entiendo que existan críticos acérrimos. Cada una debe de tener su público, sus virtudes y sus defectos propios.

Muchas veces he escuchado eso de "tener certificaciones no aporta nada" y, puede ser verdad, no voy a ser yo quien diga lo contrario. El problema es encontrar la causa de por qué no le ha aportado nada. Tal vez esa persona haya cursado una certificación que no era la correcta para él, tanto por el contenido, como por el nivel. O, tal vez, ha sido su empresa quien le ha pagado una certificación que ellos necesitaban, sin tener en cuenta el interés del empleado. O incluso, puede que el formador no estuviera a la altura del curso. Puede ser, y en esos casos, como coordinador y profesor de una certificación como soy, no me quedaría más que aceptar mi parte de culpa y pedir disculpas. Pero lo que no creo que sea bueno, es decir a la gente que no se certifique, que no les va a valer de nada y que son un simple negocio, porque eso no es cierto. Por mi experiencia personal, sé que son tan válidas como otras opciones formativas y de autoaprendizaje. De hecho, mi primer trabajo, lo obtuve gracias a que tenía una certificación y a que alguien consideró que tener a alguien certificado en su organización, sería positivo para un proyecto.

Es cierto que hay un porcentaje de profesionales de este sector que "no necesitan" ningún tipo de certificación. Ellos mismos, a partir del conocimiento que trasmiten, son su propio aval. Profesionales de la talla de cr0hn o Pablo González, por poner gente del sector de sobra conocidos por todos los lectores de Flu Project, son un gran ejemplo de lo que os acabo de transmitir. Cómo todo en esta vida, también es cierto que hay otro pequeño porcentaje de personas que, en el momento en el que hablan por segunda vez, sabes que nada bueno puede salir de ahí... , pero a ellos no me referiría en ningún momento como profesionales, y mucho menos, de nuestro sector. 

Más allá de requerimientos de certificaciones en pliegos públicos o en RFPs de organizaciones privadas (algo muy habitual hoy en día), las certificaciones pueden llegar a sernos de utilidad a todos en algún momento de nuestra vida profesional. Es habitual, que cuando empezamos a trabajar en el mercado laboral y necesitemos demostrar que tenemos algún conocimiento en la materia, las certificaciones pueden ser importantes para ayudar a despuntar frente a nuestra competencia por un puesto laboral, o para cualquier otro tipo de candidatura. Y es que, no nos olvidemos, que muchas veces, quienes tienen la última palabra en las contrataciones no son personas técnicas, como cr0nh o Pablo González, por no cambiar el ejemplo, sino que quienes tienen la decisión final, pueden ser personas que poco se preocupen por el conocimiento y experiencia del trabajador, y solo se preocupen de que sean (o aparenten ser) los mejores y los más baratos. <Mente del seleccionador>Es simple, si alguien ha sido capaz de aprobar una certificación que está creada por un grupo de expertos del sector, debería de ser capaz de hacerlo bien a nivel profesional</Mente del seleccionador>. Cierto es que, hecha la ley, hecha la trampa. Son vox populi los casos de fraude en el OSCP en la India, y es más que probable, que no los contemos únicamente con los dedos de una mano ...

Nos guste o no, mientras no cambiemos esto, va a ser algo con lo que siempre nos encontremos. Por ello, no está bien desacreditar el trabajo de otros profesionales, sino que es necesario tener clara la utilidad de las distintas certificaciones y certificados dentro del mundo de la seguridad. Cómo dijeron de la popular compañía de VTCs, la ciberseguridad es un mundo muy amplio y hay sitio para todos...