certificaciones seguridad

Basta con estar al tanto de los titulares para darse cuenta de que constantemente surgen nuevas amenazas y vulnerabilidades en el campo de la seguridad de la información. A consecuencia de ello, para una empresa resulta fundamental poder confiar tanto en la preparación de sus profesionales de seguridad como en su estrategia de gobernanza de TI.

De este modo, se plantea una pregunta: ¿cuál es la forma óptima mediante la cual los profesionales pueden acreditar una formación adecuada para la prevención y respuesta a amenazas (favoreciendo así su empleabilidad), y las organizaciones hacer lo propio con protocolos y procedimientos de seguridad (transmitiendo así una valiosa seguridad a sus clientes)?

La respuesta correcta son las certificaciones de seguridad que, cada vez más demandadas y valoradas en el sector, permiten definir conjuntos de requerimientos mínimos, un lenguaje estandarizado, y códigos éticos profesionales comunes.

Si como profesionales o como responsables de una organización decidimos apostar por acreditar nuestra formación en la gestión de la seguridad TI, lo más recomendable es recurrir a certificaciones expedidas por organismos de ámbito internacional e independientes con respecto a cualquier fabricante (puesto que se busca acreditar áreas de conocimiento, no el conocimiento de tecnologías concretas).

En base a dichos criterios, repasemos las certificaciones más relevantes:

CISA / CISM

Son las dos principales acreditaciones expedidas por la ISACA (Information Systems Audit and Control Association), una asociación internacional que lleva patrocinando metodologías y certificaciones desde su fundación en 1967, y que ahora aúna a más de 95.000 electores.

CISA (Certified Information Systems Auditor) existe desde 1978 y está vinculada al campo de la auditoría de sistemas.

CISM (Certified Information Security Manager) es más reciente que CISA, y tiene como fin acreditar los conocimientos y experiencia en la gestión de la seguridad TI.

Lo que define CISM son los estándares básicos de competencias y desarrollo profesionales que un director de seguridad IT debe poseer para dirigir o diseñar un programa de seguridad de la información.

CISSP

El Certified Information Systems Security Professional (CISSP) otorgado por la (ISC) ² es una de las certificaciones más representativas y valoradas del sector. Organismos como la NSA o el Departamento de Defensa estadounidenses lo toman como referencia.

En el ámbito anglosajón se la conoce como “la certificación de una milla de largo y 2 pulgadas de profundidad”, debido al hecho de que promueve contar con un amplio conjunto de habilidades sin profundizar en demasía en ninguna de ellas.

COBIT

COBIT 5 (la última versión aprobada) se define como un marco de referencia de alto nivel para el gobierno y la gestión de las TI en la empresa, y es gestionada por la ISACA conjuntamente con el IT Governance Institute.

COBIT está diseñado para adaptarse a empresas de todos los tamaños (incluidas PYMEs), modelos de negocio y culturas corporativas, y sus estándares se aplican a campos como la seguridad de la información, la gestión del riesgo, o la toma de decisiones sobre cloud computing.

ITIL

Podemos describir ITIL (IT Infraestructure Library) como un marco de referencia de buenas prácticas y recomendaciones para la administración de servicios de TI, con un enfoque en la administración de procesos. La entidad que gestiona esta certificación es el OGC (‘Office of Government Commerce’, del Reino unido).

Allí donde COBIT actuaba sobre la gestión y la estandarización de la organización, ITIL se centra en los procesos: COBIT define el qué e ITIL el cómo.

ISO/IEC 27000

Estándar publicado por la ISO (International Organization for Standardization) y por la IEC (International Electrotechnical Commission) para proporcionar un marco de referencia compuesto por un conjunto de estándares que brinden un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización (con o sin fines de lucro, pública o privada, pequeña o grande).

Al contrario que las certificaciones anteriores, dirigidas a los profesionales individuales, la nueva norma ISO permite que sea una empresa la certificada.