Las certificaciones en seguridad han ido ganando terreno en el ámbito de la profesionalización de individuos dedicados a esta actividad, al margen de resultar ser un atractivo natural de interacción con beneficios para las cuatro figuras que participan en el ambiente.

Los certificados, los autores o creadores de certificaciones, los promotores de certificación o instancias certificadoras y quienes invierten desde tiempo, dinero y/o esfuerzo individual o de grupo para generar primero intangibles como la satisfacción individual o la reputación de asociaciones y, posteriormente, tangibles de recuperación para el mantenimiento de las certificaciones o creando nuevas.

Surgen como un mecanismo de autenticación del conocimiento de los profesionales, con el cual busca primero identificar al individuo por su nombre y luego verificar dicho nombre contra la lista de personas que han demostrado ante un tercero que tienen y mantienen un nivel demostrable de dominio en seguridad.

Certificados, certificaciones y certificadores en seguridad

En orden enunciativo la primera figura son los certificados, aquellos individuos interesados en generar y enviar a un tercero (instancia certificadora) la evidencia requerida para cumplir con lo establecido por un criterio generalmente aceptado. Tal evidencia está conformada, entre otros, por comprobantes o constancias de experiencia y de conocimientos afines a la certificación de seguridad; por ejemplo, examen de certificación aprobado, grado académico, trabajos realizados en organizaciones o de manera independiente, descripción del rol y los entregables generados en esos proyectos y así como su participación en grupos o asociaciones legalmente establecidos y reconocidos que promueven la seguridad.

En este mismo orden de ideas, la siguiente figura está conformada por los autores o creadores de certificaciones, los cuales son grupos organizados de individuos que vigilan el cabal cumplimiento de las políticas y los procedimientos que soportan a uno o varios programas de certificación, desde su concepción, diseño, promoción, aplicación, valuación y generación del resultado, es decir, un documento llamado certificado.

La figura en turno es la integrada por las instancias certificadoras que en origen nacen de manera autónoma y con la misión de certificar individuos. El proceso de certificación implica generar las preguntas del examen y calificarlo. La actividad de calificar los reactivos se “outsourcea” a un tercero para no ser juez al definir el examen de certificación y parte al calificarlo. Con el tiempo, estas instancias certificadoras adoptan un segundo rol, el de promotores de sus respectivas certificaciones.

¿Quién o qué se puede certificar en seguridad?

Una certificación en seguridad implica que lo que o quien la ostenta, ya sea gente, proceso o tecnología, debió cumplir con un conjunto de requisitos establecidos como mínimos durante su existir y que tienen que ver con haber sido calificadas las dimensiones de conocimiento para gente (e.g. Certified Information Systems Security Professional de www.isc2.org), de información para procesos (e.g. Information Security Management System de la www.european-accreditation.org) y la relación rendimiento-calidad para tecnología de Seguridad (e.g. www.commoncriteriaportal.org).

Dado el alcance del presente artículo trataremos sólo la certificación de individuos, dejando para futura ocasión lo referente a las certificaciones en seguridad para procesos y tecnologías de seguridad.

¿Certificarse o no certificarse? Paradigma

Existen comunidades en el medio que profesan y ejercen la respetable práctica de evitar algún tipo de certificación con el argumento de que la validación de sus conocimientos por un tercero no es necesaria, se les tiene que creer. Podemos afirmar, entonces, que tenemos a la vista dos paradigmas: el de la no certificación y el de la certificación.

Para el primero y siendo específico me referiré a la privilegiada experiencia con algunos colegas de seguridad integrantes de respetables comunidades como el G-CON (www.g-con.org), quienes y para tener una idea más clara, asisten anualmente a un centro de reunión y de intercambio de tecnología en México en lo que toca a seguridad informática: es una conferencia por excelencia para consultores de seguridad, hackers y personas en general interesadas por técnicas de explotación, irrupción y rompimiento de seguridad (sic).

Por un lado, resulta un hecho que los integrantes de estas comunidades tienen una notable capacidad y conocimiento en seguridad de la información; por el otro, resulta también totalmente comprensible que algunos opten por no certificarse, lo cual no significa que esté bien o mal, simplemente esto invita a respetar dicha decisión.

Al calce del paradigma de la no certificación, la profesión de seguridad al igual que otras de orden crítico para una organización o individuo, requiere de garantizar al máximo sus resultados. Difícilmente un paciente que se diga gozar de sus facultades dejaría operarse algún órgano vital, por ejemplo, el corazón, por un especialista sin certificación u otro aval equivalente que dé fe y genere en el cliente la confianza de que posee el conocimiento adecuado. Por lo tanto, es claro que el efecto positivo inmediato se da como resultado de obtener y mantener una certificación, pues esta acción tiene una influencia directa en la mitigación de riesgos asociados al quehacer de un profesional en seguridad, el cual responsable de proteger los objetos de información críticos que garantizan la continuidad de las operaciones de un negocio, organización o institución.

En cuanto al paradigma de la certificación en seguridad, éste se ve sustentado en los conceptos de due-care (debido cuidado) y de due dilligence (debida diligencia). Es decir, cuando el profesional en seguridad obtiene una certificación en seguridad, entonces el debido cuidado estará cubierto. Ciertamente una certificación implica un reto e inversión de tiempo, esfuerzo y dinero para demostrar y obtener de un tercero el aval que le respalde su nivel de dominio de los conceptos en seguridad; sin embargo, sólo se tendrá cumplimiento con la debida diligencia en el momento en que se obtenga y mantenga la recertificación.

Certificaciones y requerimientos legales

Como tendencia sustentada por requerimientos legales como el acta Sarbanes-Oxley (2002) en Estados Unidos (con alcance implícito para el continente Americano) y su similar en Europa, el Turnbull Report (1990), las certificaciones en seguridad tienen un rol cada día más importante en el proceso de selección y reclutamiento de individuos para la protección de los activos (objetos) de información y activos físicos de las organizaciones a escala mundial.

Tipos de certificaciones en seguridad

Existe una gran variedad de certificados y para cada uno bien pudiera generarse su correspondiente certificado de especialidad, o lo que se le conoce como un programa de seguridad (conjunto de certificaciones afines). Resulta notable comentar que para cada certificación en seguridad existe un cuerpo común de conocimientos el cual está integrado por grupos de tópicos o dominios.

Con más de 55 certificaciones en seguridad vendor-neutrales, las más demandadas y reconocidas a nivel mundial son CISSP (www.isc2), SANS GIAC (www.sans.org) y CPP (www.asisonline.org). Se le considera a SANS GIAC como la pionera en la creación de programas de certificaciones dado que cuenta con una gran variedad y están relacionadas entre sí a manera de carrera.

En un primer nivel básico se puede citar a las certificaciones del CompTIA Security+ (www.comptia.org), SANS GSEC (GIAC-Security Essentials Certification) y la (ISC)2’s SSCP (Systems Security Certified Professional – www.isc2.org). En un siguiente grado se pueden ubicar al resto de las certificaciones del SANS-GIAC y las certificaciones CISSP y CISM, las cuales son consideradas como credenciales intermedias y de nivel Senior respectivamente, mientras que las certificaciones de la ASIS Internacional (www.asisonline.org) CPP (Certified Protection Professional), el PCI (Professional Certified Investigator) y PSP (Physical Security Professional) restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad.

Lo anterior nos permite afirmar que las certificaciones en seguridad seguirán rigiendo la demanda de profesionales en el mercado formal de estos servicios y más aún seguirán surgiendo nuevas certificaciones en un afán bivalente: mercadotecnia y acreditación de individuos. Desde el punto de vista de mercadotecnia para sus creadores al diversificar los actuales productos (certificaciones) generando nuevas o basadas en las certificaciones actuales y por el otro a partir de las actuales certificaciones generalistas crear programas que acrediten a los individuos que logren demostrar una especialización. Todo lo anterior, sustentado por el marco regulatorio que invita a las organizaciones a ver la Seguridad como un aspecto de negocio mandatorio.

Nota:

Ninguna opinión expresada por Ángel Gonzalo Espinosa Sarmiento dentro de este artículo refleja necesariamente el punto de vista de la Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C., o de alguna otra organización o institución con la que el autor ha mantenido o mantiene una relación de trabajo.