Repasamos cules son algunas de las ms certificaciones ms conocidas en la actualidad y las organizaciones que las ofrecen.

El mercado laboral para aquellos que se dedican o quieren dedicarse a la seguridad informtica es prometedor. La falta de profesionales con los conocimientos suficientes en este campo no es un problema nuevo y al parecer continuar acentundose en los prximos aos. De hecho, el 65% de los jefes del rea de seguridad o IT estn de acuerdo con que la falta de profesionales con las habilidades suficientes est impactando negativamente la efectividad de sus equipos, asegura un reporte de la plataforma educativa Cybrary.

Por lo tanto, considerando la alta demanda que existe, quienes logren desarrollar sus conocimientos y habilidades tienen grandes posibilidades de insertarse al mercado laboral y/o de crecer profesionalmente. Como vimos recientemente, existen diferentes perfiles profesionales en esta industria y para desempearse en este campo hay varios caminos posibles. Con respecto al valor de las certificaciones, vale la pena mencionar que segn un reporte del ISSA, el 52% de los profesionales en seguridad considera que la experiencia es ms importante que las certificaciones, mientras que un 44% considera que son de igual importancia. Por otra parte, muchas compaas a la hora de reclutar profesionales incluyen las certificaciones como parte de los requisitos en las descripciones de las ofertas de trabajo.

Ms all de esto, muchos de los que estn en esta industria deciden realizar una certificacin para validar sus conocimientos y de esta manera poder abrir las puertas a la experiencia que se necesita para acceder a mejores proyectos o posiciones de acuerdo con los intereses individuales.

Tal vez algunos perfiles son ms demandados que otros, pero lo importante es que, sabiendo esto y teniendo en cuenta los intereses que cada uno pueda tener, conocer los diferentes roles y certificaciones que existen en este sector permite planificar el desarrollo de una carrera. Por eso, como parte una serie de artculos que estamos publicando en el marco de la celebracin del Antimalware Day, repasamos algunas de las certificaciones ms populares.

Si bien hay una gran variedad de certificaciones disponibles y organizaciones que las ofrecen, tomando como referencia los datos del reporte sobre la fuerza laboral en ciberseguridad elaborado por (ISC) en 2019 y el reporte de ISSA de 2020, las certificaciones de seguridad que ms profesionales tienen en la actualidad y las organizaciones que las ofrecen son:


  • CISSP (ISC)
  • CISSP with concentration (ISC)
  • CCNA Security Cisco
  • CCSP- (ISC)
  • CCNP Security Cisco
  • CIW Certifications Partners
  • GSAE SANS/GIAC GIAC Security Audit Essentials
  • CCSK CSA
  • CISA ISACA
  • CISM ISACA
  • CASP+ CompTIA
  • Security+ CompTIA
  • CEH EC Council


Desde la perspectiva de las organizaciones que ofrecen certificaciones, segn el reporte de (ISC) , las que ms profesionales tienen han sido las que ofrecen las siguientes entidades:


  • (ISC)
  • CompTIA
  • CSA
  • CIW
  • ISACA
  • ASIS International
  • CREST
  • EC-Council
  • DRI INternational
  • GIAC


Vale la pena destacar que en algunos casos las certificaciones tienen un impacto directo en los salarios. Segn el estudio del (ISC) hay una diferencia salarial entre aquellos profesionales en la industria que cuentan con certificaciones, aunque esta diferencia es ms evidente en Estados Unidos y Asia-Pacfico. En el caso de Europa o Amrica Latina, la misma existe, pero la brecha no es tan grande como en otras regiones.

A continuacin, compartimos ms informacin sobre algunas de estas y otras certificaciones.

Nota: la siguiente no pretende ser una investigacin exhaustiva y tampoco es una lista de certificaciones que recomendamos. El fin de este artculo es brindar una orientacin que permita a los interesados buscar ms informacin tomando como referencia algunas de las certificacines ms conocidas.

Intentamos dividir algunas de acuerdo con el nivel de experiencia y la especializacin, aunque en ciertos casos la misma certificacin puede entrar en ms de una categora y ser de utilidad para ms perfiles de los que se mencionan a continuacin. Por lo tanto, se recomienda leer las especificaciones de cada organismo certificador.

Certificaciones de nivel inicial

Para aquellas personas que no estn especializadas en ningn perfil en particular y que buscan realizar una certificacin que les permita validar sus conocimientos tericos, pero sin profundizar en lo tcnico, algunas de las ms conocidas son:

Security+ de CompTIA: una certificacin muy demandada por quienes estn comenzando. Adems de ser de las ms conocidas, fija los conceptos bsicos sobre la ciberseguridad en general y se adapta prcticamente a cualquier rol en la industria.

GSEC
(GIAC Security Essentials): puede presentar ciertas similitudes con Security+ de CompTIA, aunque es ms exigente.


CEH
(Certified Ethical Hacker): una certificacin de nivel inicial muy popular que suele verse como parte de los requisitos en las ofertas de empleo. (Contenido de estudio v10)

Certificaciones dirigidas a profesionales ms especializados

Una vez iniciado en el camino profesional hay varias especializaciones. Podemos decir que para cada rea en particular existe un conjunto de certificaciones que estn, en su mayora, dirigidas a quienes cuentan con una base conceptual y tcnica ms slida y que buscan validar conocimientos tcnicos avanzados:

Para un analista (semi-senior o senior):

En este caso se asume que la persona ya tiene claros los fundamentos conceptuales y la parte tcnica y que est buscando ms que nada certificaciones que validen un nivel tcnico ms bien alto. Ms all del rea de accin particular que pueda desempear el analista, partimos de la base de que es un profesional verstil o que realiza distintos tipos de tareas.

CAP
(Certified Authorization Professional): para realizar esta certificacin que ofrece (ISC) es requisito poder demostrar dos aos de experiencia remunerada en el campo de la seguridad. CAP permite validar que el profesional cuenta con conocimientos tcnicos avanzados y conocimientos para el mantenimiento de sistemas de informacin dentro de un marco de gestin de riesgos, ya que ensea a implementar controles y est ligada a las normas ISO 2700x.


Para un pentester semi-senior o senior:


Para aquellos que realizan tareas de pentesting o quieren desarrollarse en esta materia, algunas de las certificaciones ms populares son:

GPEN
: Las certificaciones que ofrece SANS (a travs de GIAC) son unas de las ms valoradas desde el punto de vista tcnico. Quien cuenta con una de estas certificaciones demuestra tener grandes conocimientos, algo que muchas empresas buscan para cubrir posiciones semi-senior o senior. Sin embargo, es importante tener presente dos aspectos: suelen ser exigentes (incluso para quienes tienen experiencia) y tambin costosas.


OSCP
: ofrecida por Offensive Security, es una opcin similar a la anterior y tambin muy conocida en la industria.

OSCE: tambin ofrecida por Offensive Security, es una certificacin muy popular en la que se deber superar un examen prctico exigente de 48 horas de duracin. Recientemente Offensive Security anunci una actualizacin programa. Se recomienda a los estudiantes tener la OSCP antes de intentar obtener la OSCE.

GWAPT
: Otra certificacin ofrecida por SANS a travs de GIAC, pero en este caso orientada a aplicaciones web, tambin muy demandada. Quienes realicen y aprueben esta certificacin habrn demostrado sus conocimientos para lidiar con algunos de los problemas de seguridad en aplicaciones web y sus capacidades para realizar pruebas de penetracin.


Para Incident Responder, Analista Forense y/o Threat Intelligence semi-senior o senior


En nuestro post sobre perfiles profesionales mencionamos el rol del Incident Responder, mientras que el rol del Threat Intelligence es el de aquel que est permanentemente informado e investiga y recolecta informacin sobre amenazas, vulnerabilidades, e incidentes que ocurren para posteriormente analizar esta informacin y luego realizar acciones de inteligencia de amenazas para la realidad de la organizacin. Si bien al igual que en las dems reas existen muchas certificaciones, algunas de las ms conocidas son:

GCFE
(GIAC Certified Forensic Examiner): Se trata de una certificacin muy tcnica y muy demandada para perfiles que se dediquen a tareas de Incident Response o forense.


SEC487
: Otra certificacin ofrecida por SANS que en este caso est orientada a la recoleccin y manejo de fuentes de informacin pblicas, es decir, ms orientado a Threat Intelligence.


SEC541
: Cloud Security Monitoring and Threat Hunting, tambin de SANS.

Otras certificaciones conocidas para estos perfiles pueden ser EnCE, CCE.

Para un Cloud/Network security Engineer:


Las certificaciones para infraestructura, ya sea fsica o en la nube, suelen estar ms relacionadas a una marca especfica (la que use la empresa que contrata). De todas formas, una de las ms conocidas entre las que ofrecen organismos certificadores es CCSP (Certified Cloud Security Professional) otorgada por (ISC).

Para managers o lderes de equipo:


Si bien las certificaciones que se solicita para profesionales que ocupan roles de liderazgo en una empresa no priorizan tanto la parte tcnica, lo que s buscan las compaas es que quienes asuman estos cargos puedan comprobar conocimientos profundos sobre aspectos metodolgicos de la seguridad aplicada a lo largo y ancho de la empresa:
CISSP: como mencionamos anteriormente cuando nos referimos a esta certificacin que ofrece (ISC), es muy demandada y suele ser una garanta de confianza, ya que para obtenerla es necesario demostrar que la persona lleva al menos 5 aos de experiencia trabajando en este campo. Es una certificacin muy terica.

Otras certificaciones para mandos de liderazgo que podramos mencionar son CISM y CISA, ambas ofrecidas por ISACA.


La realidad es que hay muchas ms certificaciones. Considerando que existen varios ttulos diferentes para describir las distintas posiciones que puede ocupar un profesional en la industria de la seguridad, esperemos que esta lista sirva de orientacin para que los interesados en ampliar o validar sus conocimientos tengan una referencia por dnde comenzar a buscar.

Y t, qu certificacin recomendaras y por qu? Cuntanos en los comentarios para que otros lectores puedan leer tu opinin.


Juan Manuel Harn en https://www.welivesecurity.com/la-es/2020/11/19/certificaciones-seguridad-informatica-mas-populares/