06 mayo 2009

Certificaciones de Seguridad

Mucha gente me pregunta por las certificaciones de seguridad, si merecen la pena, cuál es mejor, cuales están mejor valoradas, que hacer después de estudiar y temas similares. Voy a dar mi opinión personal y algunas recomendaciones por si os encontráis en esta situación y os puede ayudar.

En general hay distintos tipos de certificaciones, tenemos las de productos o fabricantes como por ejemplo CCSA o CCSE de CheckPoint, CCSP de Cisco o SCASA de Sun, por mencionar tres de las cientos que hay, y luego existen las certificaciones más genéricas que no entran en tecnologías determinadas donde destacan: CISA y CISM de Isaca o CISSP de Isc^2.

El enfoque de unas y otras es completamente distinto y su contenido también. Mientras las primeras están pensadas para garantizar unos mínimos conocimientos en una tecnología concreta, las otras se centran en metodología y conceptos genéricos de seguridad.

Antes de decidir qué título obtener es imprescindible saber cual es el objetivo que perseguimos, las certificaciones en productos son solicitadas cuando las tareas a realizar son de implantación, configuración o mantenimiento de esas plataformas u otras similares, mientras las otras, están enfocadas a la consultoría y auditoría en general.

El coste medio de estas certificaciones también varía bastante, una certificación de fabricante puede rondar entre los 200€ ó 300€, mientras que las otras suponen un desembolso aproximado de 600€ ó 700€ y en ambos casos hablamos únicamente del examen, preparando el material por libre...

Es común encontrar gente que opina que estos títulos no sirven para nada, pero la realidad es que en muchas ocasiones son REQUISITO IMPRESCINDIBLE para participar y poder ofertar en muchos concursos. También "garantiza" que ese perfil cumple (o cumplía en el momento del examen) unos mínimos, que ya es más que alguien que no lo tiene.

Os podéis hacer una idea de la demanda de unas u otras en el mercado laboral lanzando consultas a portales de empleo como Infojobs.net.

Dejando para otro día el tema de fabricantes y centrándonos únicamente en las que yo he denominado de consultoría/auditoría, mal-resumo de la siguiente forma:
  • CISA: Certified Information System Auditor, para cualquier técnico seguramente le parezca aburrida, pero aporta mucho valor al discurso del que la estudia. Es una certificación que obtiene gente tan distinta como la dedicada a LOPD, Criptografía, Auditoría técnica, Consultoría estratégica, Planes de Continuidad de Negocio...
  • CISSP: Certified Information Systems Security Professional, es prácticamente lo mismo que la anterior pero emitida por otra organización, un poquito más técnica en alguno de sus capítulos. Ambas son complementarias y es común disponer de las dos o cualquiera de ellas.
  • CISM: Certified Information Security Manager, está orientada a perfiles de gestión y aunque coincide en muchos temas con CISA, aporta una visión de alto nivel. Obviamente es la menos técnica.
Las tres son de conocido prestigio Internacional y están bien valoradas en la actualidad, por lo que pueden ayudar si estáis pensando en emigrar.

Si una persona de perfil técnico que piensa hacer proyectos de hacking ético me preguntase, le recomendaría que se las fuese sacando en este orden: CISSP, CISA y finalmente CISM.

Estos títulos aportan valor al que las estudia, pero también a las compañías que disponen de estos perfiles, por lo que es habitual que sean las propias empresas las que hagan la inversión en la formación de sus consultores. A un recién titulado (que anda justo de pasta) que quiere empezar no le recomendaría optar por estos estudios, ya que supondrán un coste muy elevado y no le garantizan un puesto de trabajo. Eso sí, si eres un consultor y te ofrecen o puedes solicitar la posibilidad, es un tren al que hay que subir sin dudarlo. Lo que venía siendo sacarse todos los carnets de conducir en la mili.

En todas ellas, además del propio examen, solicitan renovar mediante una cuota anual y justificar una formación continua con los denominados CPE, que son puntos obtenidos de leer libros específicos, participar en conferencias, colaborar en proyectos, etc.

A tener en cuenta que las certificaciones solicitan algunos requisitos antes de que nos permitan disponer de ellas, como por ejemplo experiencia demostrable de un número de años en seguridad.

Otras certificaciones no tan demandadas pero también interesantes son:
  • CEH/CHFI, Certified Ethical Hacker/Computer Hacking Forensic Investigator, son certificaciones de EC-Council, orientadas muy técnicamente donde se muestran muchas herramientas y metodología a seguir para ejecutar un hacking ético o un análisis forense. Desgraciadamente no están muy reconocidas en el sector.
  • OPST/OPSA/..., de OSSTMM, es la certificación que soporta la metodología OSSTMM. De la que ya he hablado en otro momento.
  • GIAC: de SANS, son un conjunto de certificaciones enfocados a tecnologías genéricas, por ejemplo la hay de Unix, de Windows, de Comunicaciones, Respuesta ante incidentes.... y muchas otras. Sus precios son muy variados y para obtener la de seguridad es necesario superar un conjunto. Su precio es bastante elevado y su nivel técnico es muy muy alto. Están muy bien reconocidas en el mercado internacional pero aquí en España no tanto, por lo que son muy pocas personas las que se interesan por este tipo de certificaciones.
De CISA y CISM se hacen dos exámenes al año, uno sobre Junio y otro sobre Diciembre. CISSP son dos al año, pero uno en Madrid y otro en Barcelona. Las preguntas son tipo test y muy subjetivas, cuatro posibilidades con dos respuestas válidas: dos descartables rápidamente y luego una buena y otra menos buena. Si suspendes, lo harás siempre con el equivalente a un 4,9 sobre 10, siendo el 5 aprobado, ya que hacen campana de Gauss y se reservan el derecho a descartar las preguntas que quieran de todos los exámenes.

Los exámenes de EC-Council los gestionan mediante centros "Prometic", por lo que puedes hacerlo en muchas ciudades y cuando tú quieras.

Para las certificaciones de GIAC y OPST has de desplazarte fuera de España.

Os las podéis preparar mediante las guías oficiales y con tests tipo "TestKing" o "ActualTest".

Ah! recordaros también que para formar parte de la comunidad del anillo hay que aceptar y comprometerse a seguir unos códigos de conducta ética, y en caso de saltarlos, nos pueden expulsar.

24 comments :

Asfasfos dijo...

Buenas Alex:

"Os las podéis preparar mediante las guías oficiales y con tests tipo "TestKing" o "ActualTest"."

Yo no recomendaría mucho los famosos braindumps, estos son examenes de "ejemplo" para hacer certificaciones, ultimamente las empresas certificadoras se han puesto muy serios con los braindumps pudiendo suspenderte de cualquier certificación presente o futura.

Lo mejor es utilizar la documentación oficial o los libros que nos ofrece la empresa certificadora, ya que sino luego nos encontramos a gente certificada que son auténticos retrasados que tienen 200 certificaciones pero siguen sin saber de lo que hablas

Un saludo

Ivan Ache dijo...

Me ha parecido una aportacion interesantisima, y desde aqui lanzarte una pequeña cuestion. Yo no estoy titulado en nada, ahora bien llevo toda la vida desempeñando mi actividad laboral en torno a la informatica, ya que como muchos otros empece a investigar en el campo de la seguridad informatica cuando era pequeño y me tiraba las noches en vela. Nunca he trabajado en temas relacionados con la seguridad informatica, aunque son mis lecturas diarias y mis practicas cotidianas con el ordenata. La pregunta es, tu crees que obteniendo una de estas certificaciones /habia pensado en la CEH) podria optar a un puesto de trabajo com tecnico en seguridad? Porque antes de gastarme la pasta me gustaria conocer bien la posicion del mercado respecto a este tipo de trabajadores. Muchas gracias ¡

Anónimo dijo...

Hola,

Estaba leyendo éste post y me siento totalmente identificado con la pregunta ...

Mi caso es:

- experiencia trabajando en seguridad en un banco por años (montar ids, instalar servidores, auditorías internas, bla bla)
- pen-testing en plan "freelance"

Sin embargo, no tengo ningún título que me avale (CISM, CISP, CEH o lo que sea, ninguno).

Y claro, en el curro no me van a soltar 600 euros para que me los saque, ni tengo tiempo por las tardes para estas cosas ...

Dado que quiero saltar a una empresa de seguridad, que de hecho quiero, ¿qué me podríais aconsejar?

Salu2,

Asfasfos dijo...

Hombre Ivan, la cosa ahora está realmente jodida ya a nivel general, no solo en el campo de la informática.

Como ha comentado Alex, los certificados al estilo CEH o CHFI en España no tienen tanta valía como CISA, CISM o CISSP y además valen una pasta gansa cursarlos y hacer los examenes. Yo sinceramente optaría porque intentaras sacarte algo mas enfocado a alguna tecnología en un principio (por ejemplo te puedes sacar un MCITP de Microsoft o un CCNA de Cisco) y luego ya certificando que tienes unos conocimientos base tanto de Microsoft/Cisco como de redes en general puedes optar por un CEH.

Te lo digo porque las empresas valoran mucho mas algunos certificados como CCNA, los cuales luego te permiten llegar a hacer un CCNP o un CCIE de Seguridad de Cisco.

Como siempre, opciones hay muchas y no es fácil elegir, pero al menos te podemos ayudar en todo lo que nos preguntes :)

Un saludo

P.D: sorry por el tostón que te he metido jaja

Alejandro Ramos dijo...

@Asfasfos, es lo que he dicho "guía oficial" y test que ayudarán a entender el tipo de preguntas. Mucho más valiosos son estos test en certificaciones de productos y todas las que se hagan en centros prometric. Ya que las preguntas son -muy- parecidas.

@Ivan Ache: lo primero que te recomendaría es obtener alguna titulación oficial, se que suena a "demasiado dificil/demasiado tiempo", pero existe formación profesional a distancia. Te recomiendo que mires en concreto: FOC, que basan sus estudios en CCNA/MCSA/LPI y te permiten obtener además de las certificaciones el título de técnico superior. Es privada, pero te aseguro que es factible sacarlo y te convalidan las prácticas con la experiencia profesional. Conozco varias personas que lo han obtenido ahí y ojo, que no tengo relación con ellos :). Si no tienes acceso al FP superior (hace falta 2ºBachillerato o COU), puedes sacarlo pasando un examen que es sencillo.

En cuanto a las certificaciones, y en mi opinión como alguien que participa en la selección de personal, te diría que te fueses a un CISSP/CISA que realmente será más valorado que el CEH a la hora de seleccionar y más teniendo en cuenta que es la única formación que podrías acreditar.

@Anonimo, lo mismo que a Ivan. Mira institutos de formación reglada a distancia, en caso de no animarte, CISA/CISSP compensa el coste, sobre todo si no tienes estudios.

Por desgracia tal y como está ahora la situación económica el sorteo de técnicos con conocimientos en seguridad que hubo el año pasado ya no existe y es hora de dedicar esfuerzo a ganar trofeos para nuestro CV.

Popotxo dijo...

Muy interesante la recopilación que has escrito Alejandro.

Añadir que los exámenes de certificación de SANS Institute se pueden realizar en centros Kryterion. En España ahora mismo sólo hay uno: Satec, en Madrid.
También se pueden hacer bajo la supervisión de cualquiera que haya sido designado como SANS Proctor.
http://www.giac.org/proctor/

Edgard dijo...

Muy interesante. No entiendo muy bien el enlace del Club de la lucha en cuanto a lo de la expulsión? será que no he visto la pelicula .... :-)
Relacionado con ese tema deciros que nos tomamos la molestia de contactar con isaca, isc2 y ec-council para conocer más en detalle este tema. Como conclusión decir que es un tema bastante oscuro y sin apenas información (la poca que dieron totalmente ambigua y sin cantidades de ningún tipo). Más info en http://eddasec.blogspot.com/2008/10/cdigos-de-tica-conducta-y-afines.html
En cuanto a tener más o menos certificados pues deciros que en mi caso sólo uno es por exigencia profesional (CISA para auditar entidades financieras). El resto han sido por capricho particular. Conozco a gente que no tiene ningún certificado y son auténticos cracks. Como es habitual aquí se sigue valorando demasiado la titulitis que tengas independientemente de que sepas más o menos.

Civ dijo...

Genial la entrada, ahora yo planteo las siguientes dudas que me salen a ver quien me echa un cable...

Dado que vivo en la España profunda y además currando, sería imposible acceder a ningún tipo de formación presencial específica para estos temas, luego supongo que la única solución sería buscar los temarios y prepararme por mi cuenta y riesgo.

CERTIFICADOS DE SEGURIDAD:
- De aquí me surgen las dudas de si todas estas certificaciones usan material específico propio de cada "curso", o bien se puede usar cualquier material público que puedas comprar de la temática a la que se ajuste el programa exigido.

- Los examenes supongo que serán presenciales, ¿alguien me cuenta que posibilidades hay en España para cada uno, y cual ofrece mas facilidades en este aspecto?

- Otra pega importante, idioma, ¿el material y los examenes son en inglés o hay posibilidades de hacerlos en castellano puro y duro? No sería de las cosas más graves, pero si que haría lenta y pesada la preparación...

Eso en cuanto a la rama de seguridad, y en cuanto a sistemas.

CERTIFICADOS DE SISTEMAS:
- LPI, es el único que conozco de soft libre que sea internacional y que tenga fama, ¿hay alternativas igual o mas válidas? ¿Recomendáis hacerlo?

- ¿Ramas Microsoft?

- ¿Otros?

Buena chapa va, a ver si alguien con más experiencia que haya pasado por esto va comentando :D

Gracias a todos !

Alejandro Ramos dijo...

@Civ:

1- Si, todas menos SANS utiliza su propio material que puede ser adquirido en librerias online sin problemas. Hay guias oficiales y guias no oficiales que son resumenes y demás.

2- La localización está comentada en la entrada, algunos tienes los centros prometic que puedes consultar en su web donde hay y otros son Madrid/Barcelona, mirate las webs de cada certificación para comprobarlo!

3- En general, los examenes son en inglés, CISA/CISM también lo hay en español pero te puede costar más entender una pregunta en español que en inglés debido a la traducción.

4- En cuanto a las certificaciones de sistemas, depende hacia donde quieras evolucionar. De Linux yo solo conozco la LPI y de Microsoft los MCSE y demás...

svoboda dijo...

Un post muy interesante sin duda. Pero yo tengo una pregunta, quizás saliéndome un poco del hilo que es: ¿Y si acabas de terminar una ingeniería en Informática? ¿Cuales serían las recomendaciones para buscarse un hueco en el mundo de la seguridad y la consultoría?
Como has comentado, empezar sacándose los títulos es un gran esfuerzo económico. Además, estar parado tras terminar la carrera, aunque sea estudiando un título, no me parece bien. ¿La opción cual sería? ¿Echar curriculums en empresas de este tipo? ¿Habría alguna posibilidad de que se fijarán en ti? Y luego, tengo alguna lista de empresa, pero nunca está de más si puedes comentar alguna interesante que coja gente con el perfil de recién titulado. Por cierto, estoy hablando de España.

jesusL dijo...

Es muy interesante.
Algun consejo para un "casi-recien"
Me interesa el tema de la seguridad, tengo algo de experiencia laboral(6meses de practicas en empresa) y me gustaria formarme algo mas en temas de seguridad.

Alejandro Ramos dijo...

@svoboda, si acabas de terminar yo te recomiendo que pruebes en "grandes consultoras" ya que en ellas se hace carrera profesional y es muy habitual que contraten recién titulados para formarlos. PricewaterhouseCoopers, KPMG, Erns&Young, Accenture, Deloitte... Son sitios duros, pero son otra forma de hacer un "master" en "técnicas profesionales ninja".

En general, si la empresa es pequeña prefiere gente con experiencia ya que aunque el sueldo a pagar sea mayor, son funcionales al 100% desde el día 1.

Tal y como están las cosas no creo que puedas seleccionar demasiado donde acabar y más estando parado, así que bombardea con tu CV y una vez tengas las distintas reuniones, seguro que alguna te gusta más.

Mientras buscas trabajo puedes estudiarte un CISSP y CEH (aunque no te examines, ya que aprenderás bastante y puede serte útil para el proceso de selección). Es normal que la gente se los saque mientras trabaja. Con que le dediques un par de horas un mesecillo sin problemas.

@jesusL, creo que teniendo en cuenta las prácticas, te recomendaría lo mismo que a nuestro compañero anterior.

Un saludo y mucha suerte a los dos.

eduardo abril dijo...

No quiero meterme donde no me llaman ... Aquí Alejandro es el experto. Pero existe una forma de "meter la cabeza" en seguridad que es trabajar primero de sysadmin y dar el salto, ir enfocando tu trabajo a sólo cosas de seguridad, poco a poco.

Al principio es difícil conseguir el trabajo de lo que uno quiere, pero de forma indirecta es posible.

Yo empecé como sysadmin y ahora mi trabajo es 100% seguridad.

Aparte, los certificados son una gran ayuda, pero esto ya lo ha comentado Alejandro.

Saludos,

svoboda dijo...

@Alejandro Ramos, lo de quedarse parado esta claro que no, de echo, aunque aún no he terminado ya estoy trabajando en una "gran consultora" como tu dices, lo que pasa es que mi trabajo se parece a la seguridad lo que una cuchara a un cuchillo.
Lo de mirar algo del CISSP o CEH por mi cuenta, o algún otro tipo de certificación, ya lo había pensado, pero la verdad es que, desde mi ignorancia, no acababa de decidirme por ninguna. Además, no se si para alguno hay material online de referencia gratuito o algo similar. ¿Todo el material sobre las certificaciones es de pago? ¿Se puede encontrar algo gratuito aunque no sea de las mejores?, solo por empezar por algo.
Está claro que material por internet y prácticas en casa, podemos hacer todos, pero me refiero a material algo más serio y mejor definido como sería el de las certificaciones.

Jose Selvi dijo...

Hola a todos, yo soy certificado en Incident Handling por SANS (GIAC GCIH) y, como dice Popotxo, el examen lo puedes hacer, o bien fuera de España en alguna de las conferencias de SANS, o bien en centros Kryterion, o bien mediante algún Proctor.

Para ser Proctor hay varias opciones ( http://www.giac.org/proctor/#s6 ), la más cómoda probablemente es la primera (si la estoy entendiendo bien) si trabajais en una empresa grande. Otra opción es la 4, que simplemente tienes que conocer a alguien que esté en el Advisory Board de SANS (yo lo estoy) y pedirle que te haga de Proctor.

Si en cualquier caso, no conoces ningún posible Proctor en tu ciudad, te puedes poner en contacto con GIAC y ellos "te presentan" a uno cercano, aunque no se hacen responsables si esa persona te quiere cobrar algo por el tiempo que tiene que estar contigo mientras haces el examen (según recuerdo de cuando me leí todo esto).

Saludos!

Carlos dijo...

Hola a todos,

Personalmente llevo tiempo queriendo realizar la certificación CISSP, pero no quiero hacerlo por mi cuenta de buenas a primeras.

¿Alguien me podría sugerir un buen centro en BCN para preparar el CISSP? Me refiero a centros con experiencia en la preparación de este tipo de certificaciones, por ejemplo Cibernos como que no me dá buena espina y he visto algo en LaSalle pero me parece algo "cojo".

Gracias.

lopd dijo...

Muy interesante tu artículo, muy completo y trabajado.

Toño dijo...

He mirado los cursos que oferta S21Sec y en su documentación dice que al terminar los mismos podemos optar a presentar nos a la certicicación CISA, CISSP. Dado que el coste del curso es considerable (1500€) quisiera saber si el temario que ofertan es realmente bueno en profundidad y extensión como para poder llegar con garantias a las citadas certificaciones.

Un saludo.

Anónimo dijo...

Estas certificaciones de las que hablas, (según creo, aunque puede que esté completamente equivocado) son más orientadas a pentesting, pero hay algo (aunque no sea exclusivamente certificaciones) más centrado en análisis de vulnerabilidades y malware? En este campo también se puede aplicar lo de las "grandes consultoras"? Algunas más centradas en esto?.
Como nota decir que yo también me encuentro en la situación de recién salido de la carrera.
Tienen en cuenta las empresas proyectos propios que puedas mostrar (de cierta envergadura, no me refiero a una keylogger en VB) como demostración de tus conocimientos?

Alejandro Ramos dijo...

@anónimo: no hay certificaciones de análisis de vulnerabilidades exclusivamente, son todas como las que comentas tú de pentest. De malware la única que me suena es la de SANS GREM (http://www.giac.org/certifications/security/GREM.php).

Evidentemente, todo lo que puedas contar en una entrevista te lo tendrán en cuenta... Aunque también depende de quien te la haga.

Un saludo

Enrique A. P. dijo...

Hola,
Me llamo enrique, actualmente estoy realizando un curso de administracion de solaris, el caso es que a mi lo que mas me interesa es la seguridad, pero no sabria por donde empezar con estas certificaciones.

Mi historia es un poco complicada (por llamarlo asi), realmente todo lo que he aprendido ha sido personal (autodidacta).

Hice la certificacion de CCNA hace 2 años o asi, pero no llegue a dar el examen de certificacion por un problema personal (vamos que no tengo nada jeje)

Me gustaria meterme en el campo de auditorias/pent-testing/hacking, si alguien me podria orientar o decirme por donde empezar,(empresas, academias que me puedan ayudar a tener una buena formacion).

Un saludo
Muchas gracias

Alejandro Ramos dijo...

@Enrique: para resolver tus dudas tienes la entrada: http://www.securitybydefault.com/2009/09/y-ahora-que.html que te recomiendo leas detenidamente.

Un saludo.

Anónimo dijo...

Buenas,
Ya había leído este artículo hace tiempo y me pareció muy interesante. La cosa es que estoy barajando la opción de presentarme al CISA, pero no encuentro mucho material de cómo prepararlo. ¿alguna sugerencia?

Muchas gracias.

Alejandro Ramos dijo...

@Anónimo: lo mejor es que te estudies el libro oficial, otras opciones son apuntes que hay disponibles en Internet o libros de resumen... Amazon puede ser tu amigo.

Mucha suerte!