21 febrero 2011

¿Qué buscamos en una certificación de seguridad?

Está claro que los objetivos de la felicidad humana, comportan un equilibrio entre estar contentos en el terreno personal y por supuesto, en el profesional. Al fin y al cabo es donde pasamos una gran parte del tiempo y es imprescindible sentirnos lo más cómodos y realizados posibles. Por ello, es importante que la elección que hagamos sea lo más adecuada posible y que, dedicándonos a la seguridad, donde hay diferentes ramas, acertemos el tiro a lo que nos resulte más atractivo y con salidas laborales.

Hace tiempo, quisimos dar en SbD una guía para ayudar a la trayectoria profesional de aquellos lectores que quieran mejorar su titulación y conocimientos. Para ello resumimos las certificaciones oficiales más reconocidas, indicando si la misma es técnica o no, si está dedicada a auditoría, consultoría, gestión, etc,… requisitos como experiencia previa, etc,…. para saber por dónde tirar.

Sin embargo, ¿qué es lo que buscamos en este tipo de posgrados o especializaciones? Tal cual están los tiempos en los que las empresas están sobredimensionando un montón los requisitos de los candidatos y que piden un consultor "Ferrari" para cubrir un puesto que lo pueden hacer con uno de tipo "Dacia Logan" (sin ánimo de ofender a los propietarios de un Dacia Logan), está claro que cuanto mayor sea el palmarés de titulaciones que tengamos, mejor. Sin embargo, creo que en el momento de buscar formación complementaria a la actual, además del reconocimiento y la ventaja a la hora de encontrar cuanto antes un puesto de trabajo en el que seamos felices, nos debería mover el saber que lo que vamos a aprender en dicha certificación nos valga para algo en la vida real y práctica.

Desde mi punto de vista y mi experiencia (sólo cuento con dos certificaciones de las reconocidas: CISSP y CISA), el haber pasado por un montón de tiempo de estudio en ambas y sabiendo que CISSP es "mucho más" técnica que CISA y que esta última, además está más enfocada al mundo de la auditoría, no termino de obtener un beneficio claro de la inversión de tantas horas y sesiones de estudio. En realidad, mientras devoraba los manuales y libros oficiales de las mismas, enlazaba aspectos o situaciones de la vida real que me habían ocurrido y me ocurren en mi entorno laboral, más que aprender cosas en las que yo pienso que puedo sacar provecho en un futuro.

Efectivamente, ambas certificaciones están muy reconocidas en el mundo de la seguridad informática y supongo que son de las más priorizadas a la hora de obtener alguna, pero creo que el hambre a saciar por mi parte, era más de contenido técnico que otra cosa. Por eso creo que la siguiente a obtener después de las del ISC2 e ISACA, debería ser algo más dedicado a lo que realmente me gusta como CEH, CHFI o quizá alguna de las de GIAC/SANS.

De esta manera, además de cubrir los requisitos de búsqueda que muchos headhunters utilizan en base a buscar profesionales cualificados en Linkedin filtrando por CISSP y CISA, habré disfrutado de una lectura y práctica con más contenido técnico que sienta que me aporta realmente algo más que simplemente quedar formal y serio en el CV.

Como no todos somos iguales, quizá vosotros tengáis una forma diferente de pensar. Unos defenderán la necesidad de saciar el hambre de conocimiento por encima de todo en primer lugar, y otros se guiarán más por la necesidad de encontrar un trabajo mejor, y lo verán como un "must" a tener en cuenta para sumar puntos a la hora de ser el finalista elegido dada la compleja situación laboral actual (al menos en España).

Dado que estas certificaciones suponen una importante inversión en términos de tiempo y dinero, está claro que aunque las queramos tener todas, hay que priorizar y cortar por algún sitio.

Es evidente, que dependiendo del perfil demandado por las empresas que abren un proceso de selección, buscarán por consultores cualificados con unas u otras certificaciones,... pero ¿qué preferimos nosotros?

11 comments :

Anónimo dijo...

Tengo CISA y CISM. Auténticas etiquetas de anís del mono.

Solo vale la chapita que te mandan. Su imán va cojonudo para la nevera.

tonio dijo...

Y que opinas/opinais de las certificaciones compTIA security + ???

Anónimo dijo...

Ya he escuchado a más de uno que CISSP/CISA/CISM se la saca ya cualquiera, aunque no tenga que ver con el mundo de la seguridad. Estoy con una GIAC actualmente y me parece muy válida en cuanto a conocimientos adquiridos por lo menos, espero que también sea valorada en el CV.

Alejandro Ramos dijo...

@Anónimo: para eso y para que te contraten por ahí =(

@tonio: yo creo que aquí no la requiere nadie y no esta muy valorada

@Anónimo: cualquiera que sepa estudiar se la saca, aunque sea un médico. Son cosas de lógica y por lo tanto no hace falta ser técnico. Eso sí, tienen una visión muuucho más amplia que certificaciones técnicas como las GIAC. No son comprables porque no están pensadas para el mismo tipo de perfil. En el mundo de la seguridad hay más cosas que hacer exploits o saber lanzar un nmap.

El carnet de conducir también se lo saca cualquiera, pero sigue siendo necesario para llevar un coche...

DvD dijo...

Bueno aprovechando la conyuntura.. ¿alguien ha hecho alguna certificación a través de www.eccouncil.org?

Si es si..¿Sólo te dan los materiales, lo trabajas tu por tu cuenta y luego te certificas con ellos o forman grupos y siguen el curso en común tipo UOC?

Un saludo y gracias!

tonio dijo...

Pues yo no sé cual es la mejor para mi :-(

Soy como mucha gente un 'arreglatodo' me estoy sacando la certificación MCITP (me queda un éxamen) y me acabo de sacar la Zend PHP Certification.

Ahora me gustaría sacar una certificación de seguridad (para dejar de ser un 'loser' en este campo :-/), pero no sé cual escoger ¿?¿?

Anónimo dijo...

Por mi parte únicamente completar las referencias indicando las titulaciones referentes a Lead Auditor ISO 27001, ISO 20000 y BS 25999 de utilidad para el desarrollo de auditorías internas de sistemas de gestión así como para enfocar de un modo más productivo labores de consultoría. Un documento útil para este tema: http://www.epractice.eu/files/media/media1872.pdf

Anónimo dijo...

¿Y que me decís de los masteres de postgrado en seguridad.

Anónimo dijo...

Hola. Interesante post. Vivo en Madrid, soy ing. informatica recien titulado. ¿que certificación de seguridad deberia elegir primero? ¿Que "academia" o material recomendais para estudiar? ¿donde se hacen los examenes y cuanto cuestan €?.
Estoy intentanto hacer carrera profesional laboral en el mundo de la seguridad de la información, principalmente en consultoria de seguridad TIC, pero en los procesos de seleccción me indican que no hay vacantes. ¿Algun cosejo/ayuda?

matugm dijo...

Porque nadie habla de las certificaciones de offensive security? Puede que no sean muy reconocidas pero definitivamente son las que aportan mas conocimientos tecnicos y lo mas importante es que al contrario de otros demuestra que puedes aplicar lo que sabes(para los que no lo sepan los examenes son puramente practicos y segun comentan no son nada faciles)

cbote aka CarloX dijo...

Si los headhunters usan linkedin y cadenas de busqueda para encontrar candidatos, creo que me pondre en el linkedin viceconsejero de mis amiguetes y familiares en temas tecnologicos, presidente de la comunidad de vecinos y cosas asi.. a ver si salgo en mas busquedas y me cae algun puesto de consejero de esos de 6 o 7 cifras en empresas de energia ;-D... deberian despedirlos a todos pues.
Fuera de broma, creo que cualquier certificacion es buena, no solo ahora que en españa todavia no tenemos una competencia "gigante" en segun que puestos.. pero para los que vengan, y los que ya estan, os/nos ayudaran a posicionarnos mejor y pasar primeros filtros.

Es un poco triste, pero es asi. Por lo menos, en aquellas areas donde RRHH sea tan poco lista o profesionalizada que permita fugas por una mala seleccion.

Obviamente el recorrido profesional no depende de la certificacion ( un inutil salido de la carrera por mucho CISSP , acabara cayendo o encerrado. TODOS conocemos a varios asi).
El buen profesional ha de hacerse valer, y las puertas se abren, entre otras formas, con titulacion.
Hay certificaciones mas o menos buenas.. aunque las de seguridad digamos que tengo mis dudas. Como dice Alex, todavia no esta muy valorada .. pero es que creo que el enfoque de algunas de ellas no es el correcto y esta alejado de la realidad de las empresas. El mundo de Oz esta en la TV, no en los planes de negocio.

Abrazos

CarloX aka cbote