16 marzo 2015

¿Debo renovar mis certificaciones anualmente? #CISA #CISSP



Desde 2008, que fue cuando aprobé el examen de la certificación de seguridad CISSP, cada año he pagado religiosamente los 85 dólares de renovación de la misma, así como notificando el cumplimiento de los nosecuántos CPEs anuales en la web, relativos a haber participado en conferencias, escrito artículos, leído libros, etc… relacionados de alguna manera con los pilares de conocimiento de seguridad, definidos por ISC2.

Pero ya el año pasado, y después de varios años en los que seguía sin verle el sentido, decidí que no renovaría más CISSP, y que lo haría extensible a la certificación CISA de ISACA. El motivo es bien claro: no le encuentro el sentido a pagar por algo que no me aporta beneficio alguno.

Es decir, considero que no sé ni más ni menos, ni que he perdido ni ganado skills relacionados con seguridad, por mantener “en good standing” mi certificación. 

Como una operación de lógica matemática, si lo que se me exige es que anualmente investigue, aprenda, lea, de charlas, cursos, etc,… y que además pague una cuota, si dejo de hacer esta segunda parte, a ojos de la comunidad de profesionales de la seguridad, no creo que sea ni mejor ni peor. Seré exactamente igual que manteniendo la cuota al día. 


Siempre hemos dicho en SbD que disponer de certificaciones de seguridad es algo positivo, y que a la hora de que te contraten, es un plus más que te beneficia. Sin embargo, disponer de la certificación X al día, o haberla tenido durante un periodo de tu vida profesional, y dejar de tenerla, no por dejar de lado tu actividad profesional con la seguridad, sino por no pagar una cuota, desde mi punto de vista no hace que se me olviden los conocimientos que estudié para entender la filosofía ISC2 y/o ISACA. Vería con buenos ojos, si cada vez que hubiera que renovar la certificación, hubiese que pasar un examen de recordatorio (aunque fuese online) en el que se me valorase la actualización de mis conocimientos, en vez de que el factor diferenciador sea el pago de una cuota. 

El sábado por la mañana recibí el último de los emails por parte de ISC2. En él se me prohibía hacer uso del título de CISSP, lucir con orgullo el pin que me enviaron con el kit (y que no tengo ni idea de en qué cajón se encuentra) y no se cuántas cosas más. Me exiliaban de la real orden de ISC2. 





Así pues se me ocurrió poner un tweet, desde mi cuenta personal @lawwait, indicando que a partir de ahora sería ex-CISSP.

A partir de aquí, fue Antonio Ramos, profesional de la seguridad al que, vaya por delante, personalmente conozco y admiro desde hace años, fuertemente vinculado a ISACA Madrid, quien mencionaba que a nivel de contactos, sí que aportaba tener la certificación al día, “ayudando a saber con criterios objetivos quién sabe y se preocupa por actualizarse” a quien quiera contratar un profesional por el hecho de tener la certificación, y que mejoraba el nivel salarial de aquellos que dispongan de certificaciones de este tipo al día.

Por supuesto, no puedo estar de acuerdo con todo lo que indicaba Antonio en estos tweets. Para mí, haberme certificado como CISA o como CISSP, inicialmente sí que me hizo ilusión. Fue fruto de un mes de arduo estudio compaginado con mi trabajo en DenyAll, con muchos viajes, proyectos y dolores de cabeza. Por ello me pareció todo un logro haber llegado a certificarme. El proceso de aprendizaje, de lectura de la documentación, la ejecución de tests de prueba para autovalorarme, me pareció un buen ejercicio y por supuesto la consecución de ello con un título, pues mire usted qué bien.

Sin embargo, con el paso del tiempo, como decía más arriba, me dí cuenta que pagar año tras año a ambas instituciones por mantenerlo, no me hacía ni mejor ni peor, siempre y cuando mis actividades en cuanto a aprendizaje y actualización en seguridad, auditoría y peritaje, completamente demostrables, fuesen equivalentes a ganar más de 100 CPEs por año (5 veces lo exigido por ISC2 e ISACA).


Podéis ver la interacción de la conversación completa entre Antonio y un servidor, en este enlace: https://twitter.com/antonio_ramosga/status/576690720993599488 


Tal y como le indicaba a Antonio, le propuse preguntar a nuestros lectores, que están relacionados con el mundo de la seguridad, su opinión respecto a la validez/garantía/ventajas que tiene  mantener la renovación de certificaciones de seguridad de ISACA y de ISC2. No meto en el mismo saco a las certificaciones de productos específicos, puesto que éstas indican la fecha en la que lo obtuviste, y que requieren de un examen adicional (aunque sea con un sobrecoste) para que puedas decir que sabes del producto X en su versión Y.Z 

Así que dejo que nuestros lectores que estén (o hayan estado) certificados de este tipo de titulaciones, y  les parezca interesante, dejen sus opiniones como comentarios a este respecto. 

¿Te ha valido para algo estar "en good standing" de tus certificaciones de ISC2 y/o ISACA?

   

20 comments :

Legolas_bilbao dijo...

No. Sacas la certificación en aras de
1 - Nuevos puestos de trabajo
2 - Incluir tu CV en propuestas o pliegos porque asi sumas mas puntos.
Tengo CISA y CISM

mierda_blog dijo...

Si. Así escribirías algo técnico de vez en cuando.

Jesus dijo...

Hola,

Alguna vez me he hecho la misma pregunta, aunque la conclusión es diferente a la que has llegado tu. Quizá es porque hago más uso de esta certificación debido a que la piden en más RFPs como requerimiento.igualmente las certificaciones en determinados productos sirven para que los fabricantes puedan ofrecerte niveles de partnership más atractivos (descuentos, oportunidades protegidas, etc.) Estas certificaciones no sirven para "que puedas decir que sabes del producto" porque en la mayoría de los casos, lo que pide una oferta es que lo demuestres de alguna manera y esto es mediante certificaciones en determinados productos o certificaciones tipo CISA. Se que pasar por taquilla a unualmente es un dolor, pero si sabes como sacarle rentabilidad, es un mal necesario.



Un saludo,

Miguel Ángel Hernández dijo...

Hola,


La verdad es que no sé cómo no había escrito sobre esto alguien antes... probablemente si mantuviese mi blog yo mismo lo hubiese hecho. Lo cierto es que somos pocos, en este mundo se conoce todo el mundo y lo mejor es que preguntando se llega a Roma. Al menos por lo que yo he vivido, con una entrevista técnica más referencias ya tienes un porcentaje alto de acierto. Además, analizar la trayectoria profesional, el tiempo de permanencia en empresas anteriores y la entrevista personal aportan para llenar el resto de huecos que pueden hacer falta para convencer. Lo único que aporta es poder mantenerlo en tu CV y que tu perfil sea utilizable para los pliegos públicos y RFPs. Esta política además supone un freno para la obtención de certificaciones, a día de hoy con CEH, CISA, CISM, ITILf, IRCA LA 27001 e ISTQB-f si alguna vez se me plantea sacar CISSP lo primero que pienso es que me toca pagar otra vez todos los años y descarto la idea... con lo cual digo... me voy a algo más técnico y hands on como OSCP. Al final sabes de aquello a lo que más tiempo le dedicas y aquello a lo que más tiempo le dedicas es tu núcleo de trabajo.


Saludos.

Ex-CISSP dijo...

Lorenzo, totalmente de acuerdo contigo. Ya no es sólo el pago de las renovaciones que a las que tienes unas cuantas porque a lo largo de tu carrera profesional has ido avanzando y evolucionando, suponen un pago desorbitado cada año, son los pagos a los capítulos locales (chapters de ISACA, etc) que organizan eventos a lo largo del año que te interesan nada y menos (con todos los respetos) pero que has tenido que pagar religiosamente sí o sí, etc. Es todo un gran timo. Yo entiendo que pagues por sacarte la certificación pero de ahí a tener que pagar para mantenerla...


Fdo: un Ex-CISSP, Ex-CISA, Ex-CISM...

q dijo...

Lo cierto es que no aporta nada pagar el impuesto revolucionario.

De sobra es conocido que el mundillo de las certificaciones esta para sacar dinero, si aportasen algo a sus miembros mas que pagos de cuotas le veria sentido.
Personalmente pienso dejar de pagar las certificaciones que tengo y dedicar ese dinero a formarme, tiene mucho mas sentido.

Gallego dijo...

El negocio del siglo , pagar por renovar algo que has aprobado y pagado.

Titulitis Everywhere dijo...

Lo que vale es el conocimiento demostrable, no un papel que diga por ti que lo tienes.

Yo no soy ex... con matices dijo...

Yo soy un bicho raro aqui.
Trabajo para una compañia americana que esta encantada en que me certifique y se encarga de subvencionarmelo y mantenermelo.
No me leereis decir que soy un ex-algo mientras eso siga asi y consiga acumular los CPEs necesarios.
En mi caso, y con los condicionantes dichos antes, a mi si creo que me han servido las cerfiticaciones para promociones internas.


El dia que se me corte el chollo quizas cambie de opinion, a dia de hoy, yo encantado de mantenerlas, y si tengo tiempo y ganas, a por mas.


De acuerdo con todos en lo del conocimiento demostrable pero tambien en que estas certificaciones se usan para filtrar.


Fdo: CISSP, Sec+, CEH, GCIH, ITIL

GagP dijo...

Los primeros comentarios ya dan una idea de la utilidad real: candidaturas en ofertas de trabajo y RFPs.
Básicamente porque son indicadores para hacer cribas y no siempre se puede hacer una análisis previo suficientemente extenso que te permita decir "oye, no tiene certificaciones pero es un experto en XXXXX".

Pero más allá de eso, la mayor utilidad que puede haber es el acceso a determinados recursos y publicaciones recurrentes, que hoy en día con las redes sociales de profesionales es algo resuelto.

Respecto a las certificaciones que además de CPE requieren de curso + examen on-line, siempre pueden pecar de ser meros trámites y convertirse en un "pase por caja, por favor". Por ejemplo, esto lo hace el PCI SSC para los PCI QSA, pero ahí la finalidad es muy clara: dominar una normativa para hacer auditorías sobre ella.

Nacho dijo...

Yo deje de mantener el CISSP hace 6 años, no me arrepiento, el dinero y el tiempo (los CPEs no se gestionan solos) que requiere mantenerla se puede emplear en otras cosas más productivas creo yo.

Ayoze dijo...

No tengo CISSP ni CISA, tengo Security+ que para el caso es lo mismo, una certificación neutral. Se me caduca el próximo año y no pienso renovarla.

Busi dijo...

El tema de las certificaciones es un negocio,.. las de seguridad y las de cualquier otra areas dentro de IT,.. es para hacer bolsa y punto. Que muchas certificaciones aportan valor, por supuesto, pero es un negocio y siempre hay que actualizarlas cada X tiempo y siempre, siempre siempre, pagando una cantidad NO simbólica.. El pedir dinero sin ofrecer examen,.. es de traca..

Hacer un examen y pagar una cantidad minima es sensato,.. es más, se podría aplicar a casi cualquier estudio, de esa forma se garantiza que la persona sigue cualificada en el campo que sea. Pero realmente lo que se realiza es una especie de chantaje,... quieres mantener el título,.. paga.

Por suerte muy pocas empresas exigen tener la certificacion actualizada.

Saludos

Emilio dijo...

Este tema siempre genera mucha discusion.

En mi caso comparto tu opinion Lorenzo, tambien he dudado varias veces en renovarlas, y si lo he hecho es porque siempre la empresa lo ha pagado. Las certificaciones son solo utiles para entrada a procesos de RRHH (concursos, y etc como ya han indicado), entre profesionales sabemos discernir sin necesidad de titulos.

Asi que mientras la empresa las cubra las mantendre en buen standing. :)

Saludos
Emilio

Ramon dijo...

yo también debo ser un bicho raro, me las tengo que pagar y mantener yo, y encima reconocimiento por parte de la empresa 0.

Ojalá, más empresas hicieran lo que hacen en la tuya.
Pero esto es España y así nos va.
Fdo: CISA, CRISC, GPEN

Pepe Viyuela dijo...

Y yo soy una persona realista: los papeles no demuestran el conocimiento.

Preguntón dijo...

Firmado Ex-CISSP. Que bueno! Tienes el logo diseñado? :-D

Los que alegan CV, evidentemente que el entrevistador cara a un trabajo, formado y conocedor de estos menesteres se entiende...., sabrá ponderar el valor de estas certificaciones, más allá de un logotipo bonito y un número de asociado. Como mecanismo de corte para no tener 1000 CV encima de la mesa... pues vale. Como elemento definitivo cara a obtener un trabajo.... pues tengo mis dudas. Miren a los grandes en esto de la seguridad.... Cuanto tienen certificaciones, títulos o presumen de ellos. No lo necesitan. Ellos son la marca....

Yo comparto más la idea que tú expones. Satisfacción personal por un reto que se autoimpone. Y a rey muerto, rey puesto.... A por otro objetivo.

Ya lo dijo Mario Conde (si entrar en el debate de la figura pública.... solo me expongo un pensamiento suyo....):

Un entrevistador le presentó como Mario Conde, el presidente de Banesto. Él le corrigió diciendo soy Mario Conde, y trabajo como presidente de Banesto, pero Mario Conde tiene entidad suficiente para no tener que buscar alicientes extras...


Saludos Lorenzo. Amador!

Juan dijo...

Totalmente de acuerdo Lorenzo!
De hecho, cuando entrevisto a alguien y me han dicho que son ex-CISA o ex-algo por no pagar la cuota, han ganado puntos en la entrevista....y me ha pasado varias veces.
Yo me imagino al dueño de ISACA o similar viendo desde su yate como van entrando en la cuenta corriente las cuotas de todo el mundo. La verdad es que el director de marketing de ISACA es un genio....cobra por nada y encima, si le apetece, te audita las CPEs...bueno, te exige que demuestres tu inocencia con las CPEs, que te supone un trabajo de demostración documental de horas.

random dijo...

Para mí son tan valiosas como el carnet de manipulador de alimentos, que no lo tengo pero cocino de muerte.

Jorge R dijo...

Este año realicé un curso de Protección de Datos y Seguridad. Por ser CISM me descontaron el equivalente a varios años de cuotas. Mientras me suponga algun beneficio seguiré pagando.