Evitando a los “vende humos” en Ciberseguridad…

Los capos del cybersecurity se están elevando lentamente hacia la gloria; luego de la escalada de “incidentes” informáticos que todos conocemos, según la consultora Michael Page, sólo en lo que va del 2018 la demanda de profesionales con el perfil adecuado se ha incrementado en un 30%… ¡30% en menos de 1 año!… Incluso según este artículo del df, las fuentes de la firma británica ven un déficit de profesionales ante una demanda creciente;

y las remuneraciones?, bueno, superan los CLP$2,5 millones al mes… Tentador…

Pero no solo para la actual “niña bonita” de las profesiones este boom puede resultar atractivo, si no que también para aquellos que pretenden sacar provecho de ella sin contar con la preparación adecuada… Si no pregúntenle a ciertos representantes de la ley por un tal “Smith”…

Entonces, ¿Qué conocimientos debería tener un profesional de la seguridad informática destinado a cuidar nuestra información?… Y sobre todo ¿Cómo rayos podemos comprobar su real nivel conocimiento si no tenemos idea sobre su trabajo?

Para comenzar, si bien el tema da para largo y podríamos desmenuzarlo en miles de derivaciones distintas, digamos que como base, en todo profesional del área informática, existen diferentes niveles de experiencia:

  • Nivel inicial: tres años (o menos) de experiencia en seguridad de la información.

  • Nivel medio: de cuatro a siete años de experiencia en seguridad de la información.

  • Nivel superior: de ocho a diez años de experiencia en seguridad de la información.

  • Nivel ejecutivo/experto: + de diez años de experiencia en seguridad de la información.

Estos niveles indican el grado de habilidad o experiencia que posee un profesional en relación con un campo específico. También representan una escala de responsabilidades que corresponden a cada nivel; esta experiencia, se debe complementar de acuerdo a las diferentes áreas de pericia en seguridad de la información:

Si bien estas habilidades pueden haber sido adquiridas de diversas formas, tales como: Certificación profesional, Opciones académicas superiores, Autoaprendizaje, Mejora de las habilidades interpersonales y/o Experiencia práctica bajo mentores; es esta oportunidad nos concentraremos en las principales certificaciones para profesionales del cybersecurity, las cuales permiten mantener un nivel de conocimientos actualizado y comprobable:

SSCP (Systems Security Certified Practitioner)

Esta certificación en seguridad informática es ofrecida por el ISC (Consorcio Internacional de Certificación de Sistemas de Información de Seguridad) y certifica la capacidad del profesional que la posee para administrar e implementar la infraestructura de la empresa, y alinearla con las políticas de seguridad que permiten garantizar la confidencialidad de los datos.

CRISC (Certified in Risk and Information Systems Control)

Se trata de una certificación en sistemas informáticos gestionada por ISACA. Los profesionales que la obtienen pueden identificar evaluar y preparar respuestas a diferentes riesgos de seguridad.

CISA (Certified Information Systems Auditor)

Esta certificación en seguridad informática está destinada a quienes realizan auditorías, controles y evaluaciones de los sistemas de TI y también es gestionada por ISACA.

CISM (Certified Information Security Manager)

Esta certificación en seguridad informática también la gestiona ISACA.

CISSP (Certified Information Systems Security Professional)

En este caso, se trata de una certificación en seguridad informática ofrecida por ISC. Es una certificación ideal para quienes ya tienen conocimientos amplios, tanto técnicos como de gestión, así como experiencia.

CompTIA Security+

Se trata de una certificación en seguridad informática confiable a nivel global que cubre los principios esenciales para la seguridad de la red y la gestión de riesgos. Quien posee esta certificación constata sus conocimientos para proteger y asegurar una red.

Otras certificaciones en seguridad informática:

  • CISMP: Information Security Management Principles.

  • CompTIA Advanced Security Practitioner.

  • CCNA Security

  • Cisco Certified Network Professional Security.

  • Auditor Interno de Sistemas de Gestión de Seguridad de la Información ISO 27001:2013

  • Implementador ISO 27001 en Seguridad de la Información

  • Certificaciones de SANS Institute.

  • Certificaciones de Offensive Security.

  • Certificación CERT: Certified Computer Security Incident Handler Certification.

Cabe señalar que justamente desde enero 2018, tenemos la recién estrenada y POLÍTICA NACIONAL DE CIBERSEGURIDAD, cuya lectura nunca estará demás en tu lista de pendientes, sobre todo considerando el nro. de incidentes ocurrido sólo en Chile este año; Como muestra, para complementar tomo prestada esta lista con los principales incidentes informáticos de la banca este año:

  • BANCO DE CHILE: El 24 de mayo el Banco de Chile sufrió un ataque informático que significó el robo de US$ 10 millones.

  • ITAÚ: El 15 de junio el superintendente de Bancos se reúne con clientes afectados ‘por fallas de seguridad informática’ de Itaú.

  • BCI: El 25 de junio Bci reportó intermitencias en su sistema por problemas operacionales.

  • SANTANDER: El 18 de julio el Banco Santander informó que presentó inconvenientes en sus plataformas digitales por intermitencias.

  • FILTRACIÓN DE TARJETAS: El 25 de julio la Superintendencia de Bancos comunicó que se produjo la filtración de al menos 2.000 tarjetas de crédito, ante lo cual la banca procede a bloquearlas de forma inmediata.

  • BANCOESTADO: El 1 de agosto BancoEstado dio a conocer que presentó problemas de acceso a su página web producto de un ‘problema técnico interno’.

Finalmente, digamos que según SearchDatacenter las certificaciones por sí solas no demuestran que alguien está calificado para desempeñar el papel de un CISO. Hay un montón de personas que tienen varias certificaciones de seguridad cibernética, pero carecen de cualidades personales, habilidades de comunicación, habilidades técnicas o experiencia de trabajo requerido para la posición de profesional de ciberseguridad.

No obstante, sin estas certificaciones, es poco probable que el candidato tenga la oportunidad de demostrar sus otras cualidades y experiencia. Aunque lo mismo podría decirse de los títulos de educación superior… pero, en fin, como decía, el tema da para largo.

Fuentes: DF.cl, Searchdatacenter, isaca.org y gob.cl

********************************************

www.identidaddigital.cl

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s