sábado, febrero 20, 2010

Certificaciones en Seguridad: CISSP, CISA, ABCP, GSEC, CISM, Auditor Lider, BCLS 2000 y PMI-RMP

El tema es sencillo: hablar de estas certificaciones, que significan sus siglas y donde podríamos inscribirnos para certificarnos como tal.

CISSP (Certified Information Systems Security Professional)
La certificación CISSP es la primera credencial acreditada ANSI ISO en el campo de la seguridad de la información, es objetiva e independiente, otorgada por (ISC)2 (www.isc2.org) y acredita el conocimiento, la especialización y la experiencia de los profesionales del sector tecnológico en Seguridad Informática, de la cual forman parte los más reconocidos expertos en seguridad de todo el mundo.

Estos son los campos de conocimiento certificados para un profesional CISSP, Common Body of Knowledge (CBK):
  • Sistema de Control de Acceso & Metodología
  • Seguridad en el Desarrollo de Sistemas y Aplicaciones
  • Plan de Continuidad del Negocio (BCP) & Plan de Recuperación Ante Desastres (DRP).
  • Criptografía
  • Leyes
  • Investigaciones y Ética
  • Seguridad de Operaciones
  • Seguridad Física
  • Arquitectura de Seguridad
  • Seguridad de Redes y Telecomunicaciones
Para obtener una certificación CISSP, se debe aprobar el examen administrado por (ISC)2 y tener mínimo cinco años de experiencia laboral en uno o más dominios del CBK. Como se puede apreciar de acuerdo al CBK esta certificación es un híbrido entre la parte técnica y la parte estratégica (Gestión de la Seguridad de la Información).

Actualmente en Colombia existen cerca de 30 profesionales certificados CISSP, los cuales laboran en empresas del estado, en bancos, Telcos y otros en empresas de consultoría.

Para mantener la certificación hay que demostrar entrenamiento continuo anualmente.


ISACA CISM (Certified Information Security Manager®)
Esta es una certificación expedida por ISACA (www.isaca.org) y es un programa de certificación desarrollado para gerentes de la seguridad de la información o personas que tengan responsabilidades asociadas con la administración de la seguridad de la
información en una organización.

Es una certificación orientada a los profesionales que realicen tareas de Administración, diseño, revisión y/o evaluación de un sistema de seguridad empresarial.

Esta certificación pretende demostrar que el profesional posee los conocimientos y experiencia necesaria en la administración de sistemas de seguridad de la información y consultoría, por lo cual exige que se tenga como mínimo 3 años de experiencia en administración de seguridad de la información y 2 años en otras actividades de seguridad. El examen se basa en las mejores prácticas desarrolladas por y para administradores de la seguridad de la información.

El examen mide y evalúa las siguientes áreas de conocimiento:
  • Information Security Governance (21%)
  • Risk Management (21%)
  • Information Security Program(me) Management (21%)
  • Information Security Management (24%)
  • Response Management (13%)
Para mantener la certificación hay que demostrar entrenamiento continuo anualmente.


CISA (Certified Information Systems Auditor)
Es uno de los programa de certificación de más trayectoria y reconocimiento a nivel mundial, desde 1978 el programa representado por ISACA® (Information Systems Audit and Control Association® - www.isaca.org), ha sido mundialmente aceptado como
un estándar de reconocimiento para los profesionales en auditoría de sistemas, control y seguridad.

Las áreas de conocimiento que se certifican mediante CISA son:
  • Management, Planning, and Organization of IS (11%)
  • Technical Infrastructure and Operational Practices (13%)
  • Protection of Information Assets (25%)
  • Disaster Recovery and Business Continuity (10%)
  • Business Application System Development, Acquisition, Implementation, and maintenance (16%)
  • Business Process Evaluation and Risk Management (15%)
  • The IS Audit Process (10%)
Para obtener la certificación el profesional debe aprobar un riguroso examen que evalúa las áreas de conocimiento anteriormente expuestas, además se debe demostrar un mínimo de 5 años de experiencia profesional en auditoría de sistemas de información, control o experiencia en seguridad de la información.

Poseer la designación CISA demuestra el nivel de competencia y constituye la pauta para medir la preparación, los conocimientos y experiencia en auditoría, control, aseguramiento y seguridad de SI.


ABCP (Associate Business Continuity Professional)
ABCP es una certificación que reconoce el conocimiento que posee el profesional en planeación de continuidad del negocio y en desarrollo de estrategias de recuperación ante desastres y creación de un completo programa de continuidad para una compañía. Esta certificación hace parte de un grupo de certificaciones en la cual ABCP es la certificación de entrada que exige unos niveles mínimos de experiencia en este campo.

Sin embargo a nivel de Colombia son aun pocos los profesionales los que tienen esta certificación.


Lead Auditor BS7799-2 ó ISO 27001
Esta es una certificación ofrecida por el Instituto Británico de Estándares BSI quien es el ente que a nivel internacional a publicado normas tan importantes como BS 17799 y BS 7799-2.

El profesional acreditado con esta certificación se somete a un curso y a un examen riguroso en donde se mide el nivel de competencia en cuanto al conocimiento de cómo se verifica el nivel de cumplimiento de una organización con respecto a la implementación de su SGSI (Sistema de Gestión de la Seguridad de la Información)
y como auditarlo.

Este tipo de acreditación es la que poseen los profesionales que lideran un grupo de auditoría de una entidad certificadora nacional o internacional (Por ejemplo ICONTEC, BSI), este profesional también puede laborar como consultor o auditor interno en una organización.


BCLS 2000

Este curso esta diseñado para profesionales responsables de las funciones de administración de planes de recuperación de desastres o planes de continuidad del negocio. Beneficia a los planificadores y coordinadores de recuperación de desastres, gerentes de operaciones, gerentes de comunicaciones, gerentes de informática, administradores de riesgo y miembros de equipos de recuperación de desastres y planes de Contingencias.

“El DRII es una organización líder en el establecimiento de estándares internacionales para la “Administración de continuidad de negocios”. Fue fundada en 1988 y ha contribuido decisivamente en el desarrollo de una base de conocimientos y estándares profesionales para el desarrollo de planes estructurados de recuperación de desastres y continuidad de los negocios. Los cursos y certificaciones del DRII son reconocidos internacionalmente como el estándar mundial”


PMI - RMP

La presión para completar un proyecto con cronogramas muy apretados en tiempo y la necesidad de constante innovación para mantenerse al frente de la competencia son algunas de las razones por las que se hacen necesarios dentro de los equipos de los proyectos los profesionales en la administración de riesgos. El PMI reconoce la importancia y capacidades especiales que se requieren para ser un profesional en administración del riesgo. La certificación PMI-RMP reconocerá el conocimiento, habilidades y experiencia en esta área.

Los Directores de proyecto interesados en obtener esta certificación deben visitar PMI.org para obtener más información y descargar la solicitud de aplicación.

Para ser candidato a presentar el examen de PMI-RMP, deben de contar con carrera profesional o un equivalente global, 3 a 5 años de experiencia laboral profesional, con 3,000 horas de experiencia en administración de riesgos, junto con 30 horas de educación formal en administración de riesgos.


Importancia de una Certificación
  • “La marca de la excelencia de un programa de certificación profesional está en el valor y reconocimiento que se concede al individuo que la obtiene.” “ISACA –CISA”
  • “Demostrar el conocimiento para trabajar en seguridad de la información,confirmando el cumplimiento de lo desarrollado en su profesión” ISC2 – CISSP.
  • “Es la forma en la cual un profesional se diagnostica y se evalúa a sí mismo para determinar su grado actual de competencia y experiencia en una o más áreas de conocimiento” Fabián Cárdenas – NewNet S.A”

20 comentarios:

vladimir dijo...

Buen dia señor Leonardo...
He leido que la CISSP se puede presentar en español, pero no hay libros en español de CISSP. O si???
Usted conoce alguno???

O es mejor estudiar para la certificacion en ingles y presentarla en ingles???

Cual seria su recomendacion, por favor???

Muchas gracias por su respuesta
Vladimir

Leonardo Camelo dijo...

Buenos Dias Vladimir

Uno de los grandes problemas para un hispano parlante a la hora de querer certificarse, es precisamente la ausencia de material en nuestro idioma, por lo cual dominar el ingles se convierte prácticamente en una obligación.

Haciendo una busqueda en Google, encuentro que afortunadamente ese examen se puede presentar en español, pero hay que tener en cuenta que no es solo presentar y aprobar el examen, sino demostrar ademas experiencia profesional en seguridad por varios años.

Quizas este link le pueda ser de utilidad, pues habla en detalle de la certificación de su interes: http://www.segu-info.com.ar/articulos/54-certificacion-cissp.htm

vladimir dijo...

Buen dia..
Muchas gracias.

vladimir dijo...

Buenos dias Leonardo..
Quisiera saber por favor de una libreria o algun otro sitio en bogota donde pueda conseguir el libro de cissp all in one shon harris; o alguno mas de los que se nombran para dicha certificacion.
Muchas gracias por su ayuda.
Hasta luego
Vladimir

Leonardo Camelo dijo...

Hola Vladimir

Me tome mi tiempo en responder por que hice una búsqueda extensiva por las principales librerías que conozco, pero el libro resulto imposible de conseguir.

Ahora, en la web si encontré los links de descarga, pero esa ya es otra historia ;)

Lamento no haber podido ser de mas ayuda.

vladimir dijo...

Que tal Leonardo...

Gracias por su respuesta..

Espero no molestarlo, pero quisiera saber si existe algo sobre los 10 dominios de ICSSP, cuales son los de mayor demanda o los mejores para tener experiencia?

O hay q escoger los q le gusta mas a uno??

Muchas gracias por sus respuestas.

Hasta luego.
Vladimir

Andrew dijo...

Buen dia, me podrias ayudar con una duda.
Tengo planeado realizar el curso de iso27000 dictado por icontec.
Para ser auditor lider debo realizar algun examen adicional? o sólo con el curso puedo ejercer como auditor de iso27000.
Tambien quiero saber si el campo de accion de los auditores de iso27000 es amplio.

Mil gracias

Leonardo Camelo dijo...

Buenos Dias Andrew

Hay dos tipos de auditores: Interno y Líder, siendo de alguna forma haber sido Auditor Interno un prerrequisito para ser Auditor Líder.

Los dos cursos son muy diferentes entre si, el de Auditor Interno es mas corto, una inducción a la Norma con algunas enseñanzas de Auditorias; mientras que el curso de Auditor Lider es una inmersión total en la ejecución de Auditorias.

Ahora, el hecho de tomar el curso de Auditor no te va a dar todas las herramientas para ser el mas competente de los Auditores, hay que añadirle también bastante experiencia (demasiada diría yo)en muchos campos del conocimiento, tales como Sistemas, Riesgos, Seguridad Fisica, Recursos Humanos, Continuidad del Negocio, etc.

Aclaro que mi intención no es desanimarte sino aclararte un poco mas el amplismo alcance de una implementación de ISO 27000, hay demasiadas cosas por revisar en una auditoria!

Para terminar, el tema de las auditorias en seguridad de la informacion es algo que esta aun por explotar realmente en el Pais, existiendo ya entidades obligadas a su cumplimiento (Sector Financiero), pero aun faltan muchas mas por hacerlo. El panorama es prometedor pero mas a mediano plazo, este es el momento para capacitarse y esperar a que el tema se masifique y aprovechar dicha situacion.

Ronald dijo...

Buenos Dias Sr Leonardo soy Nuevo en el proceso de auditoria, Soy Ing de sistemas, me gustaria realizar una certificacion cisa o auditoria en sistemas le agradezco mucho su ayuda que me pueda brindar o donde lo puedo contactar.

Leonardo Camelo dijo...

Buenos Dias Ronald

La verdad sobre la obtención de estas certificaciones es que realmente existen poquísimos centros educativos a los cuales remitirse para obtener algún material de ayuda, horas de entrenamiento, etc. para apuntar a la obtención de estas certificaciones. De hecho, el único sitio que conozco en Colombia es ETEK pero maneja unos costos demasiado elevados y poco accesibles a la mayoría de interesados.

Ahora, hablando de la Auditoria de Sistemas, existen en el País postgrados con exactamente ese titulo lo cual también es una excelente opción para un Ingeniero de Sistemas.

Andrea Cortes dijo...
Este blog ha sido eliminado por un administrador de blog.
Antonio Martínez dijo...

Leonardo muy buen post, una pregunta, dónde puede uno certificarse en Colombia? me comenta un amigo que acá toca hacer autoestudio y luego sí pagar por el examen online. Yo siento que la tutoría presencial es importante, qué recomiendas?

Unknown dijo...
Este blog ha sido eliminado por un administrador de blog.
Rosita dijo...

Existe alguna certificación para Hackeo Ético?

Leonardo Camelo dijo...

Hola Rosita

Existe el curso "Certified Ethical Hacker" cuyo enfoque es capacitar profesionales con habilidades para encontrar las debilidades y vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso. 

El objetivo del Hacker Ético es ayudar a la organización a tomar medidas contra ataques maliciosos atacando al sistema mismo; todo dentro de límites legales.

Ojala esto responda tu pregunta!

Unknown dijo...

Buen día Leonardo,

Una pregunta, soy administrador de empresas sin embargo por cosas de la vida actualmente desempeño funciones de administrador de bancas virtuales y aplicativos in-house en una entidad del sector financiero ya hace casi 2 años, mi pregunta es... mi profesion es una limitante para realizar alguna de estas certificación enfocadas en la seguridad de la información? tal vez por la parte tecnica? o por el contrario no es una limitante para capacitarme en este ambito?.

Gracias por su colaboración.

Unknown dijo...

Buen día Leonardo,

Una pregunta, soy administrador de empresas sin embargo por cosas de la vida actualmente desempeño funciones de administrador de bancas virtuales y aplicativos in-house en una entidad del sector financiero ya hace casi 2 años, mi pregunta es... mi profesion es una limitante para realizar alguna de estas certificación enfocadas en la seguridad de la información? tal vez por la parte tecnica? o por el contrario no es una limitante para capacitarme en este ambito?.

Gracias por su colaboración.

Leonardo Camelo dijo...
Este comentario ha sido eliminado por el autor.
Leonardo Camelo dijo...

Buenas Tardes Dylann

Desde ningún punto de vista es una limitante para conseguir estas certificaciones. Si Ud cuenta con los conocimientos técnicos para aprobar los cursos en los que este interesado, con seguridad lo hará.

La única dificultad que vería es la búsqueda de empleo en el ramo de la seguridad informática, donde el grueso de los empleadores obtusamente piensa que la única profesión que puede trabajar en ese tema es la Ingeniería de Sistemas o alguna relacionada.

Cordial Saludo

Johanna dijo...

Hola, necesitamos una certificación de seguridad de la información, tu podrías ayudarnos? como podríamos contactarte. Gracias.