El mercado laboral para aquellos que se dedican o quieren dedicarse a la seguridad informática es prometedor. La falta de profesionales con los conocimientos suficientes en este campo no es un problema nuevo y al parecer continuará acentuándose en los próximos años. De hecho, el 65% de los jefes del área de seguridad o IT están de acuerdo con que la falta de profesionales con las habilidades suficientes está impactando negativamente la efectividad de sus equipos, asegura un reporte de la plataforma educativa Cybrary.
Por lo tanto, considerando la alta demanda que existe, quienes logren desarrollar sus conocimientos y habilidades tienen grandes posibilidades de insertarse al mercado laboral y/o de crecer profesionalmente. Como vimos recientemente, existen diferentes perfiles profesionales en esta industria y para desempeñarse en este campo hay varios caminos posibles. Con respecto al valor de las certificaciones, vale la pena mencionar que según un reporte del ISSA, el 52% de los profesionales en seguridad considera que la experiencia es más importante que las certificaciones, mientras que un 44% considera que son de igual importancia. Por otra parte, muchas compañías a la hora de reclutar profesionales incluyen las certificaciones como parte de los requisitos en las descripciones de las ofertas de trabajo.
Más allá de esto, muchos de los que están en esta industria deciden realizar una certificación para validar sus conocimientos y de esta manera poder abrir las puertas a la experiencia que se necesita para acceder a mejores proyectos o posiciones de acuerdo con los intereses individuales.
Tal vez algunos perfiles son más demandados que otros, pero lo importante es que, sabiendo esto y teniendo en cuenta los intereses que cada uno pueda tener, conocer los diferentes roles y certificaciones que existen en este sector permite planificar el desarrollo de una carrera. Por eso, como parte una serie de artículos que estamos publicando en el marco de la celebración del Antimalware Day, repasamos algunas de las certificaciones más populares.
Si bien hay una gran variedad de certificaciones disponibles y organizaciones que las ofrecen, tomando como referencia los datos del reporte sobre la fuerza laboral en ciberseguridad elaborado por (ISC)² en 2019 y el reporte de ISSA de 2020, las certificaciones de seguridad que más profesionales tienen en la actualidad y las organizaciones que las ofrecen son:
- CISSP – (ISC)²
- CISSP with concentration - (ISC)²
- CCNA Security - Cisco
- CCSP- (ISC)²
- CCNP Security - Cisco
- CIW – Certifications Partners
- GSAE - SANS/GIAC - GIAC Security Audit Essentials
- CCSK - CSA
- CISA – ISACA
- CISM - ISACA
- CASP+ - CompTIA
- Security+ - CompTIA
- CEH - EC Council
Desde la perspectiva de las organizaciones que ofrecen certificaciones, según el reporte de (ISC)² , las que más profesionales tienen han sido las que ofrecen las siguientes entidades:
- (ISC)²
- CompTIA
- CSA
- CIW
- ISACA
- ASIS International
- CREST
- EC-Council
- DRI INternational
- GIAC
Vale la pena destacar que en algunos casos las certificaciones tienen un impacto directo en los salarios. Según el estudio del (ISC)² hay una diferencia salarial entre aquellos profesionales en la industria que cuentan con certificaciones, aunque esta diferencia es más evidente en Estados Unidos y Asia-Pacífico. En el caso de Europa o América Latina, la misma existe, pero la brecha no es tan grande como en otras regiones.
A continuación, compartimos más información sobre algunas de estas y otras certificaciones.
Nota: la siguiente no pretende ser una investigación exhaustiva y tampoco es una lista de certificaciones que recomendamos. El fin de este artículo es brindar una orientación que permita a los interesados buscar más información tomando como referencia algunas de las certificaciónes más conocidas.
Intentamos dividir algunas de acuerdo con el nivel de experiencia y la especialización, aunque en ciertos casos la misma certificación puede entrar en más de una categoría y ser de utilidad para más perfiles de los que se mencionan a continuación. Por lo tanto, se recomienda leer las especificaciones de cada organismo certificador.
Certificaciones de nivel inicial
Para aquellas personas que no estén especializadas en ningún perfil en particular y que buscan realizar una certificación que les permita validar sus conocimientos teóricos, pero sin profundizar en lo técnico, algunas de las más conocidas son:
Security+ de CompTIA: una certificación muy demandada por quienes están comenzando. Además de ser de las más conocidas, fija los conceptos básicos sobre la ciberseguridad en general y se adapta prácticamente a cualquier rol en la industria.
GSEC (GIAC Security Essentials): puede presentar ciertas similitudes con Security+ de CompTIA, aunque es más exigente.
CEH (Certified Ethical Hacker): una certificación de nivel inicial muy popular que suele verse como parte de los requisitos en las ofertas de empleo.
Certificaciones dirigidas a profesionales más especializados
Una vez iniciado en el camino profesional hay varias especializaciones. Podemos decir que para cada área en particular existe un conjunto de certificaciones que están, en su mayoría, dirigidas a quienes cuentan con una base conceptual y técnica más sólida y que buscan validar conocimientos técnicos avanzados:
Para un analista (semi-senior o senior):
En este caso se asume que la persona ya tiene claros los fundamentos conceptuales y la parte técnica y que está buscando más que nada certificaciones que validen un nivel técnico más bien alto. Más allá del área de acción particular que pueda desempeñar el analista, partimos de la base de que es un profesional versátil o que realiza distintos tipos de tareas.
CAP (Certified Authorization Professional): para realizar esta certificación que ofrece (ISC)² es requisito poder demostrar dos años de experiencia remunerada en el campo de la seguridad. CAP permite validar que el profesional cuenta con conocimientos técnicos avanzados y conocimientos para el mantenimiento de sistemas de información dentro de un marco de gestión de riesgos, ya que enseña a implementar controles y está ligada a las normas ISO 2700x.
Para un pentester semi-senior o senior:
Para aquellos que realizan tareas de pentesting o quieren desarrollarse en esta materia, algunas de las certificaciones más populares son:
GPEN: Las certificaciones que ofrece SANS (a través de GIAC) son unas de las más valoradas desde el punto de vista técnico. Quien cuenta con una de estas certificaciones demuestra tener grandes conocimientos, algo que muchas empresas buscan para cubrir posiciones semi-senior o senior. Sin embargo, es importante tener presente dos aspectos: suelen ser exigentes (incluso para quienes tienen experiencia) y también costosas.
OSCP: ofrecida por Offensive Security, es una opción similar a la anterior y también muy conocida en la industria.
OSCE: también ofrecida por Offensive Security, es una certificación muy popular en la que se deberá superar un examen práctico exigente de 48 horas de duración. Recientemente Offensive Security anunció una actualización programa. Se recomienda a los estudiantes tener la OSCP antes de intentar obtener la OSCE.
GWAPT: Otra certificación ofrecida por SANS a través de GIAC, pero en este caso orientada a aplicaciones web, también muy demandada. Quienes realicen y aprueben esta certificación habrán demostrado sus conocimientos para lidiar con algunos de los problemas de seguridad en aplicaciones web y sus capacidades para realizar pruebas de penetración.
Para Incident Responder, Analista Forense y/o Threat Intelligence semi-senior o senior
En nuestro post sobre perfiles profesionales mencionamos el rol del Incident Responder, mientras que el rol del Threat Intelligence es el de aquel que está permanentemente informado e investiga y recolecta información sobre amenazas, vulnerabilidades, e incidentes que ocurren para posteriormente analizar esta información y luego realizar acciones de inteligencia de amenazas para la realidad de la organización. Si bien al igual que en las demás áreas existen muchas certificaciones, algunas de las más conocidas son:
GCFE (GIAC Certified Forensic Examiner): Se trata de una certificación muy técnica y muy demandada para perfiles que se dediquen a tareas de Incident Response o forense.
SEC487: Otra certificación ofrecida por SANS que en este caso está orientada a la recolección y manejo de fuentes de información públicas, es decir, más orientado a Threat Intelligence.
SEC541: Cloud Security Monitoring and Threat Hunting, también de SANS.
Otras certificaciones conocidas para estos perfiles pueden ser EnCE, CCE.
Para un Cloud/Network security Engineer:
Las certificaciones para infraestructura, ya sea física o en la nube, suelen estar más relacionadas a una marca específica (la que use la empresa que contrata). De todas formas, una de las más conocidas entre las que ofrecen organismos certificadores es CCSP (Certified Cloud Security Professional) otorgada por (ISC)².
Para managers o líderes de equipo:
Si bien las certificaciones que se solicita para profesionales que ocupan roles de liderazgo en una empresa no priorizan tanto la parte técnica, lo que sí buscan las compañías es que quienes asuman estos cargos puedan comprobar conocimientos profundos sobre aspectos metodológicos de la seguridad aplicada a lo largo y ancho de la empresa:
CISSP: como mencionamos anteriormente cuando nos referimos a esta certificación que ofrece (ISC)², es muy demandada y suele ser una “garantía de confianza”, ya que para obtenerla es necesario demostrar que la persona lleva al menos 5 años de experiencia trabajando en este campo. Es una certificación muy teórica.
Otras certificaciones para mandos de liderazgo que podríamos mencionar son CISM y CISA, ambas ofrecidas por ISACA.
La realidad es que hay muchas más certificaciones. Considerando que existen varios títulos diferentes para describir las distintas posiciones que puede ocupar un profesional en la industria de la seguridad, esperemos que esta lista sirva de orientación para que los interesados en ampliar o validar sus conocimientos tengan una referencia por dónde comenzar a buscar.
Y tú, ¿qué certificación recomendarías y por qué? Cuéntanos en los comentarios para que otros lectores puedan leer tu opinión.