martes, 20 de mayo de 2008

El valor de las certificaciones


"The ROI of Security Certification" es el título de la charla que Howard A. Schmidt, Security Strategist de ISC2 dió en las conferencias RSA 2008. También es el tema de su primera entrada en el blog de ISC2.

Para los que no lo sepan, ISC2 es la organización autora del CISSP, una de las certificaciones en seguridad informática que más se valoran en el mercado. Si uno echa un vistazo a las ofertas de empleo de cualquier portal tipo Infojobs y similares, seguro que se encuentra ese nombre junto con otras medallas, tipo CISSP, CISA, CISM, CCNA, CCSP, MCSA, OPST, OPSA, etc etc, en la lista de requisitos deseados.

Para muchos, son exáctamente eso, medallas que colgar en el curriculum. Quedan bonitas, puedes rellenar unas pocas líneas más. Para el técnico de selección que te entrevista, demuestra además de conocimientos, dedicación a tu trabajo, algo muy valorado particularmente en el mundo de la consultoría, en el que se mueven las empresas de seguridad informática que yo conozco.

Para algunos, además, son una forma de aprender un poco, aunque me pregunto hasta qué punto se aprende realmente. Aprobar un examen tipo test realmente no capacita a nadie. La capacitación real viene de usar esos nuevos conocimientos, en mi opinión, y por eso decidí hacer lo siguiente: aprobé el examen CISA en diciembre del año pasado, y me cambié de trabajo para adquirir algo de experiencia en ese campo. Muchos, sin embargo, no siguen esta estrategia, y se quedan sólo con la medalla.

Después de sacar el certificado X, suele ser obligatorio un mantenimiento, de estudios y/o monetario, para poder mantener el título. Esto sí que no me gusta un pelo, no por tener que ponerme las pilas y asistir a conferencias, etc etc, sino por tener que pagar el resto de mi vida por el título. Es una especie de colegiación obligatoria, cuya razón de ser no es la excelencia profesional, como uno esperaría, sino hacer difícil el mantenimiento del título. Para entendernos, la estrategia que sigue Ferrari: los coches son carísimos y además no te puedes comprar uno directamente, sino que el que lo desea ha de pasar por un proceso de selección cada vez que compra uno nuevo, con mogollón de detallitos a tener en cuenta. Eso hace que sea un artículo exclusivo. Y en el caso de las certificaciones, además garantiza el flujo de dinero de por vida a la organización... ¿mola no?.

Esto hace que se vea a estos certificados como un timo. De entre los compañeros de gremio que he conocido hasta ahora, hay algunos que los rechazan radicalmente, argumentando que realmente no se aprende nada y que sólo se los saca el que tiene que ponerse méritos de forma artificial. En mi entorno coinciden, por cierto, con el perfil más de hax0r que conozco, no se cómo será por ahí.

El Sr. Schmidt explica que estas certificaciones aparecieron hace diez años como una manera de distinguir a un gestor, directivo, o como queramos llamarlo, que supiera de seguridad TI, de uno que no supiera. Entonces no era común esta capacitación profesional, ni se exigía en las empresas.

Hoy día ha llovido algo más, y el abanico de certificaciones ha crecido mucho, tanto de fabricantes como independientes. La seguridad TI es más normal, está mejor asimilada en las empresas y en administraciones públicas. Quizá fuera hora de cambiar, tanto las propias certificaciones para que tengan menos tufillo a lobby y sean realmente más formativas, como la mentalidad de los profesionales, para que se vean de otra manera, y no sólo como medallas o como los méritos de los incompetentes.

Slds!

Actualización: segunda parte de "the ROI of security certification"

3 comentarios:

Anónimo dijo...

No sé demasiado sobre el valor de las certificaciones en el mundo de la consultoría, la verdad sea dicha. Sin embargo, creo que tienen un poco de timo/método alternativo/complementario para sacarle cuatro perras a los incautos.

des dijo...

Sí que son muy comerciales: por ejemplo, hay empresas que se plantean como objetivo tener N CISAs en plantilla. Otras consideran tan valiosas estas certificaciones que pagan el coste de mantenerlas de sus empleados...

GigA ~~ dijo...

Bueno, tenéis parte de razón los dos, si es verdad que es un pozo sin fondo al que hay que alimentar periódicamente, ya sea con $ o con experiencia (mucho mejor en este último caso), sin embargo también es cierto que tener una de estas "medallas" te acredita como profesional delante de los que no lo son.

Es un, oiga usted, yo sé lo que estoy diciendo, estoy avalado por esta organización, si no fuese un experto no estaría aquí diciéndole que sus sistemas son inseguros.

Lo que a la hora de trabajar nos cubre un poquito (pero solo un poquito) a la hora de tratar con gente que solo ve la seguridad como una "trampa" a salvar antes de que su proyecto entre en producción.

O esa es al menos mi opinión.

Salu2!