A menudo observo en muchísimos foros, tanto locales como internacionales, una gran infinidad de preguntas orientadas a qué se debería estudiar o no, en materia de seguridad informática y penetration test. Por esta razón, quise desarrollar la presente nota. Cuando pienso en una “posible” respuesta a una pregunta, en principio, tan simple como ¿Que tengo que leer y estudiar para ser un profesional exitoso en seguridad? no se me ocurre una sola sino muchas respuestas lógicas.
El primer camino lógico, si una persona joven recién salida del secundario, fuera quien nos formula dicha pregunta sería decirle que realice una carrera universitaria y luego se especialice con diferentes cursos y certificaciones.
Pero cuando uno piensa en la respuesta, se da cuenta que no es del todo satisfactoria ni siquiera para uno mismo, ya que no existe una carrera universitaria formal en seguridad informática. Si existen posgrados y cursos de extensión universitaria pero no una carrera integral en la materia.
De todas maneras una carrera de grado en conjunto con un posgrado siempre es una excelente opción en cuanto a formación general se refiere.
En la oferta del mercado argentino tenemos una carrera terciaria (No de título de grado) en la universidad CAECE la cual tiene como título “Tecnicatura en Seguridad Informática”.
Luego existen los posgrados, como el perteneciente a la Universidad de Ciencias Exactas de la Universidad de Buenos Aires (UBA), el cual está compuesto por dos módulos de un año cada uno (posgrado y doctorado) y finalmente el Posgrado en Seguridad de la Universidad del Salvador (USAL), ambos con una duración de un año.
Obviamente que está totalmente fuera de toda discusión si una carrera universitaria es útil o no, ya que siempre es una excelente base de conocimientos sobre los que después se puede profundizar. Pero… ¿Qué pasa en el mundo de las certificaciones de hoy? ¿Existen realmente tantas? Bueno la realidad es que Sí.
El mundo de la seguridad de la información cómo ente en sí mismo creció exponencialmente tanto en los últimos 5 años que casi se podría editar un libro si realmente uno quisiera plasmar todo lo que se puede estudiar junto a todo lo que uno debería saber.
En esta nota tratare de mostrar de la manera más resumida posible qué pasos se deberían seguir, desde el punto de vista de estudio y certificaciones, para dedicarse a la seguridad de la información y al penetration testing.
Hecha esta pequeña introducción, cabe aclarar, antes de pasar a hablar de los diferentes tipos de certificación, que con esta nota no se persigue entrar en debate sobre si el tener o no tener certificaciones o título de grado es igual a la experiencia de campo que pueda tener un determinado individuo. Lo normal no sólo en nuestro ámbito sino también a nivel internacional, es que las certificaciones tienen peso debido a muchos factores, pero es importante aclarar algunos puntos relevantes sobre las mismas:
• Las certificaciones y los títulos de grado “No prueban absolutamente nada” salvo el hecho en sí de que uno puede ser un muy buen estudiante y un buen pasador de exámenes.
• Las certificaciones y los títulos de grado son a menudo necesarios para acceder a una entrevista de recursos humanos.
• En muchos países, las agencias gubernamentales requieren determinadas certificaciones para ciertos profesionales o trabajos.
• Muchas empresas o consultoras que intentan acceder a un pliego de trabajo para agencias gubernamentales, deben tener personal certificado, de lo contrario, ni siquiera pueden participar.
• Muchas de las grandes empresas fabricantes de productos como Microsoft, Sun Microsystems y Cisco, suelen tener políticas muy restrictivas sobre las empresas que pueden ser o no Partners de sus canales de negocios. Para ellos las empresas deben tener a su personal de staff certificado.
• Las certificaciones lo posicionan a uno de otra manera en el mercado como especialista.
• Por último, tener algún tipo de certificación o título de grado o ambos, es siempre un diferencial cuando muchas veces una empresa tiene que tomar la decisión de un aumento, una promoción o sencillamente decidir, ante un recorte presupuestario, quien se queda y quien se va.
En entrevistas que se le han hechos a muchos CEOs y CIOs sobre la decisión de tomar o no a una persona con o sin determinadas certificaciones, de la mayoría de las respuestas las más notorias han sido las siguientes:
• Que el individuo es prácticamente egoísta y tiene una imagen tan alta de sí misma como para estar con sus pares en un grupo de trabajo.
• Que es un individuo demasiado perezoso si ni siquiera puede sentarse por un par de horas a rendir un examen.
• Que no se preocupa demasiado de su propia carrera por lo cual no es un profesional confiable.
Se podrá estar o no estar de acuerdo con todas estas afirmaciones pero la realidad es que si uno lo piensa bien, no existen “buenos” argumentos por los cuales no alcanzar una determinada certificación.
¿Entonces…? Qué certificaciones o cursos realizar para dedicarse a la seguridad? Mmmm… tendré que darles la respuesta universal: “depende”. Porque realmente depende de lo que uno quiera o no ser y hacer en el mundo de la seguridad, el cual les aseguro es muy vasto.
Una aclaración válida para hacer es que, cuando hablamos de dedicarnos a la seguridad informática, no estamos haciendo, como todavía pasa en nuestro mercado, mención a una persona que se dedica a dar el alta o baja de usuarios y blanquearles la password. Eso no está ni remotamente cerca de lo que es ser un profesional de la seguridad de la información.
Un profesional de la seguridad es aquél que, más allá de su especialidad elegida, tiene los suficientes conocimientos de normas internacionales o de ámbito local en seguridad, que conoce al menos las intricancias de los principales sistemas operativos y que, sin ser un gurú de redes entiende bien los conceptos y los protocolos de cómo las mismas trabajan y muchas cosas más, porque de lo contrario, no podría asegurar un determinado sistema si mínimamente no lo conoce o si mínimamente no conoce los conceptos que manejan dichos sistemas.
Después es uno el que, cómo veremos a continuación, de acuerdo a su perfil y conocimiento, decidirá que especialización toma y cómo la toma.
Hay gente que se inclina más hacia lo relacionado a la auditoría y la normativa, hay otros a los que les gusta más el management de un área de seguridad, y hay otra porción que no concibe que se la saque del frente de una línea de comando customizada corriendo un nmap mientras arma un script de Python en la netbook con su freebsd customizado.
Pasemos entonces a mirar los diferentes caminos que se podrían tomar en materia de cursos y certificaciones en el mundo de la seguridad, aclarando primero un concepto fundamental:
Se debe entender que hasta no hace mucho tiempo atrás no existía ninguna certificación que envolviera a temas de seguridad o relacionados a information security system (ISS), ya que realmente es una materia prácticamente nueva.
Recién a finales de los 80, el gobierno de los EEUU lanzó una serie de documentos sobre guías de seguridad en ciertos sistemas llamados “Rainbow Series” entre los cuales se encontraba el NCSC –TG-006, mejor conocido como el Orange Book.
Recomiendo al lector que lea dichos documentos, los cuales le darán una buena idea de cómo fue avanzando todo lo relacionado a ISS a través del siguiente link www.fas.org/irp/nsa/rainbow.htm.
1. Certificaciones de Alto Nivel
(ISC)²
Este organismo es probablemente el mejor reconocido en cuanto a su cuerpo de conocimiento y sus respectivas certificaciones.
Acerca de (ISC)²
Con cuarteles en los EEUU y oficinas en Londres, Hong Kong y Tokio, este organismo es globalmente, el líder en educar y certificar sin fines de lucro a profesionales de la seguridad de la información. Esta entidad desarrolla y actualiza constantemente una serie de tópicos concernientes a seguridad llamados CBK, por el acrónimo de Common Body Knowledge, los cuales definen los estándares de la industria global en materia de seguridad. El organismo (ISC)² tiene distintas certificaciones en ISS de acuerdo a diferentes funciones y especializaciones como ingeniería, arquitectura, management y todo lo relacionado al ciclo de vida del software.
1.1. Systems Security Certified Practitioner (SSCP)
Con un poco más de un año de experiencia en el campo de la seguridad de la información, uno se puede convertir en un Systems Security Certified Practitioner (SSCP). Esta certificación es ideal para aquellos que desempeñas funciones de ingenieros de redes con orientación en seguridad, analistas de seguridad o administradores de seguridad. Los dominios o CBK que comprenden a esta certificación son los siguientes:
• Controles de Accesos (Access Controls)
• Análisis y Monitoreo (Analysis and Monitoring)
• Criptografía SSCP (Cryptography SSCP)
• Código Malicioso (Malicious Code)
• Redes y Telecomunicaciones (Networks and Telecommunications)
• Riesgo, Respuesta y Recuperación (Risk, Response, and Recovery)
• Administracion y Operaciones de Seguridad (Security Operations and Administration)
1.2. Certified Secure Software Lifecycle Professional (CSSLP)
Para todo aquel individuo que trabaje en todo lo relacionado al ciclo de vida del software y que por ende debería entender los conceptos de seguridad que envuelven al mismo. Esta certificación apunta a una persona con al menos 4 años de experiencia en el campo de desarrollo de software y su ciclo de vida siendo ideal para desarrolladores, ingenieros y arquitectos, administradores de proyectos, analistas de negocio y testers de QA. Los dominios o CBK que envuelven a esta certificación son:
• Conceptos de Software Seguro (Secure Software Concepts)
• Requerimientos de Software Seguro (Secure Software Requirements)
• Diseño de Software Seguro (Secure Software Design)
• Codificación/Implementación de Software Seguro (Secure Software Implementation/Coding)
• Testeo de Software Seguro (Secure Software Testing)
• Aceptación de Software (Software Acceptance)
• Desarrollo, Operación, Mantenimiento y Disposición del Software (Software Deployment, Operations, Maintenance, and Disposal)
1.3. CISSP (Certified Information Security System Professional)
Esta certificación fue la primera en el campo de la seguridad de la información, acreditada por el organismo ANSI (American National Standards Institute) e ISO Standard 17024:2003 (International Standards Organization). Esta certificación no es sólo un objeto de excelencia por su calidad sino también un estándar globalmente reconocido. Los dominios o CBK que componen a esta certificación son los siguientes:
• Control de Accesos (Access Control)
• Seguridad en la Aplicaciones (Application Security
• Continuidad del Negocio y Plan de Recuperación ante Desastres (Business Continuity and Disaster Recovery Planning)
• Criptografía (Cryptography)
• Seguridad de la Información y Gestión del Riesgo (Information Security and Risk Management)
• Legal, Regulaciones, Cumplimiento e Investigaciones (Legal, Regulations, Compliance, and Investigations)
• Operaciones de Seguridad (Operations Security)
• Seguridad Física (Physical (Environmental) Security)
• Arquitectura y Diseño de la Seguridad (Security Architecture and Design)
• Seguridad en Redes y Telecomunicaciones (Telecommunications and Network Security)
El organismo (ISC)2 tiene además también algunas certificaciones concentradas que se desprenden del CISSP y que el candidato para poder acceder a ellas debe haber primero adquirido el CISSP. Estas concentraciones están referidas al campo de la arquitectura, la ingeniería y el management. Cada una de las anteriores mencionadas utiliza un subset de información de los 10 dominios del CISSP lo cual requiere por parte del participante un alto nivel de conocimiento de dichos dominios.
Para una persona relacionada al campo de la ingeniería y arquitectura, las certificaciones de Information Systems Security Architecture Professional (ISSAP) e Information Systems Security
Engineering Professional (ISSEP) son ideales, mientras que la certificación CISSP–ISSMP está más orientada a los individuos relacionados al management y a los administradores de proyectos (project managers).
1.4. CISSP–ISSAP
Esta certificación de concentración de conocimiento requiere del candidato al menos dos años de experiencia real comprobable en el área de arquitectura y es apropiada para profesionales que trabajen como consultores o similares. Los dominios o CBK que contienen a esta certificación son:
• Control de Accesos y Metodología (Access Control Systems and Methodology)
• Criptografía (Cryptography)
• Continuidad del Negocio y Plan de Recuperación ante Desastres (Business Continuity and Disaster Recovery Planning)
• Análisis de Requerimientos y Criterio-Estándares y Lineamientos de Seguridad (Requirements Analysis and Security Standards, Guidelines and Criteria)
• Continuidad del Negocio y Plan de Recuperacion ante Desastres, relacionados con la Tecnología (Technology-Related Business Continuity and Disaster Recovery Planning)
• Seguridad en redes y Telecomunicaciones (Telecommunications and Network Security)
1.5. CISSP–ISSEP
Esta certificación fue desarrollada en conjunto con la NSA (National Security Agency) de los Estados Unidos, y la misma es una herramienta invaluable para cualquier ingeniero de sistemas en seguridad. Los dominios o CBK que comprenden a esta certificación son:
• Acreditación y Certificación (Certification and Accreditation)
• Ingeniería de Sistemas de Seguridad (Systems Security Engineering)
• Gestión Técnica (Technical Management)
• U.S. Government Information Assurance Regulations
1.6. CISSP–ISSMP
Esta certificación de concentración requiere que el candidato pueda demostrar al menos 2 años de experiencia profesional en el área de management. Esta certificación contiene información muy profunda sobre Project Management, Risk Management, Security Awareness Program y manejo de un Business Continuity Plan. Los dominios o CBK que la componen son los siguientes:
• Continuidad del Negocio (BCP), Plan de Recuperación ante Desastres (DRP) y Plan de Continuidad de las Operaciones (COOP) (Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP) and Continuity of Operations Planning (COOP))
• Prácticas Empresariales de Gestion de la Seguridad (Enterprise Security Management Practices)
• Desarrollo de Sistemas de Seguridad (Enterprise-wide System Development Security)
• Ley, Investigaciones, Análisis Forense y Ética (Law, Investigations, Forensics, and Ethics)
• Supervisión del Cumplimiento de la Seguridad en las Operaciones (Overseeing Compliance of Operations Security)
En la entrega número 2 vamos a seguir ahondando en este mundo relacionado a hacer carrera en seguridad de la información.
Por Diego G. Bruno – Consultor y Analista Senior en Seguridad Informática e Infraestructura.
