Gestionar la seguridad de la información en una organización no es una tarea que se limite a generar políticas, cambiar configuraciones en los firewall y analizar que las firmas de antivirus estén al día. Ante los cada vez más especializados ataques (APT – Advance Persistent Threat) que atentan contra la seguridad de la información es necesario establecer infraestructuras más robustas, arquitecturas de comunicaciones mayor protegidas y procedimientos que no sólo sean de calidad sino también seguros.

Esto lleva a las organizaciones a un estado donde es necesario invertir constántemente en IT y seguridad, pero mucho se queda en sólo inversión, sin embargo, temas como el manejo, correcta configuración, monitoreo, seguimiento y análisis del éxito de los controles y tecnologías implementadas a través de dichas inversiones no se realiza correctamente o no se realiza, es aquí cuando aparece el concepto de SOC, Security Operations Center.

Para entender de la mejor forma la idea de un SOC es necesario comprender que no se trata sólo de un servicio o proceso de monitoreo que todo esté bien o que los antivirus estén actualizados, va más allá y como lo plantean varios autores, la idea central de un SOC es gestionar el riesgo que pueda afectar la seguridad de la información y por ende la seguridad informática. Para que esto sea posible es necesario definir que lineamientos regirán al SOC, como se estructurará, que jerarquías se deben manejar y por supuesto, los alcances de las actividades a realizar.

Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos, información o acceso exista una o varias políticas que estipulen ese requerimiento ejecutivo para poder así justificar la implementación o contratación de servicios que se encarguen de hacer cumplir las políticas. Un ejemplo de ello puede ser la política que se desarrolla en la organización para evitar la fuga de información y por consiguiente la implementación de un sistema de Data Loss Prevention. Así bien, con la existencia de las políticas, ya está expuesta la necesidad de establecer los controles y vigilar su cumplimiento, es aquí donde el SOC aparece como centro de operaciones de seguridad donde estas tareas se llevarán a cabo.

¿Qué se debe gestionar, monitorear o hacer seguimiento?

El abanico de posibilidades es amplio y varía de acuerdo al tipo de negocio y sus actividades. Entre las opciones se pueden encontrar:

• Monitoreo de disponibilidad de plataformas y servicios

• Monitoreo de integridad de información en plataformas y servicios

• Protección perimetral ante atacantes e intrusiones

• Gestión de sistemas de protección de datos (DLP – Antivirus – entre otros)

• Gestión de vulnerabilidades de plataformas (Pruebas periódicas)

• Gestión de eventos e incidentes de seguridad (A modo de un CSIRT)

• Gestión de dispositivos y plataformas de seguridad y comunicaciones (En conjunto con el NOC – Network Operations Center)

• Entre otros…

Observando estas posibilidades también es necesario recalcar la importancia de los tiempos de respuesta, cadena y canales de comunicación. Un ejemplo para proyectar esta idea consiste en el caso de encontrarse en proceso un ataque de denegación de servicio contra la infraestructura de la organización. El SOC debe informar a los dueños de la información o de los recursos para que estos realicen acciones correctivas, si no se informa a tiempo puede llegar a afectar la organización y esto a su vez verse reflejado en materialización de amenazas que generan riesgo reputacional o de la imagen, riesgos económicos, por nombrar algunos.

A nivel técnico, al hablar de componentes de un SOC ya entra en detalle a revisar soluciones tales como SIEM (Correlacionadores de eventos), sistemas de monitoreo de servicios y plataformas, consolas centralizadas de análisis de tráfico, sistemas de IDS, IPS, HIDS, sistemas para gestión de incidentes. Todo esto coordinado por recurso humano capacitado con amplios conocimientos de temas de seguridad informática, gestión de eventos, incidentes, hacking, entre otros.

Finalmente, así como se indicó anteriormente, la idea del monitoreo es evidenciar el cumplimiento de las políticas, es por ello que la generación de los informes y reportes son la forma de recopilar toda aquella información obtenida a través de los procesos realizados por el SOC y determinar que tanto se está logrando con los controles implementados, permitir a la alta gerencia conocer el cumplimiento de las políticas y establecer acciones de mejora o inversión para lograr las metas esperadas.

Como recomendaciones acerca de como estructurar, identificar necesidades y servicios adicionalmente de consejos de implementación y para contratación recomiendo los siguientes documentos complementarios:

• Security Operation Center Concepts & Implementation – Renaud Bidou

• Building a Security Operations Center for little or no money – Josh Pyorre (Defcon 18)

• Implementing a Security Operations Center – Park Foreman

Han sido tiempos turbulentos para las áreas de seguridad de la información, seguridad informática, Business Continuity Plan de grandes organizaciones tales como RSA, Sony, Amazon, además de los constantes ataques a través de spam, phishing y scam con temas como La Boda Real”, la “Muerte de Osama”, entre muchas otras opciones.

Todas ellas buscando acceso a información personal de usuarios en redes sociales o simplemente generar infecciones masivas creando así redes de Botnets para posteriormente seguir generando más spam y ataques especializados.

Las perspectivas del momento actual para situaciones como el robo de información de Sony genera las incógnitas cada vez más constantes acerca de si quienes custodian nuestra información, lo hacen de la mejor forma.

Se generan dudas tales como, donde está el cumplimiento de normas como PCI tales como que los datos de las tarjetas de crédito deben ser transmitidos y almacenados de forma cifrada.

Algo pasó aquí, al igual que con la infraestructura de seguridad de esta megaorganización.

Otro caso, más complejo fue el fallo de más de 24 horas del sistema de Cloud de Amazon hace unas semanas. Aparece la pregunta,

¿No es la disponibilidad una de las ventajas del cloud computing?

Podemos seguir citando casos y casos, sin contar todos aquellos incidentes que se presentan y nunca son reportados.

Esto genera varias dudas, desde la perspectiva de una persona que trabaja en el gremio de la seguridad y por otro lado desde el rol de usuario, se la transmito a los lectores:

• Si tanto se ha hablado del impacto de ausencia de controles de seguridad o uso de métodos de protección débiles ¿Por qué sigue pasando esto?, ¿No son estas las empresas que mandan la parada?

• Si grandes organizaciones tienen estos inconvenientes con manejo de información, datos personales y confidenciales, aquellas organizaciones que aún no han descubierto que la seguridad de la información existe, ¿Cómo se protegen?

• Como usuarios seguimos creyendo que las redes sociales son unas plataformas muy seguras en las que puedes publicar tu vida y datos personales sin control alguno. Acaso no hemos escuchado de cuantos casos de robo, engaño, extorsión, secuestro e incluso  asesinatos ha acontecido y una arma de estos delitos han sido el “exceso de información”. Entonces ¿Ya revisaste tu privacidad en facebook?, ¿Sigues indicando en sistemas como Foursquare o Twitter donde te encuentas y que andas haciendo?, ¿Aceptas contactos que no tienes la más remota idea en redes sociales?.

• ¿Seguimos creyendo que las modas en tecnología (redes y dispositivos móviles, cloud computing y la interminable lista de tecnologías actuales) son seguras?

La frase “Lo que está en la red, ya es público” es una realidad gracias a que sean atacantes sofisticados o no. Sean administradores descuidados o no. Sean firmas u organizaciones para las cuales la seguridad es una pequeña opción, nos ponen a pensar si lo mejor es quedarnos con nuestra información y guardarla, custodiarla en algún lugar donde nadie pueda acceder o más simple, exigimos seguridad, responsabilidad y confidencialidad con nuestra información y servicios.

Y finalmente, nosotros como usuarios, aprendemos que la seguridad inicia por nosotros mismos, que tanto decimos, que tanto publicamos, que tan fácil nos hacemos blanco de algún ataque.

Existen métricas para casi todo a nivel de proyectos de desarrollo de software, sin embargo, en temas de seguridad hasta hace unos años era un territorio virgen, no había gran avance en el tema, ya que la seguridad no era tenida en cuenta en los procesos de desarrollo o tal vez no pasaba de un checklist pequeño que revisaba posibles fallas de seguridad presentes en las aplicaciones.

En el año 2001, en Diciembre para ser más exactos, nace la iniciativa de OWASP, Open Web Application Security Project, como un grupo de expertos en temas de desarrollo y seguridad con las intensiones de plantear proyectos que a su vez trabajaran en temas de seguridad de aplicaciones, buenas prácticas para desarrollo seguro, pruebas de seguridad para software entre otros. Hoy en día OWASP cerca de sus primeros 10 años, plantea una organización sin ánimo de lucro conformada por un excelente grupo de profesionales de todo el mundo involucrados en varios proyectos desde la sensibilización hasta lo técnico trabajando en tres frentes (Entender como categorías): Detección, Protección y Ciclo de Vida.

A nivel corporativo, el requerimiento de implementar estándares como PCI (a nivel de transacciones de pago a través de medios electrónicos), hablan de la necesidad de implementar controles y ataques orientados al uso de OWASP, esto ofrece un marco de confianza y respaldo al trabajo en este gran proyecto.

Dentro de los frentes mencionados anteriormente, se encuentran proyectos que aportan sustancialmente a los equipos de desarrollo al hablar de código seguro, veamos algunos de ellos:

Proyecto Top Ten

Este proyecto consiste en la investigación y el respectivo análisis de las vulnerabilidades más presentadas a nivel de aplicaciones, una clasificación por criticidad, el tratamiento y presentación de soluciones para implementar. Se genera un documento anualmente y busca generar un estado del arte en temas de seguridad de aplicaciones, útil para evaluar y tomar medidas reactivas a posibles fallos de seguridad.

Proyecto Application Security Verification Standard (ASVS)

A través de este proyecto se propone un estándar o marco de referencia a través del cual se deben implementar los análisis de seguridad a aplicaciones web. Empleando el estándar como marco de referencia es posible el desarrollo de pruebas de seguridad y validación que las vulnerabilidades propuestas a través del Top Ten no se encuentren en las aplicaciones web analizadas además de otros tipos de análisis contra otros tipos de ataques.

Proyecto WebScarab

Se trata del proyecto en torno a un framework a través del cual se pueden analizar aplicaciones que se comunican a través de los protocolos HTTP y HTTPS. Su funcionamiento es similar al de un sistemas proxy de interceptación, permitiendo observar, editar y reenviar solicitudes creadas a nivel del navegador antes de ser enviadas al servidor. Su potencial es muy grande ya que cumple una función similar a aplicaciones como Tamper Data, permitiendo realizar ataques de Cross-Site Request Forgery (CSRF).

Proyecto Secure Coding Practices

Por medio de un documento que aborda las buenas prácticas para desarrollo seguro, un equipo de investigación dentro del proyecto OWASP, propone lineamientos, recomendaciones y referencias para aplicar en procesos de desarrollo de software totalmente adaptable al proceso llevado a cabo dentro del ciclo de vida del software a construir o en proceso.

Proyecto Enterprise Security API (ESAPI)

Por medio de Top Ten se identificaron las vulnerabilidades que se encuentran presentes con mayor frecuencia en proyectos de software. Por medio de herramientas como WebScarab se hace explotación de estas vulnerabilidades. Haciendo revisión de las buenas prácticas de desarrollo de software seguro se cuentan con lineamientos para involucrar buenas prácticas al proceso de codificación. Ahora es necesario implementar controles para evitar que el software desarrollado sea vulnerable a ataques conocidos. Es aquí cuando podemos hablar del proyecto Enterprise Security API, mejor conocido como ESAPI.

Un grupo de expertos en seguridad y desarrollo, ha puesto a disposición de todos una API para canocalización y sanitización (no recibir o enviar información que contenga caracteres o información que se pueda traducir en ataques) de entradas y salidas de información desde y hacia nuestras aplicaciones, ofreciendo controles estandarizados para las vulnerabilidades presentadas en el OWASP Top Ten.

ESAPI se encuentra disponible para lenguajes como PHP, JAVA, Python, .NET, ASP, Ruby, entre otros, además de ofrecer documentación para su implementación a través del uso de patrones de software.

El uso de ESAPI como API de control de ataques ofrece múltiples beneficios a equipos de desarrollo:

• Facilidades de implementación en diversos lenguajes y tecnologías
• Capacidad de transformación de acuerdo a las necesidades cambiantes del área de seguridad y especialización de ataques, similar a la frase: “No reinventar la rueda, sólo optimizarla“
• Ofrecer calidad en los procesos de desarrollo a través de el cumplimiento de buenas prácticas y estandarización de codificación.

Para finalizar esta revisión del proyecto OWASP, una invitación a participar en los capítulos locales en cada país o formar uno, de la misma forma, acercarse a este tipo de proyectos que similares a proyectos de software libre, aportan en gran medida a procesos de mejoramiento continuo y estandarización, algo necesario en el mundo empresarial actual y asociado a ese tema que tanto nos apasiona, la seguridad de la información.

No es extraño para los usuarios de sistemas informáticos, especialmente los que manejan información que puede llegar a considerarse como privada o confidencial, cuenten con sistemas de autenticación más complejos, temas como doble validación (algo que se sabe y algo que se tiene) e incluso autenticación de tres factores (algo que se sabe, algo que se tiene y algo que se es).

Haciendo una retrospectiva a las razones de implementación de estos controles es necesario hablar de uno de los primeros controles y que a pesar del tiempo se niega a desaparecer, y que bueno que no lo haga. Con esto me refiero a los famosos sistemas “Captcha” o de validación de “humanidad”, por denominarlo de una forma más nemónica.

A través de sistemas de reconocimiento de símbolos, operaciones matemáticas e incluso, respuesta a preguntas, se busca determinar que quien llena un formulario o un sistema de registro de datos, sea un humano y no un robot o aplicación diseñada para generar spam. Sin embargo, el sistema de captcha ha tenido que evolucionar dado que las técnicas de sobrepaso de sus controles es fácilmente vulnerada por atacantes que a través de técnicas de análisis de imágenes, detección de bordes, e incluso bases de datos de captchas, traspasan estos controles. A pesar de ello, aún el clásico captcha de operaciones aritméticas escritas en letras resulta muy compleja de superar.

Pasamos ahora a otros controles más rigurosos, tales como los implementados a nivel de portales de banca o sistemas financieros. Debido a los constantes intentos de fraudes y de robo de información perpetrados contra estos sistemas de información, se habla de múltiples controles tales como teclados virtuales (para evadir posibles keyloggers), preguntas de seguridad (algo que se sabe), uso de tokens (algo que se tiene), además de bloqueos de sesión por tiempos cortos de inactividad, ofuscación d entre otros controles.

Desde estas perspectivas, los controles implementados harían en teoría este tipo de sistemas muy difíciles de vulnerar para posibles atacantes. Desafortunadamente, en la medida que se implementan más controles para dificultar las actividades delictivas a atacantes, se aumenta la dificultad de acceso para los usuarios.

La situación antes mencionada se traduce para el usuario en traumatismos para el manejo de cuentas de acceso a plataformas, exigencia de información que no resulta de fácil recordación, requerimientos técnicos a nivel de navegadores u otros componentes de software. Esto crea apatía hacia el uso de la tecnología que se traduce en difusión de comentarios que pueden afectar la imagen o reputación de una organización.

No es un mito o mentira el hablar de que a mayores controles de seguridad la usabilidad y accesibilidad se ve afectada a nivel de aplicaciones y sistemas de información. Tampoco es una mentira que actualmente nos encontramos en un estado de explotación tecnológica en el cual la clásica frase de “policías y ladrones” se traslada al mundo virtual, donde es más fácil delinquir al igual que esconderse.

Entonces ante lo anterior,

¿Qué se puede hacer por parte de quienes trabajamos en seguridad para hacer que los usuarios de estas tecnologías, entre los que nos incluimos también, encuentren en estos controles seguridad en vez de trabas o molestias en su acceso a la información?

A partir de la experiencia en temas de soporte, tratamiento y asesoramiento de usuarios y otros aspectos relacionados he encontrado y creo que más de una persona estará de acuerdo, la solución es crear conciencia, explicar los peligros existentes, si, es necesario primero crear una sensación de peligro por que existe y es real, los robos de datos de tarjetas de crédito no es un mito, el robo de cuentas de usuario de correo electrónico o redes sociales es una realidad que crece día a día por más que se implementen controles.

Es por ello que la labor de educar en la seguridad de la información permitirá a nuestros usuarios y a nosotros mismos, entender que estas medidas de seguridad buscan protegernos y al mismo tiempo, proteger nuestra información y activos, además de ofrecer una sensación de tranquilidad de saber que existen controles y mecanismos que hacen la tarea de delinquir más difícil a posibles atacantes o ladrones.

En conclusión, ante todo lo anterior, hacer de la educación en seguridad de la información una herramienta poderosa para hacer nuestro trabajo más sencillo pero más allá de eso, hacer la vida de las personas que emplean los sistemas, portales y aplicativos en general, más segura.

Hoy en día en vista de la incidencia de la tecnología en las organizaciones de todo tipo, es muy normal hablar de plataformas tecnológicas que administran la gestión documental, la gestión y servicio a clientes e incluso grandes grupos de herramientas que establecen el núcleo o core del negocio de una empresa. Adicionalmente, la mayor parte de los trabajadores o integrantes de estas organizaciones manejan grandes volúmenes de información en su día a día, esto a través de medios físicos o lógicos. No se puede pasar por alto un factor muy común en la actualidad y es que dado el perfil móvil de muchos de estos empleados, llevan consigo computadores portátiles, teléfonos inteligentes y diversas tecnologías que les permiten transportar y acceder a información en casi cualquier lugar. Otro caso no asociado a lo tecnológico podría ser un riesgo de ocurrencia de un tornado o una inundación en la zona que se encuentra la organización.

Viendo este panorama es necesario establecer un marco de análisis para determinar qué tipos de amenazas existen frente a estos activos, a su vez determinando esto, llegar a identificar los riesgos presentes y su incidencia para la organización, por que más allá de que un ejecutivo pierda su teléfono celular en un taxi o su laptop sea sustraído de su automóvil, existen muchas más incidencias en todo esto.

Shon Harris presenta una excelente definición del término riesgo que puede contextualizar mejor de que estamos tratando en este artículo: “Un riesgo es la posibilidad de que ocurra un daño y de las consecuencias que tal daño pueda provocar”. [1]

Al hablar de riesgos se abre un gigantesco nicho de definiciones, situaciones, medidas de contención y tratamiento, pero el riesgo a su vez, por facilidad y el impacto que puede representar para una organización afectada se puede establecer en varios campos o tipos:

• Operativo
• Financiero
• Legal
• Reputacional o de imagen
• Ambiental
• Tecnológico
• entre otros.

Hay varios factores o puntos a tener en cuenta al hablar de riesgo:

• El riesgo se identifica, evalúa y trata a partir de controles.
• Al hablar de riesgo, implícitamente se habla de amenazas, atacantes, vulnerabilidades e impacto.
• Cómo se maneje o categorice el riesgo depende de la organización, dado que para la gerencia o administración un riesgo puede representar una oportunidad, esto se asocia al “apetito de riesgo” de estos directivos.

• El análisis de riesgos se puede desarrollar sobre activos y/o procesos, la visión que se seleccione al evaluar y controlar los riesgos depende del tipo de negocio y facilidad de manejo, para algunos puede resultar más sencillo analizar procesos previamente identificados más que un listado interminable de activos en la organización.

• Se pueden realizar evaluaciones cuantitativas y cualitativas dentro del análisis de riesgo.

• El riesgo no desaparece, siempre estará latente, lo que se busca con los controles es reducirlo a 0 o al mínimo posible.

• En una organización establecer un buen mapa de riesgos permite conocer a que se enfrentan en el medio que se desarrollan. Los controles establecidos o administración seleccionada para estos riesgos ofrecen medios para evitar la incidencia de estos en la organización y su impacto.

Una acotación muy importante a tener en cuenta con estos temas radica en la gestión del riesgo como responsabilidad de la dirección. Usualmente estos temas se asocian con otras áreas, pero hay que partir del hecho que el éxito de muchas de las actividades y procedimientos que se realizan a nivel de seguridad, está en cuanto se involucra y apoya la dirección como ente ejecutivo dentro de la organización.

Finalmente, como es costumbre, nada mejor que contar con un marco legal o normativo que permita trabajar estos temas, por ello, recomiendo evaluar los siguientes documentos, orientados a la evalución, tratamiento y administración del riesgo:

• ISO 31000
• NIST SP 800-30
• ISO 27005
• NIST 800-26
• COBIT
• OCTAVE

Este rápido vistazo al extenso mundo del tratamiento de riesgos permite evaluar temas asociados como sistemas de gestión de la seguridad de la información, clasificación de la información, planes de continuidad de negocio, planes de recuperación ante desastres y más medidas preventivas y correctivas.

[1] Harris, Shon, “CISSP Certification Exam Guide” Quinta Edición, McGraw-Hill, 2009

En muchos entornos surge la pregunta acerca de cual de los tres pilares de la seguridad de la información resulta más importante: integridad, disponibilidad o confidencialidad. Este artículo muestra porque aunque cada una es importante dependiendo del contexto o la visión de la dirección de la organización, es necesario establecer un especial cuidado en la disponibilidad.

La disponibilidad es entendida como “Asegurar que los usuarios autorizados tienen acceso a la información y los activos asociados.”[1] . En otras palabras, acceso a los recursos e información cuando se requiera.

En la actualidad, gran parte de las organizaciones basan su núcleo o “core” central de negocio, en el uso de sistemas de información o que las operaciones dependen directamente de herramientas de tipo tecnológico. En vista de lo anterior, es necesario evaluar los planes de continuidad del negocio, mejor conocidos por la sigla BCP (Business Continuity Planning) pensando en reducir al máximo tiempos de indisponibilidad de servicios que a su vez afectan a la organización en diversos frentes y pueden desencadenar otros daños colaterales como pérdidas humanas, pérdidas económicas y afectación a la imagen, por nombrar algunos ejemplos.

Como es común, es ideal basar las actividades en metodologías, estándares o guías que establezcan un marco de trabajo organizado, procedimental y de esta forma, permitan la realización de auditorías sobre los documentos y procesos desarrollados. Es por ello que recomiendo la revisión de NIST 800-34, mejor conocido como “Continuity Planning Guide for Information Technology Systems”, para el desarrollo de la política de los planes de contingencia.

Hay que resaltar que es necesario contar con un listado de amenazas, vulnerabilidades y las interrupciones generadas sobre procesos o activos de la organización. Así es posible determinar las implicaciones de un fallo o cualquier situación anómala y el impacto de esto al negocio. Con base en lo anterior, se desarrollan los siguientes pasos:

• Desarrollo de la política de planeación de contingencia
• Desarrollo del BIA (Business Impact Analysis)
• Identificar controles preventivos
• Desarrollar estrategias de recuperación
• Desarrollar un plan de contingencia a nivel de tecnologías de la información
• Probar el plan, entrenar empleados y realizar ejercicios o actividades
• Mantenimiento al/los planes generados anteriormente.

En estas actividades es necesario la ejecución de proyectos que involucren áreas desde la gerencia hasta las áreas de servicios generales. Es necesario contar con claridad en el tema de como registrar los incidentes o fallos presentados, de la mano con el establecimiento de correlación de eventos.

Para entrar más en detalle, es necesario abordar el concepto de desastre, como un evento inesperado, no planeado de tipo calamitoso que a su vez, produce grandes daños o pérdidas. Lo anterior, abre paso a los planes de recuperación de desastres (Disaster Recovery Planning – DRP), los cuales entran en acción para dar respuesta oportuna y ágil ante la ocurrencia de desastres, sean de tipo natural o generados por el hombre. Teniendo claro siempre que el recurso primordial a rescatar o preservar es el recurso humano, luego siguiendo por los activos de todo tipo de acuerdo con su clasificación e importancia.

Para adentrarse más en este fabuloso tema, recomiendo revisar los siguientes términos y sus implicaciones:

• Acuerdos de servicio (SLA)
• MTD – Tiempo máximo tolerado de caída
• BIA (Business Impact Analysis)
• SLE (Single Loss Expectancy)
• ARO (Annualized Rate of Occurrence)
• ALE (Annualized Loss Expectancy)

Como vemos, esto se asocia con el tema de riesgos, es por ello que la próxima semana, revisaremos un poco del tema de riesgos, orientados al tratamiento, reducción y aceptación.

[1] Vélez, Jorge – “Sistema de gestión integral. Una sola gestión, un solo equipo”, Universidad de Antioquia, 2008; Pág. 32

Hoy en día el auge por la demostración de conocimientos ya sea técnicos o teóricos sobre temas usualmente relacionados con tecnología va en aumento, es por ello que las certificaciones son una medida muy valorada por organizaciones en procesos de selección de personal

En el ámbito de la seguridad de la información existen múltiples certificaciones con validez internacional, algunas de ellas asociadas directamente a tecnologías de fabricantes, otras más genéricas o especializadas en normativas o estándares. Sin embargo, en este amplio listado existe una muy completa, la cual hace parte del portafolio de certificaciones de (ISC)² y se trata de “Certified Information Systems Security Professional”, mejor conocida por su sigla CISSP.

Un enfoque del bosque, no del árbol

Existen certificaciones como Certified Ethical Hacker (CEH) del EC-Council o Offensive Security Certified Professional (OSCP) que se enfocan estrictamente a temas de hacking y/o pentesting, sin embargo, las perspectivas que aborda CISSP permiten, como opinión personal, abordar una visión global de la seguridad de la información, de hecho, se enmarca como una evaluación de conocimientos en términos de gobierno de seguridad de la información, esto a partir del manejo que se tiene de este tema a través de la división en 10 dominios o temas globales:

• Seguridad de la información y Gestión de riesgos
• Sistemas y metodología de control de acceso
• Criptografía
• Seguridad física
• Arquitectura y diseño de seguridad
• Legislación, regulaciones, cumplimiento de las mismas e investigación
• Seguridad de la red y las telecomunicaciones
• Planes de continuidad del negocio y de recuperación frente a desastres
• Seguridad de aplicaciones
• Seguridad de operaciones

Como puede observarse, estos 10 dominios a su vez abarcan gran cantidad de temas en su interior, muchos de los cuales combinan componentes técnicos con otros de auditoría, análisis, diseño y gerencia, siendo esta una de las razones por las que resulta tan atractiva para muchos expertos en temas de seguridad.

Ahora bien, desear abarcar todos estos temas implica de por si la experiencia en el manejo de los mismos, siendo este uno de los requerimientos de la certificación, ya que se debe contar con una experiencia laboral de 5 años en el manejo de por lo menos 2 de estos 10 dominios entre otras exigencias adicionales por parte de (ISC)².

• Official (ISC)2 Guide to the CISSP CBK, segunda edición de Harold F. Tipton
• CISSP Exam Cram en su segunda edición

Por supuesto, no sobra dedicarle tiempo y es algo muy necesario, a exámenes de prueba y  preparatorios que permitan comprender el tipo de preguntas, ya que se trata de una prueba de 250 preguntas programadas para 6 horas y de las cuales es necesario obtener como mínimo 700 puntos de los 1000 posibles, para superar el examen.

Conclusiones finales

Las perspectivas y formación que ofrece el estudio preparatorio, las oportunidades de tipo laboral y académico y otros factores en torno al logro de la certificación CISSP son razones muy fuertes para dedicar varios meses al estudio y preparación en todos y cada uno de los 10 dominios abordados por el examen.

Por eso, con toda certeza y basado en la experiencia de estudio y de algunos profesionales ya certificados, considero CISSP como una meta muy interesante a evaluar en la formación de una carrera académica y profesional en el maravilloso mundo de la seguridad de la información.