Certificaciones Profesionales en Seguridad

1
Certificaciones Profesionalesen Seguridad

• Nicolás Mautner, CISSP
• Presidente
• ISSA - Capítulo Argentina
• Presentado por
• Marzo 2006

2
Temario

• - Problemática del profesional de seguridad
• - Desarrollo profesional
• - Valor de la certificación
• - Reseña de las certificaciones
• Certificaciones de seguridad
• Certificaciones técnicas
• Certificaciones de auditoría
• - Qué ofrecen las Asociaciones

3
Qué se espera del Futuro del Profesional de
Seguridad?

• Creciente ritmo de cambios, profesionalización,
  tercerización, desarrollo y gerenciamiento de
  modelos de riesgos completos
• Creciente importancia de la Certificación en
  Dirección Profesional y de la capacidad de
  manejarse en la Convergencia
• Empleadores buscando evidencia de esa
  Competencia
• Búsqueda de Estándares reconocidos globalmente
  en muchas areas de la Economía Privada y del
  Estado.
• Conjunto de habilidades Profesionales
  transportables a distintos escenarios

4
Foco en la Gestión de la Seguridad

• Modelo moderno de negocio
• La TI no es sólo un soporte del negocio
• La TI esta integrada a los procesos de negocio
• La seguridad en TI es un tópico de la gerencia de
  negocios
• Administración del riesgo
• Administración de los incidentes
• Continuidad del negocio

5
La problemática del especialistade Seguridad de
Información

• Cambios significativos en la década pasada
• El número de personas dedicadas a la seguridad
  informática creció de cientos a miles
• La seguridad de la información era considerada
  una tarea técnica y por lo tanto secundaria
• Las áreas de recursos humanos han definido una
  serie de funciones nuevas en TI, donde el trabajo
  de seguridad de información es un subconjunto
  separado.
• Se han definido nuevas posiciones en la Alta
  Gerencia para la gestión de la seguridad de la
  información
• CISO
• Reporte directo al CIO u otro miembro de la alta
  gerencia
• Surge la seguridad de la información como una
  nueva profesión

6
Prioridades de la Seguridad

• Roles que los Ejecutivos creen Prioritarios
• Efectiva Gestión y Administración de Riesgos
• Violencia / Seguridad en el Puesto de Trabajo
• Detección de Riesgos y Propuestas Efectivas de
  Compensación de Vulnerabilidades
• Protección de la Información
• Aporte de Valor Agregado
• Protección de Activos Físicos
• Protección contra Atentados
• George Dalton

7
Iniciativas de la Industria

• Grupos Profesionales
• ISACA
• ISSA
• ASIS International
• Literatura Profesional
• SC Magazine, Information Security Magazine,
• CSO Magazine, Security Management
• Certificaciones
• De gran extensión basado en tecnologías
  especificas

8
Certificacionesmás reconocidas

• Generales de Seguridad
• CPP (ASIS)
• PSP (ASIS)
• Gestión de Seguridad de TI
• CISM (ISACA)
• CISA (ISACA)
• Específicas de proveedores i.e. MCSE, CISCO,
  Oracle
• Gestión de la Seguridad de la Infraestructura de
  TI
• GIAC (SANS)
• CISSP (ISC)²
• ISSAP (ISC)²
• ISSEP (ISC)²
• ISSMP (ISC)²
• Auditoria y control de TI
• CISA (ISACA)

9
Certificaciones de Seguridad
Neutrales a los Vendedores
Especificas de Vendedores
Técnicas
Gestión
10
Certificación vs. Educación

• La certificación está suplantando a la educación
  académica?
• La seguridad es una disciplina cambiante, por
  consiguiente nosotros necesitamos un programa de
  entrenamiento continuo 
• Educación
• Más general
• Se aprende a pensar
• Certificación
• Es entrenamiento
• Más especializada
• Se aprende a hacer
• Requerimientos de educación permanente (ISACA,
  (ISC)2 y otros)

11
Mas allá de la Certificación

• Cual es su meta?
• Tener más certificaciones es mejor?
• Las certificaciones son lo más adecuado?
• Se requiere experiencia
• Entrenamiento continuo
• Para las posiciones de dirección, necesita
  complementar las certificaciones de seguridad
  con
• Entrenamiento gerencial
• Administración de Proyectos
• MBA
• Cursos a nivel de postgrado de negocio o de TI
• El 66 de los ejecutivos de seguridad tienen
  títulos académicos

12
Valor de las certificaciones

• Es requerida por la practica profesional
• Permite alcanzar el desempeño requerido por
  normas internacionales
• Proporciona reconocimiento de la carrera
  profesional
• Crea una percepción de valor y calidad por la
  profesión
• Confirma la experiencia desarrollada en el
  trabajo

13
Certified Information Systems Security
Professional (CISSP)

• CISSP es considerada la más prestigiosa
  certificación para especialistas de seguridad y
  administración de seguridad informática.
• La certificación CISSP se basa en un cuerpo común
  de conocimientos internacionalmente reconocido en
  seguridad de información, cubriendo 10 dominios
• Metodología y sistemas de control de acceso
• Desarrollo de aplicaciones y sistemas
• Planeamiento de continuidad de negocio
• Criptografía
• Leyes, investigación y ética
• Seguridad de operaciones
• Seguridad física
• Modelos y arquitectura de seguridad
• Prácticas de administración de seguridad
• Telecomunicaciones, redes y seguridad de Internet