Por: Carlos Lozano.
Después de mi colaboración pasada (¿Vivir para la seguridad informática?), seguramente muchos de aquellos que la leyeron y sobre todo los recién egresados o aún estudiantes, estarán ansiosos por dar el paso y adentrarse en el mundo de la seguridad en su versión profesional de traje, corbata y laptop De… bueno, no escribamos marcas.
Primero que nada lamento decirles a todos los lectores que esto no es tan rápido y tiene sus descalabros.
¿Qué se necesita para dedicarse a la seguridad?
Es una de las preguntas más recurrentes que los alumnos hacen a un profesional cuando se presenta a dar alguna charla; y obviamente la respuesta varía mucho dependiendo de la trayectoria misma del profesional, pero sobre todo, de sus intereses.
Comparto esto porque precisamente los comentarios que vierta en esta y las siguientes colaboraciones, depende de mi perspectiva sobre la industria de seguridad informática, por lo que intentaré ser lo más objetivo posible, pero sin duda esto puede prestarse a buenos debates e intercambios de ideas.
El antes de la vida laboral.
Esta parte es muy importante, sin importar a qué área de TI te vas a dedicar. Cuando nos encontramos en los últimos semestres o cuatrimestres de la universidad, debemos de empezar a tomar decisiones. La universidad si bien muchos se quejan de que no aprendemos aspectos prácticos, en realidad es una excelente fuente de conocimientos que nos da las bases para aprender temas más complicados.
De las universidades y tecnológicos que he podido apreciar, la mayoría ofrece materias optativas a elección del alumno; con lo cual éste puede dirigir su educación hacia sus intereses personales. Así que si te encuentras interesado en dedicarte a la seguridad informática; éste es un buen momento para elegir alguna materia relacionada. Por desgracia no podemos creer que en una materia aprenderemos todo lo necesario para desarrollarnos profesionalmente en esta actividad, pero probablemente aprendamos algunos temas, nada sencillos ni despreciables, como pueden ser seguridad en redes, criptografía, estándares de seguridad, etc.
La vida real.
Ahora bien, profesionales de seguridad hay de muchos tipos, no todos nos dedicamos a las mismas actividades, no tenemos los mismos conocimientos, formación, intereses, etc. Existen diferentes áreas a las que uno se puede dedicar, entre ellas se encuentran:
- Seguridad ofensiva: para muchos de nosotros el área más emocionante, en ella, el objetivo es la evaluación de aplicaciones e infraestructura con el fin de detectar las debilidades en una organización o producto, con el fin de apoyar en su mejora.
- Gestión del riesgo y auditoría: aquellos encargados de ver todo a un nivel más abstracto. Diseñando, implementando y monitoreando controles lógicos que no necesariamente tienen que ser meramente tecnológicos.
- Monitoreo y manejo de incidentes: siempre hay quienes tienen que estar 24/7/365 al pendiente de cualquier evento , saber detectarlo y cómo responder ante él.
- Servicios forenses: cuando algo malo sucede, es muy importante para las organizaciones saber detectar qué fue lo que pasó a fin de remediarlo, y si es posible buscar un responsable con el fin de saber las razones e impacto que conlleva.
Seguridad ofensiva
Como se habrán dado cuenta el área es muy grande, así que intentaré ser puntual platicando de lo que más he tenido oportunidad de conocer; la seguridad ofensiva.
Algo muy importante que como profesional de la seguridad que se dedique a realizar pruebas de penetración, análisis de vulnerabilidades o revisiones de seguridad a aplicaciones; es que estas actividades no es “hackear”. En un proyecto en donde hay miles de dólares de por medio, información sensible y el trabajo de muchas personas, se requiere de un uso de metodologías, estándares, niveles de servicio… pero sobre todo, sentido común, el cual se va generando con la experiencia.
Para este tipo de servicios existen programas de becarios, que algunas de las empresas especializadas en seguridad en México ofrecen; en ellas uno aprende a manejar las herramientas más sencillas, a seguir una metodología normalmente basada en alguna estándar como OSSTMM y adaptada por las empresas mismas.
Aunque hay muchas personas con vasta experiencia que seguramente recomendarán el no tomar certificación o curso alguno; habrá otros que opten porque sí hacerlo. Ello ya queda a elección y juicio de cada profesional.
La certificación más popular en México es la de Ethical Hacker (C|EH) de EC-Council. Probablemente la razón de su popularidad es que por mucho tiempo fue la única certificación en seguridad ofensiva que ofrecía un curso presencial en México.
Por desgracia, incluso en su versión 8 (la más nueva), el temario es extenso, y por ende imposible de abarcar en las cinco sesiones que dura el curso. Esto nos lleva a que los instructores ofrezcan de forma extremadamente superficial los temas de la primera mitad del curso.
Los contenidos están más orientados al “¿cómo?”, que al “¿por qué?”; esto quiere decir que en esta certificación no esperes aprender a detalle el funcionamiento de cada herramienta, o la raíz de los diferentes problemas de seguridad; sino aprenderás el uso de herramientas para aprovechar estas vulnerabilidades sin realmente entender el trasfondo, lo cual no es lo más adecuado pues personalmente considero esta certificación como un “curso de iniciación”. En el otro lado de la moneda, mientras en México, EC-Council cuenta con un buen prestigio, a nivel internacional ha perdido bastante credibilidad.
Mi recomendación es que C|EH está orientada a personas interesadas en seguridad, pero que no tienen idea de cómo empezar; o profesionales de TI de otras áreas que desean empaparse un poco de los conocimientos en esta materia. No esperen que les abra las puertas del mercado laboral, ni que obtengan beneficios en cuanto a conocimiento se refiere, más de los que podría obtenerse por medio de otros cursos más económicos sin reconocimiento.
Una certificación más orientada al mundo laboral es GPEN del SANS Institute; ésta no se encuentra tan difundida en nuestro país y la mayor parte de quienes actualmente la ostentan en sus currículos la han obtenido mediante autoestudio o atendiendo el curso en el extranjero. Recientemente la Asociación de Seguridad Informática Mexicana (ASIMX) ha anunciado que mediante una alianza con SANS, ofrecerá ésta y otras certificaciones de forma presencial en México.
Esta es una certificación más práctica, con un temario más reducido y real. Dentro del material se encontrará una sección orientada únicamente a la práctica de los conocimientos aprendidos y que son aplicables a los ambientes corporativos reales.
Así mismo el examen incluye preguntas en donde más que aprender nombres de herramientas, habrá que analizar salidas de comandos, herramientas, tramas de red, etc. Algo que me parece muy interesante es que se incluye información sobre cómo reportar los descubrimientos, la forma de integrar un reporte y la presentación de resultados; lo cual es básico para un profesional (el lograr exponer su trabajo a terceros).
La certificación OSCP de Offensive Security, tiene fama de ser una de las más completas y avanzadas en cuanto a seguridad ofensiva. En México no ha tenido una gran penetración, sin embargo a nivel mundial sí la tiene, así como un importante reconocimiento por la calidad de los contenidos. En general el temario es el mismo que C|EH y GPEN, sin embargo los contenidos son tratados de una forma más profunda.
Estas son las tres principales certificaciones de seguridad ofensiva que se manejan en México; sin embargo existen algunos cursos que sin tener el valor de certificación pueden ayudar a adentrarse en el área.
Uno de ellos, y muy popular es eLearnSecurity. Esta compañía tiene un original estilo de enseñanza, por una parte permite el acceso a sus recursos de aprendizaje en línea mediante presentaciones que incluyen videos prácticos de cada tema, y por otro, al momento del pago del curso se incluyen horas de entrenamiento en un ambiente virtual que permite practicar los temas vistos en los videos.
En opinión personal los temas son demasiado básicos y la forma de exponerlos es utópica para la realidad, pero la inclusión del ambiente virtual de entrenamiento es una idea muy original y útil. Se da la opción de poder tomar una certificación sin embargo en México jamás he tenido antecedente de alguien que la posea, si conocen a alguien, háganmelo saber para que conozcamos su opinión.
Otra empresa en ofrecer alternativas de estudio es Strategic Security; en donde se organizan cursos de diferentes temáticas como pentesting, uso de la herramienta Metasploit, talleres de desarrollo de exploits, ingeniería inversa, etcétera.
El nivel técnico de estos cursos es muy bueno, ofrecido directamente por Joe McCray, un experto en seguridad con conocimientos sólidos comprobables y mucha experiencia como instructor; sin embargo los materiales proporcionados no son de buena calidad, normalmente son presentaciones con notas que en sí mismas no ofrecen mucho detalle para revisar fuera de las sesiones. Los laboratorios están poco estructurados e incluso algunas veces tomados de otros sitios (con referencia), pero al final se esperaría que contara con materiales propios.
Lo mencionado aquí, son algunos de los cursos y certificaciones base del perfil que un profesional enfocado a seguridad ofensiva podría tomar; no son los únicos, falta hablar de otros más, sin embargo creo que he tocado los más populares en México y los más requeridos por los clientes al momento de contratar un servicio.
En próximas colaboraciones estaré platicando sobre certificaciones y opciones de capacitación para las otras sub áreas de la seguridad informática. Espero tengan la oportunidad de comentar sobre el tema, contar sus experiencias profesionales y cuáles han sido las decisiones en cuanto a capacitación que ustedes han tomado y recomendarían.
El autor, Carlos A. Lozano Vargas, es especialista en Seguridad Informática, fundador y director del comité técnico de BugCON y CEO de blueMammut. Se le puede seguir en @BelindoFan, en Twitter.
Si me interesa especializarme en seguridad informática, que cursos o certificaciones y en que orden me recomiendas llevarlas acabo y que proveedor de estas certificaciones maneja precios accesibles a los estudiantes.
Saludos.
Hola Adrián, qué tal.
Pfff… es una pregunta extremadamente compleja. Y por la cual en lugar de recomendar como tal ciertas certificaciones he preferido dividir por secciones y explicar las que más comunes.
Lo primero que te preguntaría es: ¿Qué es lo que quieres hacer?, ¿Evaluación de seguridad?, ¿Gestión del riesgo?, ¿Diseño de políticas?, ¿Auditoría?, ¿Monitoreo?, ¿Respuesta a incidentes?, etc.
A partir de eso podrás decidir qué estudiar o cómo prepararte.
¿Costos bajos?
Por desgracia no los hay. Lo más económico es EC – Council, pero el valor curricular y el nivel de conocimientos adquiridos son muy bajos, no corresponden siquiera al bajo valor de cursos y certificaciones.
Si no tienes absolutamente idea de temas de seguridad probablemente te puedan servir como una introducción, pero nada que no puedas aprender por tu cuenta en unas semanas de lectura seria.
Una recomendación general por la que te recomiendo comenzar, sean cuales sean tus intereses, es el SANS Institute (www.sans.org); en México se ofrecen algunos entrenamientos en la Asociación de Seguridad Informática Mexicana (ASIMX) ya que tenemos una alianza con SANS para ofrecer varios de los cursos de capacitación en México a bajos costos, puedes checar más información en nuestro grupo de LinkedIn (www.asimx.org).
Espero no haya parecido un comercial, en realidad SANS me parece que tiene muy buenos contenidos y lo más importante: prácticos.
Espero haberte ayudado un poco en lugar de confundirte más.
Atentamente,
Carlos Lozano
Hola Carlos,
Muchas gracias por contestar, la información es muy clara y para nada es un comercial, es lo que necesito, ahora mismo comienzo a revisar las ligas.
Saludos.
Adrian Castillo
¡De nada Adrián!
Muy buen artículo, quisiera agregar con respecto a este ,en que ciertamente las certificaciones son un negocio y como tal el abanico de estas es inmenso por lo que si se piensa tomar una por su cuenta (si uno tiene la capacidad económica para tomar alguna) o por parte de la organización, se deben de tomar en cuenta varios factores, entre los cuales destacaría la demanda del mercado, si son certificaciones sobre productos o certificaciones neutrales, costos de capacitación y (considero yo) sobre todo a que es a lo que uno quiera dedicarse.
Haciendo unas búsquedas en internet, uno se puede dar cuenta que existen comentarios sobre que certificaciones fueron las más demandadas en el 2013:
http://100ktraining.com/10-most-in-demand-it-certifications-for-2013/
http://www.globalknowledge.com/training/generic.asp?pageid=3430
http://www.techrepublic.com/blog/career-management/the-top-five-in-demand-it-certifications-for-2013/
Y otros sitios dedicados a la revisión de requerimientos , costos y proyección de cuanto una persona puede ganar obteniendo esta tal o cual certificación:
http://certcities.com/
http://www.gocertify.com/index.html
http://www.mcmcse.com/
Con esto nos podemos dar un panorama o idea de a que le tiramos, que nos gusta o conviene más.
Saludos.
Ricardo,
Muchas gracias por tu comentario y enriquecer la información con tus experiencias, que sin duda son de interés para los lectores.
¡Saludos!
Encuentro bastante enriquecedor tu articulo, había leído varios comentarios similares sobre C|EH a inicios del año pasado, por lo que veo las cosas no han cambiado tanto.
Por otra parte, ¿Como ves la especialización de productos de seguridad en el país?, ¿consideras que la demanda de la industria ha generado muchos ‘especialistas de productos’ que se balancean mas hacia empresas que integran soluciones(muchas veces llamadas cajas rojas, azules o verdes) que hacia niveles de consultoría y diseño/planeación/gestión de seguridad que se esta necesitando en las organizaciones?
Comento esto en relación de las llamadas ‘burbujas’ que suelen suceder en las universidades de nuestro país(desconozco la situación en otras naciones), en donde una empresa C ofrece aprendizaje a los estudiantes a fin de obtener mas probabilidad de que manejen y conozcan su producto, llevándose una principal ventaja por monotonía y educación básica de los profesionales del mañana.
Hola Tony, que tal.
Para ser sincere, no creo que esta especialización de productos se deba precisamente a la demanda de la industria, sino a la oferta.
Para las empresas es más barato y rápido ofrecer servicios basados en soluciones ya empaquetadas como productos, que servicios basados en el diseño, desarrollo e implementación de soluciones desde cero; y tampoco creo que sea completamente malo, al final ¿quién querría reinventar una y otra vez la rueda?.
Sin embargo tocas puntos importantes y sensibles: la consultoría y diseño/planeación/gestión de seguridad.
La problemática que veo de unos dos o tres años para acá es que en México la consultoría se está basando en la implementación de cajas; por ejemplo, si una empresa requiere de implementar una solución anti-DoS en lugar de que el CSO evalué la problemática, determine el riesgo y busque la solución que mejor se acomode a sus necesidades, no; lo que hace es marcar a dos o tres ingenieros de preventa de las marcas más conocidas y solicita una presentación; en la mayor parte de los casos la solución adquirida será aquella que cuenta con el ingeniero de preventa más talentoso para vender y/o la más barata. ¿Realmente este procedimiento soluciona las problemáticas de seguridad de la empresa?, no.
Esto se debe a la poca experiencia de los CSOs y encargados de buscar implementar los controles de seguridad; pero por otra parte algo tienen de culpa las empresas que ofrecen este tipo de servicios por ser más beneficiosos en precio y tiempos de implementación.
He conocido las burbujas que mencionas, pero no en relación a seguridad informática; sino en otro tipo de áreas como desarrollo y bases de datos; en la escuela donde estudie teníamos laboratorios de Microsoft, Sun, IBM e Intel; aunque a ciencia cierta jamás los usamos. Sin embargo no tengo conocimiento de alguna universidad que se casé con un proveedor de servicios de seguridad, lo veo un tanto más complicado porque es un mercado que en México no tiene una demanda igual de grande de profesionales.
Lo que si he visto, y me parece muy relacionado a lo que más arriba comenté sobre la poca preparación de los CSOs, es la poca oferta educativa que hay en estudios formales de Seguridad Informática; allí si podríamos decir que existe una burbuja en donde un CSO casi siempre tendrá una certificación CISSP o un pentester C|EH. Creo que la visión de las empresas mexicanas sigue muy casada con que los profesionales demuestren en papel sus conocimientos más que en la acción.
Probablemente estos temas los tratemos en algún post más adelante.
Saludos.