Certificaciones Clave en Seguridad de la Información

Clase 18 de 19Curso de Estrategia de Seguridad Informática para Empresas

Clase anteriorSiguiente clase

Resumen

¿Cuál es el camino hacia un programa de seguridad de la información exitoso?

Al iniciar un programa de seguridad de la información, es crucial contar con una ruta estructurada para el crecimiento de los colaboradores y la selección de candidatos adecuados en el momento de contrataciones. Esta guía, representada como una pirámide de varios niveles, ofrece un panorama claro de las etapas y requisitos necesarios.

¿Qué se necesita en la base de la pirámide?

En la base de la pirámide se encuentran las bases técnicas y conceptuales esenciales. Aquí se enfatiza:

  • Conocimientos de sistemas operativos: Comprender la gestión de memoria y prevenir desbordamientos.
  • Conocimientos en redes y protocolos: Saber cómo están construidas las aplicaciones.
  • Conocimientos en desarrollo y bases de datos: Esencial para entender el funcionamiento interno.
  • Espíritu hacker: No en sentido negativo, sino en tener la habilidad de detectar configuraciones incorrectas o vulnerabilidades simples, como credenciales básicas en dispositivos de red.

Este nivel requiere un aprendizaje continuo, independientemente del rol que uno desempeñe dentro de la organización.

¿Cómo beneficiarnos de marcos de referencia y mejores prácticas?

El siguiente nivel en la pirámide invita a aprovechar la inteligencia colectiva y los marcos de referencia establecidos:

  • Frameworks y normas reconocidas:
    • OSSTMM para pruebas de intrusión.
    • OWASP para desarrollo seguro de aplicaciones.
    • COBIT y ITIL para gestión de tecnologías de la información.
    • ISO y NIST: Normas internacionales que guían la gestión de seguridad de la información y la continuidad del negocio.
    • PCI DSS: Estándar para proteger datos de tarjetas de crédito.

Estas normas a menudo son la base de leyes nacionales y estándares gubernamentales. Así, entenderlos es crucial para el cumplimiento con los modelos de negocio de cada organización.

¿Qué certificaciones internacionales son esenciales?

Al hablar de certificaciones, se hace una distinción entre certificaciones para empresas y para personas:

Certificaciones para empresas

  • ISO 27001: Referencia en sistemas de gestión de seguridad de la información.
  • ISO 27701: Gestión de la privacidad de la información, fácil de obtener tras la ISO 27001.
  • ISO 22301: Continuidad del negocio.
  • SOC 1, 2 y 3: Orientadas a la gestión y auditoría de controles y privacidad.

Estas certificaciones no solo demuestran cumplimiento, sino que también fomentan la confianza en clientes y socios.

Certificaciones para personas

  • ISACA: Con certificaciones como CISA (Auditor de Sistemas) y CRISC (Gestión de Riesgos).
  • ISC-2: Ofrece la CISSP, que requiere demostrar experiencia y es ideal para líderes en seguridad informática.
  • CompTIA: Con Security Plus, Pentest Plus, y certificaciones para analistas de ciberseguridad.
  • EC-Council: Con la popular Ethical Hacker y credenciales para Chief Information Security Officer.

Obtener estas certificaciones representa competencia, lo cual es fundamental según la norma ISO 27001 para demostrar la habilidad de quienes operan los sistemas de seguridad.

¿Por qué las certificaciones son un habilitador de negocio?

Las certificaciones internacionales no solo son un punto de demostración de cumplimiento para procesos internos, sino también son clave para proyectar confianza hacia clientes y socios. En el mundo actual, donde la información es el activo más valioso, contar con personal certificado asegura que estas personas son competentes y capaces de proteger dichos activos.

Adoptar y fomentar estas prácticas y certificaciones en tu empresa posicionará a tu organización como líder en el campo de la seguridad, permitiendo no solo cumplir con normativas, sino también diferenciarte en un mercado altamente competitivo. ¡Continúa explorando y enriqueciendo tus conocimientos en este apasionante campo para asegurar el éxito!