The International Information Systems Security Certification Consortium, Inc., o (ISC) 2, que generalmente se pronuncia «eye-ess-cee squared», es una organización sin fines de lucro altamente respetada que proporciona educación relacionada con la seguridad y certificaciones neutrales para los proveedores. (ISC) 2 se formó en 1989 como un consorcio entre el Grupo de Interés Especial para la Seguridad Informática (SIG-CS) y varias otras organizaciones cuyo objetivo era estandarizar un programa de certificación de seguridad neutral para los proveedores. Hoy en día, (ISC) 2 tiene su sede en los Estados Unidos con oficinas en Londres, Hong Kong y Río de Janeiro con miembros de más de 160 países. El núcleo de cada programa de certificación (ISC)2 es su Cuerpo Común de Conocimientos (CBK), que es un marco para definir los estándares de la industria y los principios de seguridad.
Descripción general del Programa de Certificación (ISC)2
El Programa de Certificación (ISC)2 ofrece seis credenciales de seguridad básicas:
- Profesional Certificado en Seguridad de Sistemas (SSCP)
- Profesional Certificado en Seguridad de Sistemas de Información (CISSP)
- Profesional Certificado en Autorización (CAP)
- Profesional Certificado en Ciclo de Vida de Software Seguro (CSSLP)
- Profesional en Seguridad y Privacidad de la Información de Atención médica (HCISPP)
- Profesional Certificado en Seguridad en la Nube (CCSP)
Los titulares de credenciales CISSP pueden especializarse aún más y obtener las siguientes certificaciones:
- Profesional de Arquitectura de Seguridad de Sistemas de Información (CISSP-ISSAP)
- Profesional de Ingeniería de Seguridad de Sistemas de Información (CISSP-ISSEP)
- Profesional de Gestión de Seguridad de Sistemas de Información (CISSP-ISSMP)
Los profesionales de TI que no pueden cumplir con los requisitos de trabajo pueden calificar para el Asociado de (ISC)2.
Una credencial (ISC)2 ausente de la lista de certificados disponibles este año es el profesional Forense cibernético certificado (CCFP). Esta credencial quedará inactiva ago. 21, 2020. Las credenciales existentes seguirán siendo válidas hasta esa fecha, pero entretanto no se expedirán nuevas credenciales para el CCFP.
La organización es quizás mejor conocida por su credencial CISSP de primer nivel. De las aproximadamente 125,000 certificaciones que (ISC)2 ha otorgado a profesionales de todo el mundo, la mayoría de esas certificaciones son para la credencial CISSP.
Una escalera de certificación típica (ISC) 2 comienza con la certificación SSCP. Si aprueba el examen SSCP pero no tiene la experiencia laboral requerida, se le otorga la credencial de Asociado de (ISC)2. (Lo mismo se aplica si pasa los exámenes CAP, CSSLP, CCFP, HCISSP, CCSP o CISSP y no tiene la experiencia laboral requerida.) Sin embargo, los candidatos que logran el SSCP generalmente pasan al CISSP, y luego se especializan en arquitectura de seguridad (CISSP-ISSAP), ingeniería de seguridad (CISSP-ISSEP) o gestión de la seguridad (CISSP-ISSMP).las certificaciones
(ISC)2 se consideran impulsoras de carrera y pueden dar sus frutos financieramente. En el Estudio Global de Personal de Seguridad de la Información de 2015 (ISC)2, (ISC)2 informó que sus miembros ganan un promedio de 35 por ciento más que sus contrapartes no certificadas. El Estudio Global de la Fuerza de Trabajo de Seguridad de la Información de 2017 (ISC)2 informa que los profesionales de seguridad en América del Norte ganan un promedio de 1 120,000 por año y que el 40 por ciento de los trabajadores menores de 35 años ganan salarios superiores a $100,000. Si a eso se suma la baja tasa de desempleo (solo del 1 al 2 por ciento) para los profesionales de la seguridad, es probable que la demanda de certificación (ISC)2 se mantenga sólida. El Estudio de la fuerza laboral de 2017 también proporciona un poco de información sobre el crecimiento proyectado, qué industrias se espera que experimenten el mayor crecimiento, junto con un análisis de lo que los gerentes de contratación reales están buscando en términos de experiencia y habilidades (tanto técnicas como interpersonales) al contratar. Si está interesado en un cambio de carrera o simplemente en explorar lo que puede estar disponible, este estudio vale la pena leerlo.
La encuesta informal de la bolsa de trabajo que realizamos para obtener nuestras Mejores certificaciones de Seguridad de la información para el artículo de 2018 indica la friolera de más de 38,000 ofertas de trabajo (una instantánea de un solo día) en las que los empleadores prefieren o requieren la certificación CISSP, y esas cifras se han mantenido altas durante los últimos años. Considerando que el déficit esperado de profesionales cualificados en seguridad de la información podría llegar a 1.8 millones (a nivel mundial) para 2022 (un déficit de más de 350.000 en previsión solo en Europa), una certificación (ISC) 2 parece cada vez más pertinente para los profesionales de TI interesados, si no un boleto directo hacia un empleo continuo e interesante.
Asociado De (ISC)2
La credencial de Asociado de (ISC) 2 está dirigida a profesionales que están ingresando al campo de la seguridad (piense en estudiantes y personas que cambian de carrera)pero que aún no tienen los años de experiencia necesarios para obtener una certificación completa (ISC) 2.
Para calificar para el Asociado de (ISC)2, debe:
- Suscribirse al Código de Ética (ISC)2
- Aprobar el examen de certificación SSCP, CAP, CISSP, CSSLP, HCISPP o CCSP
Para mantener la credencial de Asociado de (ISC)2, deberá pagar una cuota de mantenimiento anual (actualmente $35) y obtener 15 créditos de educación profesional continua (CPE) anualmente.
Profesional Certificado en Seguridad de Sistemas (SSCP)
Muchos profesionales de seguridad comienzan sus carreras obteniendo la certificación Profesional Certificado en Seguridad de Sistemas (SSCP). El SSCP reconoce a los candidatos que entienden conceptos de seguridad fundamentales, saben cómo usar herramientas de seguridad básicas y pueden monitorear sistemas y mantener contramedidas para prevenir incidentes de seguridad.
Para calificar para la credencial SSCP, debe:
- Tener al menos un año de experiencia laboral relevante en uno o más de los dominios de SSCP Common Body of Knowledge (CBK)
- Lograr una puntuación mínima a escala de 700 puntos en el examen de certificación
- Suscribirse al Código de Ética (ISC)2
- Completar un formulario de aprobación de solicitud y tenerlo avalado por un miembro (ISC)2
Candidatos que tengan una licenciatura o maestría en disciplinas aprobadas (como ciencias de la computación, ingeniería informática, ingeniería de sistemas, Sistemas de Información de Gestión-MIS, o Información Tecnología-TI), puede calificar para el camino previo a la acreditación. El itinerario de requisitos previos permite a los candidatos sustituir ciertos itinerarios de grado por el requisito de experiencia.
La credencial SSCP incorpora los siguientes dominios CBK:
- Controles de acceso
- Operaciones de seguridad y Administración
- Identificación, Supervisión y Análisis de riesgos
- Respuesta a incidentes y Recuperación
- Criptografía
- Seguridad de Redes y Comunicaciones
- Seguridad de sistemas y aplicaciones
La credencial SSCP es válida por tres años. Puede renovarlo obteniendo 60 créditos de educación profesional continua (CPE) dentro del período de tres años (se requieren 20 créditos de CPE cada año). También debe pagar una cuota de mantenimiento anual de 6 65.
(ISC)2 lanzará un nuevo examen de SSCP en noviembre. 1, 2018. Al momento de escribir este artículo, el esquema del examen aún no se ha finalizado, pero el Esquema de Contenido Detallado (DCO, por sus siglas en inglés) está disponible actualmente y puede proporcionar alguna orientación sobre lo que los candidatos pueden esperar ver en el nuevo examen.
Profesional de Seguridad de Sistemas de Información Certificado (CISSP)
El Profesional de Seguridad de Sistemas de Información Certificado (CISSP) reconoce a los profesionales que pueden diseñar, diseñar, administrar y controlar la seguridad de una organización. Muchos profesionales de seguridad de TI consideran que el CISSP es la certificación más deseable en la industria, pero ese honor requiere una gran cantidad de experiencia y esfuerzo.
Para calificar para la credencial CISSP, debe:
- Tener al menos cinco años de experiencia laboral relevante a tiempo completo en dos o más de los dominios CISSP CBK. (ISC) 2 permite a los candidatos que poseen un título universitario de cuatro años (o equivalente) o una credencial aprobada de la vía de Prerrequisito CISSP para sustituir un año del requisito de experiencia.
- Lograr una puntuación mínima de 700 en el examen de certificación, que contiene 250 preguntas y dura seis horas
- Suscríbase al Código de Ética (ISC)2
- Complete un formulario de aprobación de solicitud y hágalo endosar por un miembro (ISC)2
La credencial CISSP incorpora los siguientes ocho dominios CBK:
- Seguridad y Gestión de Riesgos
- Seguridad de activos
- Ingeniería de seguridad
- Seguridad de Comunicaciones y Redes
- Gestión de Identidades y Accesos (IAM)
- Evaluación y pruebas de seguridad
- Operaciones de seguridad
- Desarrollo de software de Seguridad
(ISC)2 está lanzando un nuevo examen CISSP el 15 de abril de 2018. Cada examen (antes y después del 15 de abril) tiene su propio esquema de contenido de examen, por lo que si planea realizar pruebas para el CISSP, querrá asegurarse de descargar el esquema de examen correcto. Después del 15 de abril, el dominio de Ingeniería de Seguridad se convertirá en Arquitectura e Ingeniería de Seguridad.
La credencial CISSP es válida por tres años. Puede renovarlo obteniendo 120 créditos de educación profesional continua (CPE, por sus siglas en inglés) antes de que expire la certificación (o retomando el examen), 40 de los cuales se deben obtener cada año. También se requiere una tarifa de mantenimiento anual.
Concentraciones de CISSP
Con la credencial CISSP en la mano, puede ramificarse en una o más concentraciones:
- Profesional de Arquitectura de Seguridad de Sistemas de Información (CISSP-ISSAP)
- Profesional de Ingeniería de Seguridad de Sistemas de Información (CISSP-ISSEP)
- Profesional de Gestión de Seguridad de Sistemas de Información (CISSP-ISSMP)
Cada concentración de CISSP requiere que los candidatos tengan un mínimo de dos años de experiencia en seguridad relevante en el área respectiva (arquitectura, ingeniería o gestión). Además, los candidatos deben mantener su credencial CISSP existente.
El CISSP-ISSAP está dirigido a arquitectos o analistas de seguridad jefe. Cubre seis dominios CBK:
- Arquitectura de Gestión de Identidad y Acceso
- Arquitectura de Operaciones de Seguridad
- Seguridad de infraestructura
- Arquitecto para Gobernanza, Cumplimiento y Gestión de Riesgos
- Modelado de Arquitectura de seguridad
- Arquitecto para Seguridad de aplicaciones
El CISSP-ISSEP se centra en la ingeniería de seguridad de sistemas, en la que la seguridad se define e incorpora en sistemas de información, procesos de negocio, etc. (ISC) 2 lanzará un nuevo examen el 15 de marzo de 2018. El examen anterior al 15 de marzo cubre cuatro dominios CBK:
- Ingeniería de Seguridad de sistemas (SSE)
- Certificación y Acreditación (C&A)/Marco de Gestión de Riesgos (RMF)
- Gestión Técnica
- Políticas y Emisiones relacionadas con la Garantía de la Información del Gobierno de EE.:
- Principios de Ingeniería de seguridad
- Gestión de riesgos
- Planificación, Diseño e Implementación de seguridad
- Operación, Mantenimiento y Eliminación seguras
- Ingeniería de sistemas Gestión Técnica
El CISSP-ISSMP tiene como objetivo a los profesionales que gestionan la seguridad en toda la empresa. Al igual que con el CISSP-ISSEP, (ISC)2 lanzará un nuevo examen para el CISSP-ISSMP en 2018. El nuevo examen CISSP-ISSMP está programado para su lanzamiento el 15 de mayo de 2018. Antes del 15 de mayo, la credencial incorpora cinco dominios CBK:
- Liderazgo y Gestión de Seguridad
- Gestión del Ciclo de vida de la Seguridad
- Gestión del Cumplimiento de la Seguridad
- Gestión de Contingencias
- Ley, Ética y Gestión de Incidentes
Después del 15 de mayo de 2018, la credencial incorpora los siguientes dominios:
- Liderazgo y Gestión Empresarial
- Gestión del ciclo de vida de los sistemas
- Gestión de Riesgos
- Inteligencia de Amenazas y Gestión de Incidentes
- Gestión de Contingencias
- Gestión de Conformidad con la Ley, la ética y la seguridad
Certified Authorization Professional (CAP)
La certificación Certified Authorization Professional (CAP) identifica a los propietarios de sistemas empresariales y a los oficiales de seguridad que autorizan y mantienen los sistemas de información, con un enfoque en equilibrar el riesgo con los requisitos de seguridad y contramedidas. La credencial CAP está dirigida a los sectores público y privado, incluidas las agencias del gobierno federal de los Estados Unidos, como el Departamento de Estado y el Departamento de Defensa (DoD). Lograr la certificación ayuda al personal del Departamento de Defensa a cumplir con el Mandato 8570.
Para calificar para la credencial CAP, debe:
- Tener al menos dos años de experiencia en uno o más de los dominios de CAP CBK (dicha experiencia debe ser de pago y a tiempo completo)
- Lograr una puntuación mínima a escala de 700 puntos en el examen de certificación
- Suscribirse al Código de Ética de (ISC)2
- Completar un formulario de aprobación de solicitud y que lo apruebe un miembro de (ISC)2
(ISC)2 recomienda que los candidatos de CAP en seguridad de TI, administración de sistemas, aseguramiento de la información, gestión de riesgos, desarrollo de bases de datos o sistemas y política de seguridad de la información. La experiencia en auditoría es una ventaja, al igual que la experiencia en la documentación del Instituto Nacional de Normas y Tecnología (NIST).
La credencial CAP incorpora los siguientes dominios CBK:
- Marco de Gestión de Riesgos (RMF)
- Categorización de Sistemas de Información
- Selección de Controles de Seguridad
- Implementación de Control de seguridad
- Evaluación de Control de Seguridad
- Autorización del Sistema de Información
- Supervisión de Controles de Seguridad
Al igual que otras certificaciones (ISC)2, la credencial CAP es válida para tres años. Puede renovarlo aprobando de nuevo el examen de certificación o obteniendo 60 créditos de educación profesional continua (CPE) antes de que expire la certificación (se requiere un mínimo de 20 CPE cada año del ciclo de renovación). También se requiere una tarifa de mantenimiento anual de 3 35.
Certified Secure Software Lifecycle Professional (CSSLP)
Los desarrolladores de software interesados en la ciberseguridad y las vulnerabilidades de las aplicaciones deben consultar la certificación Certified Secure Software Lifecycle Professional (CSSLP). Esta credencial reconoce la competencia en seguridad de aplicaciones web y el ciclo de vida de desarrollo de software (SDLC).
Para calificar para la credencial de CSSLP, debe:
- Tener al menos cuatro años de experiencia laboral en el ciclo de vida de desarrollo de software (SDLC) que incluya uno o más de los dominios CBK de CSSLP. Los candidatos con un título de cuatro años o equivalente pueden sustituir la educación por una experiencia de un año
- Lograr una puntuación mínima a escala de 700 puntos en el examen de certificación
- Suscribirse al Código de Ética (ISC) 2
- Completar un formulario de aprobación de solicitud y tenerlo respaldado por un miembro (ISC)2
La credencial CSSLP incorpora los siguientes dominios CBK:
- Conceptos de Software seguro
- Requisitos de Software seguro
- Diseño de Software seguro
- Implementación/Programación de Software seguro
- Pruebas de software seguras
- Gestión segura del Ciclo de vida del Software
- Implementación, Operaciones y Mantenimiento de software
- Cadena de suministro & Adquisición de software
La credencial de CSSLP debe renovarse cada tres años. Para mantener la credencial, deberá obtener 90 créditos de educación profesional continua (CPE) dentro del período de tres años (se requiere un mínimo de 30 CPE cada año del ciclo de renovación de tres años). También se requiere una tarifa de mantenimiento anual.
Healthcare Information Security and Privacy Practitioner (HCISPP)
El programa de certificación HealthCare Information Security and Privacy Practitioner (HCISPP) está dirigido a empleados y consultores que mantienen la seguridad de la información de salud, un área de alto crecimiento en la actualidad. Con un HCISPP, ha demostrado su competencia en la implementación, gestión o evaluación de controles y contramedidas que protegen la privacidad de los datos médicos.
Para calificar para la credencial HCISPP, debe:
- Tener al menos dos años de experiencia en uno de los dominios de HCISPP CBK que incluye seguridad, cumplimiento y privacidad; la experiencia legal puede sustituir a la experiencia en cumplimiento, y la experiencia en gestión de información puede sustituir a la experiencia en privacidad; un año de experiencia debe estar en la industria de la salud
- Lograr una puntuación mínima a escala de 700 puntos en el examen de certificación
- Suscríbase al Código de Ética (ISC)2
- Complete un formulario de aprobación de solicitud y hágalo endosar por un miembro (ISC)2
La credencial HCISPP incorpora los siguientes dominios CBK:
- Industria del Cuidado de la Salud
- Entorno Normativo
- Privacidad y Seguridad en el Cuidado de la Salud
- Gobernanza de la información y Gestión de Riesgos
- Evaluación de Riesgos de la información
- Gestión de Riesgos de terceros
La credencial HCISPP debe renovarse cada tres años al obtener 60 créditos de educación profesional continua (CPE) (se requieren 20 créditos CPE cada año del ciclo de renovación) antes de que expire la certificación. También se requiere una tarifa de mantenimiento anual.
Profesional Certificado de Seguridad en la Nube (CCSP)
El Profesional Certificado de Seguridad en la Nube (CCSP)es compatible con (ISC) 2 y la Alianza de Seguridad en la Nube (CSA). La credencial se dirige a los profesionales que trabajan con tecnología en la nube para garantizar que los datos no solo son seguros, sino que se identifican los riesgos de seguridad y se implementan estrategias de mitigación para abordar esos riesgos. La credencial suele estar en manos de personas con habilidades avanzadas, como arquitectos de seguridad o empresariales, administradores de seguridad o ingenieros de sistemas.
Para calificar para la credencial CCSP, debe:
- Tener un mínimo de cinco años de experiencia a tiempo completo en tecnología de la información; tres años de los cuales deben estar en seguridad de la información y al menos un año en uno de los dominios CBK CCSP
- El certificado CCSK de Cloud Security Alliance puede sustituir a un año de experiencia en el dominio
- (ISC)2 exime de todo el requisito de experiencia para aquellos que posean la credencial CISSP
- Lograr una puntuación mínima escalada de 700 puntos en el examen de certificación
- Suscribirse al Código de Ética (ISC)2
- un formulario de aprobación de la solicitud y que lo apruebe un miembro (ISC)2
La credencial CCSP incorpora la siguiente CBK dominios:
- Conceptos Arquitectónicos y Requisitos de diseño
- Seguridad de datos en la nube
- Seguridad de Infraestructura y Plataforma en la nube
- Seguridad de aplicaciones en la nube
- Operaciones
- Legal y Cumplimiento
La credencial CCSP debe renovarse cada tres años. Para renovar, los candidatos deben obtener 90 créditos de educación profesional continua (CPE) (se requieren 30 créditos de CPE por cada año del ciclo de renovación) antes de que expire la certificación. También se requiere una tarifa de mantenimiento anual.la visión de
(ISC)2 en la Comunidad de Infosec
(ISC)2 es «inspirar un mundo cibernético seguro y protegido.»La misión de la organización respalda su visión al hacer hincapié en la certificación, el acceso a los recursos y el liderazgo.
Una de las formas en que (ISC)2 lleva a cabo su misión es a través del Congreso de Seguridad (ISC)2, un evento anual que gira en torno a oportunidades de educación y redes para profesionales de la seguridad cibernética. De manera más continua, se alienta a los miembros a compartir conocimientos sobre seguridad y a participar en redes profesionales a través de la participación en los capítulos 2 de la ISC. Puedes encontrar capítulos existentes esparcidos por todo el mundo, o (ISC)2 te ayudará a comenzar uno en tu área.
Cada año, (ISC) 2 ofrece varios premios de liderazgo. El programa de Premios al Liderazgo en Seguridad de la Información del Gobierno (GISLAs, por sus siglas en inglés) es un ejemplo de ello. El GISLA reconoce a destacados líderes federales de seguridad de la información y profesionales de seguridad de la información que han contribuido a «mejoras significativas en la postura de seguridad de un departamento, agencia o de todo el gobierno federal».»El programa Americas Information Security Leadership Awards (ISLA) honra a profesionales de seguridad/administración públicos o privados que demuestran un liderazgo y logros sobresalientes. Los destinatarios son generalmente trabajadores de seguridad experimentados con cinco o más años de experiencia en su campo, aunque el prometedor premio Profesional de Seguridad de la Información es para una «estrella en ascenso» en el campo de la seguridad de la información.
Debido a que (ISC)2 se trata de la seguridad, es seguro asumir que cualquier puesto de trabajo que requiera una certificación (ISC) 2 significa que el candidato es responsable de alguna faceta de la seguridad de TI, ya sea total o parcialmente.
En el nivel inicial, los profesionales con un SCCP suelen trabajar como administradores de redes, administradores de sistemas, especialistas en seguridad o consultores de seguridad. Aquellos con un CISSP son más comúnmente contratados como analistas de seguridad e ingenieros de sistemas de seguridad. Sin embargo, el CISSP es una certificación amplia con altos requisitos de experiencia, por lo que puede encontrar CISSP que trabajan como gerentes de seguridad, consultores, directores de TI, directores de seguridad de la información (CISOs), auditores y arquitectos de red también. Aquellos que autorizan los sistemas y evalúan el riesgo, que es una combinación común dentro del Departamento de Defensa, deben considerar la certificación CAP.
Otras certificaciones (ISC) 2 están orientadas de forma más estrecha hacia roles de seguridad específicos. Por ejemplo, el CCSP reconoce a los administradores de seguridad, ingenieros y arquitectos que diseñan o mantienen entornos en la nube, los desarrolladores de software que se especializan en seguridad deben mirar hacia el CSSLP.
(ISC)2 Capacitación y Recursos
La página web de cada certificación incluye una sección de Información de examen, que enumera las herramientas de estudio para esa certificación en particular. Encontrará enlaces al esquema del examen, la guía oficial (ISC)2 de CBK de la certificación, seminarios de capacitación, opciones de aprendizaje electrónico y tarjetas interactivas. (ISC)2 ofrece seminarios de capacitación de CBK en el aula, en línea en vivo, a pedido y privados en el lugar, todos los cuales son impartidos por instructores aprobados (ISC)2.
Muchos terceros también ofrecen cursos de capacitación y campamentos de entrenamiento para la preparación de la certificación (ISC)2, algunos de los cuales son de alta calidad, mientras que otros no están a la altura. Investigue cuidadosamente sus opciones si opta por una capacitación que no sea considerada «oficial» por (ISC)2.