¿Es un profesional CISSP garantía de la seguridad de la información en la empresa? No. El profesional CISSP es garantía para que la empresa adopte un esquema adecuado de la seguridad de la información de la organización.
La seguridad de la información es un proceso, en el que confluyen políticas, recursos, y gente. Como en cualquier proceso, es la gente la que hace que el proceso falle. A veces intencionalmente, a veces accidentalmente, otras -las más- por ignorancia. Si la persona hace click en un mensaje de correo-e desconocido pero atractivo, el profesional de seguridad nada puede hacer para evitar que la red sea comprometida.
El problema del cumplimiento de las políticas, procedimientos y medidas de seguridad es generado por las personas en la organización. Aún con muchos profesionales CISSP, si las personas no están educadas para cumplir con el esquema de seguridad, ésta será deficiente para proteger los activos informáticos.
Educar a la gente de las organizaciones es una necesidad. Desafortunadamente los planes de estudio en las universidades y colegios abordan con poco detalle el tema de la seguridad de la información. De ahí que existan cursos especializados en seguridad de la información, tanto para los profesionales dedicados a estas tareas como para la sensibilización sobre dicho tema para las personas de las organizaciones.
Dominios del CBK del CISSP
- Control de Acceso.
- Seguridad de Desarrollo de Software.
- Continuidad del Negocio y Plan de Recuperación de Desastres.
- Criptografía.
- Gobierno de la Seguridad de la Información y Gestión de Riesgos.
- Legal, Regulación, Investigación y Cumplimiento.
- Operaciones de Seguridad.
- Seguridad Física.
- Arquitectura y Diseño de Seguridad.
- Seguridad de Redes y Telecomunicaciones.
En un mercado con decenas de certificaciones, el profesional de seguridad y los directivos de las organizaciones se preguntan cuál es la idónea para estudiar, generando dudas sobre el valor de las certificaciones. No se trata de mantener tantas siglas en la tarjeta de presentación, sino de contar con la base de conocimientos que permitan definir, evaluar y mantener en un buen nivel de seguridad a los activos informáticos que se deben proteger.
Los profesionales encargados de las tareas para el resguardo de los activos informáticos deben estar calificados para llevar a buen término su responsabilidad. Dicha calificación puede ostentarse con la certificación CISSP, emitida por el (ISC)2 quien califica al profesional sobre la base del CBK del CISSP, un compendio de 10 dominios de conocimientos sobre la seguridad de la información.
Obtener la certificación CISSP requiere de aprobar el riguroso examen del (ISC)2 y demostrar experiencia profesional de al menos cinco años en al menos dos dominios de seguridad del CBK.
El nivel de conocimiento exigido para aprobar el examen CISSP es alto. Es un proceso que lleva seis horas y consiste en responder a 250 preguntas de opción múltiple, cada una con cuatro opciones de respuesta (sólo una verdadera). El candidato debe prepararse de forma sistemática que le permita responder acertadamente a las 250 preguntas del examen, cada una con un valor en puntos. Los resultados del examen se basan solamente en las preguntas calificadas del examen y para aprobarlo se requiere obtener al menos 700 puntos de los 1,000 que comprende el examen.
Para mantener la certificación, el profesional CISSP debe acreditar cada tres años haber recibido educación profesional continua en el tema de la seguridad de la información, ya que de no hacerlo perderá la certificación.
Los porcentajes de aprobación son alrededor del 20% más altos para los profesionales que atienden a seminarios de preparación para el examen de certificación CISSP, como el Curso Preparación CISSP, en comparación con aquellos que estudian por su cuenta.
Este tipo de preparación también es útil para los profesionales interesados en introducirse en el tema de la seguridad de la información y que por el momento no desean certificarse o no cumplen con los requisitos para ello.