¿Es un profesional CISSP garantía de la seguridad de la información en la empresa? No lo es. Contar con profesionales CISSP en la empresa ayuda en la adopción de un esquema adecuado de la seguridad de la información de la organización.
En el proceso de la seguridad de la información confluyen políticas, recursos, y gente. El problema del cumplimiento de las políticas, procedimientos y medidas de seguridad es generado por las personas en la organización. Aún con muchos profesionales CISSP, si las personas no están educadas para cumplir con el esquema de seguridad, ésta será deficiente para proteger los activos informáticos. Educar a la gente de las organizaciones es una necesidad.
Dominios del CBK del CISSP
- Control de Acceso.
- Seguridad de Desarrollo de Software.
- Continuidad del Negocio y Plan de Recuperación de Desastres.
- Criptografía.
- Gobierno de la Seguridad de la Información y Gestión de Riesgos.
- Legal, Regulación, Investigación y Cumplimiento.
- Operaciones de Seguridad.
- Seguridad Física.
- Arquitectura y Diseño de Seguridad.
- Seguridad de Redes y Telecomunicaciones.
En un mercado con decenas de certificaciones, las dudas sobre el valor de las mismas suele ocurrir en los ejecutivos de las empresas. No se trata de mantener tantas siglas en la tarjeta de presentación, sino de contar con la base de conocimientos que permitan definir, evaluar y mantener en un buen nivel de seguridad a los activos informáticos que se deben proteger.
Los profesionales encargados del resguardo de los activos informáticos deben estar calificados para llevar a buen término su responsabilidad. Dicha calificación puede ostentarse con la certificación CISSP, emitida por el (ISC)2 quien califica al profesional sobre la base del CBK del CISSP, un compendio de 10 dominios de conocimientos sobre la seguridad de la información.
Obtener la certificación CISSP requiere de aprobar el riguroso examen del (ISC)2 y demostrar experiencia profesional de al menos cinco años en al menos dos dominios de seguridad del CBK.
El nivel de conocimiento exigido para aprobar el examen CISSP es alto. El candidato debe prepararse de forma sistemática que le permita responder acertadamente a las 250 preguntas del examen. Para aprobar el examen se requiere obtener al menos 700 puntos de los 1,000 que comprende el examen.
Para mantener la certificación, el profesional CISSP debe acreditar cada tres años haber recibido educación profesional continua en el tema de la seguridad de la información, ya que de no hacerlo perderá la certificación.
Los porcentajes de aprobación son alrededor del 20% más altos para los profesionales que atienden a seminarios de preparación para el examen de certificación CISSP, como el Curso Preparación CISSP, en comparación con aquellos que estudian por su cuenta.
Este tipo de preparación también es útil para los profesionales interesados en introducirse en el tema de la seguridad de la información y que por el momento no desean certificarse o no cumplen con los requisitos para ello.