08 Ene IRCP: Certificación en Respuesta ante Incidentes
Securízame, como empresa dedicada al 100% a seguridad informática, cuenta en su personal humano con gente experimentada en diferentes ramas de seguridad: auditoría, asesoría, securización de sistemas, redes e infraestructuras, así como peritaje informático forense y respuesta ante incidentes de seguridad.
Yo, Lorenzo Martínez, fundé la empresa con la idea de hacer una compañía orientada al cliente, en la que intentase evitar los errores cometidos en vidas anteriores, tanto por mí como otros de los que pude ser testigo, que hacían que fuese el cliente quien sufriese las consecuencias y pagase dichos errores.
La evolución de Securízame derivó en que se abriera una línea en la que dedicamos mucho tiempo y esfuerzo, inicialmente de forma online y posteriormente de forma presencial: la formación. Tanto el feedback, como los logros de quienes confían en nosotros para ser mejores profesionales en materia de seguridad informática de forma especializada, cada día nos da más satisfacciones. Esto, no sólo por nuestra vocación en la enseñanza, sino porque gracias a la cantidad y distinta tipología de personas que pasan por nuestra academia, hemos tenido la oportunidad de conocer a grandes profesionales, con los que incluso colaboramos activamente en la actualidad.
Problemática de las Certificaciones Actuales
¿Qué se espera como entregable?
¿Cuál es la metodología de evaluación?
¿Dónde se lleva a cabo el examen de certificación?
La problemática de las certificaciones actuales
En base a las experiencias vividas anteriormente, y al estado actual de la ciberseguridad, vivimos en un mundo en el que lo que se valora en un profesional, son las certificaciones y la posesión de títulos.
Los procedimientos de evaluación de conocimientos para cualquier certificación actual, consisten en que el candidato resuelva un test de varias preguntas, para los que lo correcto en el proceso de preparación es el estudio y asimilación de kilos y kilos de extensa y detallada documentación.
El día del examen, el alumno espera que las preguntas que se le hagan tengan relación con “lo estudiado” y que, dentro de las diferentes respuestas, éstas no sean muy confusas como para poder discriminar cuál es la buena entre las tres o cuatro opciones que, a simple vista pueden parecen iguales, pero difieren en un par de palabras o términos.
Esto siempre y cuando la forma de preparar el examen no haya consistido en descargar de diferentes repositorios, gratuitos o de pago, packs de preguntas y respuestas de ediciones anteriores, en los que con suerte se repetirán unas cuantas y esto, unido a lo que uno ha podido preparar, sirvan para lograr el anhelado aprobado materializado en un papel que anexar al CV o escanear subido a Linkedin.
Así se han aprobado muchas certificaciones y asignaturas universitarias, pero… y tras el día del examen ¿qué sucede? A las semanas de haber aprobado la materia en cuestión, si no se practica con asiduidad todo lo aprendido, inevitablemente ésta se olvida.
Es cierto que en algunas ramas de la ciberseguridad hay certificaciones que son 100% prácticas, sobre todo en la del hacking ético de sistemas. En este tipo de certificaciones, que suelen ser bastante duras para los candidatos, el procedimiento implica encerrarse un fin de semana y comprometer sistemas de una red con diferente nivel de dificultad, de manera que se logre ejecutar código como root o administrador en ellos. Esta sin duda es una excelente metodología que demuestra a quien quiera comprobarlo que quien presenta un certificado como poseedor de una de estas certificaciones, efectivamente ha sido capaz de aplicar conocimientos teóricos en un entorno 100% práctico.
Sin embargo, desde el momento en el que este examen puede ser hecho de manera online y sin vigilancia, el certificador no puede validar que efectivamente quien dice que ha comprometido los sistemas, sea realmente el poseedor del título. ¿Qué le impide a un individuo pagar o pedir ayuda a otra persona que sea “un crack del tema” para que se pegue el fin de semana en casa del primero ayudándole o directamente haciéndole el examen?
Obviamente en el momento de demostrar la valía, tarde o temprano se destapará el fraude, pero para el filtro inicial y sobre todo el postureo con los colegas, el problema está solucionado.
Ojo, que no entienda el lector que en todos los casos que expongo ha habido fraude, sino que únicamente quiero resaltar la viabilidad de que esto suceda. Pero por supuesto que me consta que hay profesionales que tanto para las certificaciones de un tipo como las del otro, se han dejado las pestañas estudiando o practicando para obtener su título de forma honrada. Sin embargo, las otras posibilidades, son igualmente viables.
Otro de los motivos por los que no estoy de acuerdo con la mayoría de las certificaciones actuales: su fecha de caducidad. Lo he dicho siempre, muchas empresas u organizaciones que “certifican” han convertido algo que mide conocimientos en un negocio. Entiendo que llevar a cabo un examen presencial a un grupo de personas, tiene unos costes: creación de batería de preguntas, alquiler de sala, profesores, cuidadores, evaluadores de tests, gastos de material de certificados y envíos, gestión, etc,… Una vez eso se cubre, este tipo de certificaciones obliga a que los poseedores de las mismas tengan que renovarlas anualmente. Para ello se obliga a la justificación de una serie de horas relacionados con diferentes pilares de seguridad, con los que estoy 100% de acuerdo.
Es decir, si quieres mantener la certificación, demuestra que sigues dedicándole horas a actualizarte de alguna manera. Pero sin embargo, entre otras cosas se exige al certificado que pague una cuota de unos 85 USD. Si no se cumplen ambas condiciones, por el compromiso ético adquirido, un individuo no puede hacer uso de la certificación en “good standing”. Es decir, que dejas de tenerla. Entonces ¿Pasas de tener una certificación como CISSP o CISA por no pagar la cuota? Así es. ¿Dejas de tener “el conocimiento que un día demostraste tener”? Pues a efectos demostrables sí, pero está claro que a efectos prácticos, lo único que separa al candidato de saber o no saber, son 85 USD, algo que a mi criterio se me antoja sumamente ridículo. Si fuese necesario tener que superar un examen anualmente para mantenerla, entendería perfectamente que hubiera que sufragar los costes de la evaluación,… pero es que, hasta donde tengo conocimiento, tampoco es el caso.
Además, las certificaciones prácticas existentes hasta ahora suelen tener relación con seguridad ofensiva, es decir de compromiso de sistemas, y no con la protección de los mismos o el análisis de un incidente de seguridad.
La propuesta de Securízame
Desde nuestra filosofía de querer hacer siempre actividades útiles para el alumno, y que éticamente sean lo más correctas posibles, proponemos una solución que una vez más, introduzca mejoras sobre las certificaciones actuales, siendo algo que creemos innovador, a la vez que un reto al candidato.
Y así nace la primera certificación española 100% práctica de Respuesta ante Incidentes: «IRCP – Incident Response Certified Professional«
¿En qué consiste?
Se trata de un ejercicio 100% práctico y presencial en el que el candidato se enfrenta a un entorno corporativo vivo en el que ha sucedido un incidente de seguridad. El aspirante es un experto en seguridad que una compañía contrata para que solucione el incidente, respondiendo a las típicas preguntas ¿Qué? ¿Quién? ¿Cuándo? y ¿Cómo?
¿Qué se espera como entregable?
El objetivo es hacer el ejercicio lo más realista posible. En un escenario real, un analista de seguridad tendría que llevar a cabo la adquisición de evidencias de los sistemas vivos, analizarlos, establecer las líneas de tiempo necesarias que permitan entender la globalidad del incidente. Finalmente, y a instancias de quien nos contrata, habrá que generar un informe que cubra dos frentes muy diferenciados:
- Por una parte, un descripción técnica de las evidencias existentes en los sistemas involucrados, así como un análisis de las mismas, que dejen patente la relevancia de los hallazgos encontrados en la globalidad del caso analizado. Para ello se podrá acompañar de capturas de pantalla o lo que el analista considere necesario para dejar constancia de la necesidad de la aportación de dichas evidencias.
- Por otra parte, un informe ejecutivo de una extensión máxima de una hoja aproximadamente, en la que se explique con un lenguaje menos técnico y con menos nivel de detalle qué ha sucedido. Está claramente orientado a la alta dirección de una organización o lo que sería el dictamen o apartado conclusiones dentro de un informe pericial que pueda formar parte de la documental aportada por una de las partes en un proceso judicial.
¿Cuál es la metodología de evaluación?
El ejercicio completo será corregido de forma individual por tres integrantes del departamento técnico de Securízame, siguiendo una serie de criterios públicos y definidos.
Con fines de transparencia, el alumno enviará su documento final a una dirección de correo genérica de Securízame. Dicho correo será recibido por una persona de Securízame que no tendrá que evaluar al candidato. La labor de dicha persona será la de anonimizar la documentación del alumno, reenviándola a los tres integrantes del tribunal ya mencionado, de manera que los miembros del mismo no sepan de quién es el documento que tienen delante. Pero no sólo el documento entregable será lo que los evaluadores tendrán en cuenta, sino que también podrán conectarse a la plataforma dedicada al alumno, y comprobar el estado de la misma, verificando la actividad realizada.
¿Cómo se puntúa?
- 20% Calidad del informe
- 15% Limpieza del entorno
- 65% Resolución del caso (donde se divide la nota entre evidencias y grado de explicación de las mismas, hilado de evidencias y cronología del caso, así como la satisfacción del cliente)
¿Dónde se lleva a cabo el examen de certificación?
Debido a la necesidad de poder verificar que quien ha realizado el ejercicio es realmente el candidato matriculado, el examen se llevará a cabo de forma presencial, pudiendo ser en las dependencias de Securízame o remotamente donde se acuerde entre las partes (empresas, Colegios Profesionales de Ingenieros, Asociaciones, etc,…). Sin embargo, y por motivos obvios, el examen se llevará a cabo siempre en presencia de personal de Securízame.
En esta primera edición, que se llevará a cabo el 13 de Enero de 2018, varios de los antiguos alumnos de los cursos y entrenamientos de Securízame se someterán a esta gran experiencia de la certificación IRCP. Sin embargo, para quienes queráis obtenerla también, tenemos contemplada una segunda edición para el mes de Junio de 2018, por lo que AQUÍ ponemos a vuestra disposición la lista de fechas y cursos que hemos considerado y que os servirán de orientación para tener mayor posibilidad de aprobar.