Reconocida mundialmente, la certificación CISSP demuestra las habilidades de profesionales en seguridad de la información. A través de su Common Body of Knowledge, esta certificación cubre todos los aspectos de la ciberseguridad. No se trata únicamente de conocer los conceptos teóricos, sino de aplicarlos a las especificidades de cada empresa. Entonces, ¿qué es la CISSP? ¿Cuál es el programa? ¿Y cuáles son los pre-requisitos? Descubre las respuestas.
CISSP, Certified Information Systems Security Professional
La CISSP (o Certified Information Systems Security Professional) es una certificación profesional dirigida a los expertos en ciberseguridad. De hecho, es una de las primeras, ya que se estableció en 1994 en los Estados Unidos. Mientras que Internet estaba emergiendo, las problemáticas relacionadas con la seguridad de los sistemas de información ya comenzaban a surgir.
Hoy en día, la CISSP es mucho más exigente ya que la ciberseguridad se ha vuelto más compleja. Los hackers malintencionados son cada vez más hábiles, lo que requiere que los ciberexpertos redoblen esfuerzos e ingenio para contrarrestar sus ataques.
Así, la CISSP evalúa el conocimiento técnico del certificado, pero también sus habilidades para analizar riesgos y realizar auditorías de sistemas. La idea es, sobre todo, ser capaz de aplicar los principios de la ciberseguridad a la necesidades específicas de las organizaciones.
Los 8 dominios del CBK
Administrado por (ISC)² (o International Information Systems Security Certification Consortium), el programa de certificación CISSP se fundamenta en un conjunto de conocimientos; el CBK. Este Common Body of Knowledge se estructura alrededor de 8 dominios, cada uno con un peso diferente en la nota final.
1 - Seguridad y gestión de riesgos
Este dominio representa el 16% de la nota. Es el más importante. De hecho, deberás demostrar tus conocimientos sobre los conceptos clave de la ciberseguridad, tales como:
- La confidencialidad, integridad y disponibilidad de los datos;
- Las bases de la gestión de riesgos (especialmente la identificación, evaluación y tratamiento de riesgos);
- Las normas ISO/IEC, la gestión de políticas de seguridad, análisis de impacto empresarial;
- El cumplimiento de leyes, regulaciones y estándares de la industria.
2 - Seguridad de activos
Alcanzando el 10% de la nota final, este dominio de la CISSP se enfoca en la clasificación de información (según la sensibilidad y criticidad de los datos).
También abordarás los roles de propietarios/custodios de activos, el ciclo de vida de la información, la protección y destrucción de soportes.
3 - Arquitectura e ingeniería de seguridad
Con un 13% de la nota, se estudian principalmente los procesos de ingeniería. Específicamente, este dominio se enfoca en:
- Los principios de arquitectura de seguridad y modelos de seguridad;
- El desarrollo y evaluación de arquitecturas seguras;
- Principios, métodos y aplicaciones criptográficas;
- La seguridad de las instalaciones y del equipamiento.
4 - Seguridad de las telecomunicaciones y las redes
Demuestras tu habilidad para asegurar los componentes de la red, diseñar canales de comunicación seguros y prevenir ataques a la red.
Estos son los aspectos estudiados:
- Topologías, protocolos y dispositivos de red;
- Firewalls, sistemas de detección de intrusiones, VPN;
- Autenticación y autorización en entornos de redes;
- Tipos de ataques a redes y medidas de protección. V
Este dominio vale el 13% de la nota final CISSP.
5 - Gestión de identidades y accesos (IAM)
Con otro 13%, este dominio se concentra en todos los controles de acceso físico y lógico a los recursos.
- Métodos y tecnologías de gestión de identidades;
- Modelos de control de acceso (RBAC, ABAC, MAC, DAC);
- Creación, gestión y eliminación de identidades;
- Tecnologías de IAM (SSO, MFA, directorios LDAP).
6 - Evaluación de seguridad y pruebas
Valiendo el 12% de la certificación CISSP, demuestras tus conocimientos sobre las estrategias de evaluación y pruebas de seguridad (vulnerabilidad, penetración, benchmarking, pruebas funcionales y no funcionales, etc.) y las auditorías internas.
7 - Operación de seguridad
En este dominio (13% de la nota final), explorarás:
- Gestión de incidentes: detección, respuesta y recuperación después de un incidente de seguridad.
- Plan de continuidad y recuperación después de desastres: preparación y reacción ante situaciones de emergencia.
- Gestión de recursos de seguridad: monitoreo, registro y mantenimiento de dispositivos de seguridad.
- Gestión de la seguridad de las instalaciones: protección de las instalaciones contra intrusiones y catástrofes.
8 - Seguridad del desarrollo de software
Con un 10%, este dominio se concentra en la seguridad a lo largo de todo el ciclo de vida del desarrollo de software. Y eso en diferentes entornos.
Con sus 8 dominios ultra completos, la CISSP es considerada una de las formaciones más difíciles del campo de la seguridad de datos. Pero también es una de las más buscadas y mejor remuneradas.
Una certificación reservada a los expertos en ciberseguridad
El prestigio de la CISSP se debe a su alto nivel de dificultad. De hecho, antes de siquiera presentarse a examen, debes cumplir con 4 requisitos previos obligatorios:
- Acreditar 5 años de experiencia profesional en ciberseguridad;
- Recibir el patrocinio de un tercero;
- Adherirse al código ético de (ISC)²;
- Aceptar la posibilidad de ser sometido a una auditoría.
Luego, hay que pasar el examen CISSP que consta de un cuestionario de tipo múltiple de 100 a 150 preguntas. Debes obtener un 70% de respuestas correctas.