InfoSecMan Blog

Vengo asistiendo recientemente a la carrera que distintos organismos y entidades certificadoras de “profesionales de la seguridad” están siguiendo hacia su certificación ANSI. Sellito ampliamente perseguido por todos y que se supone que es un aval de calidad y “seriedad” de dicha certificación (además un punto necesario para ofrecer estas certificaciones al mercado estadounidense).

Quien más quien menos está avanzando en ese sentido asegurando que sus certificaciones son independientes, que deben ser renovadas, que tienen unos procesos y procedimientos que las gestionan, que los contenidos son los adecuados, etc.

Entre certificaciones que me consta han pasado y están pasando por ello podemos mencionar las más famosas CISSP de (ISC)2, CEH de EC-Council, CISA/CISM de ISACA o toda la familia de GIAC (SANS Institute).

Todo esto nos afecta a sus “usuarios”, profesionales de la seguridad, de forma que los exámenes cambian, sus procedimientos también, el modo de mantener las certificaciones se complica, etc. … todo ello se supone que en busca de una mayor calidad de las mismas.

La realidad es bien distinta. Si miramos el escenario desde el exterior, veremos que el “mundo de las certificaciones” no deja de ser un mercado en sí mismo, con unos consumidores bien diferenciados y que, aún sin contar con datos explícitos, intuyo que mueve muchísimo dinero (buena prueba de ello es que hay organizaciones que vivien exclusivamente de ello). Por tanto, el “sellito de ANSI” no deja de ser motivado por un origen puramente comercial y de marketing, en lugar de por su calidad (si fuese así, estos organismos ya lo habrían hecho mucho antes).

Una vez más ocurre en nuestro campo lo mismo que en el de nuestros clientes. En lugar de buscar la calidad o seguridad en una certificación, buscan el “sellito” que les permita vender más cursos, más exámenes, más renovaciones, más libros, etc.

Y a mí todo esto (junto a algún otro detalle que me ha ocurrido recientemente con uno de esos organismos), como “usuario” y “consumidor” de este tipo de mercado, me viene a hacer pensar si realmente son necesarias o aportan algo… ya no al curriculum de cada uno (que quedan muy bonitas), sino realmente a las organizaciones, a mi compañía por ejemplo, y me refiero a algo más allá de una herramienta de marketing.

Seguro que todos conocemos, al menos yo sí, a profesionales certificados con certificaciones de prestigio como CISSP, CISA, CISM, CCIE, etc. que realmente no tienen ni “pajolera idea” (con perdón) de los conocimientos que supuestamente estas certificaciones deben aportarles.

En mi opinión (y lo dice alguien que tiene unas cuantas) estas certificaciones son un mero trámite y una “chapita” de marketing que todos utilizamos, primero ante nuestra organización, y después nuestra organización ante sus clientes.

Como diría el personaje televisivo: “patético”, pero es así… y mientras tanto, algunos a emplear recursos, tiempo personal y profesional, dinero y esfuerzo en seguir manteniendo todas las “chapitas”… y digo yo, si no quieren decir nada realmente, ¿no sería mejor que las vendiesen?

¿Cambiará algo con su certificación ANSI?… no sé no sé… a mí me dan ganas de dejar de certificarme en todo, sinceramente… pero claro, ante mis clientes y mis “contratantes”, ¿en qué posición quedaría?… porque aquello de “si quiere, se lo demuestro” no queda demasiado bien… no vaya a ser que comencemos a decir “de lo chulo que soy, me dan mareos”…

Ahle, voy a seguir estudiando para la siguiente… si es que…. 🙁