Luego de leer la Publicación de Terry Dunlap en Linkedin, me motivó a escribir este artículo.

Cito las partes que me parecen más interesantes.

Terry cita:

“El reclutador Thomas Ptacek, cuya agencia de caza estelar con sede en Chicago se especializa en reclutar personal de seguridad, describe la Certificación CISSP como “una broma”, y afirma que en su experiencia una descripción de un puesto de trabajo que requiera un CISSP es una bandera de advertencia a la élite de la industria para no aplicar al puesto”. “No creo que haya muchos profesionales de alto nivel fuera de la administración que valoren el CISSP”, dice.

A su vez, Dan Tentler, fundador de la consultora de simulación de ataque Fobos Group, compara la contratación de trabajadores INFOSEC basados en pasar un examen a la contratación de otros profesionales sobre la misma base: “¿te sentirías cómodo dejando que un médico sea su médico de cabecera si todo lo que hizo, fue aprobar un examen de elección múltiple?”. Él cree que “ISC2 está ganando dinero de manera muy fácil”, y que la organización está “diluyendo el mercado con personas que no tienen idea de lo que están haciendo”.

No es la única opinión similar:

La verdad es que el hecho de que alguien esté “certificado” (CEH, CISSP, GICSP, etc.) no los convierte en profesionales expertos y experimentados de la seguridad, mucho menos un “hacker”. Y tampoco los equipa para pensar como un hacker. Simplemente significa que conocen el vocabulario y saben cómo pasar una prueba. Bien, tal vez saben cómo instalar Kali, ejecutar nmap, y lanzar una Exploit de Metasploit en un cuadro de Windows XP. Pero cualquier niña de 13 años también puede hacer eso.

Si usted debe obtener un certificado de seguridad por razones de cumplimiento o regulatorias, que así sea. Pero la experiencia práctica y las habilidades  tienen el verdadero valor y no una certificación de seguridad caliente y de moda; así que por favor ahorre su dinero y deje de alimentar las máquinas de certificación de seguridad. Nosotros no los valoramos y Ud. tampoco debería.

Dejemos de creer en falsos profetas, la Seguridad de la Información es imprescindible para los Objetivos Organizativos.

Si va a favorecer a alguien o algo, que sea a la Empresa donde Ud. trabaja, así como también a su puesto laboral.