Introducción

La economía globalizada, la dependencia creciente en los sistemas digitales de información, el explosivo crecimiento del cibercrimen[1] y la naturaleza VUCA[2] del entorno actual obligan a que las organizaciones busquen el apoyo de profesionales con las competencias[3] suficientes para afrontar los riesgos de la seguridad de la información, pues de ello depende su operación diaria e incluso su supervivencia.

Contratar profesionales certificados se ha convertido en una de las herramientas más comunes para hacerse de gente con las competencias requeridas, lo que ha creado una industria multimillonaria:

  • El mercado de capacitación en TI de América del Norte[4] alcanzó un valor de $23.1 mil millones USD en 2020. De cara al futuro, IMARC Group espera que crezca a una CAGR (tasa de crecimiento anual compuesto) de 6.3% durante 2021-2026 (IMARC Group, 2021).
  • En 2020, a nivel global, el mercado de capacitación en TI alcanzó un valor de $68 mil millones USD y se prevé que crezca a una CAGR de 6.2% en el período 2022-2027, para alcanzar un valor de $97.6 mil millones USD en 2026 (EMR, 2022).

Sin duda las certificaciones juegan un papel importante en las credenciales de los profesionales, pero es importante hacer un análisis más profundo y estar atentos, como personas y como organizaciones, para obtener un verdadero valor agregado de ellas.

Tipos de certificaciones

Aunque puede haber muchas clasificaciones, me parece que una de las más útiles es separarlas según la naturaleza de cada una, de acuerdo con el tipo de entidad certificadora que está detrás:

a) Certificaciones de fabricante.

Casi cualquier productor de soluciones tecnológicas ofrece certificaciones sobre su hardware o software, en un intento por homologar y validar el conocimiento en sus soluciones, aunque a menudo también sirven como barreras o evaluaciones de los distribuidores y revendedores.

Dependiendo de la participación de mercado, el grado de dificultad y el prestigio, este tipo de certificaciones pueden ser de nicho o pueden convertirse en cuasi estándares, como el CCIE Security, de Cisco.

b) Certificaciones de estándares, metodologías y mejores prácticas.

Aunque existen desde hace muchos años en las áreas de auditoría y cumplimiento regulatorio, en los últimos 20 años han ganado un fuerte impulso en el resto del sector de TI, incluyendo, por supuesto, la ciberseguridad. Entre las más comunes están las certificaciones relacionadas con los estándares ISO, ITIL, los modelos de gobierno (Cobit, por ejemplo) y la administración de riesgos.

c) Certificaciones técnicas de otros organismos.

Existe una serie de organismos que se han posicionado como entidades certificadoras de diplomas creados por ellos, como resultado de su enfoque, prestigio o nicho elegido. ISC2, ISACA, CompTIA, EC-Council y SANS son algunos de los nombres más conocidos.

Estas certificaciones no descansan en una marca determinada de herramientas, sino en un tipo de rol que es valioso para la industria. Así pues, por ejemplo, existen certificaciones para hackeo ético, para auditores de TI, miembros de equipos de respuesta a incidentes, etcétera.

Estado actual y tendencias

Muchas certificaciones se han convertido en “medallas” deseadas y buscadas, tanto por los individuos como por las empresas que buscan cubrir sus necesidades de personal: es común verlas como requisito para obtener un puesto o como exigencia de los clientes para que su proveedores aspiren a competir por proporcionarles  servicios (de todos es conocida la historia de los concursos, RFP o licitaciones que exigen ciertas certificaciones del personal, a veces en combinaciones bastante difíciles de cumplir).

No es raro que algunas certificaciones, por su rareza o prestigio, sean preferidas o equiparadas con grados académicos, y cada vez es más común que sean un diferenciador para lograr mejores sueldos; constantemente veo estudios que hablan del incremento promedio de ingresos que se puede obtener con determinada certificación.

Sin duda, una de las grandes ventajas es que permiten, al menos en teoría, comparar el nivel de conocimientos de las personas, pues haber pasado los exámenes se toma como muestra de que el candidato tiene un nivel mínimo requerido en cada caso. No obstante lo anterior, están surgiendo voces detractoras que alertan sobre la sobrevaloración de las certificaciones, sobre todo porque:

a) En su gran mayoría, están enfocadas en probar los conocimientos del candidato, preocupándose poco o nada por validar las habilidades y, menos aún, las competencias.

b) Ser apto para un rol específico, requiere una batería de conocimientos mucho más extensa que la otorgada por una o dos certificaciones técnicas. Se requieren aptitudes y habilidades de muchos tipos, no solo técnicas.

c) La moda de las certificaciones ha creado una industria paralela de “preparadores de exámenes”, que ayudan a los candidatos a aprobarlos, lo que hace que mucha gente se ponga en lo que algunos llamamos “estudiar para pasar, no para aprender (y menos para hacer)”.

d) Algunos creemos que ciertas certificaciones son más producto de la mercadotecnia que de la necesidad de formar talento, aunque afortunadamente son las menos.

e) La naturaleza de la mente humana (los paradigmas, sesgos cognitivos y hasta las emociones) pueden jugar en contra del ecosistema de las certificaciones. Si no se tiene cuidado, existe el riesgo de tomar malas decisiones o, lo que es peor, a ser manipulados para tomar cursos de acción incorrectos.

Conclusiones

Sin duda, la formación del talento es vital para la supervivencia de las organizaciones modernas, sin importar su naturaleza, mercado o tamaño.

Solo con personal debidamente preparado podrán mantener o crear ventajas competitivas, lograr el cumplimiento regulatorio, administrar la complejidad de los sistemas modernos y la protección ante el creciente cibercrimen.

Las certificaciones juegan un papel muy relevante, pero creo que deben elegirse adecuadamente y no ser sobrevaloradas, aunque tampoco subvaloradas. Bien empleadas permiten que los profesionales, los reclutadores, clientes y proveedores las puedan usar para asegurarse de que una persona tiene un nivel mínimo asegurado de conocimientos, avalado por un tercero (la entidad certificadora).

Como en muchas otras cuestiones, no es necesario inventar la rueda y ya hay muchas recomendaciones sobre cómo sacar el mejor partido de las certificaciones, entre ellas:

a) Una certificación debe obtenerse porque la persona requiere o requerirá los conocimientos asociados, no porque está de moda.

b) Al prepararse, presentar el examen y después de obtenida la certificación, es muy importante que se tenga conciencia plena de los prerrequisitos, que se busque el dominio de los principios, más que aprender recetas, y que se busque conectar con todo el bagaje de conocimientos que ya se tiene.

c) Es fundamental que una certificación esté alineada con el quehacer profesional de la persona que la busca, y con las metas de su rol y de la empresa en la que trabaja.

d) Hay que recordar que no todas las certificaciones tienen el mismo nivel de complejidad ni de prestigio en la industria: no es lo mismo una certificación en ciberseguridad de “las academias Patito”, que nadie conoce, que ser un CCIE Security, un CISSP o un Project Manager avalado por PMI. Como decían los clásicos, no todo lo que brilla es oro.

A manera de guía para el lector, recopilé la siguiente tabla de las certificaciones más recomendadas en el mundo de la ciberseguridad (la información fue obtenida de diversas páginas de Internet, elegidas al azar desde una búsqueda con Google):

En conclusión, y como todo en la vida, casi nada es blanco o negro, sino que hay un sinfín de grises entre ellos y la búsqueda del “justo medio” debe guiarnos en la obtención y uso de las certificaciones como prueba del valor de un profesional de la seguridad de información.

[email protected]

Bibliografía:

  1. BID & OEA. (2020). Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y El Caribe. Banco Interamericano de Desarrollo. https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf.
  2. (2021). The 2021 Security Outcomes Study. https://www.cisco.com/c/dam/en/us/products/collateral/security/2020-outcomes-study-main-report.pdf
  3. Chanda, B. (2022, 13 de enero). 10 Best Cyber Security Certifications To Boost Your Career in 2022. Io. Recuperado el 29 de enero de 2022, de https://hackr.io/blog/best-cybersecurity-certification.
  4. Checkpoint Software. (2021). Informe de ciberseguridad 2021. Checkpoint Research.

https://mexicoindustry.com/documentos-tecnicos/sostic/archivos/informe-de-ciberseguridad-2021.pdf.

  1. (2021, 23 de diciembre). 10 Popular Cybersecurity Certifications [2022 Updated]. Recuperado el 29 de enero de 2022, de https://www.coursera.org/articles/popular-cybersecurity-certifications.
  2. Cybersecurity Guide. (2022, 3 de enero). Guide to the Best Cybersecurity Certifications for 2022. Recuperado el 29 de enero de 2022, de https://cybersecurityguide.org/programs/cybersecurity-certifications/.
  3. (2022). Global IT Training Market Report and Forecast 2022–2027. Expert Market Research. Recuperado el 29 de enero de 2022, de https://www.expertmarketresearch.com/reports/it-training-market.
  4. (2021, 22 de julio). 5 Best Cybersecurity Certifications For 2021. Recuperado el 29 de enero de 2022, de https://www.geeksforgeeks.org/5-best-cybersecurity-certifications-for-2021/.
  5. Girling, R. (2021, 14 de diciembre). What are the Best CyberSecurity Certifications in 2022? (List of the Top 10). InfoSec Careers Network. Recuperado el 29 de enero de 2022, de https://www.infosec-careers.com/the-best-cyber-security-certifications-in-2022/.
  6. Goel, B. A. (2021, 24 de diciembre). Top 10 Cyber Security Certifications for 2021–22. Koenig-Solutions.Com. Recuperado el 29 de enero de 2022, de https://www.koenig-solutions.com/blog/top-cyber-security-certifications.
  7. IMARC Group. (2021). North America IT Training Market Share, Size, Report: Industry Trends & Forecast (2021–2026). Recuperado el 29 de enero de 2022, de https://www.imarcgroup.com/north-america-it-training-market.
  8. Korn Ferry. (2015). Korn Ferry Leadership Architect Research guide and technical manual. Korn Ferry.
  9. (2021). The New Cybercrime Landscape. https://risk.lexisnexis.com/global/en/insights-resources/research/cybercrime-report.
  10. Madden, J. (2022, 27 de enero). The Best Cybersecurity Certifications of 2021. Recuperado el 29 de enero de 2022, de https://www.comptia.org/blog/what-are-the-best-cybersecurity-certifications.
  11. Osborne, C. (2021, 4 de agosto). Best cybersecurity certification 2021: Pro courses. Recuperado el 29 de enero de 2022, de https://www.zdnet.com/education/computers-tech/best-cybersecurity-certification/.
  12. Security Boulevard. (2021, 5 de enero). The Top Cybersecurity Certifications in 2021. Recuperado el 29 de enero de 2022, de https://securityboulevard.com/2021/01/the-top-cybersecurity-certifications-in-2021/.
  13. White, S. K. (2022, 14 de enero). Top 15 IT certifications in demand for 2022. Recuperado el 29 de enero de 2022, de https://www.cio.com/article/193586/top-15-it-certifications-in-demand-for-2021.html.
  14. Wigmore, I. (2017, 1º de febrero). VUCA (volatilidad, incertidumbre, complejidad y ambigüedad). ComputerWeekly.es. Recuperado el 30 de octubre de 2021, de https://www.computerweekly.com/es/definicion/VUCA-volatilidad-incertidumbre-complejidad-y-ambigueedad.
  15. World Scholarship Forum. (2021, 21 de agosto). 10 Best Cybersecurity Certifications in the World | 2021. Recuperado el 29 de enero de 2022, de https://worldscholarshipforum.com/cybersecurity-certifications/.
  16. Zurier, S. (2021, 8 de junio). 10 cybersecurity certifications to boost your career in 2021. Recuperado el 29 de enero de 2022, de https://www.techtarget.com/searchsecurity/tip/10-cybersecurity-certifications-to-boost-your-career-in-2021.

[1] (BID & OEA, 2020), (Cisco, 2021), (Checkpoint Software, 2021) y (LexisNexis, 2021).

[2] Término empleado para representar los adjetivos volátil, incierto, complejo y ambiguo (Wigmore, 2017).

[3] Competencia = conocimientos + actitudes + habilidades.

[4] México, Canadá y EE.UU.