Red Seguridad 099

44 red seguridad cuarto trimestre 2022 opinión Últimamente quizás me hayan escu- chado decir que “las certificaciones no sirven”, y hayan pensado: “Este se ha vuelto loco, ¿por qué dice esa tontería?”. Así que he pensado que sería buena idea tratar de explicarme, más que para justificarme, como ejercicio de reflexión que propongo al lector. Lo primero que querría decir es que una certificación no es un objetivo en sí mismo. El objetivo de las certificaciones es mostrar a alguien (una parte interesa- da: clientes, socios, accionistas, super- visor, etc.) que se cumplen unos requi- sitos de ciberseguridad (el estándar de referencia utilizado por la certificación), gracias a la evaluación de un tercero independiente. Si convertimos “estar certificado” en el objetivo, entonces es- taremos frente a un enfoque de “cumplo- y-miento” y las organizaciones buscarán alcanzar la certificación con el mínimo esfuerzo (de hecho, pensar que esto no es así en muchas ocasiones sería dema- siado inocente por nuestra parte). Certificaciones, ¿sí o no? Entonces, ¿las certificaciones sirven o no? Pues depende. Sirven para lo que de- cía: para mostrar a alguien que se cum- plen unos requisitos concretos de seguri- dad. En un mundo ordenado y estable, su utilidad es evidente; pero en un entorno como el actual, mucho más complejo y en el que la velocidad del cambio es ma- yor que nunca, la utilidad de las certifica- ciones es más cuestionable. Para aquellas personas interesadas en ahondar en las diferencias entre entor- nos bien y poco ordenados, recomiendo profundizar en el marco de toma de de- cisiones Cynefin, aunque daré una pista: los entornos más complejos promueven la experimentación y el aprendizaje ( agi- le ), frente a los manuales de instruccio- nes (que son mejores en los entornos más estables). Por usar un símil, pensemos en los anti- virus. En sus comienzos estaban basados en listas negras, porque era suficiente; pero en la actualidad, la situación es muy diferente y requiere de otras tecnologías (listas blancas, heurística, etc.). Creo que, de igual manera, las certificaciones de- berían evolucionar para adecuarse a una situación que es diferente. Evolución En mi opinión, existen tres caracterís- ticas principales de las certificaciones ¿Sirven las certificaciones en ciberseguridad? A ntonio R amos CEO y socio fundador de Leet Security

RkJQdWJsaXNoZXIy MTI4MzQz