¿Qué certificaciones son más importantes para los CISO?

Una nueva investigación del proveedor de seguridad Digital Guardian encontró que, en promedio, los CISO y los administradores de seguridad de las compañías Fortune 100 tienen un promedio de 2.86 certificaciones técnicas, siendo CISSP la más popular de las certificaciones comunes de los CISO. ¿Cuáles son algunas otras certificaciones CISO que deben ser consideradas? ¿Y ese promedio debería ser mayor para los CISO superiores?

Las certificaciones por sí solas no demuestran que alguien está calificado para desempeñar el papel de un CISO. Hay un montón de personas que tienen varias certificaciones de seguridad cibernética, pero carecen de cualidades personales, habilidades de comunicación, habilidades técnicas o experiencia de trabajo requerido para la posición de CISO o de profesional de ciberseguridad. Sin embargo, esto no significa que las certificaciones de seguridad cibernética no son importantes. Al aprobar estos exámenes, los titulares de las certificaciones de ciberseguridad han demostrado que poseen el conocimiento básico y el conocimiento de cuerpo común requerido para un CISO. Sin estas certificaciones, no es probable que el candidato a CISO tenga la oportunidad de demostrar sus otras cualidades y experiencia. Lo mismo podría decirse de los títulos de educación superior.

Digital Guardian informó, en 2016, que 53 de los CISOs de Fortune 100 tenían la certificación CISSP y 22 tenían la CISM. Las cinco certificaciones principales de los CISOs de Fortune 100 incluyen CISSP, CISM, ITIL, CISA y CRISC. El informe "Estado de la ciberseguridad: Implicaciones para 2016" de ISACA, publicado en marzo de 2016, indica que "los encuestados en 2015 [461 profesionales de ciberseguridad] informaron que la falta de habilidades prácticas es el factor más importante para juzgar a un candidato como no calificado para un puesto. La segunda razón más frecuente para no considerar a un candidato calificado es la falta de una certificación". Esto significa que, si el candidato no tenía una certificación de seguridad cibernética, ni siquiera era considerado para el trabajo.

Los CISO de Fortune 100 tienen una impresionante lista de credenciales, pero los CISO fuera de esa lista, tanto de compañías privadas como públicas, tienen una lista igualmente impresionante. Sin embargo, hay excepciones a cada regla. Hay CISOs que no tienen un CISSP o CISM; hay aquellos que no tienen grados de nivel de posgrado o incluso grados de grado de pregrado en ciberseguridad o CIS; y hay aquellos a los que se asignó la posición de CISO con poco conocimiento en ciberseguridad. Pero todos tienen una cosa en común: tienen una posición dentro de una empresa que les permite establecer la dirección, el programa, el despliegue y el mantenimiento de la protección de la información. Qué tan bien logran eso se determina finalmente por su tenencia.

En el informe de Estado de la Ciberseguridad de ISACA, se preguntó: "¿Cuáles son las brechas de habilidades más significativas que usted o su organización ven entre los profesionales de seguridad cibernética/seguridad de la información de hoy en día?". De los 842 encuestados, el 75% indicó la capacidad para entender el negocio, el 61% indicó que faltaban habilidades de comunicación y el 61% dijo que faltaban habilidades técnicas en la industria.

El complemento más efectivo de las certificaciones del CISO incluyen CISSP, CISM o CISA, y CPA o MBA. Las certificaciones técnicas de SANS son también una opción para los CISOs, pero la combinación de seguridad cibernética y las certificaciones o grados de negocios son una combinación poderosa.