Probablemente nadie se sorprendió más que la administración del Consorcio Internacional de Certificaciones de Seguridad de Sistemas de Información (ISC) 2, cuando el estudiante indio de secundaria de 16 años Namit Merchant tomó y aprobó el riguroso examen Certified Information Security Systems Professional (CISSP) el año pasado.
Incluso antes de que el comerciante se presentara al examen, (ISC)2 había estado sentando las bases para ajustar los requisitos de la credencial profesional más conocida de la industria. A partir de enero de 2003, los solicitantes CISSP necesitarán un título de cuatro años o cuatro años de experiencia laboral, que es significativamente más estricto que el requisito de experiencia de tres años actual.
El cambio es un paso en la dirección correcta. Si el CISSP va a seguir siendo el abanderado de las certificaciones de seguridad, entonces (ISC)2 debe aplicar adecuadamente a la policía para garantizar que solo los más calificados logren esta marca de excelencia. Como mínimo, los nuevos requisitos deberían reducir la probabilidad de que (ISC)2 certifique a más adolescentes. (Esta es una buena noticia para el comerciante, ya que probablemente significará que ostentará el título de CISSP más joven durante mucho tiempo.)
El problema es que (ISC) 2 no tiene la infraestructura necesaria para verificar el historial profesional o educativo de cada solicitante, lo que significa que algunos candidatos menos escrupulosos probablemente se escabullirán.
No asumamos que todos los descuidos de verificación serán maliciosos. Los requisitos de certificación CISSP existentes son: (1) aceptar el Código de Ética (ISC)2, (2) aprobar el examen y (3) tener tres años de experiencia directa en seguridad en uno o más de los 10 dominios. Los dos primeros requisitos son fáciles de manejar: que el candidato firme el compromiso del Código de Ética y tome la prueba. Pero la verificación de las calificaciones es una tarea importante.
La verificación completa se ha realizado en el pasado. Antes de que hubiera un examen CISSP, (ISC)2 certificaciones otorgadas a profesionales bajo su programa de «derechos adquiridos» basado únicamente en su experiencia. Esos profesionales con derechos adquiridos fueron los que crearon el Cuerpo Común original de Conocimiento (CBK) y el primer examen CISSP. Dado que solo un pequeño número de personas tenían derechos adquiridos, un comité de voluntarios pudo manejar la carga de trabajo.
Pero con miles de solicitantes de todo el mundo cada año, un solo comité, obviamente, no puede verificar los miles de solicitudes CISSP (ISC)2 recibe cada año. Actualmente, la aplicación, verificación, programación de pruebas y procesos de recertificación se contratan a (ISC)2 Services, una rama de Scholder Measurement Technologies (SMT), la empresa de pruebas que mantiene y puntúa los exámenes CISSP y System Security Certified Practioner (SSCP). Pero Scholder no es responsable de hacer verificaciones.
El monumental problema de verificación no significa que (ISC)2 deba abandonar sus altos estándares. En su lugar, debe adoptar otros controles complementarios que mejorarán su capacidad para verificar las calificaciones de los candidatos CISSP.
La verificación al azar es una forma posible de equilibrar el costo y los requisitos de la verificación, pero no es ideal. Los auditores pueden encontrar adornos ocasionales por parte de los solicitantes, pero todavía hay una alta probabilidad de que muchas personas no calificadas escapen a la detección.
El patrocinio es un método de verificación práctico que requiere un esfuerzo mínimo por parte de (ISC) 2. Cada CISSP está obligado a cumplir con el Código de Ética, por lo que (ISC)2 puede reducir parte de la carga de la investigación de antecedentes de los solicitantes al tener CISSP validar la elegibilidad de un candidato. Es poco probable que un miembro al día se arriesgue a perder su credencial al patrocinar a un solicitante no calificado. Además, es mucho más fácil buscar un CISSP existente que verificar la educación y el historial laboral de un solicitante.
Cambiar la forma en que se informa de la experiencia también puede ayudar. El formulario de solicitud CISSP actual solicita información de empleo, pero carece de la información de contacto necesaria para la verificación de antecedentes. Reunir la descripción de las funciones y los contactos de verificación, el número de años de experiencia y el porcentaje de trabajo de seguridad realizado ayudaría a los candidatos a evaluar adecuadamente su experiencia de «trabajo directo» y facilitaría la verificación. Las descripciones de puestos y los porcentajes se pueden comparar con las normas de la industria y la información de contacto se puede usar para verificar el componente de seguridad de cada puesto listado.
Estas medidas no son perfectas, pero podrían mejorar el proceso de investigación de antecedentes y reducir el número de aplicaciones que (ISC)2 tendría que verificar. El esfuerzo de la organización por defender y realzar el valor del CISSP es sin duda encomiable. Con suerte, (ISC) 2 hará un seguimiento de sus requisitos más estrictos con prácticas de verificación aún más definitivas.
Sobre el autor: William Stackpole, CISSP, es un voluntario activo (ISC)2 y ex presidente y miembro actual del Comité de Desarrollo de Pruebas CISSP.