El impacto de las certificaciones en la formación de los profesionales de seguridad y sus organizaciones.

Por Gabriel Llumiquinga V., Gerente de Servicios y Soluciones de Audetic.

En la actualidad las certificaciones se han convertido en una herramienta muy útil, aunque no es la única, para fortalecer los perfiles de profesionales y demostrar, a través de un tercero, competencias, habilidades y destrezas específicas en el campo certificado.

Las certificaciones más valoradas y reconocidas son aquellas, que, además de entrenar las competencias de los candidatos, también aplican evaluaciones o exámenes teóricos o prácticos, y ejecutan procesos de evaluación para validar que una persona tiene el conocimiento suficiente en el área en la que se está certificando y mantiene su práctica profesional a través del rol que desempeña en una empresa, de los proyectos que ejecuta, de la capacitación continua que recibe, de la práctica docente o de la experiencia específica relacionada.

Esto obliga a que las personas certificadas se mantengan actualizadas y a la vanguardia de las áreas en las que se especializan; existen estudios de organizaciones internacionales, como el ISC2, que demuestran que un profesional certificado tiene mayores oportunidades de ser considerado para una posición laboral, ascenso profesional o asignación de proyectos y nuevos retos.

Sin embargo, es importante tener presente que hay excepciones y que las certificaciones no son la “panacea”, por lo tanto, no deben considerarse como el único elemento o recurso a considerar para fortalecer el perfil profesional. La preferencia o no de un perfil técnico certificado, depende de varios contextos empresariales como el sector, tamaño, especialidad o complejidad.

El valor agregado de las certificaciones es que contribuyen a la formación y actualización de los profesionales a través de la estandarización de conocimientos, el desarrollo profesional permanente, aprendizaje continuo, acceso a información verificada, estructurada y revisada por expertos; además, es un tercero independiente el que valida las destrezas y habilidades de los profesionales.

Las ventajas que se pueden obtener de la capacitación a través de certificaciones son relativas y hasta subjetivas, todo dependerá del tipo, tema y área de capacitación o certificación, esto debido a la rápida evolución tecnológica, donde el desafío de las empresas certificadoras de personas se centra en la actualización y vigencia de los contenidos.

Se debe tener presente que, detrás de una oferta de capacitación y certificación existen procesos robustos de diseño, elaboración y entrega de contenidos, los cuales, en ocasiones, no permiten que la información se actualice de manera inmediata, por lo tanto, no siempre se puede asegurar una comprensión completa de las últimas tendencias, tecnologías y amenazas en ciberseguridad a través de una capacitación de certificación.

En el contexto actual, para comprender las últimas tendencias, tecnologías y amenazas en ciberseguridad, la certificación a la que se requiera acceder debe incluir contenido actualizado, por lo que es importante realizar un análisis previo de los contenidos a tratarse. Además, es importante recordar que muchas capacitaciones y certificaciones se enfocan en fortalecer las bases del conocimiento sobre un tema determinado, con la finalidad de que el profesional, de manera continua, adquiera conocimiento complementario a los entregados a través de capacitaciones de certificación.

La incidencia de las certificaciones en ciberseguridad en el desarrollo profesional y personal de los CISO, OSI dependerá de la calidad de la capacitación continua y del tipo de certificación asociada, si estas son entregadas por organizaciones reconocidas a nivel local e internacional, existe una alta probabilidad de que el desarrollo personal y profesional del “Chief Information Security Officer, CISO, y del Oficial de Seguridad de la Información, OSI, sea impactado de manera positiva; esto debido a que, en la mayoría de los casos, el contenido y conocimiento de este tipo de ofertas es previamente analizado y revisado por un comité o grupo de profesionales expertos en el área; además, la capacitación es llevada a cabo por facilitadores que son elegidos luego de aplicar un riguroso proceso de selección, el cual tiene la finalidad de validar la experiencia profesional en el contenido a impartir y asegurar la entrega y aplicación de herramientas de enseñanza efectivas para este tipo de público tan especializado.

Si los parámetros antes mencionados se consideran, este tipo de capacitaciones permitirá a los profesionales actualizar sus habilidades, mejorar el rendimiento profesional, estar preparados para los desafíos que los roles de CISO y OSI demandan, apoyar a las organizaciones en el cumplimiento normativo, e incluso, ampliar la red de contactos para nutrirse de experiencias de colegas que se desempeñan en varios contextos organizacionales.

Las certificaciones en la estandarización del conocimiento

Las certificaciones en ciberseguridad desempeñan un papel importante en la estandarización de los conocimientos y las prácticas de una organización, gracias a que permiten tener un lenguaje común y acuerdos en dos aspectos principales:

· Aplicación y entendimiento de definiciones y conceptos

· Ejecución y mejora de procesos/actividades basadas en mejores prácticas

Las certificaciones en ciberseguridad generalmente se basan en estándares y mejores prácticas de la industria, al incorporar estas certificaciones en el programa de desarrollo de los profesionales, se estaría creando un marco de referencia común en un contexto organizacional; lo cual, facilita y mejora la ejecución de actividades en los diferentes procesos y la comunicación entre los diferentes equipos de trabajo.

Impacto de la capacitación a través de las certificaciones en ciberseguridad en las organizaciones

Si la capacitación incluye aspectos relevantes y actualizados sobre tendencias, riesgos cibernéticos emergentes, inteligencia de amenazas, diseño de controles, seguridad en profundidad y arquitecturas de seguridad, entre otros temas de actualidad; las organizaciones podrían experimentar un impacto positivo en la capacidad desarrollada para adaptarse rápidamente a los cambios en el panorama de amenazas, ya que, los profesionales podrían mejorar su desempeño en la identificación y respuesta a la gran cantidad de amenazas que hoy en día existen.

Además, es importante considerar que para lograr un impacto significativo los profesionales pueden tener la necesidad de participar en varias capacitaciones especializadas, aquellas capacitaciones que abordan “un mar de conocimientos con un centímetro de profundidad” pueden ser necesarias para iniciarse en el apasionante mundo de la ciberseguridad, sin embargo, el conocimiento especializado es el que las organizaciones demandan, es el más requerido y mejor remunerado.

Beneficios de personal capacitado certificaciones en términos de detección y respuesta ante incidentes

Los beneficios que una empresa podría experimentar al contar con un equipo altamente capacitado, en términos de detección y respuesta ante incidentes, están directamente relacionados con la detección temprana de amenazas; ejecución de respuestas más rápidas y eficaces para contener y mitigar las amenazas; reducción del impacto financiero y reputacional; mejora en el proceso de investigación digital forense: implementación de contramedidas (controles) pertinentes y eficientes para tratar el riesgo identificado y responder a los incidentes presentados; así como, la mejora continua de los procedimientos de detección y respuesta ante incidentes.

Sin embargo, es importante tener presente que la capacitación y certificación tienen que estar acompañados de procesos de aprendizaje prácticos que permitan a los profesionales emplear y poner a prueba todo lo aprendido. El escenario actual demuestra que las habilidades se construyen y fortalecen con la aplicación práctica y no solo a través de procesos de formación, capacitación y certificación “teóricos”.

Incentivar y fomentar las certificaciones en las organizaciones

Las certificaciones que adquieren los colaboradores en una organización tienen un impacto positivo en las estrategias y operaciones; aunque, también existen empresas que debido a escenarios, realidades y contextos particulares no tienen la posibilidad de fomentar o invertir en estos aspectos, o simplemente no se considera una prioridad.

En cualquiera de los casos, las empresas deben analizar cuáles son las áreas y especialidades de mayor interés en el ámbito de ciberseguridad que requieren desarrollar o fortalecer, los resultados de este análisis pueden ser un insumo para emprender acciones que motiven y fomente al personal a certificarse; entre las iniciativas que una empresa puede considerar aplicar se plantean las siguientes:

a. Ofrecer incentivos financieros: Las empresas podrían realizar reembolsos o bonificaciones financieras para cubrir los costos de las clases de capacitación, exámenes de certificación o materiales de estudio. Esto motivará al personal que se muestra interesado en obtener certificaciones y es una manera de demostrar el compromiso de la empresa con el desarrollo profesional.

b. Tiempo y permisos: las organizaciones podrían permitir que los colaboradores dediquen cierto tiempo, durante su horario laboral, para estudiar y prepararse para los exámenes de certificación. Además, brindar permisos para estudios puede ayudar al personal a prepararse de manera más efectiva para una certificación.

c. Planes de carrera y desarrollo profesional: Las empresas pueden incorporar la obtención de certificaciones en ciberseguridad a los planes de carrera o desarrollo profesional de sus empleados. Por ejemplo, para la definición de un ascenso o asignación de nuevos roles, se podría considerar las certificaciones obtenidas por los colaboradores y que son requeridas por la organización para desempeñar un rol específico, especializado o de mayor jerarquía.

d. Promoción de una cultura de aprendizaje continuo: Fomentar una cultura de aprendizaje continuo donde se valore y se recompense el desarrollo profesional y la obtención de certificaciones puede motivar a los empleados. Esto puede incluir el reconocimiento y celebración de los logros de certificación, compartir historias de éxito y proporcionar oportunidades para que los empleados compartan sus conocimientos y experiencias con otros. Un ejemplo de esto puede ser la entrega de reconocimientos simbólicos o de insignias digitales para reconocer y valorar sus logros, y que estas a su vez sean socializadas como un logro entre la organización.

e. Alianzas con empresas que certifican personas: Las empresas pueden establecer asociaciones con empresas para obtener descuentos en programas de formación y exámenes de certificación para sus empleados. Estas alianzas pueden brindar acceso a recursos de alta calidad y actualizados que faciliten el proceso de obtención de certificaciones.

f. Apoyo de la alta dirección: la alta dirección puede demostrar su compromiso con el desarrollo profesional de su personal a través de la asignación de recursos para ejecutar iniciativas de capacitación, certificación o participación del personal en programas de mentorías para colaboradores que buscan obtener ciertas certificaciones especializadas.

Además, es recomendable que las empresas diseñen y apliquen una o varias de las iniciativas propuestas junto con planes o programas robustos de retención del talento.