Juan Carlos López, CEO de Exacta Consulting.
Los profesionales de tecnología y ciberseguridad necesitan generar confianza en su experiencia y conocimientos. Así como las organizaciones demuestran “confianza digital” obteniendo certificaciones como ISO 27001, ISO 27701 o PCI para sus servicios, los profesionales deben hacer lo mismo.
En IT y ciberseguridad se gestionan activos e información estratégicos para la organización. Por ello, quienes lideran, gobiernan o administran estas áreas deben demostrar que poseen las competencias adecuadas, y las certificaciones son una vía para acreditarlo. Además, existen certificaciones alineadas con tecnologías y prácticas emergentes, como inteligencia artificial, metodologías ágiles o digital trust, que permiten a los líderes mantenerse actualizados frente a la era digital.
Otro factor que aumenta su importancia es el trabajo remoto y la contratación de servicios externos. En muchos casos, no se conoce personalmente a quien opera la nube, desarrolla el software o gestiona un sistema crítico. Solicitar certificaciones a los profesionales que prestan estos servicios es una forma de asegurar que detrás de las operaciones hay personas con preparación validada.
Aunque la experiencia es valiosa, si es necesario que un líder afiance conocimientos conceptuales, teóricos y metodológicos, adquiera certificados y certificaciones estratégicas que aporten como guías, buenas prácticas y marcos metodológicos para ampliar su visión. De manera, que analice la toma de decisiones desde un contexto más amplio, identifique oportunidades de optimización y generar valor para la organización.
Importancia de las certificaciones y su relación con el liderazgo en IT
En el mercado aún persiste una confusión importante entre certificación y certificado, y es fundamental diferenciarlos. ISACA lo explica con claridad: la certificación valida tanto el conocimiento como la experiencia, mientras que el certificado únicamente acredita el conocimiento adquirido.
Las certificaciones profesionales como CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT), o CRISC (Certified in Risk and Information Systems Control) exigen requisitos rigurosos. Para obtenerlas, se debe contar con un mínimo de cinco años de experiencia, aprobar evaluaciones que no solo miden conceptos, sino también la capacidad de resolver casos prácticos, y mantener la certificación a través de horas anuales de educación continua. Este tipo de acreditaciones, que también incluyen al PMP, demandan una inversión de tiempo, esfuerzo y recursos, y están asociadas a lo que podríamos llamar “certificaciones duras”.
Por otro lado, los certificados, muchas veces llamados erróneamente certificaciones, están enfocados en la adquisición de conocimiento sobre marcos de referencia o buenas prácticas. Un ejemplo sería un certificado en ISO 27001, que generalmente se obtiene tras un curso y un examen, validando que se conoce la norma o el marco de referencia, pero sin requerir experiencia previa.
En el liderazgo IT y de ciberseguridad, esta distinción es esencial porque no es lo mismo que un gerente de tecnología o un CISO cuente con una certificación que avale experiencia y competencias estratégicas, a que solo disponga de un certificado que confirme conocimientos teóricos. Las certificaciones profesionales aportan un respaldo, ya que prueban que el líder sabe qué hacer, sino que también ha demostrado cómo hacerlo en escenarios reales.
Certificaciones y certificados que fortalecen el liderazgo en IT
En el desarrollo de habilidades de liderazgo en IT, ciertas certificaciones aportan un valor porque validan tanto el conocimiento como la experiencia. Un ejemplo es el CGEIT de ISACA, orientado a quienes deben gobernar y alinear la tecnología con la estrategia de negocio.
En el ámbito de la seguridad de la información, destacan el CISM para gerentes de tecnología y CISOs, y el CISSP (Certified Information Systems Security Professional), ampliamente reconocido a nivel global. Para quienes gestionan riesgos, el CRISC es una referencia, mientras que en auditoría tecnológica el estándar es el CISA (Certified Information Systems Auditor). En gestión de proyectos, el PMP continúa siendo la certificación más valorada. Todas ellas son consideradas “certificaciones duras”, que requieren años de preparación, inversión y un proceso de mantenimiento con educación continua.
En cambio, los certificados, que el mercado suele confundir con certificaciones, han ganado popularidad por su accesibilidad y menor exigencia. Sin embargo, en mercados como Estados Unidos o Europa, las certificaciones profesionales se valoran incluso por encima de muchas maestrías, mientras que en Ecuador el posgrado universitario todavía tiene un peso importante.
Cabe señalar que la oferta de maestrías también ha cambiado: hoy es posible encontrar programas con acreditaciones internacionales por montos menores y duración aproximada de un año, lo que plantea un nuevo escenario de competencia entre certificaciones y educación formal.
El papel de las certificaciones en la conexión entre tecnología y estrategia corporativa
Las certificaciones pueden ser un puente entre el conocimiento técnico y la estrategia corporativa, aunque su impacto depende de cómo se apliquen en el día a día. Hay profesionales sin certificaciones que poseen gran visión estratégica y liderazgo, pero contar con credenciales reconocidas aporta un respaldo adicional sobre las capacidades, habilidades y experiencia de un equipo.
Para una empresa de servicios tecnológicos, las certificaciones son un factor diferenciador. Permiten demostrar, de forma tangible, que el personal cuenta con las competencias necesarias para ejecutar proyectos estratégicos y cumplir con los estándares que el cliente espera.
En cambio, para un área interna de tecnología, por ejemplo, un departamento de IT en un banco o empresa de otro sector, las certificaciones pueden no ser indispensables para todos los integrantes, pero sí son valiosas para los líderes. Estos conocimientos les permiten evaluar con criterio a proveedores y exigir que cuenten con personal certificado, garantizando que el servicio contratado se sustente en experiencia real y buenas prácticas.
Recomendaciones sobre formación y certificaciones
No existe una fórmula única para priorizar certificaciones o certificados, pero sí principios que todo líder debería aplicar para mantenerse vigente y desarrollar el potencial de su equipo.
Un punto importante es establecer y cumplir horas de educación continua. Las certificaciones de alto nivel, las llamadas certificaciones duras, exigen cada año un número mínimo de horas de capacitación para su renovación. Esta práctica podría adoptarse como política interna, de modo que gerentes y líderes definan para sí mismos y para sus equipos un plan anual de entrenamiento en áreas estratégicas.
En las áreas de tecnología o ciberseguridad, esta política podría incluir:
- Definir un número mínimo anual de horas de formación y cumplirlo.
- Combinar el aprendizaje recibido con la enseñanza a otros.
- Mantenerse actualizado en tendencias, metodologías y marcos de referencia relevantes para el negocio.
- Priorizar certificaciones que validen tanto el conocimiento como la experiencia, alineadas con la estrategia organizacional.
Sin embargo, un problema frecuente en la mayoría de las organizaciones es la ausencia de perfiles de cargo bien definidos. Un perfil adecuado describe las funciones por cargo y por rol, así como las habilidades y competencias necesarias. Con esta base es posible realizar un análisis de brechas y, a partir de ahí, diseñar planes de entrenamiento efectivos.
Existen marcos de referencia como SFIA (Skills Framework for the Information Age), que ofrece un modelo claro para identificar y alinear capacidades con responsabilidades. En gestión de la información, por ejemplo, SFIA —en su versión 9 y con más de 25 años de desarrollo— es una herramienta que debería ser aplicada por Recursos Humanos en coordinación con Tecnología.