¿Sirven las certificaciones en ciberseguidad?

Últimamente quizás me hayan escuchado decir que "las certificaciones no sirven", y hayan pensado: "Este se ha vuelto loco, ¿por qué dice esa tontería? Así que he pensado que sería buena idea tratar de explicarme, más que para justificarme, como ejercicio de reflexión que propongo al lector.

Lo primero que querría decir es que una certificación no es un objetivo en sí mismo. El objetivo de las certificaciones es mostrar a alguien (una parte interesada: clientes, socios, accionistas, supervisor etc.) que se cumplen unos requisitos de ciberseguridad (el estándar de referencia utilizado por la certificación). gracias a la evaluación de un tercero Independiente. Si convertimos "estar certificado en el objetivo, entonces estaremos frente a un enfoque de "cumplo- y-miento" y las organizaciones buscarán alcanzar la certificación con el mínimo esfuerzo (de hecho, pensar que esto no es así en muchas ocasiones sería demasiado inocente por nuestra parte).


Certificaciones, ¿sí o no?

Entonces, ¿Las certificaciones sirven o no? Pues depende. Sirven para lo que decía para mostrar a alguien que se cumplen unos requisitos concretos de seguridad. En un mundo ordenado y estable, su utilidad es evidente, pero en un entorno como el actual mucho más complejo y en el que la velocidad del cambio es mayor que nunca, la utilidad de las certificaciones es más cuestionable.

Para aquellas personas interesadas en ahondar en las diferencias entre entornos bien y poco ordenados, recomiendo profundizar en el marco de toma de decisiones Cynefin, aunque daré una pista: los entornos más complejos promueven la experimentación y el aprendizaje (agile), frente a los manuales de instrucciones (que son mejores en los entornos más estables).

Por usar un símil, pensemos en los antivirus. En sus comienzos estaban basados en listas negras, porque era suficiente, pero en la actualidad la situación es muy diferente y requiere de otras tecnologías (listas blancas, heurística, etc.). Creo que, de igual manera, las certificaciones deberían evolucionar para adecuarse a una situación que es diferente.




Evolución

En mi opinión, existen tres características principales de las certificaciones que justifican la necesidad de evolucionarlas y de buscar otro tipo de mecanismos. La primera es que se apoyan en organismos de normalización que definen los requisitos a evaluar. Esto, que parece una obviedad, tiene importantes implicaciones. En primer lugar, obliga a consensuar esos requisitos, lo que puede ser un proceso muy largo (pensemos. por ejemplo, en los 12 años entre versiones del Esquema Nacional de Seguridad o los más de cuatro que llevamos en Europa para consensuar el esquema de certificación de ciberseguridad para servicios en la nube, vamos, que cuando lo publiquen estará ya obsoleto).

Y en segundo término, el hecho de que cada caso de uso genere un referencial diferente provoca una segmentación del mercado por sector, país y, en general. por cada tipo de garantía que se quiera establecer. ¿No le parece al lector que existen demasiadas certificaciones?

La segunda característica es que son absolutas. Las certificaciones dividen al mundo en dos: los que las tienen y los que no. Esto hace que no existan incentivos para la excelencia en el cumplimiento (sirve lo mismo una certificación alcanzada por los pelos que otra lograda de manera sobresaliente), ni en la evaluación (son pocos los que prefieren a un examinador más exigente). De hecho, la mayoría de las certificadoras hacen un uso exhaustivo de profesionales liberales como auditores para evitar plantillas abundantes y reducir al máximo los costes de personal, ya que las que se acaban haciendo con el mercado son las más económicas (a igualdad de condiciones, el precio es el factor determinante).

La tercera es que evalúan una situación estática en un momento en el tiempo. Quizás este sea el factor que más choca con la realidad actual. Mientras que en el pasado las versiones de un producto o sistema podían durar años. con la aplicación de metodologías ágiles, en la actualidad, hay versiones de software con un periodo de vida de un par de semanas. Por lo tanto, ¿cómo podemos saber que lo que estamos usando guarda cierta correlación con lo que fue evaluado y que la versión actual tiene, aproximadamente, el mismo grado de seguridad que la que fue evaluada?
Y para empeorar la situación aún más, ¿cómo evaluar algo que tiene un ciclo de vida inferior a lo que se tarda en examinarlo?

En el fondo, como decía Einstein, "locura es hacer la misma cosa una y otra vez esperando obtener diferentes resultados. Pues bien, llevamos más de 20 años utilizando certificaciones y pensamos que vamos a solucionar los problemas que ellas mismas han creado, utilizando aún más certificaciones.... En fin, una locura.


Entender qué son

Con esto no quiero decir que debamos huir de las certificaciones. Creo que debemos entender qué son, para qué sirven y utilizarlas de manera adecuada.

Como he comentado hace unos párrafos, las certificaciones sirven para demostrar el cumplimiento de unos requisitos estables, por lo que pueden ser muy útiles, por ejemplo, para asegurar que se cumplen los requisitos mínimos para operar en un mercado o para comercializar un producto. En este sentido, no servirán como garantía absoluta de seguridad: pero sí para saber que, al menos, se alcanzan unos requisitos mínimos.
Eso sí, al igual que los antivirus, deben evolucionar e incorporar otros elementos:

  • Agilidad en la definición de criterios.
  • Capacidad de supervisión continuada en el tiempo.
  • Niveles de cumplimiento (para fomentar la excelencia).
  • Mecanismos orientados a la interoperabilidad.
En resumen, mucho han cambiado las cosas desde los primeros tiempos de la informática, y al igual que ahora las metodologías agile se han impuesto como mejores para una realidad mucho más variable y cambiante, las certificaciones han de evolucionar en el mismo sentido reuniendo las características que hemos comentado.

Así que espero que la próxima vez que me oigan decir que las "certificaciones no sirven”, entiendan a lo que me quiero referir.

All you need is LEET!

Recibe nuestras notificaciones desde este enlace