En unos Terminos de Referencia pude observar el otro dia que pedian cumplir con las siguientes metodologias :
- Open Source Security Testing Methodology
- SANS Institute Security Testing Best Practices
- CERT Security Testing Best Practices
- NIST Security & Risk Management Best Practices
- NIST Special Publication 800-115
- Open Web Application Security Project
Luego, en otros Terminos de Referencia, para garantizar que los evaluadores tengan un nivel de conocimiento adecuado se exigen certificaciones y esto es 100% correcto y adecuado. Lo gracioso y tragi-comico es que a la par que las certificaciones de ISC2, ISACA, EC Council, Offensive Security, GIAC, Mile2 ponen dos mas bien particulares :
- eCPPT que es una bastante nueva y que se esta empezando a difundir. No se tiene informacion de la cantidad de personas certificadas en el mundo, pero, se que al menos aca hay una persona certificada.
- SOHP Stack Overflow Hacking Professional que, despues de este post, por fin vera la luz del mundo...sencillamente esta certificacion NO EXISTE o, si existe, debe ser tan reservada y privada que solamente su poseedores saben de su existencia. Esto es una burla tremenda que equivaldria a quere posicionar el Open-Sec Ethical Hacker al nivel de las certificaciones de EC Council, GIAC, Offensive Security, Mile2 e incluso la de eCPPT!
El problema a resolver es la falta de conocimiento de las personas que elaboran estas especificaciones en el Estado, pero, me preocupa mas la falta de etica de quienes les plantean exigir cosas que no existen y eso es una BURLA al intelecto.
Y ojo que si la existencia e internacionalizacion de las certificaciones determina que puedan considerarse como garantia para servicios de ethical hacking, entonces, consideremos al OSEH porque tiene mas de 250 personas certificadas entre Perú, Ecuador y Honduras. Algo que no haremos porque no nos dedicamos ni a la educacion y a certificar personas como core de nuestro negocio.
Apliquen metodologias de verdad! Vayan y saquen certificaciones de alto nivel! No tengan miedo! No se burlen del intelecto de las personas!
Buen fin de semana!
4 comments:
De hecho, si pones en Google "sohp hacking professional", (sin las comillas) las tres primeras entradas son enlaces a este blog. Le estás haciendo propaganda a esa "certificación internacional" :-))))
Yo tambien busque informacion sobre esta certificacion y encontre algo interesante. Yo creo que las 2 palabras con las que inicia esa certificacion no hacen referencia al ataque sino a un instituto que queda en España (Madrid) y se llama Stack Overflow el cual tiene como principal giro de negocio la capacitacion y tiene cursos diversos, entre ellos los de seguridad informatica, particularmente algunos de hacking y al finalizar el curso entrega una certificacion de "Hacking Professional" pero adelante va el nombre de la entidad en este caso Stack Overflow, esto se puede ver en http://microsites.aprendemas.com/StackOverflow/P5.asp
Saludos!
Lo curioso es que esta organizacion (www.stackoverflow.es) ni siquiera lo publica asi en su web.
Otra : lo que ofrecen en el web de aprendemas.com es un certificado de participacion.
Mas : Como decia, bajo esa perspectiva, que acepten el OSEH tambien. Seria un absurdo porque no es lo mismo que las otras certificaciones ni tiene las acreditaciones de las mismas.
Lo mas gracioso de todo esto es que estoy casi seguro que los "impulsadores" de esta "certificacion" aca en Perú ya saben de este post y comentarios y no dicen ni una palabra.
Es por ello que analisisi de pseudos "especialistas" en actividades Ethical Hacking dan su veredicto de cuan seguros estan y despues hay un barrido de actividades ilegales y zas tienes todas las contrasenas de la base de datos de un ministerio.
Post a Comment