Weblog de JaCkSecurity

Es una plan conciso y real de cómo tus gerentes deben actuar ante un (bastante) probable escenario de daño de reputación, financiero, comercial, y similares.

En tu posición como jefe de seguridad o CISO, su construcción no se basa en cuánto de seguridad informática, o incluso de seguridad de la información sepas, tampoco de cuánta tecnología domines, más bien se basa en cuanto de las consecuencias reales de un mal manejo de crisis eres capaz de ver en tu rubro de negocio.

Recientemente, realizamos una entrevista a un GERENTE GENERAL, a manera de simulacro, de cómo manejar ciertos escenarios de crisis, y fue sorprendente ver su acertada y natural alineación con dos de los objetivos básicos de un plan de gestión de crisis, como el que habíamos preparado, sin que él lo haya leído previamente. De hecho, a este cliente tuvimos que quitarle algunos parches de manejo de crisis, que ciertas gerencias requieren por su apego a antiguas prácticas de respuesta legal (para este tema de crisis).

Aunque regulatoriamente, algunas instituciones están obligadas a poseer su respectivo plan de gestión de crisis, en PAPEL, más importante que ello, es que los GERENTES sean conscientes de los escenarios de crisis que se pueden presentar en su gestión, a manera de concientización (crisis awareness), y con ello desarrollar -aunque parcialmente- su automática y futura respuesta a este tipo de problemas corporativos.

En resumen, tenga su plan, pero haga que este no sea iluso, debe ser tan bien calzado como un saco de sastrería. Si quiere uno de estos sacos, ya nos conoce, somos:

Javier Romero
GIAC Legal Issues
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Nota: Los planes de gestión de crisis (algunas veces llamados -de incidentes) son parte importante de una gestión de continuidad de negocios, como la solicitada en la circular G-139 de la Superintendencia de Banca, Seguros y AFP (en el caso del Perú), o lo más parecido al estándar BS 25999 (Business Continuity Management).

Aunque negro es la humo que viene dejando la erupción de un volcán, negro también es el adjetivo que se le da a las ocurrencias de bajísima probabilidad pero de altísimo impacto, expresado sobre los cisnes, “cisnes negros”.

Definición de la Teoría del Cisne Negro
A BLACK SWAN is a highly improbable event with three principal characteristics: It is unpredictable; it carries a massive impact; and, after the fact, we concoct an explanation that makes it appear less random, and more predictable, than it was. The astonishing success of Google was a black swan; so was 9/11. For Nassim Nicholas Taleb, black swans underlie almost everything about our world, from the rise of religions to events in our own personal lives.

¿Considera Ud. a los “Cisnes Negros” en sus análisis de riesgo? ¿Los considera alguien? ¿Los habrán considerado los administradores del transporte aéreo?

Datos del impacto:

Datos del peligro:

¿Datos de contingencias?:

¿A pesar de ello califica esto como un Evento Cisne Negro? Para responderlo mejor, quizás ayude la lectura de este libro, gratis on-line. Sólo asegúrese de no perderse muy lejos, cuando anuncien su vuelo (los aeropuertos sobrecargados suelen acelerar el ritmo del boarding-pass de un momento a otro).

Update: Después de días de publicado este post, es posible que la respuesta sea un sí. Estamos ante un cisne negro.

Update: Nube de ceniza volcánica en Europa tuvo un ‘costo’ de US$ 5.000 millones (link)

Javier Romero, CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

En ocasiones, no nos falta motivos para sobre-exigir la seguridad de algunos puntos de nuestra cadena de procesos. Sin embargo, la excesiva seguridad en un eslabón se convierte también en el punto más frágil de toda la cadena, al sobre-exigir los demás eslabones (menos fuertes o normales). Aunque sea extraño decirl, ese tipo de descompensación sucede todo el tiempo, especialmente en organizaciones con departamentos de seguridad con gran poder.

Cada vez que implantamos un nuevo control de seguridad, principalmente los apegados a la “protección”, ponemos en riesgo a toda la cadena, aún discriminando el típico residual pos contramedida.

Esto sucede a causa de que somos incapaces de tener una visión holística de la cadena de procesos. Quizás un poco de experiencia, y mas bien paciencia (trabajo multidisciplinario) nos puede ayudar a evitar el fortalecer tanto un eslabón, que termine quebrando lazos con los dos de extremo.

Aunque el conocimiento integral es ideal para lo anterior, el mismo puede sonar inalcanzable, sin ayuda externa. He allí, donde un consultor de seguridad sigue siendo vital, aún a profesionales de seguridad in-house. La diversidad de experiencias en varios sectores de la industria y/o en empresas similares se vuelven útiles. Por supuesto, esta misma experiencia también la puede conseguir con literatura (books) de consultores o expertos. No obstante, con tanta presión regulatoria y normativa, ¿cuántos CISO realmente podemos lograr esto último?

Lo dicho se resume en un antiguo proverbio judío:

Quien quiera pelear,

primero debe pensar;

quien quiera ganar,

debe saber escuchar.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Es una interesante pregunta que surge cuando hacemos una típica consultoría de seguridad, que embebe, por ejemplo, una clasificación de activos o análisis de riesgos. A esta interrogante solemos no darle mucha atención, y procedemos a hacer lo que nos indique el cliente, y no ejercer una opinión más reflexiva, como ¿es realmente ese señor el owner final de ese activo de información? ¿no será mas bien el representante de otro, quien sí es el verdadero owner, pero no lo podemos visualizar a simple vista en nuestro mapa de áreas/procesos/activos?

Aquí una lección importante, de por qué detenernos a reflexionar si tal, cual o nosotros somos o no los owner.

Transcendió que un CISO tuvo que renunciar a su empleo en una agencia de gobierno, luego de citar de un incidente de seguridad en su agencia, durante su ponencia en la conferencia RSA. Bob Maley al parecer fue invitado a dimitir a causa de esa divulgación no autorizada, condicionada por una política de no-divulgación de dicha agencia. Según la ponencia de Bob, el estaría hablando de los problemas de seguridad que gente como él tiene que enfrentar en el día a día en las agencias de gobierno.

Aunque a simple vista, parecería que el proceso fue lo justo. Sin embargo, un comentarista de seguridad argumentó dos cosas (de las que citaremos sólo una, para ejemplo y reflexión):

On its face, that’s a sensible policy. No one wants unauthorized people spouting off to the media. But on the other hand, this is a state government, and the government’s business is the people’s business. This is not classified information, and I would argue that it’s not even sensitive information; it’s simply evidence that someone in the Pennsylvania IT organization misconfigured a Web application. Dennis Fisher

Por esto, quizás convenga cambiar nuestra pregunta de ¿quién es el owner? por ¿a quién le afecta más las decisiones o problemas sobre ese activo? Si el owner no es visible, entonces debería haber un owner-proxy, y ese debería tener claro que no vela por sus interéses, sino por los del verdadero owner, de quien necesita su “aprobación para” (defender, atacar, analizar, borrar, etc).

Así como fue una mala idea la Bob, también lo fue la de su agencia en permitirle renunciar sin una aclaración explícita, luego de esos hechos (sea que lo despidieron o no).

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Este artículo de Día 1, El Comercio, especula muy bien el porqué a veces lo ideal de un sistema de prevención y alerta antes crisis o emergencias, no hace todo lo deseable.

Si hay una entidad con igual o mayor poder que quien generar la alerta, y su agenda en contrariamente diferente, entonces, el sistema de alerta (ante crisis/emergencia) podría pasar a segundo plano en su cometido inicial.

Preste mucha atención con eso, cuando establece su propio nivel de jerarquías de manejo de crisis, es mejor sincerar lo previsible que prometer lo incumplible. El lenguaje juega un factor importante. Apóyese de sus abogados, no use sólo su criterio de experto de seguridad o continuidad de negocios.

Un buen ejemplo de lo dicho, y una buena forma de recordar esta verdad, es el circuito de doble interruptor que -muy seguro- posee en casa (si alguna vez lo hizo en su clase de eletricidad básica, la idea le será más que clara).

Con dos interruptores se puede prender y apagar una lámpara. Sólo imagine dos niños jugando en ambos extremos, con los dos interruptores, mientras uno apaga, el otro enciende.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Entre algunas cosas de las que se puede analizar (especular) a partir del reciente reporte anual de riesgo operacional de la asociación ORX, está el impacto de la crisis financiera.

La gráfica 1 y 2 permite expresar eso.

¿en qué sentido guarda relación el incremento de incidentes y la crisis financiera? Una razón -quizás- sea la reducción de gastos o inversiones de controles de seguridad en ámbitos relativos al riesgo operacional de las entidades financieras a nivel global. ¿qué tipo de controles específicos? Eso, sólo lo saben los afectados.

De otro lado, si trasladamos el 18% (calculado visualmente) de incremento global en pérdida anual por riesgos operativos podríamos especular que al terminar el 2009, la pérdida local bien podría ser igual o próxima a dicho número. Esto si se asume un rezago de un año al impacto global de la crisis financiera, en los mercados menos afectados (algo que en nuestra percepción como proveedores de seguridad parece cierto).

Asimismo, al analizar el número de eventos por principal línea de negocio afectada (Retail Banking: tabla 3b) podemos conocer cuál sigue siendo el objetivo principal del hacking en el primer periodo del 2009. Este “external fraud” implica: “theft of information, hacking damage, third-party theft and forgery“.

Por supuesto, aún no lo hemos visto todo, si da un vistazo más al ORX December 2009, notará que el riesgo por External Fraud apenas si llegaba a la mitad en pérdidas de los dos eventos punta entre el 2002 y 2008 (Tabla4a) en comparación con el despunte que tiene en la Tabla4b.

Definitivamente, Ed Skoudis no se equivocó en señalar a esta época como “la era dorada del hacking”, lo mejor aún está por venir.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Luego de validar la existencia de un incidente de seguridad, es mejor no pasar por alto ningún detalle y revisar más acerca de él. El seguimiento puede dar frutos mucho más relevantes que la existencia del mismo incidente.

Así sucedió con Google, luego de percatarse que los ataques que recibió desde China, no sólo lo recibieron ellos, sino además otras compañías americanas en China. En ese proceso de darle más seguimiento al incidente, concluyeron que el ataque tenía una cognotación mas bien política.

Cuando su personal de seguridad le advierta de un incidente, no lo deje en el inventario de vulnerabilidades por resolver solamente, dese un tiempo para preguntarse ¿por qué?, déjese llevar por la curiosidad “hágase más preguntas”.

“Follow your incidents”

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Se ha preguntado ¿por qué seguimos escuchando preguntas acerca de qué AV es más seguro, si siempre lo veremos con un obstáculo en la vida práctica de TI?

Si está por adquirir AV para su compañía, quizás deba replantear las preguntas acerca de los AV ¿qué es lo que realmente me sirve de ellos? o ¿para qué si sirve (además, claro, de estorbar un poco cuando se quiere instalar software)?

JaCkSecurity
Conocimiento, Conciencia y Consultoría

¿Y por qué no? Adjunto tiene los impresos guardados de ARBOR.

Reporte 1
ATLAS Attack Report_ Global Microsoft SQL Server version buffer overflow attempt

Reporte 2
ATLAS Country Report_ Global Peru

El ataque top citado es:
Global Microsoft SQL Server version buffer overflow attempt

¿Algunas razones?
- Servidores MS-SQL públicos ¿en OPTICAL IP y AMERICATEL? (poco probable)
- Otros ¿Cisco Call Managers? (después de todo, muchos administradores de comunicaciones temen parchar eso)

De cualquier forma el riesgo es bajo, pero demasiado tendador para quien quiera practicar con esas IP. De hecho, quizás se trate de servidores desatendidos. Un festín para un carroñero newbie.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

“Aquí una historia personal”

En ISC, se presentó un interesante debate acerca de tener o no un plan de respuesta para incidentes de seguridad específicos (virus, DDoS), etc. En mi opinión personal, creo que todos los comentarios dejados tienen puntos acertados de argumentación. Sin embargo, en la práctica, no sirve de nada si se tiene un plan específico, general o no se tiene nada, si primero no se tiene un IRT.

Un “Incident Response Team” es la autoridad durante el incidente. Es como iniciar tu propia nación, poner a los ciudadanos, crear viviendas, añadirle leyes para decirles cómo guardar el orden, pero olvidarte de aclarar quienes serán las instituciones que decretan y procuran el orden en la práctica. En la conferencia de COLARIS 2007 en Lima – Perú, oí de la historia de un rico que creó una nación, en medio de una especie de coral (rellenando el mar con tierra) se aseguró que registrarla y hasta de tener el reconocimiento de países importantes. Sin embargo, su vecino más cercano, decidió colonizar esa isla y hacerla parte de su territorio, con lo que el excéntrico millonario perdió su pedazo de tierra.

En la mayoría de organizaciones formales (con una política y jerarquías claras), no hace falta crear muchos planes, para saber que cuando sucede un incidente se debe responder a él. Lo que sí suele faltar es saber a quien responsabilizar la función de responder al incidente. Aunque durante el incidente el gerente puede delegar a uno (cualesquiera), esa persona podría perder poder político, sea por conocimiento o por convicción, acerca de cómo salir del problema, y hacer las cosas peores.

Por eso, si con anticipación se da carta específica (como función laboral), a un grupo de personas o una persona, para responder a incidentes de seguridad, ellos, pues, buscarán los mejores mecanismos para anticiparse, en la medida de su estrategia de respuesta, y los recursos de los que dispongan. A fin de cuentas, el recurso más importante siempre será el tiempo.

Quien escribe, hizo eso hace una década atrás para tener autoridad sobre los incidentes de una red. Junto a otro colega, redactamos una política de operación del IRT, con jerarquías, funciones, horarios, nexos de comunicación, sistemas informáticos, en fin todo lo que se podía desear tener “en papel”. Como sabíamos que ese tipo de auspicio (para manejar nosotros el incidente) no se conseguiría fácilmente, sólo esperamos que se produzca un incidente de repercución (antes del incidente, tiempo es lo que sobra), para asaltar el escritorio de gerencia y pedir que se nos apruebe el permiso de tomar autoridad sobre todo incidente de esa índole. En general, todos los incidentes tienen repercución visible, es decir que otros te ven. En general, todos los incidentes atraviesan las funciones laborales de otros, y eso implica tener poder para.

Por lo tanto, no se moleste mucho con planes específicos, sino cuenta siquiera con un plan maestro. Desarrolle el plan maestro como un pasatiempo, y con la promesa de tenerlo con coherencia, bien presentado y listo, para mostrarlo a gerencia y tener su venia, para que sea el PLAN, y/o Ud. el líder de RESPUESTA A INCIDENTES.

No pierda tiempo con planes específicos, si primero no hay un líder para el PLAN MAESTRO. Si nadie se ha molestado con el tema, y Ud. cree ser el elegido, pues comience a trabajar la versión MAESTRA, más adelante tendrá cómo orquestar planes específicos.

Considere conocer nuestro servicio JaCkHaCk-Alert!, un servicio que le ayudará en el proceso de dominar su IRT (Incident Response Team), y crear IRP (Incident Response Plan) en cantidad o en calidad. La filosofía ejecutiva la pone usted, nosotros el material. Solicite una visita de JaCkHaCk-Alert!

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Una técnica para un buen programa de concientización sea del que fuere (p.e. seguridad), es la “meter al inducido en el zapato de otro”. Funciona muy bien, aún para los más reacios. Aunque esta sea una técnica de aplicación a muy largo plazo, es probable que con una buena realización cinéfila, se logre algo similar. Después de todo, cuando una película cautiva, logra que el espectador se identifique con el personaje central, y hasta termine sintiéndose como él o ella.

Aquí tiene un buen ejemplo de cómo involucrar a la audiencia, y ponerlos en unos pocos minutos en el zapato de quien queremos que éste.

Advertencia: el video contiene imágenes muy fuertes.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

A consecuencia de las múltiples formas de aprovechar la funcionalidad del protocolo ICMP para el proceso de hacking, muchos administradores de TI y de red han optado por radicalizar su bloqueo hasta extenderlo a los mismos sistemas end-point (servidores Windows, Unix, etc).

A pesar de esa práctica, los especialistas en internetworking saben que eso es un problema que no debe ser combatido, sino mas bien asimilado (aceptado). De hecho, los riesgos con ICMP no sólo se dan con su funcionalidad, sino, también, con su implementación perse (lo que lo hace doblemente más antipático). “buenos catalizadores para detestarlo, a simple vista”, pero mejor veamos la historia de:

El día que ICMP salvó la red

“icmp_redirect_packet” es un paquete creado por un sistema para advertir a su destinatario que la ruta principal ha variado en la red. Saber que eso es posible, ha provocado la preocupación de una brecha facilitadora para un posible ataque de MiTM (man in the middle) en la LAN (el único lugar donde tiene efecto). De hecho, si busca en la Google, hallará que casi todos los sistemas operativos modernos aceptan cambiar su tabla de rutas al recibir ese paquete ICMP. Igualmente, verá que desactivar esa opción tampoco es gran reto, y parece ser la práctica de algunos administradores de sistemas (de hecho fue la mía hace 10 años atrás).

Sin embargo, el presente año (2009) mientras nos encontrábamos atendiendo un probable incidente de seguridad con uno de nuestros servicios de respuesta a emergencias, descubrimos algo fascinante. La red bajo análisis reportaba una alta latencia en las comunicaciones LAN, y un gran defecto en la apertura de las aplicaciones y su operación con consultas de base de datos. Luego de descartar la supuesta presencia de un gusano (de esos que agotan los equipos), observamos decenas de paquetes ICMP_REDIRECT actuando cuál si fueran abejas, para reconstruir las rutas de cientos de hosts, a los que el host aceptante (un servidor central Windows) no podía llegar porque tenía la ruta equivocada.

De no haber sido porque ese servidor central de S.O. Windows aceptaba (por defecto) ICMP_REDIRECTs, los hosts que se conectaban a él no habrían jamás podido llegar a establecer comunicación alguna, y la red habría tomado más tiempo en repararse.

Nuestro análisis y fabuloso hallazgo se dio durante una intensa situación en dicha LAN, en una semana en que la misma se encontraba migrando a nueva y más veloz tecnología de interneworking LAN. Durante esa migración apareció una nueva ruta, que provocaría la dislexia al servidor Windows, de no ser por un router bondados que emanaba gentilmente ICMP_REDIRECTs, que él aceptaba con igual gentileza. Aunque este es sólo un pequeño ejemplo del poder de ICMP, en nuestra trayectoria hemos visto muchas otras veces en que ICMP ha demostrado ser útil, por sobre la agenda de seguridad.

Ahora que le presentamos el potencial que tiene el invento de Jon Postel, saltará al tapete la crítica aguda respeto varias oposiciones a ICMP, como el bloqueo de paquetes ICMP_TIME_EXCEEDED en la Internet de algunos proveedores. Esa práctica impide supuestamente que un atacante pueda mapear la red, aunque también lo hace con sus usuarios convencionales (Hasta aquí, si quiere saber qué bloquear o no bloquear en ICMP, le sugerimos visitar a nuestros amigos de TEAM CYMRU)

Recuerde esto, la seguridad es, a veces, como contrapeso. Mucho contrapeso, puede hundir al barco. Si no es flexible con el trabajo de ICMP, sin duda se sentirá más seguro, pero un buen día podría lamentar no tener a este salvavidas de la red.

Quién creó ICMP

ICMP fue creado principalmente por Jon Postel, también considerado por los noventa, como el “dios de la red“. Jon postel también creó parte de la operación del famoso protocolo DNS. A pesar de lo que se diga de los defectos en la lógica de seguridad, la comprensión de Jon acerca de la red ha sido de mucho provecho para la operación tan transparente de la que gozamos hoy. Sin trabajos tan silenciosos como el suyo, es previsible que la tecnología de Internet y los negocios montados en ella tendrían varios años de retraso a comparación de la actual. Si sólo se comprendiera mejor su famoso “principio de robustez” los sistemas y la seguridad de la información podrían ser una mejor propuesta a la que hoy conocemos.

“Be liberal in what you accept, and conservative in what you send” (Jon Postel)

La buena seguridad implica equilibrio, y el equilibrio implica conocimiento profundo. Aventurarse a coger lo primero que le ofrece el medio corriente, podría ser un futuro error a lamentar.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Lo prometido es deuda, aquí el post que le sigue al de la semana anterior.

La teoría dice que el valor de confidencialidad de la información debe reducirse con el pasar el tiempo. Ello implicaría pasar un documento o data de super secreta -a- pública o sin valor sensible, en cosa de años. Sin embargo, un caso curioso nos haría pensar lo contrario. [Luego de leer el enlace señalado, continué abajo.]

A pesar de que el sentido común nos dice que los custodios de esa información tuvieron parte de responsabilidad en no proteger los datos divulgados (notas estudiantiles), un análisis más calmado nos podría dejar una lección aún más valiosa.

Si observamos con mayor paciencia el citado caso, notará que la información filtrada no habría tomado la misma cognotación de destape mediático de no haber sido por la misma regla que la forzaría a protegerse, vale decir, la promoción de una valla profesional (ley tercio superior) por parte de alguien con una valla reprensible en su pasado estudiantil.

Esto significaría que información con décadas de devaluación puede reactivarse a un valor más alto de sensibilidad por causa del mismo dueño de la información. La causa de ello, sin embargo no es una previsible falla en la gestión o clasificación de datos (del owner), sino mas bien una más intrínseca a los seres humanos, la codicia. Una codicia generada por mantener una reputación intachable (no del divulgante, sino del mismo dueño de la información).

En suma, la codicia de un information-owner genera codicia, y expone a la información a un riesgo innecesario o mayor. Este es el consejo que le damos:

Si tienes un control de seguridad, haz lo que escribes (procedimientos), y escribe lo que haces (en la práctica). Si hay algo que no haces, no lo pongas, esa codicia te estropeará la reputación, quizás, la moneda más importante del mercado laboral y empresarial.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Si googlea un poco hallará la respuesta del acertijo señalado en el título de este post. [Luego de ello, continúe leyendo.]

Si la verdad envuelta en el acertijo está en lo correcto, piense de esta forma: mientras más complejo y enmarañado se pueda convertir a un sistema, más díficil será que alguien lo pueda comprender, y así los secretos (buenos o malos) estarán mejor guardados.

A partir de aquí nos preguntamos ¿existirán sistemas así?

Probablemente sí, se dice que a la SEC le hubiera tomado unos 10 años en detectar el fraude de Enron (a través de las auditorías convencionales), y no precisamente porque la segunda no le proporcionara suficiente información, sino, más bien, por que el volumen de ese tipo información ha sido tan extensa, que se ha convertido en lo suficiente enmarañada para procesarla en tiempo real.

Entonces, es posible que la seguridad de cierta información confidencial no sólo se pueda proteger ocultándola, sino también, exacervándola. Por el contrario, el levantar muchas vallas de protección alrededor de la información podría incrementar la codicia por revelarla (ver próximo post).

Como lo señalamos en nuestra exposición “Seguridad en Tiempos de Crisis”, en el II Simposio Internacional de Redes y Comunicaciones de Datos”, la tendencia mundial de la transparencia está creciendo. Si tiene proyectos de cifrado en curso, estos podrían terminar siendo un absurdo y hasta una peligrosa maniobra para su reputación como gestor, si no comprende del todo los beneficios de mostrar vs. ocultar.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

¿Deseas ser un “GIAC Certified Incident Handler”?

Te enseñamos cómo.

Recientemente, supimos de personas interesadas en que se reabra la mentoría SANS SEC 504, la que tiene el ticket de viaje a la certificación GCIH. Si Ud. es uno de los interesados, escriba una correspondencia a info[@]jacksecurity, con el subject “GCIH”. Estaremos gustosos de promover una vez más la mentoría SANS SEC 504, por segundo año consecutivo.

¿Por qué querría ser un “GIAC Certified Incident Handler”?

Primero que todo, por que los tiempos están demostrando que es la mejor interfase entre los problemas que casi nunca suceden, con los que de todas maneras suceden.

Segundo, porque las referencias de “word-of-mouth” así lo dicen (sin truco publicitario de por medio). Aquí, copiamos una sección del diario peruano América Sistemas, para que nos pueda entender mejor.

América Sistemas, Noticiera Digital Nro. 480
Los galones de TI

La semana pasada, lanzamos una inquietud de un lector a punto de egresar como ingeniero de sistemas de una reconocida universidad.
La pregunta era que además del título, de qué otro bagaje académico debería tener para entrar a competir exitosamente en el terreno laboral.
Bien… Nos escribe un lector desde tierras norteamericanas y nos dice lo sgte: “Una de las maneras es a través de las especializaciones que se van adquiriendo con el correr de los años. Para especializarse entonces hay un método muy práctico: Las Certificaciones, los benditos galones que todos queremos tener y que luego nos abren las puertas de las oportunidades” pregunta, “Cuáles son aquellas especializaciones que tienen mayor demanda?, bien, Network World publicó un artículo en el que se habla de seguir entrenándose en una economía tan difícil como la que vive USA, yo he rescatado una parte de ello que tiene que ver con las Certificaciones mas solicitadas según un ranking publicado por Foote Partners. A continuación las detallo:
GIAC Certified Incident Handler
EMC Proven Professional Technology Architect – Expert
Citrix Certified Integration Architect
HP Master Accredited Systems Engineer
Cisco Certified Secutiry Professional
Check Point Certified Master Architect
GIAC Certified Forensic Analyst
GIAC Certified Intusion Analyst
EMC Proven Professional Implementation Engineer – Expert
GIAC Certified Incident Manager
visitar: http://www.footepartners.com/htscpi_latest.htm

JaCkSecurity
Conocimiento, Conciencia y Consultoría