13 de enero de 2011

Y ahora que soy CEH...

Han pasado varias semanas desde que tuve el examen de Certified Ethical Hacking en uno de los muchos centros Prometic que hay en España y, por fortuna para mi, pude aprobarlo. Tal y como os contaba en Agosto del año pasado esta certificación está bastante bien para no perder de lado el área más técnica de la Seguridad Informática, en sus 67 (al final son 67) módulos ves desde SQL Injection hasta las nociones básicas del desarrollo de exploits, como y en que consisten los buffer overflow (y como aprovecharlos para inyectar código propio), fingerprinting, detección de vulnerabilidades, XSS, cyberterrorismo, bluejacking, etc. etc. El temario como digo es bastante atractivo, pero como ocurre con todas las certificaciones no es necesario ser un verdadero experto para sacársela, de hecho hay una vía rápida:
  1. Pida usted el temario del CEH (versión 6.1, la última por favor) a alguno de sus miles de amigos mediante programas bittorrent o similares.
  2. Ignore el susodicho temario.
  3. Acuda a www.examcollection.com, realice una búsqueda de CEH Exam Test.
  4. Memorice las preguntas.
  5. Pague el examen, preséntese a hacerlo, el 80% de las preguntas coincidirán.
Que como pueden imaginar no es muy gratificante intelectualmente pero obtiene el mismo resultado que:
  1. Obtenga el temario.
  2. Comience por el tema 1, muera usted en el tema 2 cuando repase la legislación internacional sobre seguridad informática.
  3. Anímese, ya le quedan 65 temas.
  4. Pruebe las más de 2000 herramientas referenciadas en el material, móntese su laboratorio, aprenda, aprenda, aprenda, aprenda, vuelva al paso 3 y temas --;
  5. Hago los test disponibles en Internet. Descubra que no sabe realmente mucho ya que no pasa de un 65%, memorice.
  6. Preséntese al examen y obtenga su título.
No os diré que camino seguí yo, pero lo cierto es que el título está bastante chulo (subiré una foto en cuanto pueda), tras aprobar y acreditar tu experiencia de 2 años en seguridad de la información (necesitaréis que vuestro responsable realice un escrito a EcCouncil) te mandarán una carpetita desde Hong Kong (menuda cara puso el cartero de mi pueblo) con vuestra merecida recompensa. El examen requería de un 70% de aciertos para aprobar, en la media de todas las certificaciones, se hace por ordenador y aunque tienes 4,5 horas para terminarlo en 2 te da tiempo repasando. Todo en perfecto inglés, eso sí.

Y ya está, con la alegría y gozo que proporciona el conocimiento lo siguiente que uno tiene derecho a preguntarse es, ¿le puedo sacar provecho económico a esto?, recuerdo que en EcCouncil, en la sección FAQ había una pregunta,,, ¿cuanto puedo cobrar por tarea?,,, donde respondían que dependiendo del trabajo entre 15.000 y 45.000 $, que no está mal, pero esto es España y bueno,,, somos distintos (aquí hay muchos dires y diretes que nos alejarían de lo interesante), volvamos al tradicional método de búsqueda y comparemos de paso con otras certificaciones:

Infojobs
  • CEH: 3 ofertas encontradas.
  • CISA: 32 ofertas encontradas.
  • CISM: 24 ofertas encontradas.
  • CISSP: 21 ofertas encontradas.
  • CHFI: 2 ofertas encontradas.
  • Lead Auditor: 3 ofertas encontradas.
  • ITIL: 221 ofertas encontradas.
  • COBIT: 23 ofertas encontradas.
Tecnoempleo:
  • CEH: 0 ofertas encontradas.
  • CISA: 10 ofertas encontradas.
  • CISM: 10 ofertas encontradas.
  • CISSP: 5 ofertas encontradas.
  • CHFI: 0 ofertas encontradas.
  • Lead Auditor: 0 ofertas encontradas.
  • ITIL: 126 ofertas encontradas.
  • COBIT: 9 ofertas encontradas.
Monster:
  • CEH: 0 ofertas encontradas.
  • CISA: 2 ofertas encontradas.
  • CISM: 2 ofertas encontradas.
  • CISSP: 4 ofertas encontradas.
  • CHFI: 0 ofertas encontradas.
  • Lead Auditor: 1 ofertas encontradas.
  • ITIL: 8 ofertas encontradas.
  • COBIT: 2 ofertas encontradas.
Bueno parece que el CEH no es la certificación más famosa en España, a pesar de que la demanda de servicios de hacking ético ha subido (aunque esto es una opinión personal),,, eso sí, el movimiento se demuestra caminando. En el Top 3 se mantienen CISA, CISM y CISSP, que muchas veces son solicitadas de forma similar cuando no tienen nada que ver, pero esa es otra historia..

¿Como véis el mercado de la Seguridad en España?, ¿Igual, mejor, peor que el año pasado? En el 2009 nos hicimos la misma pregunta.. podéis comparar.

Salu2

5 comentarios:

Homo libris dijo...

¡Hola GigA!

Tres días, tres, llevo para escribir este triste comentario. Entre el lío que tengo y no puedo ponerme a ello y que cuando puedo se me olvida... en fin.

Ante todo, decir que esta es mi visión como aficionado a la seguridad (ojalá pudiera aspirar a una certificación así, querría decir que al menos estoy trabajando en este campo), pero lo cierto es que desde mi punto de vista la seguridad se deja demasiado de lado hasta el último momento (ocasionalmente cuando el desastre está cercano o ha pasado).

Ahora bien, si se lo toman en serio, el tema de las certificaciones como ya dijiste en su día da mucho de sí a la hora de debatir sobre ellas. A las empresas está claro que les interesan más unas u otras en función de sus necesidades e incluso de forma errónea por como se confunden unas certificaciones con otras. Pero a un profesional interesado en ellas por aprender realmente, independientemente de los buscadores de empleo, ¿cuál le recomendaríais?

Un saludo,

Lobosoft.

GigA ~~ dijo...

Hombre triste triste,,, con lo que me alegra a mi recibir comentarios, jeje.

Pues yo dudo de si a las empresas les interesan las certificaciones por que las asocian con conocimientos y perfil de un empleado o si por que son un requisito para optar a un proyecto, sobretodo de carácter público. Pongamos que al 50%.

Sin duda, si quieres aprender seguridad informática, la más completa que yo he visto es el CISSP. No hay punto de comparación con las de ISACA, aunque eso sí, a partir del CISSP, ya puedes optar por otras más "pequeñas" para especializarte en una materia u otra.

Salu2

Homo libris dijo...

Bueno, con lo de "triste" me refería a que tampoco es muy largo para el tiempo que me ha ocupado tener el suficiente para escribirlo, jejeje.

Me apunto lo de CISSP, aunque si no estoy equivocado ahí también es requisito imprescindible tener experiencia previa en el sector (como suele ocurrir con casi cualquier certificación, por otro lado)... Snif, snif... :)

Un saludo.

rodrigon dijo...

Felicidades por lo de ser CEH siempre me la paso mirando tu blog...aca en paraguay...apenas certificacion de ccna hay...lo demas......por lo pronto voy a pasarmela descargando pdf acerca de las cosas que vas nombrando en tu blog...segui asi que son utiles los datos que das GigA!!!.

un|xzoo dijo...

Genial tu post GigA, realmente uno piensa... Y después que hago con este CEH, pero veo que no solo yo lo pensaba, yo aún estoy cursando el CEH como bien dices pueden existir dos caminos, ya veré por cual me decido =)