miércoles, 4 de agosto de 2010

Acabando con los mitos sobre el examen CISSP


El examen CISSP ¿es anticuado, irrelevante y subjetivo? Tal vez, pero la preparación para el examen es útil si quieres aprender realmente sobre seguridad de la red. Este artículo de la reconocida autora y entrenadora Shon Harris discute la importancia de aprender el material, no sólo de prepararse para el examen.

Durante años, he oído a la gente quejarse de tener que aprender cosas para el examen CISSP que nunca usarían en sus vidas. Hace varios años cuando estaba estudiando para este examen, decía las mismas cosas. También he oído decir que tienen que aprender seguridad a través de la visión de (ISC)2 para este examen, que no coincide con la realidad. La idea en ambas afirmaciones es que alguien tendrá que memorizar cosas para el examen que no son útiles en su carrera, por lo tanto son una pérdida de tiempo. Una vez más, caí en esto también cuando estudié y el examen tomó una eternidad. Ahora lo veo completamente diferente.


Lo veo así porque he escrito libros y dado clases CISSP durante muchos años, entiendo el material en mayor profundidad de lo que habría sido si solo hubiera estudiado, dado el examen, y seguido con mi vida.

La información que las personas se quejan de tener que aprender (Bell Lapadula, Biba, Clark-Wilson, etc) es muy beneficiosa para su comprensión de la seguridad de una manera holística en vez de sólo enfocarse en su pensamiento original de que es lo que hace a la seguridad.

Muchos técnicos parecen pensar que todo lo que aprenden más allá de la tecnología es una pérdida de tiempo. Esto es porque tienen un deseo de permanecer en el reino de la tecnología y aprender su oficio en un nivel mucho más profundo en vez de entender que la seguridad no se trata solamente de tecnología.

Aunque estoy bastante decepcionada con la forma en que las preguntas en el examen CISSP están redactadas (confusas, vagas, subjetivas), tengo un gran aprecio por el mismo Cuerpo Común del Conocimiento (CBK). Era una consultora de seguridad antes de tomar el examen, escribir libros, y enseñar CISSP, y todavía soy una consultora de seguridad, pero la diferencia en mi base de conocimiento y opinión sobre la seguridad ha cambiado drásticamente.

Como la mayoría de la gente, me he centrado en temas de seguridad en los que iba a realizar mi trabajo específico. En ese momento, la banca on-line recién estaba entrando al mercado (sí, soy tan vieja), y trabajé con programadores, arquitectos de software, gerentes de proyecto, analistas y clientes finales, todos ellos centrados en la banca en línea. Desde luego no estaba interesada en los diferentes tipos de extinción de incendios, los modelos de control de acceso, la base del Trusted Computing, o cualquier cosa fuera de mi dominio de los temas en que he vivido, trabajado, y respirado.

Cuando tomé mi examen CISSP, yo era como la mayoría de las personas que lo toman, sabía lo suficiente como para pasar el examen, pero tuve que memorizar cosas porque no las acababa de entender. Esto me decepcionó mucho. Mi objetivo nunca ha sido conseguir muchas certificaciones para poner a continuación de mi nombre. De hecho, mi opinión personal de alguien que lista 10 de estas credenciales de certificación después de su nombre en un correo electrónico, en una tarjeta de negocios, o curriculum vitae es que la persona puede tener una cuestión de ego que requiere hacer alarde y presumir de su talento para la superación de los exámenes. Así que este tipo de persona puede ser la mejor tomando exámenes, pero todavía tengo que toparme con una situación en la vida real, donde se requiera contestar A, B, C o D para lograr concretar una tarea.

En el momento que tomé mi examen CISSP, no había guías de estudio, libros o sitios web para el examen. En ese momento, (ISC)2 era el único lugar que ofrecía formación para la certificación CISSP, que cursé en un Bootcamp de cuatro días a la semana durante dos semanas en ese momento. La primera semana me dí cuenta de que mis instructores en realidad no comprendían los temas que estaban enseñando. Recuerdo haberles preguntado a uno de los instructores algo acerca de Kerberos y en vez de explicarme la respuesta, me dijo, "No es necesario saberlo para la prueba". Yo estaba en shock. Me dí cuenta de que no sólo no sabía la respuesta, sino que su objetivo principal era ayudar a la gente a memorizar cosas que iban a ver en el examen.

Después de conseguir el mismo tipo de respuesta a algunas preguntas más, dejé de preguntar. En el tercero de los ocho días de clase, me fuí. Íbamos a la velocidad de la luz dando una tonelada de temas que yo no conocía, y pasar más tiempo en la clase significaba que sólo me sentaría en las charlas, no aprendería y me sentiría más frustrada.

Como nota interesante, los dos instructores de (ISC)2 que enseñaron en mi clase se han jactado durante años que "enseñaron a Shon Harris" y, las personas de ventas de (ISC)2 hoy dicen lo mismo para lograr ocupar más asientos en sus clases. He oído estos comentarios desde hace años. ¿Por qué los instructores y vendedores de (ISC)2 no cuentan también a sus clientes que dejé la clase porque no me eran de ninguna utilidad?

Así que después de aprobar el examen CISSP y aún sin saber mucho sobre los distintos temas, pensé que alguien debería escribir un libro sobre él. Así que lo hice. El primer libro que publiqué tenía cerca de 1.000 páginas.

Hay una gran diferencia entre tener que conocer los temas para que puedas elegir la respuesta correcta y conocer los temas para escribir un libro enorme y, además dar cursos sobre ellos. Honestamente me siento muy afortunada y honrada de haber tenido la oportunidad de hacer ambas cosas.

Ahora, cuando hago trabajos de consultoría, a menudo entiendo temas que mis compañeros consultores no y puedo "ver" a un mayor nivel como los mismos afectan cuestiones a su alrededor. Normalmente creo ciertas soluciones que el equipo no ha pensado. Y, durante años he comprendido lo que es un programa de seguridad, lo cual la industria ahora por fin entiende.

Ciertamente no soy la más brillante, pero el nivel de investigación que he tenido que hacer en los temas del CBK me permite ver la seguridad de manera holística y no estar atrapada en la comprensión de la seguridad desde un solo punto de vista.

Así que, para volver a lo esencial de este mensaje, todavía oigo gente que se queja de tener que aprender las cosas que no tienen que saber para su trabajo y tienen que aprenderlas de la manera en que (ISC)2 las define. Cuando enseño en una clase, me ocupo en profundidad de esas quejas porque los estudiantes pueden levantar esas barreras, que se interpondrán en el camino hacia una verdadera educación.

Por ejemplo, la mayoría de los estudiantes se quejan de que tienen que aprender los modelos de control de acceso (Bell Lapadula, Biba, Brewer & Nash, Clark Wilson, etc) para el examen. Ahora, si el estudiante se toma el tiempo de comprender realmente dónde y cómo estos modelos de ajustan a la vida, apreciarán mucho más de ellos.

Los modelos de control de acceso se componen de reglas formales o semiformales que un arquitecto de software puede seguir para garantizar que la seguridad es uno de los cimientos de una aplicación o sistema operativo y que un cierto nivel de seguridad está disponible en todo el software, sin importar cuál es el procedimiento que se lleva a cabo en el código.

Usted podría decir: "Nunca he oído hablar de estos modelos y, de todos modos son antiguos y están desactualizados". Mi respuesta sería: "Usted no conoce los modelos, ya que nunca ha trabajado como un arquitecto de software que se encarga de la construcción de estos tipos de productos. Y si usted no conoce estos modelos, ¿cómo sabe que están desactualizados?"

Una razón por la cual la mayoría de las personas no están familiarizados con estos modelos de control de acceso se debe a que el software que utilizamos comúnmente día a día no se construye en base a los modelos formales o semiformales. Windows creció desde MS-DOS. La seguridad no era un problema cuando usábamos Windows 3.1, Windows 95 o incluso Windows 98. El código fue desarrollado para ofrecer funcionalidad, y punto.

La evolución de Windows ha logrado que el usuario no pueda cometer errores, gracias a haberle añadido toneladas de código, para mantener al usuario alejado de la partes críticas del sistema operativo, como lo es el núcleo. Y, a medida que Windows se hizo más popular, más personas no técnicas tuvieron que utilizar estos sistemas, entonces aumentó el requerimiento de hacer el software a "prueba de idiotas", y hoy tenemos un montón de asistentes, archivos de ayuda, íconos, etc.

¿Así es que Windows o UNIX están basados en uno de los modelos que usted necesita conocer para el examen CISSP? No, fueron construidos sólo teniendo en cuenta la funcionalidad.
¿Eso quiere decir que estos modelos no se utilizan? No. Los modelos de control de acceso son utilizados en productos de software especializados, que requieren un tipo específico nivel de la seguridad.
¿Estos modelos de control de acceso son obsoletos? No. Estos modelos son cada vez más populares en concreto porque la industria necesita productos más seguros. (Por ejemplo, SELinux se basa en el modelo Bell-Lapadula). Si asiste a un programa de seguridad de posgrado en la universidad, tendrá que conocer estos modelos en profundidad. Así que sólo porque usted no está enterado de algo, no significa que no es importante.

Podría seguir y seguir sobre temas específicos que los estudiantes suelen preguntar y que suelen creer que es un desperdicio de tiempo aprenderlos. Esta actitud, aunque común, es producto de la ignorancia. Estos estudiantes aún tienen que comprender como la seguridad abarca un espectro impresionante en todas las organizaciones y en todas las industrias. Ya no es más solamente sobre los firewalls y los paquetes de datos.

La otra afirmación común también es crucial comprenderla, que es que uno tiene que aprender la seguridad de la forma en que (ISC)2 ve la seguridad. He oído esto un millón de veces en los cursos de CISSP, por e-mail que me envían, foros de CISSP y otros lugares. Una vez más, no me gusta y no puedo apoyar plenamente la forma en que se escriben las preguntas del examen CISSP, pero el material que tienes que aprender para el examen no es algo que ha sido creado por (ISC)2.

Si investiga todos y cada uno de los temas dentro del CBK como yo lo hice, encontrará rápidamente que casi todo el material viene directamente de los documentos del NIST y otras fuente de las "mejores prácticas" de la industria. La razón por la que oigo tanto esta queja es porque la gente no ha leído completamente todos los documentos del NIST o no están en sintonía con lo que en realidad requiere una seguridad correcta y estructurada. La gente está acostumbrada a ver la seguridad a través del lente de su trabajo y el de la empresa en la cual trabajan. Muchas compañías tienen sus propias definiciones para términos específicos y tienen cierta maneras de practicar la seguridad. Cada empresa transforma los términos y conceptos para adaptarlos mejor a su entorno, pero eso no quiere decir que esas sean las prácticas estándares de seguridad para la industria en su conjunto.

Me ocupo de esta cuestión en el inicio de cada clase que doy. Hago esto porque después de años de experiencia, entiendo que la gente ha aprendido diferentes "dialectos" de seguridad y como eso es lo que más utiliza, están totalmente creídos de que su visión es la visión correcta.

Lo qué hace que este problema sea aún más complicado es que una gran cantidad de recursos no enseñan los temas del CBK con la profundidad necesaria para su comprensión. Esto significa que las nociones de la gente de lo que es la seguridad y las definiciones de los términos no han sido abordados correctamente. Déjeme darle un ejemplo que hace que la cabeza de algunos alumnos explote.

La mayoría de la gente está familiarizada con el modelo OSI, que es un modelo que describe diferentes funcionalidades en diferentes capas en una pila de red. La mayoría de la gente conoce la definición "enlatada" de lo que se lleva a cabo en las siete capas de la pila, pero en realidad no entienden el modelo o lo que realmente representa cada capa. Dos cosas que he visto y que hacen entrar en un ataque de nervios a los estudiantes son sobre que SSL trabaja en la capa de transporte y que ARP trabaja en la capa de enlace de datos. La definición "enlatada" de la funcionalidad que tiene lugar en la capa de transporte es que es una "transmisión de extremo a extremo." La definición "enlatada" de lo que ocurre en la capa de sesión es que "la conexión se crea, se mantiene y se termina". Estas dos definiciones suenan como si fueran lo mismo, ¿cuál es la diferencia?

Un protocolo de capa de sesión establece un vínculo a una aplicación en otro sistema. En el modelo cliente / servidor, una pequeña parte de una aplicación es el cliente, y la mayor parte de la aplicación reside en el otro equipo y hace una gran parte del trabajo para el cliente. Entonces, ¿cómo hacen para comunicarse el cliente y la parte residente en el servidor? A través de algún tipo de protocolo de capa de sesión, NFS, RPC, NetBIOS, SQL, etc. Estos protocolos siguen el diálogo entre las dos piezas de software y llevan a cabo una variedad de funciones como puntos de control, recuperación de sesión, la apertura y terminar las conexiones, control de acceso, y mucho más.

En pocas palabras, los protocolos a nivel de transporte proporcionan conexiones entre los equipos y protocolos de la capa de sesión proporcionan conexiones a través de las aplicaciones. Entonces, ¿qué tiene esto que ver con SSL y ARP?

Algunas personas han aprendido que SSL funciona en la capa de sesión y cuando digo que, para el examen CISSP, trabaja, en la capa de transporte quieren lanzarme un libro. (Esto es un ejemplo de por qué la gente piensa que tiene que aprender de seguridad a través del punto de CISSP versus la realidad.) Lo que la gente no entiende por completo es que SSL está compuesto por dos protocolos que llevan a cabo funcionalidades en la capa de sesión y en la capa de transporte. Así que algunas fuentes dicen que SSL funciona en la capa de sesión y otras dicen que trabaja en la capa de transporte y los dos tienen razón, pero ninguna de las dos fuentes va lo suficientemente profundo dentro del protocolo como para explicar cómo funciona. Así que sólo memorizamos en cual capa se nos dice que funciona.

La razón por la cual muchas personas tienen dificultad con fuentes conflictivas es porque el modelo OSI en realidad no existe. Es un modelo conceptual que permite que la gente entienda las diferentes piezas de una pila de red. Uno nunca abrirá el disco duro y verá dónde está el modelo OSI y nunca encontrará un archivo con el modelo OSI dentro. El modelo OSI se hace realidad (una pila de red) y virtualmente se corta en trozos comprensibles y digeribles. Esto es como tratar de poner diferentes cuadros sobre tu vida para poder explicarla en distintos niveles de actividades. Hay cosas que haces en tu vida que no encajan bien en un solo cuadro y tal vez se necesiten dos cuadros para cubrir un determinado aspecto de tu vida. Lo mismo ocurre con un protocolo de pila de red. El modelo OSI trata de dividir la pila en capas específicas, pero algunos protocolos cubren más de una capa. (ARP se compone de código que proporciona funcionalidades en las capas de red y en la capa de enlace de datos. Esta es otra de las cuestiones que pueden dar lugar a un animado debate).

Por lo tanto, si usted aprendió que SSL funciona en la capa de sesión en lugar de la capa de transporte, y de que ARP trabaja en la capa de red en lugar de la capa de enlace de datos, es probable de que haya memorizado la funcionalidad de las capas dentro del modelo OSI. Esto de ninguna manera significa que usted entiende realmente lo que está pasando en la pila de red.

Esto es sólo un ejemplo de por qué la gente cree que se les enseña erróneamente, que sólo tienen que responder a la pregunta en el examen de la forma en que (ISC)2 quiere que responda y luego volver a su vida real. En realidad, simplemente no entiende completamente el modelo OSI y cómo se relaciona con los protocolos que forman una pila de red.

Otra cosa que contribuye a la idea que de que hay que aprender seguridad incorrectamente para el examen es el instructor. No puedo decir cómo me he enfurecido a largo de los años, cuando oigo decir a instructores que sólo hay que memorizar el CISSP (los tipos de preguntas y respuestas), a pesar de que en realidad no es como funciona en la vida real. Este es un caso de un ciego guiando a otro ciego. Muchas personas han querido trabajar como instructores CISSP para mi empresa a lo largo de los años, y muchos no lo han logrado debido a este problema. El instructor no entiende el tema específico, por lo que adopta una manera de escabullirse, y dice que está mal, pero tienes que saberlo de todos modos para el examen. Increíble, pero ésta es una práctica común en los cursos CISSP.

Entonces, ¿el examen CISSP es anticuado, irrelevante y subjetivo? Sólo si usted no pone el esfuerzo en comprender realmente los conceptos que se tratan en el examen. Por ejemplo, usted puede haber aprendido la definición "enlatada" de TCB y el perímetro de seguridad, pero ¿qué tiene que ver con el mundo real? Usted puede saberlo y comprenderlo sólo si le pone esfuerzo. Si usted sólo quiere obtener el CISSP y memorizar las definiciones "enlatadas", no me pida un trabajo y espero no trabajar en ningún equipo de consultores con usted.

El mejor elogio que he recibido a lo largo de los años es cuando alguien viene a mí después de mi clase y dice: "No importa si puedo obtener mi certificado CISSP o no, esta clase realmente me abrió los ojos al mundo de la seguridad".

Para obtener más información, visite http://www.logicalsecurity.com.

Traducción: Raúl Batista y Cristian Borghello - Segu-Info
Autor: Shon Harris

No hay comentarios: