(Volvemos a la carga con la undécima entrega de la serie GOTO, que teníamos algo olvidada. Como ya saben, basada en las polémicas instrucciones GOTO de programación. En anteriores ocasiones hablamos de I: Consultores de Seguridad, II: Consultores LOPD, III: Análisis de Riesgos, el IV: Open Source, V: ¿Quién se ha llevado mi queso?, VI: Auditores vs. Consultores, VII: Privacidad vs. todo lo demás , VIII: LOPD a “coste cero” (¿y?), IX: El negocio de la seguridad y X: Periodistas)
Para cualquiera que haya estudiado una carrera universitaria de informática o algún programa educativo similar es evidente que en sus contenidos no se tratan, en la mayor parte de los casos, las tecnologías específicas de fabricantes como Microsoft, CISCO, HP, EMC2 etc. Asimismo, por lo general la formación en materia de seguridad suele brillar por su ausencia, tanto en el ámbito de la gestión (SGSIs, Análisis de riesgos, etc.) como en la parte más técnica (pentesting, análisis forense, etc.). En definitiva, que una vez acabada la fase eminentemente académica y ya de pleno en el mundo laboral, puede ser interesante ampliar los conocimientos, algo que puede hacerse a través de la experiencia a lo largo de los años, autoformación y buenos profesionales en los que apoyarse, a través de formación reglada (esto ya lo vimos el otro día con Joel y hace bastante tiempo publicamos una entrada con certificaciones interesantes) o ambos.
Afortunadamente, para solventar este problema la informática cuenta con un abanico bastante amplio de certificaciones, dirigidas a aquellos profesionales con necesidades específicas en ésta o aquélla tecnología, en éste o aquél ámbito. He de confesar no obstante que yo nunca he sido un gran fan de la formación reglada y menos si es necesario hacer acto de presencia, algo que considero en general una absoluta pérdida de tiempo (evidentemente, no siempre). Lo cual incluye, todo sea dicho, la formación universitaria. Esa es, supongo, una de las razones entre otras de que únicamente disponga de una certificación CISA y una CRISC. La primera la saqué yendo al examen sin haber acabado de leer el temario y la segunda la tengo gracias al programa de grandfathering y evidentemente a mi experiencia en la realización de análisis de riesgos. Voy a serles sincero: no creo que ninguna de ellas me haya aportado absolutamente nada, pero bueno, ahí están; al fin y al cabo, cumplí con los requisitos necesarios para su obtención y tengo totalmente justificadas mis horas de formación.
Yo no sé, sinceramente, si esto se da en otros ámbitos profesionales, pero tiendo a pensar que no. Evidentemente hay cursos especializados, pero eso no proporciona al que lo realiza esa pátina de autoridad que parecen otorgar muchas certificaciones informáticas. Es decir, no me imagino a un ingeniero de caminos diciendo que es CCPG (certificado en construcción de puentes grandes). Quizá todo esto provenga de esa idea transmitida con cierta sorna de vez en cuando por algunos ingenieros industriales que conozco, que afirma que ellos son “los ingenieros” y nosotros, pues eso… “los informáticos”. Supongo que aquí habría mucho que rascar en temas de competencias y atribuciones profesionales, pero eso es otra historia.
En cualquier caso, estoy a favor de las certificaciones y pienso positivamente que en determinadas circunstancias pueden ser favorables para el desarrollo profesional de una persona, especialmente como motivación para adquirir nuevos conocimientos. Sin embargo, creo que es momento de dejarnos de diplomacias pero que nadie —por favor— se me ofenda.
Lo primero que me llama la atención es ese ansia acumulativa de títulos y certificaciones que algunas personas parecen tener. Que no niego sus razones en absoluto, pero comprenderán que me parezca absurdo (insisto, que nadie se ofenda). Y aburridísimo, que es peor. Que si CISA, ITIL nosqué y nosecuántos, CGEIT, CISSP, GIAC nosequé, lid auditor de esto y lo otro, etc. Verán. Considero que tengo un dominio bastante correcto del inglés, que utilizo habitualmente para leer y escribir y de vez en cuando para ver alguna serie o un video de Youtube. Sin embargo, en ningún caso se me ocurriría aprender alemán si no fuese a practicarlo de manera habitual, ya fuese en Alemania, con interlocutores germanos o mantenerlo “artificialmente” en una academia. Imagino que ven la analogía.
Por otro lado, dudo mucho, muchísimo, que a algunas personas tal concentración de títulos les aporte otra cosa que un montón de papeles con sello y otro montón de siglas. Bueno, admitamos que a veces regalan pines. El caso es que he visto a personas con conocimientos y experiencia demostrable en una materia pasarse semanas estudiando para conseguir un título o certificación por el mero y simple hecho de obtenerlo. Seré yo que soy medio vago o vago entero, pero es que no me entra en la cabeza; con la cantidad de cosas que hay para aprender (sin certificado), perder el tiempo en algo que ya sabes sólo porque te dan un papelote y un apellido más me resulta… bueno, me resulta. Eso, sin dejar de lado que tras analizar rápidamente algunos cursos, uno se da cuenta de que en ciertas ocasiones el material y los contenidos por el que uno podría justificar la asistencia al curso son más bien escasos, que es el caso más flagrante de titulitis: sé que el curso no me va a aportar nada nuevo pero lo puedo añadir a mi colección. Afortunadamente, no niego que existen otros cursos que sí aportan un valor diferencial.
Pero eso no es, desde luego, lo mejor del asunto. Lo mejor con diferencia es lo de LinkedIn y las firmas de correo. Igual soy yo, pero cada vez que entro en LinkedIn me da la sensación de estar en una reunión de la alta aristocracia. Fulanito de tal. CISA, CGEIT, CRISC, CompTIA Security+, ITIL Expert, CCNP, GIAC GSEC, GIAC GPEN, GIAC GOLD GCIA, ISO27001LA, ISO22301LA y CCNA. “Leche“, piensas. “Este tipo tiene más títulos que la Duquesa de Alba“. Además, es algo que parece ser especialmente particular del ámbito de la seguridad informática y no distingue entre perfiles técnicos u organizativos. No sé si la intención de poner esa información al lado del nombre y apellidos es abrumar, exhibirse o hacer gala de algún tipo de autoridad sagrada, pero el caso es que a mí personalmente me parece algo ridículo. En el curriculum vitae, por supuesto que sí, pero… ¿en la firma de correo? ¿Junto a su nombre en LinkedIn, como si fuesen los apellidos de sus ancestros? ¿Para qué? ¿Para que le hagamos una genuflexión? ¿Qué sentido tiene?
Voy a ir acabando antes de que algunos se sientan violentos (too late, my friend). La cuestión en todo esto es que a lo largo de mi vida me he encontrado mucho cateto con carrera universitaria y algunos de ellos han sido capaces de obtener el título sacando de ello el menor provecho posible, así que me temo que lo mismo es aplicable a una certificación o un título informático. Entiendo que acumular títulos sin sentido pueda adoptarse como hobby y lo mismo aplica a enseñarlos como muescas en la culata; cada uno es libre de emplear su tiempo en lo que más le guste. Pero personalmente, pienso que aparte de lo que ya he dicho, es un exceso.
Tienes toda la razón y no sólo en el ámbito de las titulaciones de los informáticos, ocurre en todos los ámbitos, p.ej. los auditores de cuentas de los bancos intervenidos, ¿tenían título?, si, ¿estaban inscritos en el REA?, si, …¿entonces?, sin comentarios.
Estoy parcialmente de acuerdo contigo.
Hay que reconocer que tienes razón de que una certificación de algo que ya sabes no te va aportar demasiado más allá de un mero “papelote”. No obstante tiene beneficios colaterales (sobre todo por las relaciones que puedes hacer en esos cursos como: potenciales clientes o profesionales del sector con los que puedes discutir y te pueden aportar bastante…).
Sin embargo, también esta el caso en que te planteas una certificación en un área que no es tu fuerte, en ese caso no cabe duda de su utilidad. Sobre todo porque al final siempre encuentras un hueco para sacarle partido a ese conocimiento. Por ejemplo si has hecho toda tu vida adecuaciones de protección de datos y estas acostumbrado a hacer procedimientos de gestión de incidencias, si ademas has hecho un ITIL Foundation sabrás que hay un marco que dispone de proceso de gestión de incidencias que al fin y al cabo es un buena práctica (pero no dejar de un marco aceptado internacionalmente) que podrás utilizar para mejorar dichos procedimientos. En este caso, la práctica me dice que al final más tarde o más temprano acabas echando mano de ese conocimiento que has aprendido en esos cursos, ya sea para una oferta, un informe, etc.
Luego esta claro que el nivel de conocimiento que te aporta generalmente es proporcional a la dificultad de obtener el certificado. En este sentido queda claro que el proceso por ejemplo de grand fathering únicamente es un reconocimiento y no te aporta ningún conocimiento más allá del que ya tienes. No es lo mismo que una certificación que te has tenido que esforzar por conseguir, ese conocimiento se “asienta” mejor.
Al final la certificación es interesante sacarla porque te fuerza a estudiar algo que te parece interesante pero no le dedicarías tu tiempo, del mismo modo obtener la certificación te garantiza que has conseguido cierto nivel de conocimiento en una área (y los indicadores han de ser medibles y cuantificables). Esto es como estudiar ingles, en la practica no es lo mismo apuntarte a una academia por apuntarte, que apuntarte al examen del B2. No le vas a dedicar la misma energía. La certificación es como si fuera un tiempo a bajar para un corredor, un cinturón para una persona que practica artes marciales o un nivel de escalada, no deja de ser un compromiso y una motivación. Haciendo uso de un cliché lo importante es que tengas claro que: El camino es la meta.
Por último y ubicándonos en el contexto macroeconomico mundial en el que vivimos. Estas certificaciones pueden ayudar a las empresas en las que trabajamos a poder hacer ofertas con más garantías en un mercado global. Puesto que en otros países que el personal participante en determinados proyectos disponga de determinadas certificaciones es un requisito mínimo.
He de reconocer que a mí me resultan simpáticos esos acrónimos cuyo significado desconozco, especialmente cuando se concatenan varios.
Mientras leía tu artículo, estaba pensando en un ex-compañero que tiene como firma de su correo PERSONAL todo un mogollón de certificaciones entre las que se incluyen varias de ISACA, GIACs diversos, distintas versiones de ITIL y chorropotocientas cosas mas con el resultado de que su firma es más grande habitualmente que el contenido del correo. Yo voy a poner en la mía que soy cinturón negro de karate!
Coincido plenamente, aunque reconozco que alguna de esas certificaciones ayuda a abrir puertas de cara a trabajar con un cliente o a cambiar de empresa.
Al final muchas de ellas se basan en conocimientos generales y sentido común, algunas en cierta forma concreta de pensar (en negocio generalmente) y otras en cierta forma concreta de hacer las cosas de acuerdo a un estándar… pero es bueno seguir un estándar? Hacer lo mismo que los demás? Pues en determinadas circunstancias si y en otras no, se supone que hay que diferenciarse…
Que exagerado que eres Manolo… hay gente con carnet de conducir que conducen como locos y no por ello el examen es algo inútil.
Basta con que quien pide la titulación, o que quien selecciona el personal/empresas para proyectos, tenga dos dedos de frente y entienda que las titulaciones son lo que son, y que si no van acompañadas de experiencia pierden mucho peso.
Quizá un poco demoledor, pero comparto las reflexiones de Javier. Parte del “problema” radica en el mercado o el cliente, que es el que pide., como si fuera el supermercado, “dos CISA y un ISO /7001 LA” en sus pliegos o requerimientos.
Firmado un Ingeniero Técnico de Teleco. Sin más,.
El cliente pide en sus pliegos, entonces la empresa busca esas mismas condiciones en sus procesos de selección para poder optar a esos pliegos, entonces los futuros candidatos intentan sacarse todas las titulaciones posibles para tener más opciones en los procesos de selección o ya dentro de las empresas para poder hacerse cargo de nuevos proyectos… La pescadilla que se muerde la cola.
Posdata –> Me encanta la firma de Juan Carlos, un Ingenierio Técnico de Teleco. Sin más. Como si ser Ingeniero Técnico de Teleco fuera una minucia.
Creo que el contenido del artículo es 100% verdad, además de los comentarios que se han realizado, que también están bien razonados.
Al final, de lo que se trata es de satisfacer la demanda, por mucho que no lleguemos a entender para qué sirven tantos papelajos, así que no hay mucho que hacer aquí, cada uno es libre..