¿Debe un capacitador de penetración tener capacitación en ISO 27001 / ITIL, etc.?

15

Hace poco me ofrecieron una promoción, pero como parte del paquete me pidieron que hiciera ISO 27001, ITIL, ARPA y otros tipos de capacitación. Previamente, he evitado este tipo de entrenamiento porque sentí que me "distraería" de mi conocimiento técnico de seguridad.

En términos de pruebas de penetración, ¿son útiles estas calificaciones? ¿Proporcionan estos buenos marcos para las pruebas de penetración? No tengo ninguna aspiración de convertirme en un gerente no técnico (al menos en el futuro previsible) y el cumplimiento / auditoría no me interesa específicamente. Sin embargo, mi conocimiento sobre ellos es mínimo, así que tengo curiosidad por si debería aceptar la oferta o sugerir una capacitación técnica.

Espero que alguien pueda ayudar.

¡Gracias!

    
pregunta NULLZ 22.02.2013 - 05:38
fuente

3 respuestas

14

Si bien puede que no sea la técnica técnica más avanzada a la que está acostumbrado, definitivamente lo ayudará a comprender los procesos y los controles de seguridad dentro de una empresa. Esto puede ayudarlo a llevar sus hallazgos de manera comprensible a la administración de TI y de negocios.

Obviamente, también significa que puedes hacer más que solo hacer pentesting, ya que también puedes escribir un estándar o una línea de base (27001).

No tengas miedo de probar algo nuevo de vez en cuando :).

    
respondido por el Lucas Kauffman 22.02.2013 - 06:58
fuente
3

Rara vez he encontrado más conocimiento como algo perjudicial. Puede que no sea muy útil, pero puede ayudar en algunos escenarios raros.

    
respondido por el Peleus 22.02.2013 - 07:12
fuente
2

No es de mucho beneficio. Soy un PenTester con certificaciones ITIL e ISO 27k. Si bien ITIL no tiene nada que ver directamente con la seguridad de la información y es muy genérico, puede ser eficaz para poner en marcha un proceso que permita una respuesta a incidentes y un control de cambios más rápidos. ISO 27k existe como una norma y pautas muy amplias para los procesos que debe seguir cualquier organización que tome en serio a InfoSec. La norma también contiene disposiciones para que las auditorías midan la efectividad de los procesos y controles de seguridad de la información. Esta auditoría puede incluir tanto el análisis del código fuente como las pruebas de penetración. La única forma en que un probador de penetración puede encontrar algún uso de esto es esperar que exista algún nivel de seguridad si la organización tiene la certificación ISO 27k. No se le enseñará un solo comando cuando asista a estos entrenamientos.

Se requerirá el conocimiento de ITIL e ISO 27k si está tratando de obtener un rol directivo dentro de las grandes organizaciones. Les gusta medir todo y tienen métricas para casi todos los resultados del proceso. ITIL e ISO 27k son más sobre el proceso que tiene un alcance y un mecanismo creados para la mejora continua.

    
respondido por el Krishna Pandey 25.12.2015 - 09:30
fuente

Lea otras preguntas en las etiquetas