Guía de certificación DoD 8570: Requisitos de roles IAT, IAM, IASAE y CSSP

El Departamento de Defensa (DoD) cuenta con un personal altamente cualificado y capacitado en ciberseguridad para proteger sus redes, defender misiones críticas y proteger los intereses de seguridad nacional. La Directiva 8570 del DoD estableció el marco original para la capacitación, certificación y gestión del personal en materia de Seguridad de la Información (IA), que continúa guiando al personal de ciberseguridad en todo el Departamento de Defensa, incluso durante la transición de responsabilidades bajo la Directiva 8140 del DoD.

Esta guía ofrece una descripción general completa y oficial de los requisitos básicos de certificación de la Directiva 8570 del DoD para las cuatro categorías principales de personal de ciberseguridad: Técnico en Seguridad de la Información (IAT), Gestión de Seguridad de la Información (IAM), Arquitectura e Ingeniería de Sistemas de Seguridad de la Información (IASAE) y Proveedor de Servicios de Ciberseguridad (CSSP). Está concebida como una referencia para contratistas, civiles del DoD, personal militar y líderes organizacionales responsables de garantizar el cumplimiento normativo del personal.

1. Antecedentes: Propósito de la Directiva 8570 del Departamento de Defensa

La Directiva 8570.01-M del Departamento de Defensa se introdujo para garantizar que todo el personal de inteligencia artificial y ciberseguridad posea los conocimientos, las habilidades y las certificaciones reconocidas por la industria necesarias para proteger los sistemas de información del Departamento de Defensa. Bajo la Directiva 8570, el Departamento estableció:

• Una matriz de certificación base unificada
• Categorías y niveles de personal estandarizados
• Un requisito para que el personal obtenga y mantenga certificaciones aprobadas
• Un mandato para la alineación y el cumplimiento de los contratistas
• Una estructura de calificación común para todos los componentes del Departamento de Defensa

Si bien la Directiva 8570 se está integrando gradualmente en el ecosistema actualizado de la Directiva 8140, su sistema de clasificación (IAT, IAM, IASAE y CSSP) sigue siendo la base para la asignación de personal y la validación de certificaciones del Departamento de Defensa.

2. Categorías de personal de la Directiva 8570 del Departamento de Defensa

La norma 8570 organiza al personal de ciberseguridad en cuatro categorías principales, cada una con funciones y responsabilidades específicas.

Las categorías incluyen:

• Técnico de Aseguramiento de la Información (IAT)
• Gestión de Aseguramiento de la Información (IAM)
• Arquitectura e Ingeniería de Sistemas de Aseguramiento de la Información (IASAE)
• Proveedor de Servicios de Ciberseguridad (CSSP)

Cada categoría se divide en niveles según su complejidad y responsabilidad.

3. Técnico de Aseguramiento de la Información (IAT)

El personal de IAT realiza funciones técnicas prácticas de ciberseguridad y aseguramiento de la información. Sus responsabilidades incluyen:

• Implementar y mantener controles de seguridad
• Configurar y gestionar los sistemas de información del Departamento de Defensa
• Apoyar las operaciones de defensa de la red
• Gestionar las vulnerabilidades de los sistemas y la red

El personal de IAT debe demostrar competencia técnica acorde con su nivel asignado.

Nivel I de IAT

Roles típicos

• Técnico de soporte técnico
• Administrador de sistemas júnior
• Técnico de soporte de red

Responsabilidades principales

• Configuración básica de dispositivos
• Mantenimiento rutinario del sistema
• Implementación inicial de controles de seguridad

Certificaciones de referencia aprobadas

• CompTIA A+
• CompTIA Network+
• CCNA (Certificado de Cisco Network Associate)

Nivel II de IAT

Roles típicos

• Administrador de sistemas
• Administrador de red
• Analista de ciberseguridad de nivel medio

Responsabilidades principales

• Aplicación de las políticas de seguridad del Departamento de Defensa
• Configuración de la seguridad del sistema
• Detección y notificación de incidentes

Certificaciones de referencia aprobadas

• CompTIA Security+
• CompTIA CySA+
• GICSP
• CCNA Security

Nivel III de IAT

Roles típicos

• Administrador de sistemas sénior
• Ingeniero sénior de ciberseguridad
• Ingeniero de seguridad de red

Responsabilidades principales

• Operaciones avanzadas de defensa de sistemas
• Implementación de la arquitectura de seguridad
• Integración de la empresa Controles de seguridad

Certificaciones de referencia aprobadas

• CASP+ (CompTIA Advanced Security Practitioner)
• CISSP (Certified Information Systems Security Professional)
• GCED (GIAC Certified Enterprise Defender)

4. Gestión de Seguridad de la Información (IAM)

El personal de IAM supervisa los programas de ciberseguridad, gestiona las operaciones de IA y garantiza el cumplimiento de las políticas del Departamento de Defensa (DoD). Tiene responsabilidades de gestión, administración y supervisión.

Nivel I de IAM

Roles típicos

• Gerente de Seguridad (Nivel Inicial)
• Responsable de Seguridad de la Información

Responsabilidades principales

• Gestión del programa de seguridad local
• Supervisión del acceso de usuarios
• Cumplimiento normativo básico

Certificaciones de referencia aprobadas

• CAP (Profesional Certificado en Autorización)
• GSLC (Certificación de Liderazgo en Seguridad GIAC)

Nivel II de IAM

Roles típicos

• Gerente de Ciberseguridad de nivel medio
• Supervisor de Programa Cibernético
• Gerente de Sistemas de Información

Responsabilidades principales

• Supervisión de las operaciones de IA de la organización
• Gestión de vulnerabilidades y riesgos
• Implementación y supervisión de políticas

Certificaciones de referencia aprobadas

• CISM (Gerente Certificado en Seguridad de la Información)
• CISSP

Nivel III de IAM

Roles típicos

• Gerente Sénior de Ciberseguridad
• Director de Seguridad de la Información (CISO)
• Líder de Seguridad Empresarial

Responsabilidades principales

• Supervisión de IA en toda la empresa
• Desarrollo de políticas estratégicas
• Planificación de recursos y garantía de cumplimiento

Certificaciones de referencia aprobadas

• CISSP
• GSLC

5. Arquitectura e ingeniería de sistemas de seguridad de la información (IASAE)

El personal de IASAE se centra en el diseño, la ingeniería y la arquitectura de sistemas de información seguros. Garantizan que los sistemas del Departamento de Defensa cumplan con los requisitos de ciberseguridad durante todo su ciclo de vida.

Nivel IASAE I, II y III

(Estos niveles funcionan como roles técnicos progresivos, aunque las certificaciones de referencia son similares).

Roles típicos

• Arquitecto de ciberseguridad
• Ingeniero de seguridad de sistemas
• Arquitecto empresarial

Responsabilidades principales

• Diseño de arquitectura
• Integración de ciberseguridad de sistemas
• Herencia y mapeo de controles RMF

Certificaciones de referencia aprobadas

• CISSP-ISSAP (Profesional de arquitectura de seguridad de sistemas de información)
• CISSP-ISSEP (Profesional de ingeniería de seguridad de sistemas de información)
• CSSLP (Profesional certificado en ciclo de vida de software seguro)

Estas certificaciones demuestran experiencia avanzada en ingeniería y arquitectura.

6. Roles de Proveedor de Servicios de Ciberseguridad (CSSP)

6.1 Resumen

La categoría CSSP apoya las operaciones cibernéticas defensivas (DCO) y las funciones de monitoreo de seguridad. El personal de CSSP generalmente opera en los Centros de Operaciones de Seguridad (SOC), equipos de respuesta a incidentes y unidades de ciberdefensa del Departamento de Defensa (DoD).

Los roles de CSSP incluyen:

• Analista de CSSP
• Soporte de Infraestructura de CSSP
• Responsable de Respuesta a Incidentes de CSSP
• Auditor de CSSP
• Gerente de CSSP

Cada rol tiene responsabilidades y requisitos de certificación específicos.

6.2 Analista CSSP

Responsabilidades

• Monitoreo de redes
• Detección de ciberincidentes
• Análisis de amenazas

Certificaciones aprobadas

• CEH (Hacker Ético Certificado)
• CySA+
• GCIH

6.3 Soporte de Infraestructura CSSP

Responsabilidades

• Soporte de defensa de red
• Monitoreo de infraestructura
• Configuración de herramientas

Certificaciones aprobadas

• Security+
• CySA+
• GNFA

6.4 Responsable de respuesta a incidentes CSSP

Responsabilidades

• Identificación de ciberincidentes
• Contención y erradicación
• Triaje forense

Certificaciones aprobadas

• GCIH
• CEH
• GCFA

6.5 Auditor CSSP

Responsabilidades

• Revisión y evaluaciones de seguridad
• Verificación de cumplimiento
• Auditorías de riesgos y vulnerabilidades

Certificaciones aprobadas

• CISA
• GSNA
• CEH

6.6 Gerente de CSSP

Responsabilidades

• Supervisión de las operaciones del DCO
• Supervisión del rendimiento del SOC
• Gestión de la ciberdefensa empresarial

Certificaciones Aprobadas

• CISSP
• CISM

7. Plazos y Mantenimiento de la Certificación

El personal asignado a roles 8570 debe:

• Obtener la certificación requerida antes o dentro de los 6 meses posteriores a la asignación (según la política del componente).
• Mantener la certificación vigente mediante CEU, CPE o actividades de educación continua.
• Cargar la validación de la certificación en el sistema de gestión de personal del Departamento de Defensa correspondiente.

El incumplimiento o mantenimiento de estos requisitos puede resultar en la destitución del rol o la pérdida de la elegibilidad para el contrato (para contratistas).

8. Responsabilidades Organizacionales

Los componentes y contratistas del Departamento de Defensa (DoD) deben garantizar:

• Que el personal se ajuste a la categoría 8570 correcta
• Que los registros de certificación estén actualizados y sean auditables
• Que el personal cumpla con los plazos de certificación
• Que reciba capacitación continua y mantenga sus habilidades
• Que cumpla plenamente con el Marco de Fuerza Laboral Cibernética (DCWF) del DoD

Los contratistas deben asegurarse de que su personal cumpla con los requisitos de certificación antes de comenzar a trabajar.

9. Resumen

El marco 8570 del DoD sigue siendo un pilar del programa de calificación de la fuerza laboral del Departamento y continúa guiando la acreditación del personal durante la transición a la categoría 8140. Al definir rutas de certificación claras para los roles de IAT, IAM, IASAE y CSSP, el DoD garantiza una fuerza laboral cibernética capaz de proteger y defender los sistemas de misión crítica.

Comprender y cumplir los requisitos de la norma 8570 es esencial para:

• Personal civil del Departamento de Defensa
• Personal militar
• Contratistas de defensa
• Profesionales de TI y ciberseguridad que dan soporte a las redes del Departamento de Defensa

El cumplimiento garantiza la preparación, mejora la seguridad operativa y permite a las organizaciones cumplir con los mandatos federales sobre ciberseguridad.