Certificaciones de ciberseguridad aprobadas por el Departamento de Defensa (DoD): una descripción general autorizada para el cumplimiento de las normas 8140/8570 del DoD

El Departamento de Defensa (DoD) depende de un equipo de ciberseguridad capaz de salvaguardar los sistemas de información de seguridad nacional, apoyar operaciones militares y defender infraestructura crítica. Para estandarizar las cualificaciones de este equipo, el DoD mantiene un estricto conjunto de certificaciones de ciberseguridad aprobadas que se alinean con los roles laborales, niveles de autorización y responsabilidades de la misión específicos, según lo definido en la norma DoD 8140 (y anteriormente DoD 8570.01-M).

Estas certificaciones provienen de organismos de certificación comerciales como CompTIA, (ISC)², EC-Council, ISACA y GIAC, y se reconocen como cualificaciones básicas para el personal que accede, administra, protege o diseña los sistemas de información del DoD.

Este artículo ofrece un resumen oficial de las certificaciones más importantes aprobadas por el DoD y cómo cada una se alinea con los roles laborales y los requisitos de cumplimiento normativo en toda la empresa cibernética del DoD.

1. Propósito de las Certificaciones Aprobadas por el Departamento de Defensa

Las certificaciones aprobadas por el Departamento de Defensa cumplen varias funciones fundamentales:

• Establecer estándares mínimos de cualificación para personas con funciones privilegiadas o de ciberseguridad.
• Garantizar la competencia técnica de todo el personal de ciberseguridad del Departamento de Defensa.
• Apoyar la preparación del personal y la garantía de la misión.
• Alinear al personal del Departamento de Defensa con los estándares nacionales de ciberseguridad (mediante la correspondencia NICE/DoD 8140).
• Permitir que contratistas, civiles y militares desempeñen las funciones asignadas de forma legal y conforme a las normas.

Toda persona que desempeñe un puesto de Aseguramiento de la Información (AI), ciberseguridad o TI cibernética debe poseer al menos una certificación relacionada con su puesto de trabajo asignado según la norma DoD 8140.

2. Resumen de la Estructura de Certificación del DoD

Las certificaciones aprobadas por el DoD se clasifican en varios segmentos de personal:

• IAT (Técnico de Aseguramiento de la Información) Niveles I-III
• IAM (Gestión de Aseguramiento de la Información) Niveles I-III
• IASAE (Arquitecto e Ingeniero de Sistemas de Aseguramiento de la Información) Niveles I-III
• CSSP (Proveedor de Servicios de Ciberseguridad) Roles: Analista CSSP, Soporte de Infraestructura CSSP, Respondedor a Incidentes CSSP, Auditor CSSP, Gerente/Supervisor CSSP

Cada segmento corresponde a responsabilidades, facultades, habilidades y requisitos básicos de certificación específicos.

3. Certificaciones Básicas Aprobadas por el DoD y sus Funciones

A continuación, se presenta un resumen fidedigno de las certificaciones del DoD más requeridas y reconocidas.

A. Certificaciones CompTIA

1. CompTIA Security+ (SY0-701)

Correspondiente a: IAT II, IAM I. Security+ es una de las certificaciones más requeridas por el personal del Departamento de Defensa (DoD), ya que establece conocimientos básicos de ciberseguridad, incluyendo:

• Principios de seguridad de sistemas y redes
• Control de acceso
• Identificación de riesgos
• Gestión de vulnerabilidades
• Fundamentos de respuesta a incidentes

Security+ se requiere con frecuencia para personal con roles básicos de acceso privilegiado, administradores de sistemas y personal júnior de ciberseguridad.

2. CompTIA CySA+ (Analista de Ciberseguridad)

Correspondiente a: Analista CSSP. CySA+ valida habilidades avanzadas de ciberseguridad defensiva, incluyendo:

• Detección de amenazas
• Monitoreo de seguridad
• Análisis de incidentes
• Priorización de vulnerabilidades

Esta certificación es especialmente relevante para analistas de SOC, ciberdefensores y personal de monitoreo.

3. CompTIA CASP+ (CompTIA Advanced Security Practitioner)

Asignado a: IAT III, IAM II. CASP+ certifica competencias avanzadas de ingeniería y arquitectura de seguridad empresarial, incluyendo:

• Integración de sistemas complejos
• Diseño de soluciones de seguridad
• Estrategias de mitigación de riesgos
• Gobernanza y cumplimiento normativo

CASP+ es ideal para profesionales técnicos sénior que diseñan o evalúan soluciones de seguridad a nivel empresarial.

4. CompTIA PenTest+

Asignado a: CSSP Incident Responder (alternativo). PenTest+ certifica habilidades de ciberseguridad ofensiva, incluyendo:

• Evaluación de vulnerabilidades
• Metodologías de pruebas de penetración
• Marcos de explotación
• Guía de informes y remediación

Aunque a menudo se combina con CEH o GPEN, PenTest+ se acepta para ciertos roles ofensivos y de prueba del Departamento de Defensa.

B. Certificaciones (ISC)²

1. SSCP (Profesional Certificado en Seguridad de Sistemas)

Asignado a: IAT II. El SSCP valida las competencias básicas de administración de seguridad en relación con:

• Control de acceso
• Registro y monitorización
• Respuesta a incidentes
• Seguridad de redes y comunicaciones

Es adecuado para administradores de sistemas, técnicos y personal de soporte del SOC.

2. CISSP (Profesional Certificado en Seguridad de Sistemas de Información)

Asignado a: IAM III, IAT III, IASAE I–III. CISSP, una de las certificaciones de ciberseguridad de más alto nivel, confirma el dominio de:

• Gobernanza de la seguridad
• Gestión de riesgos
• Arquitectura e ingeniería
• Gestión de identidades y accesos
• Seguridad de la cadena de suministro
• Seguridad del desarrollo de software

CISSP es obligatorio para los puestos de liderazgo sénior en ciberseguridad en el Departamento de Defensa.

3. CCSP (Profesional Certificado en Seguridad en la Nube)

Asignado a: Funciones avanzadas CSSP e IASAE relacionadas con la nube. El CCSP valida las habilidades de ingeniería de seguridad en la nube para entornos como AWS, Azure e infraestructuras de nube aprobadas por el Departamento de Defensa (DoD).

C. Certificaciones del Consejo Europeo de Seguridad (EC-Council)

1. CEH (Hacker Ético Certificado)

Asignado a: Responsable de Respuesta a Incidentes CSSP, Analista CSSP, IAT III. El CEH evalúa las principales habilidades ofensivas y adversarias, incluyendo:

• Huellas y reconocimiento
• Explotación de red
• Explotación de aplicaciones web
• Análisis de malware
• Técnicas de postexplotación

El CEH es ampliamente requerido para las funciones del DoD en emulación de amenazas y evaluación de vulnerabilidades.

2. CHFI (Investigador Forense de Piratería Informática)

Asignado a: Auditor CSSP. El CHFI se centra en operaciones de análisis forense digital como:

• Recopilación de pruebas
• Análisis forense de sistemas de archivos
• Recuperación de datos
• Procedimientos de cadena de custodia

Es relevante para las funciones de investigación y auditoría del Departamento de Defensa (DoD).

D. Certificaciones GIAC (SANS Institute)

Las certificaciones GIAC se encuentran entre las opciones técnicamente más rigurosas aprobadas por el DoD.

1. GSEC (Fundamentos de Seguridad)

Asignado a: IAT II. Abarca los principios esenciales de defensa de la ciberseguridad y las operaciones de seguridad empresarial.

2. GCIH (Gestor de Incidentes Certificado por el GIAC)

Asignado a: CSSP, Respondedor de Incidentes. Se centra en:

• Procedimientos de gestión de incidentes
• Análisis de amenazas
• Técnicas de defensa activa

3. GCIA (Analista de Intrusiones Certificado por el GIAC)

Asignado a: Analista CSSP. Se especializa en:

• Análisis de tráfico de red
• Operaciones IDS/IPS
• Inspección a nivel de paquete

4. GPEN (Probador de Penetración del GIAC)

Asignado a: CSSP, Respondedor de Incidentes. Ofrece una certificación avanzada en pruebas de penetración, reconocida por los equipos del Departamento de Defensa que participan en operaciones ofensivas.

5. GWAPT (Probador de Penetración de Aplicaciones Web del GIAC)

Asignado a: Roles CSSP Ofensivos (alternativos). Se centra en las pruebas de aplicaciones web, el descubrimiento y la explotación de vulnerabilidades.

E. Certificaciones ISACA

1. CISM (Gerente Certificado de Seguridad de la Información)

Correspondiente a: IAM II e IAM III. Esta certificación gerencial abarca:

• Gobernanza
• Gestión de riesgos
• Desarrollo y gestión de programas
• Liderazgo en gestión de incidentes

Es adecuada para responsables de seguridad de la información, gerentes de ciberseguridad y autoridades de cumplimiento.

4. Cómo funcionan las asignaciones de certificación del Departamento de Defensa (DoD)

Cada certificación aprobada se alinea directamente con:

• Un puesto de trabajo específico
• Una categoría específica de personal (IAT, IAM, IASAE, CSSP)
• Un nivel o responsabilidad específicos

El personal debe poseer al menos una certificación que cumpla con los requisitos básicos para su puesto de trabajo asignado. Algunos puestos avanzados requieren varias certificaciones.

Por ejemplo:

• Un administrador de sistemas puede requerir Security+ (IAT II).
• Un analista de SOC puede requerir CySA+ o GCIH (analista CSSP).
• Un gerente de ciberseguridad puede requerir CISSP o CISM (IAM III).

Un arquitecto de seguridad puede requerir CISSP-ISSAP o CASP+ (IASAE).

Estas asignaciones garantizan una capacidad estandarizada para todo el personal de ciberseguridad del Departamento de Defensa (DoD).

5. Requisitos de renovación de la certificación

La mayoría de las certificaciones requieren renovación cada tres años, con obligaciones de formación continua que varían entre:

• 20 a 120 CEU
• Actividades anuales de aprendizaje
• Actualización práctica de habilidades
• Módulos de mejora de conocimientos

El personal del DoD debe mantener su certificación en todo momento para garantizar el cumplimiento normativo del personal.

6. Impacto en contratistas, civiles y personal militar

• Los contratistas deben estar certificados antes de acceder a los sistemas del DoD.
• Los civiles deben cumplir con los requisitos de certificación basados en roles para sus puestos.
• Los militares asignados a roles de ciberseguridad deben obtener las certificaciones requeridas dentro de los plazos establecidos por su rama militar.

La certificación no es opcional; es un requisito fundamental para cualquier persona que realice tareas de ciberseguridad para el DoD.

Conclusión

Las certificaciones de ciberseguridad aprobadas por el Departamento de Defensa (DoD) son un componente fundamental del sistema de calificación de la fuerza laboral cibernética del Departamento de Defensa. Garantizan que todo el personal, ya sean contratistas, civiles y militares, posean los conocimientos y las capacidades validados necesarios para operar, proteger, defender y gestionar los sistemas de información del Departamento de Defensa.

A través de un sistema de mapeo estructurado según la norma DoD 8140, estas certificaciones respaldan una fuerza laboral cibernética estandarizada, competente y preparada para la misión. Ya sea que una persona ocupe un puesto técnico, gerencial, arquitectónico o de operaciones defensivas, contar con la certificación apropiada aprobada por el DoD es esencial para el cumplimiento normativo y el desarrollo profesional dentro del Departamento de Defensa.