26 de enero de 2014

Hay un nuevo CCNP Security

Esta semana Cisco ha hecho público el rediseño de su certificación CCNP Security, lo que ha significado una reformulación completa tanto de los exámenes de certificación como de los entrenamientos oficiales orientados a los mismos.
En la visión de Cisco, la evolución del mercado, la demanda creciente de soluciones de seguridad embebidas en la infraestructura, y la demanda creciente de profesionales en el área de seguridad con una visión holística del tema, requerían una revisión del path de certificaciones de seguridad de Cisco.
Con las transiciones del mercado signadas por la introducción de cloud, movilidad y la Internet of Thing que remueven los límites de la red al mismo tiempo que crean y expanden nuevas áreas de ataque e incrementan el impacto y costo de las intrusiones en la red, hay una demanda creciente de profesionales de seguridad con una comprensión amplia de esta visión holística y end-to-end de la seguridad de la red.
En función de esto, la estrategia de Cisco ha sido:
  • Rediseñar por completo el programa de certificación CCNP Security.
  • Lanzar una nueva certificación de especialista: Cisco Cybersecurity Specialist Certification.
  • Retirar las certificaciones de especialistas en seguridad de Cisco existentes.
  • Lanzar nuevos cursos de entrenamiento en productos.
Los nuevos exámenes y entrenamientos.
La nueva certificación CCNP Security obedece a una visión completamente diferente de la propuesta de seguridad en infraestructura. De una propuesta centrada en producto se ha pasado a una propuesta basada en arquitectura, lo que proporciona una visión holística e integral de la problemática de seguridad.
Un reflejo importante de esta nueva visión del perfil del técnico en seguridad de infraestructura propuesta por Cisco está en el hecho de que los nuevos entrenamientos, todos ellos, utilizan la misma maqueta de laboratorio.
Los exámenes que componen esta nueva certificación CCNA Security son:
  • 300-206 SENSS - Implementing Cisco Edge Network Security Solutions.
  • 300-207 SITCS - Implementing Cisco Threat Control Solutions.
  • 300-208 SISAS - Implementing Cisco Secure Access Solutions.
  • 300-209 SIMOS - Implementing Cisco Secure Mobility Solutions.
El pre-requisito de contar con una certificación CCNA Security válida, y que los 4 exámenes se aprueben en un período de 3 años, permanece sin cambios.
Todos estos nuevos exámenes ya se encuentran disponibles.
Una síntesis de lo abarcado por cada uno de estos nuevos entrenamiento (y exámenes), podría ser la siguiente:
  • SENSS
    Configuración de soluciones de seguridad perimetral en el borde de la red utilizando switches y routers Cisco y firewalls ASA.
    Estará disponible a partir del 7 de febrero de 2014 en los Cisco Learning Partners.
  • SITCS
    Implementación de Cisco's Next Generation Firewall (NGFW) para seguridad en correo electrónico, web y cloud.
    Estará disponible a partir del 24 de febrero de 2014.
  • SISAS
    Implementación de acceso seguro a la red utilizando ISE (Identity Services Engine).
    Ya se encuentra disponible en Cisco Learning Partners.
  • SIMOS
    Protección de datos que atraviesan la infraestructura de red pública o compartida implementando soluciones VPN.
    Estará disponible a partir del 19 de febrero de 2014.
La nueva certificación de Cisco Cybersecurity Specialist se obtiene rindiendo un solo examen:
  • 600-199 SCYBER - Securing Cisco Networks with Threat Detection and Analysis.
Para brindar entrenamiento a quienes desean acceder a esta certificación de especialista, Cisco podrá a disposición, el curso SCYBER de 40 hs. de duración.
Para responder a la necesidad (sobre todo en los Cisco Partners) de técnicos especializados en determinados productos, se anunciaron nuevos entrenamientos en productos que no están mapeados a una certificación en particular:
  • Implementing Advanced Cisco ASA Security - SASAA
  • Implementing & Configuring Cisco Identity Services Engine for Wireless Engineers - SWISE
  • Implementing Cisco Bring Your Own Device Solutions - SBYOD
  • Implementing Core Cisco ASA Security - SASAC


El concepto básico de esta diversidad es que 3 roles diferentes requieren 3 niveles diferentes de entrenamiento y certificación:

  • Network Security Engineers.
    Responsables de diseñar, implementar, mantener y gestionar soluciones de seguridad end-to-end: CCNP Security.
  • Network Security Analist.
    Responsable del monitoreo de eventos, análisis de alarmas y tráfico, y respuesta a incidentes:
    Cybersecurity Specialist.
  • Cisco Network Security product expert.
    Gestiona nuevos proyectos e instala o utiliza productos de seguridad de Cisco.
    Cisco Product Training.
Caducidad de los exámenes actuales.
La certificación CCNP Security actual, está compuesta también por 4 exámenes: SECURE, FIREWALL, VPN e IPS. Estos exámenes estarán disponibles hasta el próximo 21 de abril de 2014.
Quienes ya están en proceso de certificación y tienen algunos de estos exámenes rendidos, podrán obtener su certificación CCNP Security completando los exámenes que le falten antes del 21 de abril de 2014 o bien migrando a los nuevos exámenes, para lo cual se ha publicado un "migration path".
Sintetizándolo:
  • A quienes tienen aprobado SECURE, se les da por aprobado 300-208 SISAS.
  • A quienes tienen aprobado IPS, se les da por aprobado 300-207 SITCS.
  • A quienes tienen aprobado FIREWALL, se les da por aprobado 300-206 SENSS.
  • A quienes tienen aprobado VPN, se les da por aprobado 300-209 SIMOS.
  • En cualquier caso, siempre es necesario aprobar 4 exámenes en cualquier combinación de las versiones que se retiran con los exámenes nuevos.
Como el sistema tiene detalles adicionales, sugiero que quienes están en esta transición consulten el Exam Migration Path publicado en la página de Cisco.
Esto no significa que haya una correspondencia exacta entre los contenidos de los exámenes, sino que Cisco reconoce los exámenes ya aprobados como válidos para la nueva certificación para no afectar a quienes están en el proceso de aprobar los 4 exámenes exigidos.

Es obvio que la recomendación para quién hoy inicia este trayecto de certificación es que inicie desde ya con los nuevos entrenamientos y exámenes.

La pregunta de muchos: ¿habrá más cambios?
No lo sé, pero personalmente, creo que sí. Este cambio desde una visión de producto a una de arquitectura está alineado (a mi modo de ver) con la estructura del trayecto de certificación de Service Provider, y si estamos atentos a la evolución de la propuesta de Cisco, esta es la línea de trabajo que se está afirmando con el paso del tiempo.
Pero por otra parte, hacer previsiones específicas sobre qué certificaciones cambiarán y cuándo, creo que no es posible y lo prudente es aguardar los anuncios de Cisco en cada caso. No es un proceso sencillo y difícilmente se pueda desarrollar de modo uniforme en toda la diversidad de certificaciones que hoy ofrece Cisco. 

Enlaces de importancia.


8 comentarios:

  1. Bien. Muy interesante.
    Pero mis dudas son dos:

    1- ¿ Se puede trabajar como CCNA o CCNP a distancia ?. Pregunto si existen casos así. Ya se que se puede acceder (si está habilitado) en forma remota. Me refiero a tener un trabajo a distancia (desde mi hogar) sobre estos temas de Networking. ¿ Porque la pregunta ?. Porque quiero adquirir experiencia luego de obtener la certificación, pero no me interesa mudarme a una gran ciudad de Argentina (inseguridad y calidad de vida). Si lo haría a una gran ciudad de Canadá (cuando emigre con la certificación), pero allí la historia es otra.
    2- ¿ De que sueldo se puede hablar como CCNA o CCNP ?. En Argentina. En el Canadá es mas que suficiente para vivir sin problemas.

    Saludos cordiales.

    Gustavo F. Paredes

    ResponderBorrar
    Respuestas
    1. Gustavo.
      La posibilidad de trabajar remotamente no depende de una certificación, sino de la tarea que se desempeña y las políticas de recursos humanos que implementa la organización.
      En el mundo actual, gran parte de la tarea puede desarrollarse remotamente, pero eso no depende de la tecnología sino de opciones del ámbito laboral que son ajenas a una respuesta como la que estás buscando.

      Borrar
  2. Buenas tardes Oscar

    Tendria usted informacion acerca de la certificacion CCNA SECURITY 200-160??
    Acabo de obtener la certificacion 200-120 y me gustaria tener informacion sobre la security. las diferencias comparado a su predecesora 640-554? ect...

    Muchas gracias

    Un saludo

    ResponderBorrar
    Respuestas
    1. Toda la información oficial sobre el examen puedes revisarla directamente en la página de Cisco:
      http://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna-security.html

      Borrar
  3. Cual sería el mejor path a seguir para presentar los examenes de CCNP Security?

    saludos.

    ResponderBorrar
    Respuestas
    1. Heri
      La definición del mejor path depende de varios elementos diferentes, entre otros, tus conocimientos y preparación personales.
      En principio opino que una buena estrategia sería iniciar por SISAS y SENSS, para luego tomar, en cualquier orden, SIMOS y SITCS ya que ambos son temas específicos que no tienen relación entre sí.

      Borrar
  4. Una consulta Oscar ¿Cuándo uso el comando en ip tacacs source-interface loopback0 esto quiere decir que los paquetes entre el servidor tacacs y el router solo se harán por esa interfaz? ¿Es posible que si uso este comando lleguen al servidor paquetes de otras interfaces, por ejemplo de una interface de LAN solo deben llegar desde la loopback 0?

    ResponderBorrar
    Respuestas
    1. Cuando un paquete generado en un dispositivo se envía a través de una interfaz se utiliza como dirección IP de origen la dirección IP de la interfaz de salida. Esto hace que sea complejo prever la dirección IP de origen del tráfico de gestión o control que se recibe y por lo tanto complejo implementar una política que limite las direcciones IP de origen que se aceptan para ese tipo de tráfico.
      Ese comando lo que hace es indicar que, independientemente de la interfaz de salida de cualquier paquete que utilice el servicio TACACS+ ese paquete utilice como dirección IP de origen la que se especifica. En este caso utiliza la dirección IP asignada a la interfaz Loopback 0; por ser una interfaz loopback, por esa interfaz no puede realizarse reenvío de tráfico.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.