Javier Carbone es consultor especializado en seguridad de la información y privacidad de datos. Tiene más de 12 años de experiencia en TI multifuncional en ciberseguridad, consultoría, protección de la información y privacidad de datos, asesoría y gestión de riesgos y análisis de negocios. Puede mostrar varias implementaciones de PCI DSS, ISO 27001, auditorías y actualmente trabaja como security advisory para Techint, con sede en Buenos Aires, cuidando la garantía de terceros y las evaluaciones de riesgo de la nube. Posee varias certificaciones internacionales, que incluyen CEH, CCSK e ISO27001 LA.
¿Cuál es tu rol en la actualidad?
En este mundo diverso, conectado a la nube y dinámico, no es fácil para mí describir un rol específico, ya que tengo que usar varios sombreros, según la mesa en la que esté sentado. Dicho esto, actualmente estoy desempeñando una función de asesoría de riesgos en uno de los holdings más grandes. Esta posición me retiene en el desafío de realizar aseguramiento de riesgo contractual, consultas de privacidad de datos y evaluación de riesgo tecnológico.
¿Qué te llevó a la seguridad en la nube en primer lugar? ¿Qué te hizo decidir certificar el CCSK (Certificate of Cloud Security Knowledge)?
Para mí, la seguridad en la nube es un tema interesante y en evolución. Creo que la adopción de la nube es inevitable para las organizaciones en esta era, ahora. Por este motivo, mantenerme actualizado sobre el conocimiento imprescindible en la nube, me hizo prestar atención a su seguridad. Un colega amigo, Leonardo Devia, me recomendó esta certificación de CSA Cloud Security Alliance. Una vez que me decidí a poner mis manos en la seguridad de la nube, me convencí de que el CCSK era la mejor opción para profundizar con los conceptos, ya que cubre todos los fundamentos de escenarios complejos del mundo real: en la implementación de la nube, la migración, evaluación de la nube y muchos otros tópicos dentro de los 14 dominios que tiene el estudio del CCSK.
¿Podrías explicar cómo los materiales cubiertos en el examen te ayudaron específicamente?
Claro, el objetivo de este examen es evaluar qué tan bien los elementos o dominios de los modelos / servicios en la nube son entendidos por los candidatos. Por lo tanto, este examen internacional espera que estés al tanto de áreas clave como la gobernabilidad, los desafíos legales, la respuesta a incidentes, el cumplimiento y la gestión de riesgos, que son muy importantes y desafiantes en la adopción de la nube, tanto para los consumidores como para los proveedores de servicios de la nube.
¿Cómo te preparaste para el examen CCSK?
Principalmente seguí el kit de preparación disponible en el sitio de CSA. Además de contar con experiencia en ciberseguridad y con la evaluación de riesgos de terceros, me ayudó a descifrar el examen CCSK.
Si pudieras volver y tomarlo de nuevo, ¿te prepararías de manera diferente?
Como mencioné anteriormente, la nube es un mundo en constante cambio, con nuevas amenazas y desafíos que evolucionan casi todos los días. Por lo tanto, elevaría mi conocimiento al examinar los materiales de estudio actuales de CSA y exploraría los desafíos y soluciones reales en las industrias, para la implementación y adopción de la nube.
¿Hubo algún tema específico en el examen que hayas encontrado más complicado que otros?
Sentí que la gestión legal y de cumplimiento, junto con los incidentes de seguridad que manejaban los dominios, eran bastante interesantes. Principalmente, porque estas áreas presentan diferentes desafíos para los servicios en la nube, especialmente al detallar los roles, responsabilidades y limitaciones tanto para los consumidores en la nube como para los proveedores.
¿Cuál es tu consejo para las personas que están considerando obtener su certificación CCSK?
Recomiendo encarecidamente a los aspirantes de CCSK que vean este examen como un curso fundamental y lo utilicen como un trampolín en el vasto viaje de la seguridad en la nube. CCSK no sólo lo diferenciará de los demás al otorgarle una credencial, sino que también lo ayudará en un viaje más largo, independientemente de su función (consumidor en la nube, proveedor o asesor de riesgos independiente, etc.) debido a sus conceptos esenciales, que no son específicos para ningún proveedor / solución particular en la nube.
Por último, ¿qué material de CCSK ha sido el más relevante en tu trabajo y por qué?
Es un poco difícil para mí señalar uno o varios dominios específicos, ya que la mayoría de los dominios y materiales fueron y son relevantes para mi trabajo. Dada la naturaleza de los negocios en los que estamos actualmente, tengo que desempeñar múltiples funciones. Específicamente, uso la Guía de seguridad y la Matriz de controles de la nube al tratar con la administración de riesgos de los proveedores. Éstas ayudan a aclarar los roles y responsabilidades clave entre el proveedor de la nube y el consumidor. Además, estos documentos sirven de guía para tranquilizarme con los conceptos de la nube.
