En realidad no son certificaciones en competencia
Recibo esta pregunta constantemente, y la respuesta honesta es que CISSP y Security+ no compiten por el mismo lugar en tu CV — se sitúan en etapas de carrera completamente diferentes. Security+ es una credencial de nivel de entrada, independiente de proveedores, dirigida a personas que están entrando en ciberseguridad. CISSP es una certificación de gestión y arquitectura de nivel senior de ISC2 que requiere años de experiencia laboral remunerada solo para obtener la designación completa. Compararlos directamente es un poco como comparar un examen de conducir con una licencia de HGV — campo relacionado, nivel muy diferente.
Si te haces esta pregunta porque eres nuevo en el campo, la respuesta es simple: Security+ primero, siempre. CISSP aún no es alcanzable, y incluso si lo fuera, no sería la credencial adecuada para donde estás.
El requisito de experiencia que la mayoría pasa por alto
Este es el detalle que confunde a la gente: CISSP requiere un mínimo de cinco años de experiencia laboral remunerada acumulativa en al menos dos de los ocho dominios CISSP (un año puede ser condonado con una licenciatura relevante u otra certificación aprobada). Puedes presentarte y aprobar el examen sin esa experiencia y convertirte en "Asociado de ISC2", pero no obtienes la designación CISSP completa hasta que se satisfaga el requisito de experiencia y sea respaldado. Security+ no tiene tales requisitos — puedes presentarte el primer día de tu carrera.
Esa es la razón práctica por la que la mayoría de personas necesitan Security+, o una base equivalente, mucho antes de que CISSP sea relevante para su situación. También explica por qué los anuncios de trabajo que piden "CISSP o equivalente, 5+ años de experiencia" no se parecen en nada a los anuncios de nivel de entrada que mencionan Security+ — no están dirigidos al mismo candidato en absoluto, y tratarlos como peldaños en la misma escalera corta establece expectativas poco realistas de cualquier forma.
Lado a lado
| Security+ (SY0-701) | CISSP | |
|---|---|---|
| Nivel | Entrada | Senior / gestión |
| Organismo | CompTIA | ISC2 |
| Experiencia requerida | Ninguna | 5 años (con condonaciones) |
| Enfoque | Fundamentos técnicos | Gestión de seguridad, gobernanza, arquitectura |
| Titular típico | Analista junior, cambiador de carrera | Gestor de seguridad, arquitecto, vía CISO |
| Renovación | Educación continua | Educación continua (CPEs) |
Lo que les digo a estudiantes que quieren ir directo a CISSP
Ocasionalmente tengo un estudiante, normalmente alguien en cambio de carrera que viene de un rol senior en otro campo — gestión de programas, liderazgo de ingeniería, militar — que quiere ir directo por CISSP porque parece la certificación "superior". Les digo lo mismo cada vez: CISSP prueba amplitud de conocimiento de gestión de seguridad en ocho dominios, y sin ningún conocimiento fundamental en los fundamentos técnicos, estarás memorizando conceptos que nunca has visto aplicados realmente. Esa es una forma mucho más difícil, mucho menos durable de aprender, y no te ayuda si no puedes superar el requisito de experiencia para mantener la credencial completa de todos modos.
Constructo la base técnica primero — Security+ o equivalente, idealmente con algo de práctica práctica — luego deja que CISSP sea la credencial que formaliza el conocimiento de nivel de gestión una vez que realmente estés operando en ese nivel. Digo esto como alguien que posee CISSP: el examen premia el juicio construido a partir de decisiones reales que has tenido que tomar bajo presión — un incidente en vivo, una compensación de presupuesto, una excepción de política que nadie quería firmar. Sin ese historial de experiencia para extraer, estás memorizando abstracciones en lugar de reconocer patrones que ya conoces, y esa es una forma mucho más lenta, mucho menos confiable de prepararse.
Un orden sensato
- Security+ (o ISC2 CC) — vocabulario y conceptos fundamentales.
- Experiencia práctica — un rol de analista, una credencial práctica como BTL1, proyectos prácticos.
- Una especialización — seguridad en la nube, equipo azul, GRC, dependiendo de hacia dónde vaya tu carrera.
- CISSP — una vez que estés acumulando años de experiencia y te estés moviendo hacia responsabilidades de gestión o arquitectura.
Si no estás seguro de que CISSP valga la pena incluso una vez que califiques para él, he escrito el caso a favor y en contra por separado: ¿vale la pena CISSP?. Y si quieres la imagen completa de dónde se sitúa Security+ antes de todo esto, ver ¿vale la pena Security+?.
Preguntas frecuentes
¿Puedo obtener CISSP sin experiencia laboral?
Puedes aprobar el examen y convertirte en Asociado de ISC2, trabajando hacia la designación CISSP completa a medida que acumulas la experiencia requerida. No puedes mantener la credencial CISSP completa sin ella.
¿Es CISSP más difícil que Security+?
Sí, pero no solo por la dificultad del contenido — CISSP prueba amplitud y juicio en temas de gestión de seguridad, lo cual es más difícil de meter que los objetivos técnicos más definibles de Security+.
¿Deberían los cambiadores de carrera ir directo por CISSP?
Solo si ya tienes años de experiencia relevante de campos adyacentes que ISC2 creditará — por ejemplo, roles de riesgo de TI, auditoría, o gestión de programas con contenido de seguridad real. De lo contrario, constructo la base primero.
¿Cuenta Security+ hacia el requisito de experiencia de CISSP?
Security+ en sí no cuenta como experiencia laboral, pero CompTIA tiene acuerdos que permiten que ciertas certificaciones CompTIA satisfagan un año de la condonación de experiencia CISSP — revisa la página oficial de ISC2 para la lista actual, ya que estos arreglos cambian.
¿No estás seguro de cuál de estos en realidad coincide con dónde estás ahora? Reserva una lección de prueba y mapearemos el siguiente paso realista en lugar del aspiracional.