Definición de CISM
Certified Information Security Manager, o CISM, es una certificación para profesionales de TI avanzados que desean demostrar que pueden desarrollar y administrar un programa de infosec a nivel empresarial. Es ofrecido por ISACA, una asociación profesional sin fines de lucro centrada en la gobernanza de TI, y se centra en cuatro áreas principales:
- Gestión de la seguridad de la información
- Gestión de riesgos y cumplimiento de la información
- Desarrollo y gestión de programas de seguridad de la información
- Gestión de incidentes de seguridad de la información
Si está interesado en tomar decisiones comerciales sobre ciberseguridad y trabajar con el liderazgo de su organización, o tal vez unirse a él, vale la pena buscar el CISM.
CISM vs. CISSP
¿Cuál es la diferencia entre CISM y CISSP, uno de los otros certificados avanzados de ciberseguridad más populares? Tanto CISM como CISSP requieren conocimientos técnicos de infosec, pero CISM requiere específicamente que demuestre que comprende los incentivos en torno a la seguridad de la información desde un punto de vista empresarial, en lugar de solo un punto de vista técnico. Está fuertemente orientado hacia los gerentes y aquellos que aspiran a ser ascendidos a la gerencia. Una certificación CISSP, por el contrario, demuestra un profundo conocimiento técnico sobre una amplia lista de dominios de seguridad, aunque implica algunas responsabilidades de gestión también.
Los dos cert no son una propuesta de uno u otro — ISC2, la organización que ofrece el CISSP, dice que se complementan entre sí. No es raro que las mismas personas persigan ambas certificaciones, aunque a menudo una certificación CISM anuncia un giro profesional hacia la administración.
Requisitos y requisitos previos de CISM
Para obtener la certificación CISM, debe cumplir dos requisitos:
- Debe aprobar el examen CISM, y
- Debe demostrar una cantidad mínima de experiencia laboral requerida
Para cumplir con ese segundo requisito, necesita cinco años de experiencia en seguridad de la información dentro de la década antes de solicitar la certificación, con tres años de experiencia en administración en tres o más de las áreas principales que enumeramos anteriormente, a las que ISACA se refiere como áreas de práctica laboral. Hay un poco de margen de maniobra aquí: Ciertos certificados de nivel inferior pueden suplir años de experiencia, y el tiempo dedicado a enseñar infosec a nivel universitario también puede sustituir. Pero claramente, esta no es una certificación para principiantes: necesita haber estado alrededor de la cuadra por un tiempo, y haber trabajado en administración durante algún tiempo también.
Una faceta interesante de este requisito previo es que en realidad no necesita cumplir con todo el requisito de experiencia laboral para comenzar el proceso de obtener su certificado CISM. Puede tomar el examen incluso si no tiene suficiente experiencia profesional para calificar para la certificación, y si lo aprueba, puede solicitar la certificación una vez que obtenga la experiencia necesaria, siempre y cuando sea dentro de los próximos cinco años. ISACA llama a esta práctica «aceptable» y dice que es común.
Examen CISM
El examen CISM está en el corazón de la certificación. Cubre las cuatro áreas de práctica del trabajo descritas anteriormente, más o menos por igual. Hay un desglose muy completo de los dominios, subtemas y tareas clave en los que se realizará la prueba en el sitio web de IASCA. (Tendrá que crear una cuenta con IASCA para acceder a ese enlace, pero no hay cargo para hacerlo. El blogger Ammar Hasayen tiene un buen desglose de qué tipo de temas del mundo real puedes esperar bajo los paraguas de cada uno de esos dominios. Por ejemplo, las preguntas de gobernanza de la seguridad de la información tienen como objetivo ver cómo desarrollaría una estrategia de infosec y un marco que guiará las actividades de la organización para respaldar esa estrategia.
El examen CISM se puede tomar en línea o en persona, consta de 200 preguntas y, al igual que el SAT, se puntúa en una escala de 200 a 800, con 450 como puntaje aprobado. (Si no aprueba, puede repetir el examen hasta cuatro veces al año.) También como el SAT, el examen CISM es de opción múltiple. Pero no dejes que eso te haga caer en la autocomplacencia. El arquitecto de seguridad de TI Jeremiah Walker, en un artículo en LinkedIn, dice que » a diferencia de la mayoría de los exámenes de opción múltiple, la mayoría de las preguntas tienen al menos tres buenas respuestas. Verás un montón de preguntas que preguntan, ‘ ¿Qué es lo MÁS importante que hacer en esta situación?¿o qué paso debes dar PRIMERO? No podrás adivinar estas preguntas. Debes entender verdaderamente el material del CISM.»
Otra cosa importante a tener en cuenta al tomar el examen: Debe tener en cuenta la orientación de gestión de la certificación y ver las preguntas a través de esa lente.
Costo del examen CISM
¿Cuánto cuesta el examen CISM? No es barato: la mayoría de la gente pagará 7 760, aunque hay un precio con descuento de 5 575 disponible para los miembros de ISACA. La membresía de ISACA cuesta 1 130 por año, más una tarifa inicial única al unirse y las cuotas a un capítulo local, aunque obtiene beneficios más allá del descuento del examen.
Guía de estudio CISM
Hay varias guías de estudio oficiales y no oficiales para el examen CISM. Quizás la más importante es la base de datos de Preguntas, Respuestas y Explicaciones (QAE) de ISACA, a la que se puede acceder con una cuenta gratuita de ISACA. Tenga en cuenta que la base de datos de QAE no incluye las preguntas reales que encontrará en el examen; más bien, le mostrará los tipos de preguntas que puede esperar. «Las preguntas mostraban bien cómo se redactarían las preguntas reales», dice un usuario de Reddit que recientemente aprobó el examen. «Tener las razones por las que las respuestas fueron correctas e incorrectas es probablemente lo mejor. Ni una sola pregunta de la base de datos de QAE estaba en el examen real, pero siento que aprendí mucho leyendo las descripciones de las respuestas.»
ISACA también publica un manual de revisión oficial, que está disponible por IS 135 de ISACA o Amazon. También hay guías de estudio no oficiales, como es el caso de la mayoría de las grandes certificaciones: uno que viene recomendado de varios trimestres es la Guía de Examen Todo en uno de CISM, que cuesta solo $40 en Amazon.
Formación CISM
¿Busca ir más allá de las guías de estudio y desea aprender de una manera más estructurada? Una serie de cursos de capacitación están disponibles para usted. Una vez más, hay una oferta oficial aquí: ISACA ofrece un Curso de Revisión en línea CISM, que incluye 17 horas de instrucción y cuesta $895. (Los miembros obtienen un descuento de $100.)
Hay muchos otros cursos en línea que también puede tomar de una variedad de proveedores. Algunas de las ofertas mejor valoradas incluyen:
- El curso de Certified Information Security, que incluye soporte telefónico directo con un mentor y cuesta 6 666.60.
- El Curso de Capacitación CISM de CyberVista, disponible en formatos en línea y bajo demanda, cuesta $1,724.65.
- com, a pesar del nombre, también ofrece un campo de entrenamiento CISM en línea, que cuesta 4 498.
- La capacitación de certificación CISM de SimpleLearn incluye 16 horas de contenido de aprendizaje electrónico y cuesta 5 599.
Si está buscando algo de menor costo y menor impacto, hay una serie de cursos disponibles en Udemy por tan solo $11.99.
Certificación CISM y costo de certificación CISM
Una vez que haya aprobado su examen y acumulado suficiente experiencia laboral para calificar, estará listo para solicitar su certificación CISM. Este es un proceso relativamente indoloro y requiere una tarifa única de procesamiento de solicitudes de 5 50.
Sin embargo, CISM no es un cert de una sola vez, get-it-and-forget. Para mantener su certificación, debe tomar al menos 120 horas de educación profesional continua (CPE) durante un ciclo de informes de tres años, con un mínimo de 20 horas cada año. Hay muchas maneras de cumplir con este requisito, como asistir a clases universitarias, capacitaciones corporativas o presentaciones de ventas de proveedores, o participar en actividades y reuniones de educación profesional. Puede obtener más detalles leyendo la Política de CPE CISM de ISACA. También vale la pena señalar que uno de los beneficios de la membresía ISACA son los programas gratuitos que cuentan para sus horas de CPE.
Si está certificado por CISM, también se espera que se adhiera al código de ética profesional de CISM. Finalmente, tiene que pagar una tarifa de mantenimiento anual de $85, aunque se reduce a 4 45 para los miembros de ISACA, y si tiene varias certificaciones de ISACA, obtiene un descuento por volumen en el mantenimiento.
CISM: Empleos y beneficios salariales
Esto es un montón de aros para saltar, por lo que surge la pregunta obvia: ¿vale la pena? Bueno, si está interesado en un puesto de gestión, y los salarios más altos que requieren dichos puestos, es una excelente manera de señalar su experiencia, así como su seriedad sobre su carrera y ambiciones. Los títulos de trabajo que coinciden con las credenciales de CISM incluyen gerente de seguridad de la información, especialista en cumplimiento de riesgos de información y, sí, CIO.
Esos títulos de trabajo generalmente vienen con salarios elevados. Una encuesta reciente de la revista Certification analizó los salarios promedio de los titulares de varios certificados de seguridad, y CISM salió en la cima, en $127,063. Y vale la pena señalar que el 48% de los encuestados dijeron que obtuvieron un aumento al año de obtener su certificación de seguridad más reciente.