1. ¿Dónde encuentro el formato de aplicación para la certificación CISM?

El formato de aplicación CISM está ubicado en http://www.isaca.org/CISMapp.

2. ¿Cuáles son las calificaciones para obtener la credencial CISM?

Calificar para el CISM requiere una combinación de 4 E´s: Experiencia, Ética, Educación y Examen. Específicamente, los requisitos son:

• Obtener un puntaje aprobatorio en el examen.

• Adherirse al Código de ética Profesional de ISACA.

• Comprometerse a mantener la Política de Educación Profesional Continua.

• Envío de evidencia verificada de un mínimo de cinco años de experiencia laboral en seguridad de información, con un mínimo de tres años de gestión de seguridad de información, experiencia laboral en tres o más áreas de práctica. Existen recursos que se pueden convalidar como experiencia laboral en seguridad de información, si se cumplen determinados criterios de certificación o educación.

3. ¿Porqué ISACA ofrece una certificación en seguridad de información?

El nombre de ISACA refleja su obligación de ofrecer productos, servicios y beneficios, no solamente a la profesión de auditoría de sistemas de información, sino también a aquellos que juegan un rol fundamental en el control de los sistemas de información. Hace más de 20 años que ISACA innovó con la certificación CISA, desarrollando y ofreciendo programas de entrenamiento para responsables de auditoría, seguridad y gobierno de sistemas de información.

Las conferencias de ISACA conocidas como CACS (computer audit, control and security) están ampliamente reconocidas. Estos programas son brindados cada año en diferentes países y satisfacen las necesidades educativas de una amplia variedad de profesionales de sistemas de información.

Recientemente, ISACA desarrolló actividades adicionales al control de TI y la seguridad de información: acentuó el foco en seguridad con la publicación ISACA Journal, creó el IT Governance Institute, desarrolló investigaciones de interés particular y en beneficio de los profesionales de gestión de seguridad. La madurez de la membresía ISACA y de los CISA y sus necesidades de una credencial de seguridad de información que vaya más allá de los niveles estándares, impulsó a ISACA al desarrollo de la credencial CISM.

4. ¿Quién es elegible para llegar a ser CISM certificado y que hace único a la designación CISM?

La designación CISM es única en única en el mercado de credenciales de seguridad de información porque ha sido diseñada específicamente y exclusivamente para individuos que tienen experiencia en gestión de programas de seguridad de información. Los requisitos de experiencia y el examen CISM están basados en la experiencia requerida para realizar en forma competente las funciones y responsabilidades de un gerente de seguridad de información. Estos requisitos y las tareas y conocimiento que son evaluados fueron desarrollados por líderes en seguridad de información y luego validados por expertos en la materia y gerentes de seguridad de información. Los requisitos están diseñados para medir la experiencia individual en gestión de escenarios en seguridad de información, no son habilidades prácticas generales.

5. ¿Los certificados CISA califican para la designación CISM?

El programa de certificación CISM reconoce el logro de la credencial CISA como un hito que significa que un individuo tiene conocimientos y habilidades generales en seguridad de información. Como tal, los CISA reciben una convalidación de dos años de experiencia general en seguridad de información; sin embargo, los CISA no serán elegibles para alcanzar el CISM a menos que tengan la experiencia requerida y puedan demostrar la pericia y el conocimiento práctico en el rol de un gerente de seguridad de información.

6. ¿Qué actividades cuentan como experiencia en gestión de la seguridad de información para la certificación CISM?

La gestión de seguridad de información es un campo muy amplio, incluyendo varias especialidades en la profesión de seguridad. ISACA categoriza estas actividades de gestión en cinco áreas, cada una de las cuales es detallada en tareas discretas, y cada tarea se compone del conocimiento necesario para realizar cada tarea. Para calificar a la certificación CISM, el candidato debe tener un mínimo de cinco años de experiencia en seguridad de información, de los cuales tres o más deben ser en labores de gestión de seguridad de información. Note que el requisito no especifica que el candidato ocupe una determinada position que lo designe como un CISO o algún rol específico en gestión de seguridad; sin embargo, para aquellos que no tienen la designación, el rol que claramente deben desempeñar se orienta a tareas en 3 de las 5 áreas de gestión como se define en el Análisis de Tareas CISM. En estos tiempos, aún existen organizaciones que tienen individuos en roles mixtos que incluyen funciones de un gerente de seguridad de información además de otras responsabilidades no relacionadas, particularmente en organizaciones pequeñas que no tienen suficiente staff para un departamento de seguridad de información o roles dedicados. Note que las auditorías, supervisión, gap análisis u otras actividades que evalúan la efectividad de un programa de seguridad de información que es gestionado por otras personas, no cumplen totalmente con el estándar para la gestión de seguridad de información. Para mayor información, vea la pregunta relativa a la experiencia en auditoría.

7. He sido gerente de auditoría por varios años. He auditado el programa de seguridad de información en varias oportunidades. ¿Esta experiencia es válida como gestión de seguridad de información?

Si bien es cierto que los auditores hacen un gran trabajo de involucramiento con el programa de seguridad de información, ellos no tienen injerencia directa en la gestión, el éxito o el fracaso del programa. Además, las auditorías son eventos puntuales, y consideran a la gestión del programa o incluso al desarrollo del programa como una actividad rutinaria. Generalmente, los auditores pueden ubicar su trabajo en las áreas 1 y 2 (Gobierno de seguridad de información y Gestión del riesgo de la información), si han participado directamente en tareas de aseguramiento de TI. Sin embargo, usualmente no tienen la experiencia apropiada para calificar en las áreas 3, 4, and 5 (Desarrollo del programa de seguridad de información, Gestión del programa y Gestión y respuesta ante incidentes). En general, un individuo cuya carrera ha sido exclusivamente en Auditoría de TI no tiene la apropiada experiencia para calificar a la certificación CISM. Existen personas que trabajaron en la gestión o en el desarrollo de un programa de seguridad que luego se van a Auditoría de TI, mientras que existen personas que hicieron el camino inverso. En cada uno de estos casos, el candidato podrá justificar tiempos de ambos roles para calificar a la certificación, aunque el mínimo tiempo requerido para la gestión de un programa es de al menos un año. Note que en organizaciones pequeñas, los responsables de Auditoría de TI pueden tener roles mixtos que incluyen funciones de seguridad de información. En este caso, ellos deben acumular suficiente experiencia para lograr la certificación CISM, si pueden demostrar que sus actividades de gestión de seguridad de información fueron totalmente independientes de sus actividades de auditoría y que su experiencia cae dentro de la ventana de tiempo requerida de 10 años.

8. ¿Qué tipo de consultoría puedo convalidarse como experiencia en gestión de seguridad de información?

Para determinar si la experiencia en consultoría puede ser presentada como experiencia en gestión de seguridad de información, hay varias preguntas que deberían ser consideradas. Note que incluso con estos criterios, no es una decisión binaria (sí o no), y cada caso debe ser analizado por separado. Sin embargo, con estas preguntas deberíamos ayudar al candidato a calificar apropiadamente su experiencia:

• ¿Durante su vínculo de consultoría, participó directamente en el diseño y/o implementación de un programa de seguridad?

• ¿La consultoría analizó el estado vigente, determinando las causas raíces para cualquier hallazgo identificado, y trabajando con el cliente para planificar y/o implementar un plan de acción para resolver el hallazgo (no simplemente realizando la evaluación del estado vigente, por ejemplo, de evaluación de seguridad, auditoría, o gap análisis)?

• ¿El consultor trabaja actualmente en un rol definido dentro de la organización cliente, realizando tareas de gestión de seguridad que caen dentro de una o más de las áreas de tareas del CISM?

dicionalmente, la naturaleza de la consultoría en cualquiera de los tres escenarios indicados necesitaría ubicarse dentro de una o más de las áreas de tareas del CISM.

Una respuesta afirmativa a una o más de las tres preguntas y el mapeo en una o más de las áreas de tareas es un buen indicador de la experiencia que califica para gestión de seguridad de información.

En resumen, la forma apropiada de determinar si el trabajo de consultoría debería ser considerada es hacer una revisión del trabajo de consultoría realizado a través de las preguntas y la comparación con las áreas de tareas y sus declaraciones relacionadas.

Finalmente, debería considerarse el tiempo. Los consultores pueden dedicarse a varios proyectos al mismo tiempo, el candidato debería asegurar que para el período señalado, la mayoría de su tiempo estuvo dedicado a la consultoría en gestión de seguridad.

9. Se requiere tres (3) años de experiencia en gestión de seguridad de información para la certificación. ¿Debo tener 3 años de experiencia en cada una de las áreas o es válido tener 1 año de experiencia en cada área?

El tiempo mínimo aceptable es 1 año de experiencia en por lo menos 3 de las 5 áreas, y un adicional de 2 años de experiencia general en seguridad de información o una combinación de tiempo y credenciales académicas o sustitución de certificaciones que son listadas en el formato de aplicación CISM).

10. ¿Las certificaciones como CISSP y similares califican para el CISM?

El programa de certificación CISM reconoce el logro de la credencial CISSP como un hito que representa el nivel de conocimiento y habilidades generales del individuo en seguridad de información, tal como se hace con los CISA. Como tal, los CISSP reciben una convalidación de dos años de experiencia general en seguridad de información. Sin embargo, los CISSP no son elegibles para lograr el CISM a menos que tengan la experiencia requerida y puedan demostrar pericia y conocimiento práctico en el rol de un gerente de seguridad de información. Los individuos que ostentan otras certificaciones más especializadas, tales como SANS Global Information Assurance Certification (GIAC), Microsoft Certified Systems Engineer (MCSE), CompTIA Security + Credential y el Disaster Recovery Institute Certified Business Continuity Professional (CBCP) también pueden convalidar hasta un año de experiencia general en seguridad de información.

11. ¿Qué tan diferente es el CISM de otras certificaciones de seguridad?

El CISM difiere de muchas otras certificaciones en virtud a los requisitos de experiencia y foco en el trabajo realizado por un gerente de seguridad de información. Otras certificaciones de seguridad se caracterizan por el foco en destrezas técnicas o en el conocimiento en plataformas o productos específicos, o son logradas por profesionales en sus primeros años de carrera. Solamente CISM se enfoca al gerente de seguridad de información manager, el individuo que ha progresado más allá del ámbito técnico o especialista, a quien se ha movido hacia la gestión de un programa de seguridad de información corporativo. CISM es para el individuo que debe gestionar y supervisar el esfuerzo de la empresa en seguridad de información, incluyendo a los profesionales, muchos de los cuales pueden tener otras certificaciones técnicas. El foco en gestión que tiene que hace único al CISM es demostrado en los requerimientos de la experiencia, con un mínimo de tres años en gestión de seguridad de información, y el foco de su examen, basado en prácticas realizadas por los gerentes de seguridad de información.

12. ¿Qué tan diferente es el CISM del CISSP (Certified Information Systems Security Professional)?

Aunque hay muchas diferencias entre el cuerpo común de conocimientos del CISSP y las áreas de práctica del CISM, la diferencia más obvia está en los requisitos de experiencia. Solamente CISM requiere experiencia en gestión de seguridad de información, en adición a la experiencia general en seguridad de información. CISSP no exige tal requerimiento de gestión. Lograr el CISSP y/o la credencial CISA es complementario y recomendable para la obtención de la credencial CISM.

13. ¿Qué significa “el buen nombre” de CISM?

Con el propósito de ser un CISM “in good standing”, debe lograrse lo siguiente:

• Certificación concedida por el comité correspondiente, resultado de la aprobación de su formato de aplicación.

• Actualización permanente con la educación profesional continua.

• Completar los pagos de mantenimiento de la renovación.

• Cumplimiento permanente del Código de Ética de ISACA.

14. ¿Qué áreas cubre el examen CISM?

El examen CISM cubre cinco áreas de gestión de seguridad de información, cada uno de los cuales está más detallado y definido a través de tareas y declaraciones de conocimiento.

15. ¿Cuál es el análisis de práctica de trabajo de CISM y cómo se desarrolló?

La filosofía de ISACA hacia la certificación es medir el conocimiento y las habilidades del individuo y si corresponde al desempeño de su trabajo. Para definir que hacen los gerentes de seguridad y lo que ellos necesitan saber, ISACA desplegó un equipo de trabajo conformado por prominentes líderes de la industria, expertos en la materia y a profesionales de la industria, para definir el análisis de tareas del trabajo sobre los cuales el examen de certificación se basa. Debido a la importancia del análisis de tareas del trabajo y a los cambios experimentados en la profesión de la seguridad de información, ISACA está revisando este análisis. Adicionalmente a los participantes de este esfuerzo, ISACA se ha asociado con representantes del Information Systems Security Association, el Information Security Forum y ASIS International.