Viernes, 29 mayo 2020

CISM: ¿En qué consiste y para qué sirve esta certificación?

La certificación CISM (Certified Information Security Manager) de la asociación ISACA (Information Systems Audit and Control Association) ha sido desarrollada para los profesionales que se dedican a la gestión de la seguridad de la información. Esta define los conocimientos y las competencias para que estos profesionales sean capaces de diseñar, supervisar, evaluar y administrar la seguridad de la información de una organización. ¿Quieres saber más sobre la certificación CISM y cuál es su importancia? En UNIR abordamos los puntos clave de esta certificación de seguridad informática.

 

 

Ámbitos de la certificación CISM

Los dominios o campos de la seguridad de la información que cubre el temario de esta certificación son:

1. Gobierno de la seguridad de la información:

– Estrategia de seguridad.

– Marco de referencia de gobierno para soportar el programa de seguridad.

– Involucramiento del Gobierno Corporativo en el Gobierno de la Seguridad para lograr los objetivos estratégicos.

– Definición y establecimiento de la Política de Seguridad.

– Desarrollo de casos de negocio para optimizar las inversiones de seguridad.

– Identificación de los Factores Ambientales de la Organización (contexto interno y externo) y los Activos de los Procesos de la Organización) que influyen en la elaboración e implementación de la estrategia de seguridad.

– Definición de los roles y responsabilidades de seguridad.

– Aseguramiento del compromiso de la Alta Dirección y los interesados más importantes.

– Definición y obtención de los indicadores de efectividad del programa de seguridad.

 

 

2. Gestión de riesgos de la información:

– Clasificación y aseguramiento de los activos de información.

– Identificar las obligaciones legales de cumplimiento por la organización.

– Aseguramiento periódico de la revisión de los riesgos, análisis de vulnerabilidades y la evaluación de las medidas de mitigación.

– Definición e implementación del plan de respuesta a los riesgos identificados.

– Integración de la gestión del riesgo con los procesos de negocio y la tecnología de la información.

– Monitorización de los riesgos para identificar y gestionar los cambios en los mismos.

3. Desarrollo y gestión del programa de seguridad de la información:

– Aseguramiento de que el programa y los objetivos de negocio están alineados.

– Gestión de los recursos necesarios para la implementación y el cumplimiento del programa.

– Establecimiento y mantenimiento de la arquitectura de seguridad para la realización del programa.

– Definir, desarrollar, implantar, comunicar y revisar los procedimientos, guías, etc. que soportan la Política de Seguridad de la Información.

– Definición del Plan de Formación y Concienciación en Seguridad.

– Integración de los requisitos de seguridad en los procesos de la organización.

– Integración de los requisitos de seguridad con terceros que acceden a la información de la organización.

– Monitorización de la efectividad del programa.

4. Gestión de incidentes de seguridad de la información:

– Definición de incidentes de seguridad de la información para su identificación, clasificación, comunicación y seguimiento.

– Desarrollo del Plan de Respuesta ante Incidentes de Seguridad.

– Desarrollo de procedimientos de identificación de incidentes.

– Desarrollo de procedimientos de investigación de incidentes para determinar sus causas, cumplir los requisitos legales, etc.

– Desarrollo del Plan de Concienciación ante Incidentes.

– Desarrollo del Plan de Comunicación ante Incidentes.

– Revisión de la efectividad de la gestión de los incidentes de seguridad sufridos por la organización.

 

 

¿Cómo obtener la certificación CISM?

CISM no solo certifica conocimiento, sino también experiencia profesional. Es por ello que, para poder presentarse al examen de certificación de CISM, es necesario acreditar 5 años de experiencia laboral en gestión de seguridad de la información en al menos tres de los cuatro dominios comentados, aunque se pueden convalidar hasta 2 años de la experiencia requerida (otra experiencia en seguridad, certificaciones, etc.).

El examen del CISM consta de 150 preguntas —a responder en cuatro horas— de las cuales el 24 % corresponde al dominio 1, el 30 % al dominio 2, el 27 % al tercero y el 19 % al cuarto. No se dispone de información fiable acerca del porcentaje de preguntas correctas necesarias para aprobar el examen, pero se considera que con una puntuación igual o mayor al 75 % es suficiente.

Contar con la certificación CISM acredita a un profesional (y su experiencia laboral) como experto en el desarrollo y gestión de programas de seguridad. Está reconocida a nivel internacional y es una de las certificaciones mejor retribuidas. Así pues, la obtención de esta certificación otorga una ventaja competitiva y es conveniente como complemento a un estudio oficial en seguridad de la información.