CISM Certified Information Security Manager.

CISM es la credencial de ISACA para gestores de seguridad de la información: gobernanza, gestión de programas, gestión de riesgos, gestión de incidentes. El estándar de referencia para roles de liderazgo en seguridad, requerido en aproximadamente el 60% de las ofertas de CISO. Enfoque distinto al del CISSP: orientado a la gestión, menos técnico.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

La perspectiva de Cyber Academy

CISM es la credencial de ISACA para gestores de seguridad de la información: gobernanza, gestión de programas, gestión de riesgos, gestión de incidentes. El estándar de referencia para roles de liderazgo en seguridad, requerido en aproximadamente el 60% de las ofertas de CISO. Enfoque distinto al del CISSP: orientado a la gestión, menos técnico.

Qué certifica el CISM

El CISM es la certificación de ISACA dirigida a quienes gestionan la seguridad de la información en lugar de configurarla. Valida que usted es capaz de construir y dirigir un programa de seguridad, alinearlo con los objetivos del negocio y rendir cuentas de él ante la dirección y el consejo de administración.

La credencial se organiza en torno a cuatro dominios profesionales: gobierno de la seguridad de la información, gestión de riesgos de seguridad de la información, desarrollo y gestión del programa de seguridad de la información, y gestión de incidentes de seguridad de la información. Esos cuatro ámbitos describen el trabajo real de un responsable de seguridad: marcar el rumbo, comprender y tratar el riesgo, entregar el programa que hace el trabajo y contener los incidentes cuando los controles fallan.

La shortDefinition acierta al presentar el CISM como el referente por excelencia para los puestos de liderazgo en seguridad. En la práctica, esto significa que los responsables de contratación lo usan como indicio de que una persona «puede asumir una función de seguridad», no de que «puede fortificar un servidor». De un titular del CISM se espera que traduzca entre dos públicos: los equipos técnicos que operan los controles y los directivos que financian el riesgo y lo aceptan. Esa capa de traducción es el núcleo del rol, y por eso el discurso del CISM se apoya en el gobierno, las líneas de reporte y la aceptación del riesgo más que en las herramientas.

CISM frente a CISSP: el enfoque de gestión

La pregunta más habitual de los profesionales es en qué se diferencia el CISM del CISSP. Ambas son credenciales sénior y ambas tocan el gobierno, el riesgo y las operaciones, pero su centro de gravedad es distinto. El CISSP, de (ISC)squared, es más amplio y más técnico: ocho dominios que abarcan arquitectura, criptografía, seguridad de redes, seguridad del software y operaciones. Es la certificación natural para un profesional o arquitecto de seguridad. El CISM es más acotado y más directivo: cuatro dominios, todos vistos desde la perspectiva de quien rinde cuentas de un programa y un presupuesto, no de quien implementa los controles.

El CISM comparado con credenciales afines
CredencialOrganismoEnfoque principal
CISMISACAGestionar un programa de seguridad: gobierno, riesgo, programa, incidentes
CISSP(ISC)squaredProfesional técnico amplio: ocho dominios, de la arquitectura a las operaciones
CISAISACAAuditoría y aseguramiento de los sistemas de información
CRISCISACAIdentificación, evaluación y respuesta al riesgo de TI de la empresa

Dentro de la propia familia de ISACA, el CISM se sitúa junto al CISA y al CRISC. El CISA es la credencial del auditor, centrada en evaluar controles y aportar aseguramiento. El CRISC es la credencial del especialista en riesgos, centrada en identificar el riesgo de TI y responder a él. El CISM es la credencial del gestor, centrada en asumir la función que une el gobierno, el riesgo y las operaciones. Muchos líderes de seguridad acaban teniendo más de una, porque los roles se solapan a medida que se asciende.

Qué hace falta para obtener el CISM

El CISM es una credencial condicionada por la experiencia, no solo un examen. ISACA exige a los candidatos aprobar el examen y acreditar experiencia laboral relevante en gestión de la seguridad de la información, una parte de ella dentro de los cuatro dominios. Existen exenciones limitadas para una parte del requisito de experiencia, y la certificación debe mantenerse después mediante formación profesional continua y la adhesión al código de ética profesional de ISACA. Ese requisito de mantenimiento es la razón por la que el CISM se mantiene vigente: los titulares acumulan horas de CPE en cada ciclo, en lugar de aprobar una vez y dormirse en los laureles.

Para los profesionales que dudan si perseguirlo, este es el planteamiento honesto. Si su trayectoria apunta a dirigir una función de seguridad, asesorar a un consejo o ocupar un puesto de CISO, el CISM es la credencial que los responsables de contratación nombran con mayor frecuencia. Si su trabajo es la arquitectura y la ingeniería prácticas, el CISSP o una especialización técnica le servirán mejor. Ambas son complementarias y no rivales, y los líderes sénior a menudo poseen las dos.

Frequently asked questions

01¿Cuál es la diferencia entre el CISM y el CISSP?

El CISM es directivo y acotado: cuatro dominios centrados en dirigir un programa de seguridad. El CISSP es técnico y amplio: ocho dominios, de la arquitectura a las operaciones. El CISM encaja con líderes de seguridad y aspirantes a CISO; el CISSP encaja con profesionales y arquitectos. Muchas personas sénior poseen ambas.

02¿Cuáles son los cuatro dominios del CISM?

Gobierno de la seguridad de la información, gestión de riesgos de seguridad de la información, desarrollo y gestión del programa de seguridad de la información, y gestión de incidentes de seguridad de la información. Juntos describen el trabajo completo de asumir una función de seguridad.

03¿Necesito experiencia laboral para obtener el CISM?

Sí. El CISM está condicionado por la experiencia. Debe aprobar el examen y acreditar experiencia relevante en gestión de la seguridad de la información, parte de ella dentro de los cuatro dominios. Existen exenciones limitadas de experiencia, y la credencial se mantiene mediante formación profesional continua.

04¿Vale la pena el CISM para un puesto de CISO?

Es una de las credenciales más solicitadas en las ofertas de empleo de liderazgo en seguridad y de CISO, porque indica que usted puede asumir un programa y reportar el riesgo a la dirección, no solo operar controles. Es una opción sólida si su camino apunta al liderazgo.

05¿Cómo se relaciona el CISM con el CISA y el CRISC?

Las tres son credenciales de ISACA con enfoques distintos. El CISA es para auditores que aportan aseguramiento sobre los sistemas, el CRISC para especialistas en riesgo de TI y el CISM para gestores que asumen la función de seguridad. Se solapan y a menudo se poseen juntas.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.