A perspetiva da Cyber Academy
CISM é a credencial ISACA para gestores de segurança da informação: governação, gestão de programas, gestão do risco, gestão de incidentes. O padrão de referência para funções de liderança em segurança, exigido em cerca de 60% das ofertas de CISO. Perspetiva diferente da CISSP: focada na gestão, menos técnica.
O que o CISM certifica
O CISM é a certificação da ISACA destinada a quem gere a segurança da informação em vez de a configurar. Valida que você é capaz de construir e conduzir um programa de segurança, alinhá-lo aos objetivos do negócio e prestar contas dele à direção e ao conselho de administração. A credencial organiza-se em torno de quatro domínios profissionais: governança da segurança da informação, gestão de riscos de segurança da informação, desenvolvimento e gestão do programa de segurança da informação e gestão de incidentes de segurança da informação. Esses quatro âmbitos descrevem o trabalho real de um responsável de segurança: definir o rumo, compreender e tratar o risco, entregar o programa que faz o trabalho e conter os incidentes quando os controlos falham.
A shortDefinition acerta ao apresentar o CISM como a referência máxima para os cargos de liderança em segurança. Na prática, isso significa que os responsáveis pela contratação o usam como indício de que uma pessoa «consegue assumir uma função de segurança», não de que «consegue endurecer um servidor». De um titular do CISM espera-se que faça a tradução entre dois públicos: as equipas técnicas que operam os controlos e os dirigentes que financiam o risco e o aceitam. Essa camada de tradução é o cerne do papel, e é a razão pela qual o discurso do CISM se apoia na governança, nas linhas de reporte e na aceitação do risco mais do que nas ferramentas.
CISM face ao CISSP: a perspetiva de gestão
A pergunta mais comum dos profissionais é em que difere o CISM do CISSP. Ambas são credenciais seniores e ambas tocam na governança, no risco e nas operações, mas o seu centro de gravidade é diferente. O CISSP, da (ISC)squared, é mais amplo e mais técnico: oito domínios que abrangem arquitetura, criptografia, segurança de redes, segurança de software e operações. É a certificação natural para um profissional ou arquiteto de segurança. O CISM é mais restrito e mais orientado à gestão: quatro domínios, todos vistos da perspetiva de quem responde por um programa e um orçamento, não de quem implementa os controlos.
| Credencial | Organismo | Perspetiva principal |
|---|---|---|
| CISM | ISACA | Gerir um programa de segurança: governança, risco, programa, incidentes |
| CISSP | (ISC)squared | Profissional técnico abrangente: oito domínios, da arquitetura às operações |
| CISA | ISACA | Auditoria e asseguração de sistemas de informação |
| CRISC | ISACA | Identificação, avaliação e resposta ao risco de TI da empresa |
Dentro da própria família da ISACA, o CISM situa-se ao lado do CISA e do CRISC. O CISA é a credencial do auditor, centrada em avaliar controlos e dar asseguração. O CRISC é a credencial do especialista em risco, centrada em identificar o risco de TI e responder a ele. O CISM é a credencial do gestor, centrada em assumir a função que liga governança, risco e operações. Muitos líderes de segurança acabam por deter mais do que uma, porque os papéis se sobrepõem à medida que se sobe.
O que é preciso para deter o CISM
O CISM é uma credencial condicionada pela experiência, não apenas um exame. A ISACA exige aos candidatos que passem no exame e comprovem experiência profissional relevante em gestão da segurança da informação, com uma parte dessa experiência situada dentro dos quatro domínios. Existem dispensas limitadas para parte do requisito de experiência, e a certificação deve ser mantida depois através de formação profissional contínua e da adesão ao código de ética profissional da ISACA. Esse requisito de manutenção é a razão pela qual o CISM se mantém atual: os titulares acumulam horas de CPE em cada ciclo, em vez de passarem uma só vez e descansarem sobre isso.
Para os profissionais que ponderam se devem segui-la, o enquadramento honesto é este. Se a sua trajetória aponta para liderar uma função de segurança, aconselhar um conselho de administração ou ocupar um cargo de CISO, o CISM é a credencial que os responsáveis pela contratação mais frequentemente nomeiam. Se o seu trabalho é arquitetura e engenharia práticas, o CISSP ou uma especialização técnica servir-lhe-ão melhor. As duas são complementares e não concorrentes, e os líderes seniores detêm frequentemente ambas.
Frequently asked questions
01Qual é a diferença entre o CISM e o CISSP?
O CISM é orientado à gestão e restrito: quatro domínios centrados em conduzir um programa de segurança. O CISSP é técnico e amplo: oito domínios, da arquitetura às operações. O CISM adequa-se a líderes de segurança e a aspirantes a CISO; o CISSP adequa-se a profissionais e arquitetos. Muitas pessoas seniores detêm ambas.
02Quais são os quatro domínios do CISM?
Governança da segurança da informação, gestão de riscos de segurança da informação, desenvolvimento e gestão do programa de segurança da informação e gestão de incidentes de segurança da informação. Em conjunto, descrevem todo o trabalho de assumir uma função de segurança.
03Preciso de experiência profissional para obter o CISM?
Sim. O CISM é condicionado pela experiência. Tem de passar no exame e comprovar experiência relevante em gestão da segurança da informação, parte dela dentro dos quatro domínios. Existem dispensas limitadas de experiência, e a credencial mantém-se através de formação profissional contínua.
04Vale a pena o CISM para um cargo de CISO?
É uma das credenciais mais frequentemente pedidas nos anúncios de emprego de liderança em segurança e de CISO, porque sinaliza que você consegue assumir um programa e reportar o risco aos dirigentes, e não apenas operar controlos. É uma escolha forte se o seu caminho aponta para a liderança.
05Como é que o CISM se relaciona com o CISA e o CRISC?
As três são credenciais da ISACA com perspetivas diferentes. O CISA é para auditores que dão asseguração sobre os sistemas, o CRISC para especialistas em risco de TI e o CISM para gestores que assumem a função de segurança. Sobrepõem-se e são muitas vezes detidas em conjunto.