Il punto di vista di Cyber Academy
CISM è la certificazione ISACA per i responsabili della sicurezza delle informazioni: governance, gestione dei programmi, gestione del rischio, gestione degli incidenti. È lo standard di riferimento per i ruoli di leadership nella sicurezza, richiesto in circa il 60% delle offerte per CISO. Prospettiva diversa rispetto al CISSP: orientata al management, meno tecnica.
Cosa certifica il CISM
Il CISM è la certificazione di ISACA destinata a chi gestisce la sicurezza delle informazioni anziché configurarla. Attesta che siete in grado di costruire e governare un programma di sicurezza, allinearlo agli obiettivi aziendali e renderne conto ai dirigenti e al consiglio di amministrazione.
La credenziale è organizzata attorno a quattro domini professionali: governance della sicurezza delle informazioni, gestione del rischio di sicurezza delle informazioni, sviluppo e gestione del programma di sicurezza delle informazioni e gestione degli incidenti di sicurezza delle informazioni. Questi quattro ambiti descrivono il lavoro reale di un responsabile della sicurezza: definire la direzione, comprendere e trattare il rischio, realizzare il programma che svolge il lavoro e contenere gli incidenti quando i controlli falliscono.
La shortDefinition fa bene a presentare il CISM come lo standard di riferimento per i ruoli di leadership nella sicurezza. In pratica, ciò significa che i responsabili delle assunzioni lo usano come indizio del fatto che una persona «può farsi carico di una funzione di sicurezza», non che «può rendere più sicuro un server». Da un titolare del CISM ci si aspetta che faccia da tramite tra due pubblici: i team tecnici che gestiscono i controlli e i dirigenti che finanziano il rischio e lo accettano. Questo strato di traduzione è il cuore del ruolo, ed è il motivo per cui il discorso sul CISM si fonda su governance, linee di reporting e accettazione del rischio più che sugli strumenti.
CISM contro CISSP: la lente manageriale
La domanda più frequente tra i professionisti riguarda la differenza tra CISM e CISSP. Entrambe sono credenziali senior ed entrambe toccano governance, rischio e operatività, ma il loro baricentro è diverso. Il CISSP, di (ISC)squared, è più ampio e più tecnico: otto domini che spaziano dall'architettura alla crittografia, alla sicurezza di rete, alla sicurezza del software e all'operatività. È la certificazione naturale per un professionista o un architetto della sicurezza. Il CISM è più ristretto e più manageriale: quattro domini, tutti visti dalla prospettiva di chi risponde di un programma e di un budget, non di chi implementa i controlli.
| Credenziale | Ente | Lente principale |
|---|---|---|
| CISM | ISACA | Gestire un programma di sicurezza: governance, rischio, programma, incidenti |
| CISSP | (ISC)squared | Professionista tecnico ad ampio spettro: otto domini, dall'architettura all'operatività |
| CISA | ISACA | Audit e assurance dei sistemi informativi |
| CRISC | ISACA | Identificazione, valutazione e risposta al rischio IT aziendale |
Nella stessa famiglia di ISACA, il CISM si colloca accanto al CISA e al CRISC. Il CISA è la credenziale dell'auditor, incentrata sulla valutazione dei controlli e sul fornire assurance. Il CRISC è la credenziale dello specialista del rischio, incentrata sull'identificazione del rischio IT e sulla risposta a esso. Il CISM è la credenziale del manager, incentrata sull'assumersi la funzione che lega governance, rischio e operatività. Molti responsabili della sicurezza finiscono per detenerne più di una, perché i ruoli si sovrappongono man mano che si sale di livello.
Cosa serve per ottenere il CISM
Il CISM è una credenziale subordinata all'esperienza, non solo un esame. ISACA richiede ai candidati di superare l'esame e di documentare un'esperienza lavorativa pertinente nella gestione della sicurezza delle informazioni, con una parte di tale esperienza ricadente nei quattro domini. Esistono deroghe limitate per una parte del requisito di esperienza, e la certificazione deve essere poi mantenuta tramite formazione professionale continua e l'adesione al codice etico professionale di ISACA. Questo requisito di mantenimento è il motivo per cui il CISM resta aggiornato: i titolari accumulano ore di CPE a ogni ciclo, anziché superare l'esame una sola volta e adagiarsi sugli allori.
Per i professionisti che valutano se intraprenderlo, l'inquadramento onesto è questo. Se la vostra traiettoria punta a guidare una funzione di sicurezza, a consigliare un consiglio di amministrazione o ad assumere un ruolo di CISO, il CISM è la credenziale che i responsabili delle assunzioni citano più spesso. Se il vostro lavoro è architettura e ingegneria sul campo, il CISSP o una specializzazione tecnica vi serviranno meglio. Le due sono complementari più che concorrenti, e i leader senior spesso le detengono entrambe.
Frequently asked questions
01Qual è la differenza tra CISM e CISSP?
Il CISM è manageriale e ristretto: quattro domini incentrati sulla gestione di un programma di sicurezza. Il CISSP è tecnico e ampio: otto domini, dall'architettura all'operatività. Il CISM si addice ai responsabili della sicurezza e agli aspiranti CISO; il CISSP si addice ai professionisti e agli architetti. Molte figure senior detengono entrambe.
02Quali sono i quattro domini del CISM?
Governance della sicurezza delle informazioni, gestione del rischio di sicurezza delle informazioni, sviluppo e gestione del programma di sicurezza delle informazioni e gestione degli incidenti di sicurezza delle informazioni. Insieme descrivono l'intero lavoro di farsi carico di una funzione di sicurezza.
03Serve esperienza lavorativa per ottenere il CISM?
Sì. Il CISM è subordinato all'esperienza. Dovete superare l'esame e documentare un'esperienza pertinente nella gestione della sicurezza delle informazioni, parte della quale all'interno dei quattro domini. Esistono deroghe limitate all'esperienza, e la credenziale si mantiene tramite formazione professionale continua.
04Vale la pena il CISM per un ruolo di CISO?
È una delle credenziali più richieste negli annunci di lavoro per la leadership nella sicurezza e per il ruolo di CISO, perché segnala che potete farvi carico di un programma e riferire il rischio ai dirigenti, e non solo gestire i controlli. È una scelta valida se il vostro percorso punta verso la leadership.
05Che rapporto ha il CISM con CISA e CRISC?
Tutte e tre sono credenziali di ISACA con lenti diverse. Il CISA è per gli auditor che forniscono assurance sui sistemi, il CRISC per gli specialisti del rischio IT e il CISM per i manager che si fanno carico della funzione di sicurezza. Si sovrappongono e spesso vengono detenute insieme.