Preparando el examen CISM

Bueno, el próximo 10 de junio tienen lugar a escala mundial los exámenes de las certificaciones ISACA, no sólo el CISA, la certificación más popular y que afortunadamente obra ya en mi poder, sino también el CISM.

cisa cism

Sobre el CISA (Certified Information Systems Auditor) tenéis información más que de sobra en la Web de ISACA. Sobre el CISM (Certified Information Security Manager) no hay mucho más que comentar que lo que aparece también en ISACA, si bien quiero hablar un poco de ambas en base a mi experiencia.

Pese a que el CISA es más popular, creo que el CISM encaja más en mi perfil. Sobre el tapete es más fácil, al menos es considerablemente menor el número de hojas de la guía preparatoria, guía que consta de 232 hojas por casi el triple que tiene el CISA.

También quiero notar que los quie hacemos el CISM tenemos que basarnos en la guía de preparación del 2005, ya que no están disponibles los manuales del 2006 en lengua española. En fin, gajes del oficio. A lo que iba.

cism

Un CISM es un Gestor Certificado de Sistemas de la Infromación. El examen de certificación CISM consta de 5 dominios que son:

  1. Gobierno de la seguridad de la información
  2. Administración de riesgos
  3. Administración del programa de seguridad de la información
  4. Gerencia de la seguridad de la información
  5. Respuesta gerencial

El CISA está bastante bien, pero creo que el CISM se adecúa más a mi perfil. De hecho, si pudiera retroceder en el tiempo, probablemente escogería hacer el CISM antes que el CISA. Pero el orden de los factores no altera el producto, así que a ver si me lo saco :)

Tanto el CISA como el CISM son acreditaciones reconocidas por ANSI (American National Standards Institute) bajo el estándar internacional ISO/IEC 17024:2003, Requisitos generales para organismos, entidades y organizaciones en la gestión de certificación de personas. Esta norma especifica los requisitos para asegurar que los organismos de certificación que gestionan la certificación de personas conducen sus operaciones en una forma consistente, comparable y confiable.

Por cierto, en China están haciendo su agosto con una especie de phishing sobre el examen CISA. Tremendo.

Si algún lector se presenta en Madrid al CISM, que me dé un toque pa tomar una caña el viernes noche … esto mmm que digaaaa … para hacer un repaso al temario :) :)

76 comentarios sobre “Preparando el examen CISM

  1. Buenas tardes.
    Actualmente estoy realizando un master en auditoria y seguridad especialidad auditoria, me interesaria intentar compaginarlo con alguna certificacion, (creo que tendre tiempo para todo), me han comentado que el temario del CISM es mas corto que el del CISA, aunque sea de seguridad. Los examenes son en junio y en diciembre, no se si dara tiempo estudiar para presentarme al CISM en Junio. Sobre los libros test y todo eso, supongo que desde la pagina de ISACA, aunque no se si el examen sera en español o en ingles. Por favor, podeis informame un poquito sobre como es el temario de ambas certificaciones?
    Un saludo y muchas graacias

  2. Buen día

    Para tener exito en la seguridad de la información, se debe tener muy claro el objetivo personal, profesional y humano que se tiene. Las certificaciones te permiten demostrar la competencias técnicas adecuadas para el desempeño de tu trabajo, las certificaciones (Teoria) mas la experiencia laboral (la realidad) más lo logros obtenidos profesionalmente (Goals)te permiten encontrar ese equilibiro que requiere la profesión. En mi caso elegi para mis competencias técnicas de seguridad informatica certificarme como Chek Point CCSE, Cisco CCSP, para la parte de metodologia de Sistemas de gestión de seguridad de la información ITSECM (ITIL) y BS-7799. Ahora con los conocimientos de las certificaciones realizo un mejor trabajo y obtengo logros importantes en mi profesión.

    Saludos seguritos
    Bogota, Colombia

  3. Hoy estoy de enhorabuena porque he aprobado el CISM. El año pasado tambien aprobé el CISA. Lo cierto es que ambas certificaciones me han aportado conocimientos complementarios a mi profesion que los valoro enormemente.

  4. Enhorabuena a todos los aprobados CISAS y CISMs. Os lo habeis currado mucho. Esto es una oportunidad que os va ayudar tanto personalmente como profesionalmente. Yo estoy en camino, a ver si puedo ser yo uno de los proximos que pueda dar la buena nueva. Me gustaria, si es posible, me mandarais todos los test posibles para hacerlos como un loco, toda ayuda es poca, y que comenteis vuestras experiencias antes y durante el examen.

    Un saludo y lo dicho, enhorabuena a los premiados.

  5. IMPORTANTE: Aquellos comentarios que incluyan faltas de respeto, enlaces a contenidos ilegales o lenguaje ininteligible serán eliminados sin mediar aviso. Se permiten los tags XHTML

  6. Veo que siguen poniendo comentarios al respesto de las certificaciones, así que pondré mi granito de arena:

    – Las certificaciones son un pequeño granito de arena que te hacen ver si una persona realmente sabe de que va la auditoría de TI. No te asegura que sea un buen auditor, pero si en un proceso de selección filtras a los que no tengan el CISA te vas a quitar a malos auditores.

    – Por mi parte, después del CISA me saqué el CIA. Esta última es una certificación de auditor interno en general (no de TI). Entre otras cosas te permite acreditar ‘documentalmente’ que haces las auditorías de TI con un enfoque de negocio. Bastante útil para aquellos auditores de TI que realizan auditoría de procesos.

  7. Pingback: Temp soma.
  8. Hola,

    Me quiero sacar alguna certificacion de seguridad durante el 08, y llevo tiempo pensando en sacarme el CISSP. Soy preventa / consultor en un integrador que ofrecemos servicios de seguridad y por mi perfil creo que me aportará mas sacarme el CISA + CISM. Tengo algunas preguntas al respecto y me iria muy bien si me adyudais:

    – Que es mas recomendable hacer primero el CISA o el CISM?
    – Que examen es mas facil de los dos?
    – Como es mas recomendable sacarselo en Ingles o en Castellano teniendo en cuenta que soy castellano parlante?
    – Estudiando un poco los meses antes y dedicandome 2 semanas enteras antes del examen es suficiente?

    Os agradezco cualquier otro comentario
    Jonathan

  9. Jonathan,

    Numerando de 1 a 4 tus preguntas, te respondo:

    1) Depende. Si quieres trabajar en auditoría, CISA, si quieres trabajar en gestión de seguridad, CISM.

    2) Depende de lo que sepas de la materia. El CISM tiene un temario más corto, pero tiene el mismo número de preguntas que el CISA

    3) Yo siempre he hecho los exámenes en castellano, y tienen su pega, las traducciones son regulares. Si entiendes MUY BIEN inglés, quizás sea mejor opción.

    4) Eso ya dependerá de tus capacidades. Si el tema te suena, y te aplicas dos semanas, debería ser suficiente. Pero eso ya dependerá de tí.

    Saludos,

  10. Amigos, ahí van mis aportes.
    1. La mayoría de las certificaciones tienen requisitos que cumplir, tales como el EXAMEN, la EXPERIENCIA en el campo (en algunos casos los requisitos de años pueden ser reemplazados por estudios o experiencia en otros campos), la ELABORACIÓN DE DOCUMENTOS, el PAGO, etc…
    2. Los exámenes denotan cierto nivel de conocimiento sobre el campo:
    – CISA: en Gobierno de TI, TI (incluyendo seguridad informática) y Auditoría.
    – CISM: En Administración (Gerencia) de la Seguridad de la Información.
    – CISSP: En Seguridad de la información (un poco más técnico).
    3. Las certificaciones tienen su campo de acción:
    – CISA: Auditores.
    – CISM: Gerentes de Seguridad.
    – CISSP: especialistas de seguridad.
    4. Por hobbie, satisfacción personal, requerimientos del negocio (v.gr. firmas de «AUDITORíA», consultores, catedráticos, hemos implementado la moda de adicionarnos más apellidos (CISA; CISM, PMP, …). Habrái que establecerse en el ercado, qué tan posible es que una persona posea la EXPERIENCIA en todos los campos en que se certifica.
    5. En mi concepto, las certificaciones en algunos casos deberían ser excluyentes. Un CISA no debería ser CISM o viceversa, a no ser que la persona si haya tenido experiencia en los 2 campos (es decir que la persona haya sido Auditor y Gerente de la Seguridad de la Información en su vida).
    6. es más, que experiencia real en Gerncia en Administración de Seguridad si nunca ha sido gerente (ej. un consultor). El consultor si habrá tenido la experiencia de implementar un framework de Seguridad, habrá tenido que conseguir los recursos, habrpá implementado políticas, etc… Si lo ha hecho, debería ser válida la certificación. De lo contrario, no.

    Saludos a todos los que lean este comentario, y ojal genere muchas discusiones.

    Fernando.

  11. Fernando,

    Una explicación somera, coherente y clara. Gracias.

    Donde quizás no esté de acuerdo es las exclusiones. No veo cual es el problema de que un CISA haga las tareas de CISM en un futuro, o viceversa. Creo que no existe conflicto de interés entre ambos roles.

    Fíjate si estoy en desacuerdo en este punto que, aunque entiendo que no tiene por qué ser así, un CISM puede ser el estado natural de evolución de un CISA. Es decir, si quieres ser un Gerente de Seguridad, quizás te venga bien haberte batido el cobre haciendo auditoría.

    Un saludo,

  12. En primer lugar decir que estoy totalmente de acuerdo con Sergio en sus explicaciones. Muy interesantes.Sobre el ultimo comentario decir que el tema de las exlusiones creo que no aportaría nada a las certificaciones. Yo soy CISA y CISM, entre otras certificaciones, y todas ellas me han aportado conocimientos y son interesantes. Ademas CISA y CISM tienen un monton de cosas comunes (incluso el material oficial comparte muchas cosas), y los que se han preparado ambas lo saben. En cuanto a los requisitos para obtener la certificacion tambien estan muy integradas en el sentido en el que si eres CISA o CISM te sirve como experiencia para obtener la otra certificacion. Desde mi punto de vista yo recomendaria primero el CISA y despues el CISM, pero conozco gente que las sacó al reves. Lo que si es cierto es que LOS REQUISTOS para CISM son mucho mas duros que para CISA, y no se la dan a cualquiera. En CISA te vale casi cualquier tipo de experiencia, pues muy amplio su alcance. En CISM te piden un curriculum muy detallado y que tengas realmente experiencia en gestion de seguridad. Esto ultimo, no es facil de conseguir, a no ser que estes trabajando en el sector.

  13. Hola chicos/as me presento en Junio al Cisa y estoy un poco asustadilla el manual es infumable (a pesar de que me lo he leido un par de veces) me estoy dedicando a hacer test como una loca algun consejo de última hora ?¿?¿

    Gracias por todo

  14. ¡Hola a todos!

    Lo primero de todo, siento si mis preguntas os parecen demasiados elementales. Espero no haceros perder el tiempo.

    Soy un recien titulado en Ingeniería Informática Técnica en la especialidad de Gestión y la parte que más me ha gustado en la carrera a sido la parte de la auditoría informática por lo que me gustaría sacarme el examen CISA. Pero no sé ni donde tengo que registrarme para ello, ni cuanto cuesta ni donde me puedo preparar y conseguir el material para sacármelo. Como veis estoy bastante perdido, ¿podria alguien ayudarme por favor?

    Muchas gracias de antemano y un saludo.

  15. Hernan,

    Una pregunta de acuerdo a tu experiencia antes del CISA es recomendable tomar un curso de ITIL Foundations o COBIT?.

    Saludos

  16. Hola Pablo:
    Me interesaría hacer un Master en Seguridad y Auditoría en Madrid. Sabes de alguno? Donde lo haces tú?
    Puedes contestarme a mi dirección de email.
    Saludos y gracias

  17. hola amigos , hay algun requisito para presentar estas certificaciones,
    debe ser ingeniero obligatoriamente¡?hasta ahora estudio CCNA
    gracias por tu respuesta

  18. Hola.
    Pues yo acabo de realizar el último, de 8 de Diciembre de 2012 y quisiera dar mi opinión sobre el CISM de ISACA:

    1.- Recibí el curso oficial, dado por Madrid Chapter de Isaca.
    Opinión: El curso malísimo; de 40 horas, 20 de powerpoint y 20 pretendían que se dedicasen a contestar preguntas y preguntas que nos entregaron, y que las respuestas estaban mal.

    2.- Compré el libro:
    Opinión: El libro está condensadísimo y no hace más que dar vueltas y vueltas, aunque tengo que decir que es el mejor material que he recibido.

    3.- Compré la base de datos de respuestas:
    Opinión: Vale, como ponerse uno a hacer testkings a lo bestia, esperando que de ahí salga algo positivo.

    4.- El examen:
    Opinión: Aparte que empezó tarde, que nos trataban casi como a delincuentes, sospechando en todo momento de nosotros, que hacía frío en la sala, que las vigilantes se paseaban con zapatos de tacones sobre un suelo de tarima….. en el examen cayeron unas 4 preguntas de la base de datos y de las primeras en papel, de manera que de nada sirve hacer preguntas de entrenamiento para pasar el examen.
    Por otro lado, las preguntas eran sorprendentemente retorcidas, al menos en mi caso.

    5.- Conclusión:
    Sin saber si aprobaré o suspenderé, puedo decir que no volveré a presentarme a un examen de ISACA.
    Si alguien tiene que hacer el examen, de verdad, que se lea profundamente el libro, y busque en Internet, que hay, unas 200 preguntas tipo «pass for sure». Con eso verá de sobra cómo se realizan las preguntas en el examen, pero nada más.

Comentarios cerrados.