CISM – Certified Information Security Manager

El año pasado me preparé, estudié, presenté y aprobé la certificación de Auditor de Sistemas de Información de ISACA, CISA por sus siglas en inglés, dedicada a validar los conocimientos en los campos de auditoría, control y seguridad de los sistemas de información. Aquella experiencia donde aprendí bastante sobre el campo de la auditoría de sistemas fue bastante gratificante y por eso este año opté por prepararme la Certificación en Gestión de Seguridad de la Información (CISM), también emitida por la organización ISACA e introducida en su catálogo de certificaciones en el año 2002, la cual está dirigida específicamente a profesionales experimentados en la Seguridad de la Información y orientada a la gerencia de riesgos y gestión de la seguridad de la información.

Realmente el capítulo de Madrid de ISACA ha sido el que me ha empujado a presentarme este fin de semana pasado al examen de CISM al regalarme un curso completo de preparación, además de las tasas de examen, todo ello gracias a ser el ganador del II Reto ISACA. La certificación CISM, al igual que la certificación CISA, requiere acreditar 5 años de experiencia en el sector, y además estamos obligados a mantenernos formados en materia de Seguridad de la Información obteniendo créditos CPE (Continuing Professional Education) que validan la formación continua.

Desde principios de año estaba valorando prepararme alguna certificación de seguridad como CISSP o CISM, pero finalmente tras ganar el premio del Reto ISACA y con la ayuda del Capitulo de Madrid me decidí por comenzar a estudiar el CISM en Septiembre después de mi vuelta de Rusia en las vacaciones de verano.

Tengo que reconocer que tras la experiencia del CISA sabía lo que me venía por delante, muchas horas de estudio y un examen complicado y agotador, pero todo ello merecía la pena porque sabía que aprendería nuevos conceptos y profundizaría en otros que me darían una visión sobre la Gestión de la Seguridad de la Información que no tenía y que todo ello luego podría aprovecharlos para aplicarlos en el día a día de mi trabajo. Y os puedo asegurar que así ha sido, el CISM te muestra la seguridad desde una perspectiva global para proteger la información de la organización, es decir el CISM te enseña a gestionar la seguridad elaborando políticas que se alineen con el negocio, y desarrollando procedimientos y baselines para proteger la información, por supuesto sin dejar atrás el proceso de Gestión de Riesgos y el de Incidentes de Seguridad.

El material utilizado y el orden de estudio ha sido el siguiente:

• Ver los vídeos de CBT Nuggets.
• Leer el libro Manual de Preparación al examen CISM 2015 de ISACA.
• Leer el libro Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISM 2014.
• Realizar el Curso Oficial de Preparación CISM de ISACA.
• Practicar el examen a partir de la base de datos de preguntas de ISACA.

La certificación CISM está dividida en cuatro áreas o dominios. Siendo los porcentajes que veis a continuación la importancia de cada uno de los dominios.

• Gobierno de la Seguridad de la Información (24%)
• Gestión de Riesgos de la Información y Cumplimiento (33%)
• Desarrollo y Gestión del Programa de Seguridad de la Información (25%)
• Gestión de Incidentes de Seguridad de la Información (18%)

Para todo aquel que me haya seguido durante los últimos meses en el blog habrá podido observar que he realizado muchas entradas referentes a la gestión de la seguridad, el motivo principal de ello ha sido que mientras iba estudiando también iba escribiendo en el blog para compartir mis conocimientos y experiencias con todos vosotros. Básicamente las entradas referentes a gestión de la seguridad que he escrito mientras estudiaba son las siguientes:

• Business Impact Analysis
• Due Diligence
• Obstacles to effective InfoSec Program Management
• Overview of InfoSec Program Management
• Government and Management aren't the same
• Security Program Scope
• Overview of InfoSec Program Development
• Threats and Vulnerabilities
• Risk Management Process
• Overview of Risk Management
• Approaches to a Security Framework
• Information Security Governance Metrics
• Information Security Governance

Todas las entradas anteriores os pueden servir para haceros una idea de los conceptos que se tratan en la certificación CISM y que por lo tanto hay que tenerlos claros. Al igual que el examen de CISA, esta certificación no me ha resultado nada fácil ya que aunque hayas hecho muchos tipos test, en el examen te encontrarás muchísimas preguntas que no has visto o simplemente planteadas de otra manera, por tanto es muy importante tener claro los conceptos para responder las 200 preguntas de opción múltiple en las 4 horas que dura la prueba.

Tan solo me queda recomendar a todo aquel que esté interesado en la seguridad de la información que estudie certificaciones como esta, ya que además de aprender y reforzar conceptos, sirve para que un tercero de confianza valide tus conocimientos. Veremos qué tal salen los resultados dentro de un mes, pero sean los que sean os puedo asegurar que estos últimos tres meses de estudios han merecido la pena por la visión en cuanto a seguridad que proporciona preparase una certificación como el CISM.

Un saludo amigos, y como siempre, cualquier aportación y/o duda, adelante.