Elegir las certificaciones de seguridad adecuadas: CISSP vs CISM, CISA y CRISC

Si estás interesado en seguir una carrera en ciberseguridad, entonces has hecho una gran elección. Los profesionales cualificados de la seguridad de la información están muy demandados y es probable que sigan estándolo en el futuro, por lo que este campo ofrece sólidos beneficios económicos. Según el Informe de Habilidades y Salarios de TI 2018 de Global Knowledge, el 41 por ciento de los empleadores en los Estados Unidos informan que encontrar profesionales calificados de ciberseguridad es uno de sus principales desafíos, y las personas certificadas ganan un promedio de 22 por ciento más que sus contrapartes no certificadas.

Hay dos líderes claros y reconocidos a nivel mundial en la certificación de ciberseguridad: ISACA y (ISC)2. La certificación más importante de (ISC)2 es el Certified Information Systems Security Professional (CISSP), mientras que ISACA ofrece tres certificaciones relacionadas con la seguridad: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y Certified in Risk and Information Systems Control (CRISC).

Todas estas certificaciones se dirigen a profesionales con al menos cinco años de experiencia laboral profesional, todas ellas requieren una formación continua para mantener la credencial y todas imponen un respeto y unos salarios similares. Entonces, ¿cuál es la más valiosa para usted? Para ayudarle a decidir, echemos un vistazo a cada una de ellas.

(ISC)2: Certified Information Systems Security Professional (CISSP)

Quick Facts

Fundada en 1989, (ISC)2 es una de las organizaciones de miembros de seguridad informática y ciberseguridad más grandes del mundo. Proporciona a sus miembros y a la industria estandarizaciones de seguridad, educación y certificaciones. Lanzada en 1994, la CISSP fue la primera credencial ofrecida por (ISC)2, y hoy en día es la credencial más importante del programa de certificación de (ISC)2. Hay más de 140.000 profesionales de la seguridad certificados por CISSP en todo el mundo. La credencial es constantemente buscada por los empleadores; en una búsqueda informal de empleo en SimplyHired aparecieron casi 9.700 ofertas de trabajo en las que se solicitaba el CISSP, en comparación con 4.511 para el CISA y 3.004 para el CISM.

La credencial CISSP está dirigida a los profesionales de la seguridad en un amplio espectro de funciones, incluyendo gerentes, profesionales y ejecutivos. Los CISSPs poseen las habilidades necesarias para diseñar, arquitecturar, implementar, controlar y mantener programas de ciberseguridad para su organización. Los roles típicos incluyen CIO, CISO, director de seguridad, arquitecto de seguridad, arquitecto de redes, director de TI, gerente de TI, analista de seguridad, auditor, consultor e ingeniero de sistemas.

Además de la credencial CISSP básica, la CISSP está disponible en tres concentraciones adicionales:

  • Profesional de Arquitectura de Seguridad de Sistemas de Información (CISSP-ISSAP)
  • Profesional de Ingeniería de Seguridad de Sistemas de Información (CISSP-ISSEP)
  • Profesional de Gestión de Seguridad de Sistemas de Información (CISSP-ISSMP)

Obtener la credencial

Obtener el CISSP no es fácil. Los candidatos calificados deben:

  • Tener al menos cinco años de experiencia laboral remunerada en al menos dos de los ocho dominios del Cuerpo Común de Conocimientos (CBK) del CISSP (enumerados a continuación)
  • Pasar el examen CISSP. ($699)
  • Aceptar el Código de Ética de (ISC)2
  • Ser avalado por un profesional de (ISC)2 dentro de los nueve meses posteriores a la aprobación del examen

Los dominios CBK actuales de CISSP son:

  • Seguridad y gestión de riesgos
  • Seguridad de activos
  • Arquitectura e ingeniería de seguridad
  • Seguridad de comunicaciones y redes
  • Gestión de identidades y Gestión de Acceso (IAM)
  • Evaluación y Pruebas de Seguridad
  • Operaciones de Seguridad
  • Seguridad en el Desarrollo de Software

¿Está decidido a aprobar el examen CISSP? El blog de Netwrix tiene algo especial para ti. Aquí hay siete grandes consejos de un profesional certificado por CISSP sobre cómo aprobar el examen CISSP en su primer intento. Además, eche un vistazo a estas prácticas guías de estudio y materiales de formación para la certificación CISSP. Y por último, evalúe su preparación con la ayuda de nuestro examen de práctica CISSP.

Manteniendo la credencial

El CISSP es válido por tres años. Se requiere una cuota anual de 85 dólares. Para recertificar, los CISSP deben realizar el examen actual u obtener 120 créditos de educación profesional continua (CPE) (se deben obtener un mínimo de 40 créditos cada año). Obtenga más información sobre los cambios en el examen CISSP a partir de abril de 2018.

Beneficios

En el Estudio Global de la Fuerza de Trabajo de Seguridad de la Información de 2017 de (ISC)2, los encuestados que tienen la certificación CISSP informaron un salario anual promedio de 120,000 dólares. SimplyHired informa que las ganancias promedio son de 66,078 dólares, con salarios que alcanzan un máximo de 127,071 dólares. El informe de 2018 de Global Knowledge fija el salario medio en Estados Unidos en 109.965 dólares, lo que sitúa al CISSP en el puesto número uno entre las credenciales de ciberseguridad.

Certificaciones de ISACA

Hechos rápidos

Fundada en 1969, la Asociación de Auditoría y Control de Sistemas de Información (ISACA) es una organización mundialmente reconocida y muy respetada con más de 140.000 miembros en 180 países. ISACA ofrece cuatro credenciales dirigidas a diferentes profesionales de TI:

  • Auditor de Sistemas de Información Certificado (CISA) – Auditores
  • Administrador de Seguridad de la Información Certificado (CISM) – Gestores de seguridad
  • Certificación en Riesgo y Control de Sistemas de Información (CRISC) – Profesionales de la gestión de riesgos
  • Certificación en Gobierno de TI Empresarial (CGEIT) – Profesionales del gobierno

Aquí nos centraremos en las tres primeras de estas credenciales; el gobierno de la empresa está fuera de nuestro alcance.

Conseguir la credencial

Todos los candidatos deben

  • Cumplir con los estrictos requisitos de experiencia que se detallan a continuación
  • Pasar el examen asociado (575 dólares para los miembros de ISACA; 760 dólares para los no miembros); Los exámenes se ofrecen sólo tres veces al año, por lo que los candidatos deben solicitarlos con mucha antelación
  • Aceptar el Código de Ética Profesional y el Programa de Educación Profesional Continua
  • Cumplir con los requisitos adicionales que se detallan a continuación

Mantener la credencial

Las credenciales de ISACA son válidas por tres años. También se requiere una cuota anual de mantenimiento ($45 para miembros de ISACA, $85 para no miembros). Para renovar, los titulares de la credencial deben obtener 120 créditos CPE, con al menos 20 CPE obtenidos anualmente.

  • CISM

Una buena manera de entender el CISM es compararlo con el CISSP. Aunque ambas certificaciones cubren conceptos de ciberseguridad y gestión, CISSP se centra en la parte operativa de la seguridad y sus aspectos técnicos, mientras que CISM está diseñado en torno a la parte estratégica de la seguridad y sus relaciones con los objetivos de negocio.

Específicamente, CISM está diseñado para los gerentes de seguridad de la información, dirigido a las personas que evalúan, diseñan, gestionan y supervisan los entornos de seguridad de la información a nivel empresarial. Los candidatos también deben poseer un profundo conocimiento de las tecnologías disponibles y de cómo implementarlas en su organización. La certificación CISM valida las habilidades y conocimientos del candidato en cuatro dominios:

  • Dominio 1: Gobierno de la Seguridad de la Información
  • Dominio 2: Gestión de Riesgos de la Información
  • Dominio 3: Desarrollo y Gestión de Programas de Seguridad de la Información
  • Dominio 4: Gestión de Incidentes de Seguridad de la Información
  • : Gestión de Incidentes de Seguridad de la Información

Según ISACA, hay más de 32.000 titulares de la credencial CISM en todo el mundo, con más de 7.500 trabajando como directores o gerentes de seguridad y otros 3.500 trabajando como directores o gerentes de TI. Otras funciones comunes del CISM son las de consultor de SI/TI, CIO, profesionales de la gestión de riesgos y funciones de liderazgo empresarial.

Para realizar el examen CISM, los candidatos deben poseer un mínimo de cinco años de experiencia trabajando en seguridad de la información, tres de los cuales deben ser en al menos tres de los ámbitos enumerados. Toda la experiencia debe ser obtenida dentro del período de 10 años anterior para calificar. La puntuación del examen se anula si no se cumple el requisito de experiencia en los cinco años siguientes a la aprobación del examen. Se permiten algunas sustituciones para cumplir con el requisito de experiencia dependiendo de otras certificaciones que se tengan y de la educación.

Global Knowledge informó que los profesionales certificados en CISM en los Estados Unidos ganan un promedio de 105.926 dólares al año, lo que los coloca en el puesto número seis a nivel mundial en términos de potencial de ingresos por certificación.

  • CISA

La credencial CISA está dirigida a los profesionales de TI que trabajan en funciones relacionadas con la gobernanza y la auditoría. Normalmente, los profesionales CISA desempeñan funciones como auditor de SI o de TI o director de auditoría, auditor no de TI y consultor. También encontrará muchos profesionales CISA dedicados a funciones de gobierno, aseguramiento, seguridad, control de auditoría y liderazgo empresarial.

La certificación CISA valida el conocimiento y la capacidad de un candidato para evaluar, controlar, auditar y realizar un monitoreo continuo de los sistemas de negocios de TI de una empresa. Las habilidades requeridas se reflejan en los cinco dominios de práctica laboral de CISA:

  • Dominio 1: El proceso de auditoría de los sistemas de información
  • Dominio 2: Gobierno y gestión de TI
  • Dominio 3: Adquisición, desarrollo e implementación de sistemas de información
  • Dominio 4: Operaciones, mantenimiento y gestión de servicios de los sistemas de información
  • Dominio 5: Protección y activos de información

Para obtener la credencial, los candidatos deben poseer un mínimo de cinco años de experiencia laboral profesional auditando, controlando o asegurando los sistemas de información (se pueden permitir algunas sustituciones por educación) y aprobar el examen CISA. El proceso de estudio del CISA puede incluir la asistencia a clases de repaso del CISA, la inscripción en un curso en línea o el uso de software, manuales de repaso y guías de estudio. Después de aprobar el examen, los candidatos también deben cumplir con las Normas de Auditoría de Sistemas de Información.

Según el informe de Global Knowledge, los salarios de CISA ocupan el puesto número 13, con un salario medio en Estados Unidos de 97.117 dólares.

  • CRISC

La credencial CRISC se dirige específicamente a los profesionales que trabajan con la gestión de riesgos de TI a nivel empresarial. Los candidatos típicos de CRISC incluyen CIOs/CISOs, analistas de negocio, gestores de proyectos, así como profesionales de TI que participan en la gestión de riesgos, actividades de control y garantía, y el cumplimiento.

Los dominios de trabajo de CRISC son:

  • Dominio 1: Identificación de riesgos de TI
  • Dominio 2: Evaluación de riesgos de TI
  • Dominio 3: Respuesta y mitigación de riesgos
  • Dominio 4: Monitorización e Informes de Riesgos y Controles

Los requisitos de CRISC incluyen un mínimo de tres años de experiencia laboral en la gestión de programas de seguridad de la información en dos o más de los dominios de trabajo de CRISC, incluyendo el Dominio 1 o 2. Esta experiencia debe obtenerse en los 10 años anteriores a la solicitud o dentro de los cinco años siguientes a la aprobación del examen.

En el informe de Global Knowledge, la certificación CRISC fue la segunda, después de la CISSP, en términos de ingresos declarados, con un promedio de ingresos en los Estados Unidos de 107.968 dólares.

CISSP, CISM, CISA y CRISC de un vistazo

CISSP CISM CISA CRISC
Foco Seguridad informática y ciberseguridad Seguridad de la información Auditoría Gestión de riesgos
Roles típicos CIO
CISO
Seguridad Director
Arquitecto de seguridad
Arquitecto de redes
Gerente de seguridad
Auditor
Analista
Ingeniero de sistemas
Consultor
Director de TI
Director de Infoseguridad
CIO
Liderazgo Empresarial
Director de Riesgos
Auditor de TI
Consultor
Profesional de la Seguridad
Director de Auditoría
No.Auditor de TI
CIO
CISO
Director de Seguridad
Gerente de Seguridad
Ingeniero de Sistemas
Analista de Seguridad
Gerente de Seguridad
Auditor de Seguridad
Arquitecto de Redes
Liderazgo Empresarial
Control Profesional
Profesional de Riesgos
Analista de Negocios
Profesional de Cumplimiento
Control y Aseguramiento
Dominios Gestión de Seguridad y Riesgos
Seguridad de Activos
Seguridad Arquitectura e ingeniería
Seguridad de las comunicaciones y de las redes
Gestión de identidades y accesos (IAM)
Evaluación y pruebas de seguridad
Operaciones de seguridad
Seguridad en el desarrollo de software
InfoSec Gobierno
Gestión de Riesgos
Desarrollo y Gestión de Programas de Seguridad
Gestión de Incidentes de Seguridad
Proceso de Auditoría de Sistemas de Información
Gobierno y Gestión de TI
Adquisición de Infoseguridad, Desarrollo e implementación
Gestión de operaciones, mantenimiento y servicios infoseguros
Operaciones, mantenimiento, y Gestión de Servicios
Protección de Activos de Información
Identificación de Riesgos de TI
Evaluación de Riesgos
Respuesta y Mitigación de Riesgos
Monitoreo y Reporte de Riesgos y Controles
Experiencia 5 años 5 años 5 años 3 años
Número de exámenes 1 1 1 1
Tasa de examen 699$ 575$/socio 575$/Miembro
760$/No miembro
575$/Miembro
760$/No miembro
Cuota anual 85$ 45$ miembros;
85$ no socios
45$ socios;
85$ no socios
45$ socios;
$85 no socios
Válido para 3 años 3 años 3 años
CPEs para recertificación 120 en total; al menos 40 al año 120 en total; al menos 20 al año 120 en total; al menos 20 al año 120 en total; al menos 20 al año
Salario medio* 109.965 dólares 105.926 dólares 97.117 dólares 107.968 dólares

*Toda la información salarial se ha obtenido del Informe de Habilidades y Salarios de TI 2018 de Global Knowledge.

El resultado final

Al elegir entre seguir una credencial de ISACA como CISA y una certificación CISSP, tenga en cuenta lo siguiente:

  • CISSP es una buena opción para los profesionales de TI de muchas disciplinas y roles diferentes que están interesados en seguir una carrera en seguridad de TI o ciberseguridad. Ofrece el salario medio más alto de todas las certificaciones en el informe de 2018 de Global Knowledge.
  • CISM no está muy lejos de CISSP en términos de salario medio. Mientras que el CISSP se centra en la parte operativa de la seguridad, el CISM se centra en la parte estratégica de la seguridad y sus relaciones con los objetivos empresariales.
  • La certificación CRISC es la segunda, después de la CISSP, en términos de ingresos reportados. Valida su capacidad para trabajar con la gestión de riesgos de TI a nivel empresarial.
  • Si sus objetivos profesionales se centran únicamente en las funciones relacionadas con la auditoría, entonces el CISA puede ser la credencial adecuada para usted.
Mary es una escritora independiente, desarrolladora de contenidos y gestora de proyectos. Escribe artículos relacionados con las certificaciones de TI, la salud y desarrolla contenidos para cursos.

Deja un comentario