Steve Young - Fotolia
El quién, qué, por qué y los retos de la certificación CISM
¿Cree que está listo para el examen de certificación CISM? Peter Gregory, autor de «CISM: Exámenes de práctica certificados para Gerente de seguridad de la información», tiene algunos consejos para usted.
Pasar el examen de certificación de ISACA Certified Information Security Manager no es fácil, incluso el autor de la guía de prueba CISM lo admite.
«Pensé que realmente había dominado ese contenido. Pero tomé el examen y al final me sentí derrotado», dijo Peter Gregory, autor de CISM: Exámenes de práctica certificados para Gerente de seguridad de la información, publicado por McGraw-Hill. «Entonces, cuando hice clic para ver los resultados y vi que aprobé, ¡qué alivio fue eso!».
La certificación CISM es una valiosa adición al currículum de cualquier persona que aspire a trabajar en gestión de seguridad o gestión de riesgos, agregó Gregory, pero deben estar preparados para trabajar por ello.
Junto con el profesional de seguridad de la información Bobby Rogers y una flota de redactores y editores, Gregory escribió la guía de certificación para ayudar a los examinados a fortalecer su conocimiento y dominar el examen, que consiste en responder 150 preguntas de opción múltiple en un período de cuatro horas.
Aquí, Gregory ofrece consejos sobre quién debe buscar la certificación CISM, las áreas problemáticas comunes que ve entre los examinados y por qué el papel de CISM es esencial para la evaluación y análisis de riesgos de las empresas.
¿Quién debería considerar tomar el examen CISM y cómo la certificación los ayudará a tener éxito en su carrera profesional?
Peter Gregory: La certificación CISM es buena para los profesionales que toman decisiones en seguridad de la información o aspiran a tener responsabilidades en cualquiera de las actividades centrales de la certificación. Esto incluye la gestión de la seguridad, la gestión de riesgos o la creación de un caso de negocios para introducir nuevas tecnologías o procesos de seguridad en una organización.
En general, la certificación es una demostración de que tiene el conocimiento y la experiencia y de que se toma en serio el crecimiento profesional en el campo.
¿Cuándo deberían los profesionales de la seguridad de la información elegir CISM sobre otras certificaciones?
Gregory: La gente me hace mucho esta pregunta. Dicen: ‹Tengo el CISSP. ¿Qué debería obtener a continuación?› o ‹Tengo este certificado, ¿qué debería obtener a continuación?›. Mi respuesta siempre es esta: ‹¿Qué quiere hacer en cinco o diez años? ¿Cuáles son sus metas profesionales?›. No me diga que quiere ganar más dinero, ¿qué es lo que quiere hacer? ¿Desea continuar siendo tecnólogo, o desea ingresar a la gestión de riesgos o la gestión de seguridad? ¿Desea trabajar con líderes empresariales y tomar decisiones comerciales sobre ciberseguridad?
Si la respuesta a esto último es sí, el CISM es una buena certificación. Se trata de crear un programa de seguridad, crear un programa de gestión de riesgos, contratar personal y dirigir al personal para que realice tareas relacionadas con la seguridad, la arquitectura, los controles de seguridad, las operaciones de seguridad, etc.
¿En qué áreas del examen CISM ve que tropiezan los examinados?
Gregory: Históricamente, los profesionales de seguridad surgieron de los profesionales de TI, en su mayor parte, y los profesionales de TI tienden a centrarse bastante en la tecnología. Los profesionales de TI o de seguridad que desean ingresar a la administración de seguridad deben darse cuenta de que su éxito tiene poco que ver con su perspicacia tecnológica y mucho más que ver con su comprensión del negocio y las decisiones comerciales: Cómo funcionan las empresas y los procesos comerciales, y cómo la gerencia intermedia y la alta gerencia toman decisiones de negocios, de riesgos y de ciberseguridad. Todas estas cosas no tienen nada que ver con la tecnología y son algunas de las áreas donde los buenos especialistas en ciberseguridad pueden tener éxito o fallar en los roles de gestión de seguridad. Realmente se basa en su capacidad de comunicarse claramente con personas no técnicas de una manera que tenga sentido para ellos.
Un extracto de su libro en SearchSecurity ofrece preguntas de prueba del Capítulo 3, ‹Gestión de riesgos de la información›, que cubre políticas, estándares, requisitos e informes. ¿Cuál es su mejor consejo en esta área?
Gregory: Cualquier tecnólogo puede escribir una declaración de política que sea clara y sucinta. Sin embargo, saber si esa declaración de política es apropiada para la empresa, y si la empresa la cumplirá, no es tan fácil de discernir.
Un profesional de seguridad que necesita desarrollar o actualizar políticas de seguridad debe ser muy consciente de cómo piensa la alta gerencia sobre la seguridad y el riesgo. También deben ser muy conscientes de la capacidad y la voluntad de la audiencia para que una política determinada la entienda y esté dispuesta a cumplirla. También deben ser conscientes de cualquier esfuerzo o costo relacionado con las políticas.
Este es el lado de las habilidades sociales de la gestión de la seguridad que muchas personas tecnológicas pueden no apreciar o tener en cuenta.
¿Qué le sorprende de cómo las empresas hoy abordan la gestión de riesgos?
Gregory: En los últimos seis años, he profundizado en docenas de pequeñas y grandes compañías y sus programas de seguridad. Según los números, la mayoría de las organizaciones no practican ningún tipo de gestión formal de riesgos. Ellos toman decisiones basadas en la intuición, en lo que otras compañías están haciendo o en alguna conversación que tuvieron con un proveedor. Ellos no toman decisiones basadas en ningún tipo de proceso de gestión de riesgos que priorice el riesgo y los lleve a la decisión correcta sobre dónde gastar o dónde aplicar los recursos. Esta es una habilidad importante enfatizada en gran medida en CISM: Un buen líder de seguridad necesita reconocer esa brecha y llenarla con un proceso de gestión de riesgos que ayudará a la organización a tomar mejores decisiones sobre seguridad cibernética.
Una conversación típica que podría tener sería hablar con un líder de seguridad, un arquitecto de seguridad o alguien de una empresa sobre sus herramientas: tendrán firewalls, antimalware, un sistema de prevención de intrusiones y algunas otras cosas. Entonces, pueden tener una herramienta, digamos que tienen una herramienta de descubrimiento DLP [prevención de pérdida de datos], por ejemplo. Preguntaré: ‹¿Por qué compraste eso?›, y responderán: ‹Bueno, ya sabes, muchas organizaciones tienen DLP; necesitamos saber qué información podría estar fuera de nuestros archivos compartidos›. Luego, le pregunté: ‹¿Ha realizado algún tipo de evaluación o análisis de riesgos que lo haya llevado a tomar esa decisión?›. A menudo responden que muchas empresas lo tienen, y sienten que tienen una brecha y que también la necesitan.
La razón principal por la que muchas organizaciones compran herramientas hoy en día es porque otras personas lo están haciendo o porque tienen una corazonada, no se basan en un análisis de riesgo real. Las organizaciones no saben cómo hacer análisis de riesgos o evaluaciones de riesgos, o simplemente no se les ocurre que sea una actividad importante que deben hacer.