CISSP versus CISM
CISSP y CISM son dos de los programas de certificación de seguridad de la información más solicitados. Tanto CISSP como CISM pretenden proporcionar un conjunto común de conocimientos para los profesionales y administradores de seguridad de la información de todo el mundo. Tanto CISSP como CISM son certificaciones aprobadas para el Programa de mejora de la fuerza laboral de aseguramiento de la información.
¿Qué es CISSP?
CISSP (Certified Information Systems Security Professional) es una certificación en seguridad de la información, regida por un organismo independiente y sin fines de lucro (ISC)2 (International Information Systems Security Certification Consortium).(ISC)2 se formó en 1988, por varias organizaciones, que fueron reunidas por el SIG-CS (Grupo de Interés Especial para Seguridad Informática) de DPMA (Asociación de Gestión de Procesamiento de Datos) con la intención de hacer un programa estandarizado de certificación de seguridad de la información. Más de 60.000 miembros de 134 países han obtenido la certificación CISSP a partir de julio de 2010. Es una certificación que cuenta con la aprobación del DoD (Departamento de Defensa) a través de sus programas IAT (Information Assurance Technical) e IAM (Information Assurance Managerial). CISSP es un requisito obligatorio para el programa ISSEP de la NSA (Agencia de Seguridad Nacional) de EE. UU.
Varios temas de seguridad de la información están cubiertos en CISSP. CISSP se basa en lo que ellos llaman el Cuerpo Común de Conocimiento (CBK). CBK es un marco común de seguridad de la información que pueden utilizar las profesiones de seguridad de la información en todo el mundo. En CISSP se examinan diez dominios CBK, como control de acceso, seguridad de desarrollo de aplicaciones, que se basan en la tríada CIA (confidencialidad, integridad y disponibilidad).
¿Qué es el CISM?
CISM (Administrador certificado de seguridad de la información) es una certificación para los administradores en el campo de la seguridad de la información. ISACA (Asociación de Auditoría y Control de Sistemas de Información) otorga esta certificación. Una persona que posea al menos 5 años de experiencia en seguridad de la información (con un mínimo de 3 años de experiencia gerencial) debe aprobar este examen para recibir esta certificación. La certificación CISM pretende proporcionar un cuerpo común de conocimientos para los administradores de seguridad de la información de todo el mundo. Por lo tanto, la gestión de riesgos de la información es la base de esta certificación. Además, se cubren temas amplios como gobernar la seguridad de la información, el desarrollo y la gestión de programas de seguridad de la información y la gestión de incidentes. El punto de vista principal de la certificación es la gestión de la seguridad de la información basada en las necesidades de los negocios (basado en las mejores prácticas de la industria).
Típicamente, las comunidades CISSP y CISA tienden a buscar la certificación CISM. Una de las razones de esto es que el contenido de CISM está relacionado con el del programa ISSMP (Information Systems Security Management Professional) de (ISC)2. CISM se convirtió en una certificación aprobada para el Programa de mejora de la fuerza laboral de aseguramiento de la información en 2005. Las cinco áreas de seguridad de la información examinadas por CISM son la gobernanza de la seguridad de la información, la gestión de riesgos de la información, el desarrollo del programa de seguridad de la información, la gestión del programa de seguridad de la información y la gestión de incidentes.
¿Cuál es la diferencia entre CISSP y CISM?
Aunque las certificaciones CISSP y CISM examinan temas de seguridad de la información, tienen diferencias clave. A diferencia de CISSP, CISM está enfocado hacia los temas de gestión de seguridad de la información. Aunque tanto CISSP como CISM requieren que las personas tengan al menos 5 años de experiencia en seguridad de la información, CISM también requiere que la persona tenga un mínimo de 3 años de experiencia en gestión de seguridad de la información.