Llegamos a ustedes gracias a:



Reportajes y análisis

Certificación CRISC: ¿Su billete de entrada a la dirección?

[25/09/2021] El Certificado en Control de Riesgos y Sistemas de Información (CRISC, por sus siglas en inglés) es una certificación que se centra en la gestión de riesgos informáticos de la empresa. La ofrece ISACA, una asociación profesional sin ánimo de lucro centrada en la gobernanza de las TI que cuenta con varias certificaciones en su haber, entre ellas CISM.

La gestión del riesgo empresarial (ERM, por sus siglas en inglés) es el proceso de evaluación de los riesgos para identificar tanto las amenazas al bienestar financiero de una empresa, como las oportunidades en el mercado. Un programa de gestión de riesgos pretende equilibrar la probabilidad de que se produzca un riesgo con el daño potencial que se produciría en caso de producirse. En general, el objetivo es ayudar a comprender la tolerancia de una organización al riesgo, categorizarlo y cuantificarlo.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Todo esto es, obviamente, un conjunto de habilidades de alto nivel, y cada vez más se espera que los CISO y los directores de seguridad de TI tengan en su caja de herramientas. CRISC puede ser una buena manera de demostrar su competencia en este campo, y puede ser un impulso lucrativo para su carrera. Sin embargo, al igual que muchas certificaciones, no es necesariamente barata ni fácil de obtener. Veremos algunos de los detalles de cómo puede obtener la certificación CRISC en un momento, pero primero, veamos cómo CRISC se compara con algunas de las otras certificaciones en el mercado.

CRISC frente a CISM, CISSP y CISA

¿Qué lugar ocupa CRISC en el mundo de las certificaciones de seguridad informática de nivel superior? Lo más importante que la distingue de otras certificaciones es que está especializada y centrada específicamente en el área de la gestión de riesgos de TI de la empresa. Por lo tanto, mientras que el CISM de ISACA podría, al igual que el CRISC, ser una credencial que un CISO o alguien que aspira a convertirse en un CISO podría perseguir, el CISM cubre una gama mucho más amplia de material, que generalmente abarca el desarrollo y la gestión de un programa de infoseguridad a nivel empresarial. El CISSP de (ISC)2 es otro certificado de alto nivel, pero de propósito general, que combina un conocimiento técnico profundo de una amplia gama de dominios de seguridad con una comprensión de las responsabilidades de gestión.

Por último, está CISA, que es otra certificación de ISACA. CISA se parece a CRISC en el sentido de que está enfocada, pero su área de interés es diferente a la de CRISC: CISA significa Auditor de Sistemas de Información Certificado, y es perseguido principalmente por aquellos en el ámbito especializado de la auditoría. A diferencia de las otras tres certificaciones, es menos probable que alguien haya obtenido una certificación CISA como parte de una carrera que apunta a la C-Suite. El blog de Netwrix tiene un gran gráfico en el que se comparan estas cuatro certificaciones si quieres hacerse una idea de las diferencias y similitudes de un vistazo.

Dominios CRISC

Ahora echemos un vistazo al contenido que se espera que domine para obtener la certificación CRISC. ISACA desglosa este material en lo que denomina dominios; en versiones anteriores de la certificación, a veces se denominaban áreas de práctica laboral. Estos dominios se actualizan periódicamente y, de hecho, en agosto del 2021 se llevó a cabo una importante revisión, por lo que gran parte del siguiente material es relativamente nuevo en el momento de escribir este artículo.

Hay cuatro dominios de nivel superior -gobernanza, evaluación de riesgos de TI, respuesta e informes de riesgos, y TI y seguridad- cada uno con una serie de subdominios:

Gobernanza

Gobernanza de la organización

  • Estrategia, metas y objetivos de la organización
  • Estructura organizativa, funciones y responsabilidades
  • Cultura organizativa
  • Políticas y normas
  • Procesos empresariales
  • Activos de la organización

Gobernanza del riesgo

  • Gestión del riesgo empresarial y marco de gestión del riesgo
  • Tres líneas de defensa
  • Perfil de riesgo
  • Apetito y tolerancia al riesgo
  • Requisitos legales, reglamentarios y contractuales
  • Ética profesional de la gestión de riesgos

Evaluación de los riesgos informáticos

Identificación de los riesgos informáticos

  • Eventos de riesgo (por ejemplo, condiciones que contribuyen, resultado de la pérdida)
  • Modelización de amenazas y panorama de amenazas
  • Análisis de vulnerabilidad y deficiencias de control (por ejemplo, análisis de la causa raíz)
  • Desarrollo de escenarios de riesgo

Análisis y evaluación de riesgos informáticos

  • Conceptos, normas y marcos de evaluación de riesgos
  • Registro de riesgos
  • Metodologías de análisis de riesgos
  • Análisis del impacto en el negocio
  • Riesgo inherente y residual

Respuesta al riesgo y presentación de informes

Respuesta al riesgo

  • Opciones de respuesta y reporte del riesgo
  • Propiedad del riesgo y del control
  • Gestión de riesgos de terceros
  • Gestión de problemas, hallazgos y excepciones
  • Gestión del riesgo emergente

Diseño e implementación de controles

  • Tipos, normas y marcos de control
  • Diseño, selección y análisis de controles
  • Implantación de controles
  • Pruebas de control y evaluación de la eficacia

Seguimiento e información de los riesgos

  • Planes de tratamiento de riesgos
  • Recogida, agregación, análisis y validación de datos
  • Técnicas de seguimiento de riesgos y controles
  • Técnicas de presentación de informes sobre riesgos y controles (mapas de calor, cuadros de mando, tableros de control)
  • Indicadores clave de rendimiento
  • Indicadores clave de riesgo (KRI)
  • Indicadores clave de control (KCI)

TI y seguridad

Principios de la tecnología de la información

  • Arquitectura empresarial
  • Gestión de operaciones de TI (por ejemplo, gestión de cambios, activos de TI, problemas, incidentes)
  • Gestión de proyectos
  • Gestión de la recuperación de desastres (DRM)
  • Gestión del ciclo de vida de los datos
  • Ciclo de vida del desarrollo del sistema (SDLC)
  • Tecnologías emergentes

Principios de seguridad de la información

  • Conceptos, marcos y normas de seguridad de la información
  • Formación en seguridad de la información
  • Gestión de la continuidad del negocio
  • Principios de privacidad y protección de datos

Estos dominios no solo definen la estructura del examen, sino que también son importantes en lo que respecta a los requisitos de experiencia del certificado, como veremos en la siguiente sección.

Requisitos y tasas de la certificación CRISC

Hay tres pasos que debe seguir para obtener la certificación CRISC:

En la siguiente sección nos adentraremos en el examen con más detalle, pero hagamos una pausa aquí para hablar de esos requisitos laborales. Como se ha señalado, CRISC está pensado como un certificado de nivel relativamente alto, por lo que sus titulares tienen que demostrar que tienen experiencia en el mundo real, no solo conocimientos teóricos. Para ello, con el fin de obtener la certificación, es necesario tener:

  • Al menos tres años de experiencia laboral realizando las tareas cubiertas por al menos dos de los cuatro dominios que hemos discutido en la sección anterior; y
  • Al menos uno de esos dominios tiene que ser uno de los dos primeros de la lista (gobierno o evaluación de riesgos de TI)

Para garantizar que está al menos relativamente al día en las tendencias del sector, tiene que haber acumulado esta experiencia durante los 10 años anteriores a la solicitud de la credencial. Pero si todavía no tiene esta experiencia y está deseando presentarte al examen, tampoco pasa nada: puede presentarse hasta cinco años después de aprobar el examen. (De hecho, no puede solicitar formalmente la credencial hasta que apruebe el examen).

Una vez que su solicitud CRISC haya sido aceptada, deberá cumplir con el programa de Educación Profesional Continua (CPE, por sus siglas en inglés) de ISACA para mantenerla. Esto significa realizar al menos 120 horas de formación CPE durante cada período de tres años después de haber obtenido la credencial. Para obtener más información sobre cómo puede cumplir este requisito, descargue la Política de CPE de CRISC de ISACA.

Examen CRISC

Como en la mayoría de las certificaciones, el examen es el núcleo de la experiencia de la certificación CRISC. El examen dura cuatro horas y consta de 150 preguntas de opción múltiple. El examen está disponible en inglés, español y chino simplificado, y puede realizarlo en un centro de exámenes PSI o como examen en línea desde su casa; en este último caso, un supervisor le observará a través de su cámara web, por lo que debe estar advertido si le resulta un poco desagradable.

Para obtener más detalles, consulte la guía del candidato al examen y la guía de programación de ISACA, así como la información sobre adaptaciones especiales.

Costo del examen CRISC y de solicitud

ISACA tiene un desglose bastante completo de los costos asociados a la obtención de la certificación CRISC, pero los aspectos básicos son los siguientes:

  • En primer lugar, está la tasa de examen, que es de 575 dólares para los miembros de ISACA y de 760 dólares para los no miembros. (La cuota de afiliación a ISACA es de 135 dólares, por lo que, si tiene previsto realizar uno de los exámenes de certificación este año, saldrá ganando desde el principio). Tiene un año para tomar el examen después de registrarse para hacerlo, pero no se le reembolsará si no lo toma a tiempo.
  • Una vez que haya aprobado el examen, debe solicitar formalmente la certificación CRISC, y la tasa de esta solicitud es de 50 dólares.
  • Posteriormente, deberá pagar una cuota anual de mantenimiento para mantener su certificación al día. Esta cuota es de 45 dólares para los miembros y de 85 dólares para los no miembros.

Formación CRISC

ISACA ofrece un curso de repaso CRISC en línea que cuesta 795 dólares para los miembros y 895 dólares para los no miembros.

También hay, como es el caso de casi todas las certificaciones, numerosos cursos de formación de terceros para ayudarle en su viaje. Digital Defynd tiene un buen resumen, recientemente actualizado, y los precios van desde el curso en línea de 19,99 dólares de Udemy, hasta el campamento de entrenamiento de cuatro mil dólares del Infosec Institute.

Pero, como hemos señalado, es importante tener en cuenta que el examen ha sido recientemente renovado en gran medida. Si bien puede suponer que el material de formación interno de ISACA está adaptado a la última versión del examen, es conveniente que vuelva a comprobarlo para asegurarse de que esto es así con cualquier material de terceros que consulte.

Materiales de estudio y preguntas del examen CRISC

La misma advertencia se aplica a los materiales de estudio de terceros. La 7ª edición del Manual de Repaso CRISC de ISACA, que cuesta 105 dólares para los miembros de ISACA y 135 dólares para los no miembros, está actualizada. Otros libros que normalmente recomendaríamos para estudiar para un examen de certificación, como la Guía Todo en Uno, están atrasados en el momento de escribir este artículo. Deberá comprobar la fecha de publicación de cualquier libro que esté considerando, para asegurarse de que es posterior a la renovación de agosto del 2021.

La mayoría de los cursos de formación que puede realizar incluyen ejemplos de preguntas que le prepararán para el examen. Si solo quiere echar un vistazo rápido para hacerse una idea de lo que puede esperar, puede consultar el cuestionario de práctica de ISACA. Si está dispuesto a gastar algo de dinero, puede pagar 299 dólares (como miembro de ISACA) o 399 dólares (como no miembro) para acceder a la base de datos de preguntas, respuestas y explicaciones del examen CRISC de ISACA.

Crédito foto: Nathan Dumlao/ CC0

Puede ver también: