SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

8 oct 2007

Segu-Info » » Consultas sobre examen y certificaciones CISA y CISM

Consultas sobre examen y certificaciones CISA y CISM

8 oct 2007, 4:53:00 p.m.   Comenta primero!
   
En los últimos días he vuelto a recibir consultas sobre CISA y CISM, supongo que a raíz de leer la entrada donde comentaba mi experiencia y opiniones al respecto, y/o porque ya se están planteando la preparación para la convocatoria de diciembre de este año.

Básicamente las consultas se concentran en (a) métodos para prepararse el examen, (b) obtención de la certificación tras aprobar el examen, (c) mantenimiento de la certificación, (d) si vale o no la pena la certificación.

Lo siguiente no dejan de ser opiniones bastante personales y puede que no sean aplicables a tu caso.

Métodos para prepararse el examen

  • Que tengas experiencia en auditorías, especialmente si eres técnico, no te beneficia en nada, incluso tal vez te perjudique si te confías en que no necesitas preparar el poco temario técnico que hay. Olvídate de lo que sabes, si CISA/CISM dice que es más efectivo un antivirus perimetral que en el host o sabes que una pregunta sobre firma digital está mal contestada en el cuestionario, ni siquiera te plantees que pueda ser una errata, simplemente apréndelo tal cual. Ya podrás hacerte un "reset" cuando termines el examen.

  • Para preparar el examen tienes un temario y un CD con cientos de preguntas de ejemplo. Si tienes tiempo está bien que te leas el temario (bastante amplio), pero machachar las preguntas de ejemplo es fundamental. Repítelas una y otra vez, cuando falles lee la argumentación de la respuesta buena, no te quedes sólo con la respuesta, entiéndela. Si consigues acertar y entender todas las preguntas (600 o 700), creo que tendrás bastantes posibilidades de aprobar.

  • Aprende la "lógica CISA/CISM". Será un efecto secundario que obtendrás al machacar las preguntas de ejemplo. Verás los trucos del lenguaje que se utilizan en los enunciados de las preguntas, o como algunos verbos o términos están asociadas a algunas respuestas concretas, etc.

  • No conozco los cursos de preparación para los exámenes, pero por lo que he oido la gente sale contenta de ellos. Además del repaso a todo el temario, enseñan técnicas de estudio, trucos y se realizan simulacros de examen. No tengo referencias, pero se que aquí puedes encontrar información al menos para Madrid (soy miembro de ISACA por ese capítulo y recibo sus emails/anuncios, ¿para cuándo el capítulo en Málaga?).

  • Para rellenar el examen, yo optaba por contestar todas las preguntas, estuviera más o menos seguro, no dedicando más de 2 minutos en las que tenía dudas. Hay otras personas que prefieren dejar en blanco las dudodas y rellenarlas al final. En mi caso creo que es una mala estrategia dejar las dudodas para el final, que en este tipo de exámenes puede ser un número considerable, ya que normalmente se tarda más y puedes acabar con cierto estrés por el tiempo (en la segunda vuelta deben releer esas preguntas y pensar de nuevo). Sigas la estrategia que sigas, cuidado al rellenar la hoja de respuestas, comprueba siempre que estás en el número adecuado (aunque lo hagas secuencialmente, un salto por error podría ser mortal).

  • Puedes escribir, tachar, dibujar.... en el cuadernillo de preguntas, aunque también lo deberás entregar al finalizar el examen (junto con la hoja de respuestas que te entregan de forma separada). Aprovecha que puedes "guarrear" el cuadernillo de preguntas, a mí me resultaba muy útil tachar las respuestas incorrectas conforme las iba leyendo. Al ser preguntas tipo test con 4 posibles respuestas, normalmente en las que te resulten complicadas habrás descartado 2, y tendrás que decidir entre 2 similares. Visualmente te ayuda el tener las preguntas descartadas tachadas, y en ese momento es fundamental aplicar la "lógica CISA", es más que probable que el enunciado de la pregunta encuentres una pista sobre cual de las 2 candidatas es la correcta.

    Obtención de la certificación tras aprobar el examen

  • Si apruebas el examen y cuentas con los años de experiencia requerida, tienes la certificación. Una vez aprobado el examen sólo tienes que pasar un trámite burocrático que consiste en enviar el Application for CISA Certification, o CISM según el caso. Básicamente es un formulario donde, además de los datos administrativos, tienes que rellenar los datos sobre experiencia en el campo, indicando nombres de empresas, fechas y áreas del CISA que abordastes en esos periodos. Para cada empresa diferente se envía una hoja más con el contacto y firma de la persona (normalmente tu jefe inmediato) que puede acreditar esa experiencia.

  • En el caso del Application for CISM Certificacion es exáctamente igual, pero con un añadido. Para cada una de las 5 áreas del que consta el CISM (Information Security Governance, Information Security Risk Management, Information Security Program Management, Information Security Management y Response Management) tienes que redactar un pequeño resumen describiendo tu experiencia.

  • Preguntas tipo que suelen hacerme sobre este tema: "Sumo 5 años de experiencia en mi actual empresa, aunque no me he dedicado en exclusiva a temas de seguridad o auditorías, sino que es una parte de mi trabajo. ¿Puedo obtener la certificación?". Sí. Además de la experiencia en seguridad, puedes compulsar parte del tiempo con experiencia genérica en IT. No esperes que ISACA vaya a investigarte, a lo más que puede llegar, en un caso extraordinario, es a preguntar a la persona de referencia que has incluido en el cuestionario para que acredite la experiencia, lo que teóricamente puede hacer con un simple "Sí, los datos suministrados por fulanito son correctos". En mi caso, y en los que conozco, nunca llegaron a preguntar nada.

  • "¿Puede servir los mismos periodos de experiencia para CISA y CISM?" Sí, si en tu trabajo realizas tareas relacionadas con las áreas de experiencia puedes aplicar un % de ese tiempo a CISA y otro a CISM. Si apruebas CISA y CISM en años diferentes, o no solicitas la certificación de ambas de forma simultánea, "no creo" que realicen una comprobación para ver si se pisan fechas. En mi caso si aprobé y solicité al mismo tiempo ambas certificaciones (envié en el mismo e-mail los dos formularios al departamento de certificación), y la persona que se encarga de tramitar administrativamente los formularios, para hacerlos llegar a los comité donde se revisan y aprueban, me escribió diciendo que no era posible hacer ambas cosas simultáneas en una misma empresa (vió las mismas fechas de experiencia en Hispasec en ambos formularios). Le contesté explicándole que Hispasec es una empresa de seguridad informática, y que aparte de técnico de campo en auditorías (CISA) también coordino/gestiono (CISM), así que era posible. No volvió a preguntar nada más, y al cabo de unas 6 semanas recibí la certificación CISA, y unas semanas después el CISM.

    Mantenimiento de la certificación

  • Suele haber muchas dudas sobre el mantenimiento de las certificaciones ya que tienes que acreditar todos los años unos determinados créditos en formación. Las dudas suelen venir al creer que sólo dan créditos la formación impartida o certificada por ISACA. La realidad es que la acreditación de horas de formación es muy flexible, sirven los cursos de terceros no ISACA, hasta las presentaciones comerciales de seguridad a las que acudas, las publicaciones que puedas hacer, etc. Con que estés un poco activo en el tema, y tengas la costumbre de ir apuntando en el formulario correspondiente lo que vayas haciendo durante el año, verás que al final te sobran créditos.

    Vale o no la pena la certificación

  • Tema espinoso y subjetivo. Mi opinión al respecto ya quedó clara, si de mí dependiera el que alguien sea CISA/CISM no sumaría puntos a la hora de evaluarlo para un puesto de trabajo, ascenso, realización de una auditoría, etc (casi que al contrario, tendría que asegurarme que hizo el "reset" en su día). Sin embargo, la realidad es bien diferente, hay muchas empresas que valoran este tipo de certificaciones, hasta el punto de llegar a ser un requisito imprescindible para acceder a un puesto o para acometer un trabajo a una tercera empresa. Mi consejo es certificarse si los necesitas para trabajar, pero no si lo que quieres es aprender.

    • Fuente: http://blog.hispasec.com/laboratorio/242



    Suscríbete a nuestro Boletín

    0 Comments:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info.

    Gracias por comentar!