Preparando el examen CISM

Bueno, el próximo 10 de junio tienen lugar a escala mundial los exámenes de las certificaciones ISACA, no sólo el CISA, la certificación más popular y que afortunadamente obra ya en mi poder, sino también el CISM.

cisa cism

Sobre el CISA (Certified Information Systems Auditor) tenéis información más que de sobra en la Web de ISACA. Sobre el CISM (Certified Information Security Manager) no hay mucho más que comentar que lo que aparece también en ISACA, si bien quiero hablar un poco de ambas en base a mi experiencia.

Pese a que el CISA es más popular, creo que el CISM encaja más en mi perfil. Sobre el tapete es más fácil, al menos es considerablemente menor el número de hojas de la guía preparatoria, guía que consta de 232 hojas por casi el triple que tiene el CISA.

También quiero notar que los quie hacemos el CISM tenemos que basarnos en la guía de preparación del 2005, ya que no están disponibles los manuales del 2006 en lengua española. En fin, gajes del oficio. A lo que iba.

cism

Un CISM es un Gestor Certificado de Sistemas de la Infromación. El examen de certificación CISM consta de 5 dominios que son:

  1. Gobierno de la seguridad de la información
  2. Administración de riesgos
  3. Administración del programa de seguridad de la información
  4. Gerencia de la seguridad de la información
  5. Respuesta gerencial

El CISA está bastante bien, pero creo que el CISM se adecúa más a mi perfil. De hecho, si pudiera retroceder en el tiempo, probablemente escogería hacer el CISM antes que el CISA. Pero el orden de los factores no altera el producto, así que a ver si me lo saco :)

Tanto el CISA como el CISM son acreditaciones reconocidas por ANSI (American National Standards Institute) bajo el estándar internacional ISO/IEC 17024:2003, Requisitos generales para organismos, entidades y organizaciones en la gestión de certificación de personas. Esta norma especifica los requisitos para asegurar que los organismos de certificación que gestionan la certificación de personas conducen sus operaciones en una forma consistente, comparable y confiable.

Por cierto, en China están haciendo su agosto con una especie de phishing sobre el examen CISA. Tremendo.

Si algún lector se presenta en Madrid al CISM, que me dé un toque pa tomar una caña el viernes noche … esto mmm que digaaaa … para hacer un repaso al temario :) :)

76 comentarios sobre “Preparando el examen CISM

  1. Yo no me presento pero vivo en Madrid, así que si quedais en un sitio donde no tenga que desplazarme demasiado (estoy con rollos de oposiciones y no puedo quedarme mucho tiempo) me paso a tomarme unas cervezas… y si no hay más remedio te hago de ‘sparring’ :-P

  2. Espero que os vaya mejor que al Málaga de fútbol.

    Nastic a primera.jpg

    Oeé, oe´, oé. Total, sólo han pasado… 59 años. Ahora en serio, no soy nada futbolero, pero es una muestra más de la pujanza del Camp de Tarragona, una de las zonas con mayor crecimiento de Catalunya estos años y en el futuro. Ahora todos se apuntan a caballo ganador (la ciudad está loca, loca).

    Que os vaya bien. Recordad: la suerte se ha de trabajar.

  3. Bueno, y cuenta, qué tal fué…te pareció fácil o difícil…preguntas bien traducidas…???

  4. Pues mira,

    En virtud al acuerdo de confidencialidad que debemos firmar y aceptar los que nos examinamos, siento no poder darte detalles al respecto.

    Lo que sí puedo decirte es que encontré el examen difícil, y que por tanto, no sé si lo he superado o no :)

    Respecto a la traducción, imagino que entra dentro de lo que es la extensa cláusula de confidencialidad a la que aludo, así que siento no poder darte detalles.

    Un saludo :)

  5. Y ahora ya a toro pasado, Sergio ¿realmente le ves sentido a este tipo de exámenes? Quiero decir más allá de tener una línea más en tú curriculum y exigir un sueldo más alto por ello… Yo, la verdad, estoy muy escarmentado con este tipo de cosas y me he encontrado con muchos certificados (CISA, CCNA, MCP’s, etc.) bastante cortitos. También me los he encontrado buenos, es verdad, pero el hecho de que no todos lo sean y de que se trate de certificaciones perfectamente accesibles para ‘loritos’ les resta valor, al menos para mi. Desconozco el procedimiento que se sigue para esta certificación concreta pero si se parecen en algo a las CISA para mi tendría muy poco valor a la hora de contratar a alguien.

  6. Jose María,

    Soy de la opinión que estas certificaciones sólo son válidas para abrirse las puertas a la consolidación. Me explico.

    Si yo por ejemplo me certifico como CCNA con Cisco pero después no toco un router en mi vida, evidentemente, de poco o nada me sirve ser un CCNA, salvo para acreditar que conozco los fundamentos y que posiblemente, con una formación adecuada, sería capaz de hacer una gestión de redes con solvencia según los requisitos de Cisco.

    Las certificaciones técnicas generalmente enseñan más, puesto que el enfoque técnico te hace absorber nociones fácilmente aplicables. Las certificaciones no técnicas sirven para ofrecer al alumno una visión general sobre cómo enfocar un trabajo de gestión, pero necesitan forzosamente del complemento de la experiencia profesional para tener validez.

    En resumen. Certificaciones sí, estoy a favor, pero obviamente tampoco son por sí mismas un instrumento suficiente. Si no vienen acompañadas de experiencia profesional, no valen para nada.

    De todos es sabido lo que le gusta a la gente tener CVs de 8 páginas repletas de «titulitis», pero comprobar lo que realmente sabe alguien de un tema particular es relativamente fácil. Los «tituliteros» se caracterizan por picar de todo un poco, pero luego, por norma general, suelen hacer aguas cuando los temas a tratar requieren seriedad y profundidad :)

    Por cierto José, no pude avisarte el otro día cuando fui a Madrid. Espero me disculpes :(

  7. No se, no se… sigo sin verlo Sergio y te habla alguien que tiene dos cursos de postgrado con más de 800 horas de estudio en seguridad y firmados por la UNED y por la UPM y en ambos casos me ha dado la impresión de que lo que estaba haciendo realmente es pagar por un diploma porque los conocimientos realmente útiles podría haberlos adquirido de otras formas y me hubiera ahorrado la parte inutil (que siempre la hay) de la formación. En las certificaciones me parece aún más flagrante porque ni siquiera hay un trasvase de conocimientos: tú pagas para que alguien certifique que tienes unos conocimientos y que ni siquiera te ha proporcionado… para mi se trata de otro invento más del mercado: no necesito que tú me digas que has pasado un examen y tienes un diploma en tú casa, necesito que me demuestres lo que sabes y creo que esa no es la forma… desde luego para mi no lo es.

    Pero bueno, es un debate bastante denso para hacerlo aquí. Hubiera sido un buen tema para esa noche de cervezas que hemos dejado para otra ocasión. ;.)

  8. Pues sí José María, es un tema que da para mucho.

    Tu punto de vista es comprensible. Tu experiencia con esas certificaciones se ve que no era la que esperabas, y por eso criticas el concepto, crítica que se ve fundamentada, sin duda alguna. Te puedo asegurar que no eres el único al que he leído o escuchado opiniones similares.

    Yo no lo veo como una panacea, no me posiciono en el lado contrario, sino en un punto intermedio. Quizás porque las certificaciones que he realizado me han servido para algo valioso en algún momento: un mejor empleo, una oportunidad comercial o simplemente, conocer algo que no conocía.

    En fin, como bien dices, tema denso. Habrá que exprimirlo en algún momento ;)

    Saludos,

  9. Hola Sergio,

    siento oir eso. Yo he sacado el CISA en esta convocatoria y estoy pensando en el CISM para diciembre. ¿Qué me recomindas? ¿Algo en especial? ¿El CD es útil? ¿Que otras fuentes de documentación me recomiendas (tengo el libro oficial)?

    Un saludo y si te presentas en diciembre seguramente nos veremos.

  10. Hola José Luís,

    Para el CISM yo dispuse del manual y de las preguntas, ambos materiales del 2005, ya que no estaban los del 2006.

    No sé cómo es el CD, pero si lo hay para diciembre, es cuestión de gustos. Si te gusta hacer preguntas en el portátil o el equipo, es más adecuado que las preguntas en papel, que son más aconsejables para eso, para el que guste de hacer test en papel (como yo) :)

    Saludos,

  11. Hola,

    Yo me voy a preparar el CISM para Diciembre. El año pasado lo hice con el CISA. Me pareció interesante la certificacion. Es un repaso general al campo de los sistemas de informacion. POR SUPUESTO, estoy de acuerdo que a nivel Curriculum no es tan interesante las certificaciones como la experiencia, pero ambos son un buen complemento. Si bien es cierto que hay gente con mucha titulitis que no es muy profesional tambien es cierto que hay gente con mucha experiencia que no tiene claros los conceptos ni conoce la teoria. Dependiendo del tipo de trabajo (perfil) que se tenga, a veces, son necesarias ambas cosas. A nivel técnico, mcuhas veces no es necesario tener claros los conceptos. Yo he optado por el CISA y CISM porque están relacionados con mi actividad profesional actual, sino, POR SUPUESTO, tampoco las prepararía. Si no lo complementas con experiencia, al final, la formación no se consolida.

  12. Por cierto, SI QUE EXISTE el Manual de Preparación al CISM para el 2006 en Español. No obstante, yo considero que es considerablemente mas práctico hacerlo en inglés. Por ello hice el CISA así, ya que tambien podría haberlo hecho en español. Por un lado, existe mucho material disponible en inglés, y en Español hay muy poco. Y por otro lado, las traducciones realizadas en estos manuales y materiales en Español son desastrosas. Además, lo que se utiliza es el inglés. Esta moda de hacer traducciones de manuales y documentos a todo tipo de idiomas es una perdida de tiempo. Al final, como ocurre en el campo de la investigacion, lo que se utiliza es el inglés.

  13. muy buenas, me gustaria recibir vuestro consejo. Actualmente soy responsable del departamento de soporte de una empresa mediana pero la gestion de la seguridad esta en otro departamento. He estado viendo las certificaciones CISA, CISM y podrian ser un complemento a mi formación… como lo veis si realmente no tienes experiencia en esta area de seguridad y auditoria informatica? Es interesante?
    gracias.

  14. Te comento Luis mi visión. CISM es mas especializado en temas de Seguridad, pero CISA es bastante general y engloba casi todos los aspectos relacionados con los sistemas de información. Si que tiene relacion con temas de Soporte y puede ser interesante. No obstante, quizas sea mas interesante la Certificacion ITIL Foundations (http://www.itsmf.es/) para tu campo. A mi me pareció interesante esta certificacion, tambien, aunque es mucho mas sencilla de obtener, pues el examen es muy facil. CISA te obliga a dedicarle un tiempo. Pero para tu campo, como digo, es mas interesante la otra.

  15. Luis,

    Yo soy de los que creo que las certificaciones sirven siempre para algo. Cuando menos, para acreditar que al menos sabes de qué va el concepto de auditoría. Por lo menos, para eso.

    Hay un comentario muy acertado de jota, en el que dice que Si bien es cierto que hay gente con mucha titulitis que no es muy profesional tambien es cierto que hay gente con mucha experiencia que no tiene claros los conceptos ni conoce la teoria

    Esto es una gran verdad, como un templo además. Hay mucho obtuso y corto de entendederas por ahí suelto que efectivamente, por muy bien que haga un test de intrusión o un análisis, bien empleado le estaría conocer los conceptos teóricos de la auditoría, y al revés: mucho conocedor de teoría que luego no sabe cómo plasmar técnicamente un requisito.

    Para mí, las certificaciones CISA y CISM me demuestran que sus poseedores conocen al menos lo esencial desde un punto de vista teórico. Por lo tanto, son un excelente complemento formativo.

    Saludos,

  16. Hola Sergio,

    Tampoco pase mi CISM el 10 de junio, tuve 74 puntos. Soy hispanophono pero pase el examen en ingles aqui en Canadà. Vivo en francés asi que imaginate que 3 idiomas en la cabeza no es tarea facil. Me repguntaba si seria mas aconsejable pasar el exmen en español el 9 de diciembre..pero tengo mis dudas. Por los comentarios que leo aqui, no es aconsejable..pero bueno, comprare las 100 preguntas en español y vere que nivel de traduccion tienen.
    Un saludo
    Marcelo desde Montréal

  17. Comentario para Luis:

    Yo analizaria mi futuro, digo, que quiero para mi desarrollo profesional y luego elegiria si haria un CISA, CISM o un CISSP. Este ultimo esta mas inclinado hacia aspectos mas tecnicos de seguridad. CISM es ideal para alguien que quiere o bien comenzar o bien profundizar sobre los conceptos de seguridad, pero claro, la experiencia vale mucho al momento de pasar la certificacion. El examen de CISA no lo conozco, pero lo veo mas util para quien quiere dedicarse a la auditoria de sistemas.
    Saludos.
    Marcelo

  18. Marcelo,

    Tu 74, y yo 73. Lo rozamos, a ver si a la próxima lo logramos :)

    Estoy de acuerdo contigo en que el CISA es obviamente más orientado a la auditoría de sistemas, mientras que el CISM es más útil para el gobierno de IT.

    Son dos funciones distintas, no son excluyentes, pero en la práctica no suelen ser complementarias: no suele haber auditores en activo que además, gestionen la seguridad.

    Un saludo desde España para Canadá :)

  19. Es cierto Sergio, no DEBE haber auditores que gestionen la seguridad, pero si manager de seguridad que conozcan como y donde seran auditados. Por eso considero que las 2 certificaciones le sirven a los gestionadores de seguridad.

    Si pasamos la certificacion en diciembre, pensaré seriamente en salir de »tapas» por alli ..jeje

    Saludos cordiales.
    Marcelo.

  20. saludos desde Guatemala… que tal? como estan.. una pregunta… cuantos meses creen uds que es el promedio recomendable, segun su experiencia para estudiar para el CISA?? digamos, estudiando un aprox de 100hrs al mes?? 3 meses seran suficientes?? saludos…

  21. José Manuel,

    Soy de los que creo que si has tenido contacto previo con el CISA y sus contenidos, debería sobrarte con 2 semanas de estudio más o menos fuertes. 100 horas al mes durante 3 meses me parece que es garantía de que al menos dominarás los manualesc on gran profundidad :D

    Otro tema es que saberte el manual te haga aprobar, ya se sabe, las traducciones, los nervios, el tiempo, la longitud…

    Suerte :D

  22. En lo que se refiere a cuanto tiempo es necesario para aprobar el examen, coincido con Sergio en que dos semanas es suficiente, con dedicacion exclusiva ( osea, unas 80 horas aprox.). No obstante, el caso de la mayoria, entiendo, es que compatibiliza su preparacion con el trabajo y, en ese caso, mi opinion es que sería necesario dedicarle mas tiempo. En cuanto al numero de horas, creo, que 80 horas es suficiente para alguien que, teoricamente, reune los requisitos para la certificacion. Esto es: tiene experiencia en TI y en algunas funciones de la auditoria. Si no es asi, y me he encontrado muchos casos, habría que dedicarle mas tiempo, aun. En mi caso lo preparé en 2 meses, con una dedicacion de unas 80-100 horas en total. Al final, lo que hice fue leerme el manual una vez, volver a leerme aquellos aspectos o dominios en los que tenia menos experiencia y conocimientos por segunda vez y despues practicar con las preguntas del CD. En total, como ya te digo, unas 80 horas. Lo que ocurre es que esas horas trabajando son muchas y al final te consume unos 2 meses. Tambien coincido con sergio en que hacer todo eso no es garantia de aprobar, pero si de tener muchas opciones. Como bien dice: el tiempo, los nervios y demás influyen. Yo, por ejemplo, no acabe el examen CISA: me quedaron unas 15 preguntas sin contestar. Pero saqué una buena puntuacion, porque fui muy despacio contestando y asegurandome de las respuestas. Al final, las 15 ultimas las hice en plan quiniela. Tuve un fallo: nunca me medí el tiempo cuando hice preguntas. Un saludo y suerte.

  23. Hola,

    He estado leyendo vuestros comentarios y veo que ya teneis experiencia tanto en el CISM como en el CISA.

    Me presente al de ITIL Fundation en Junio y me pareció bastante sencillo, ahora estaba pensando en presentarme al examén de CISA del 9 de diciembre y me gustaría comprar el material oficial de preparación de este año de segunda mano, si sabeis de alguien que lo haya hecho este Junio y quiera desprenderse del material, estaría interesada en llegar a un acuerdo.

    Un Saludo,

    Ana

    Os dejo mi e-mail: ana_heras@hotmail.com

  24. Amigo soy Ingeniero de Sistemas interesado en obtener la certificacion CISA la pregunta es donde lo puedo hacer y prepararme. Resido en la ciudad de Barranquilla (Colombia) si tienes informacion me la podrias pasar y como prepararme…

    Gracias

    Amilkar

  25. Hola como estan todos?… espero que bien, soy de Ecuador (SurAmérica).
    Quisera darles mi opinión sobre CISA y otras certificaciones.

    1) Trabajo en la Superintendencia de Bancos y Seguros http://www.superban.gov.ec, por mi experiencia cuando voy a las instituciones financieras y se que hay alguien certificado CISA me da cierta garantia que las personas que tienen funciones de auditor informático tengan bases de lo que trata. Si supieras lo que he visto en las entidades jefe de sistemas sin perfil de sistemas o auditores que no saben por donde empezar.

    2) Voy a dar el examén CISA el 9 de diciembre en Quito, espero me deseen suerte
    3) Si bien las certificaciones no te garantiza los conocimientos técnicos, si te da un poco de conocimientos ya que tienes que estudiarlos
    4) saludos Sergio y un gusto conocerte, anota en tus estadisticas Sur América

  26. Juan Alberto,

    Un saludo para tí también. Sé bienvenido :)

    He visto comentarios sobre certificaciones, pero la verdad es que pocas veces he visto uno tan acertado y completo como el tuyo. Has dado todas las claves necesarias para entender lo que son y suponen las certificaciones. Enhorabuena.

    Un saludo, y suerte para el CISA de Diciembre :)

  27. Hola a todos,

    Quisiera contar lo que me aportó personalmente el curso CISA.

    Por lo pronto, cambió mi modo de ver las TI y las condujo hacía una visión respecto del riesgo empresarial. Digamos que me abrió una puerta para explorar COBIT y contemplar más las TI como aportación al negocio.
    En mi caso, dirijo un departamento de TI de 25 personas, así que cuento con técnicos en routers, sistemas y todo eso, por lo que no me interesa personalmente profundizar en la parte técnica; sin embargo, sí que me aporta la parte metodológica y la gestión del riesgo. El CISM también va por esa línea, aunque centrándose en aspectos de seguridad.

    No pretendía escribir un panegírico de ISACA, CISA, CISM o COBIT. Existen otras alternativas que deben ser cuidadosamente estudiadas, como ITIL o la emergente familia ISO27000 (que incluirá SGSI, métricas, análisis de riesgos, etc). Cada escenario tiene una metodología/certificación asociada. Pensad en vuestro negocio, vuestro departamento, vuestros objetivos … y decidid.

    A los que lo intenteis … suerte y al toro.

    Baal.

  28. Hola Sergio,
    Todos los días leo tu blog, estos días estoy preparando un documento sobre SGSI para un trabajoa de la universidad. En verdad, tu blog me ha ayudado mucho. También he descubierto que este tema de la Seguridad de la Información me está gustando ( actualmente trabajo en Gestión de Proyectos) . Sin más preámbulo, me podrías mandar tu manual de preparación para la certficación de ISACA, no importa si está en ingles y si tienes problemas con el idioma también puedo ayudarte.

    Espero me puedas responder a mi correo: annaverona@hotmail.com

    ..Cuando vaya para Europa espero que nos encontremos para una amena tertulia :-)

    Ana

  29. Hola Ana,

    Gracias por tus amables palabras. Me alegro de que mi trabajo haya servido para tu progreso universitario :)

    Lamento informarte que no puedo mandarte el manual, por dos razones. La primera es que lo tengo en formato papel, y no en versión electrónica, y la segunda es que, aunque lo tuviera en formato electrónico, ese manual es de pago, tiene derechos de autor, y por tanto no es legal distribuirlo. Me temo que tendrás que comprarlo.

    Si necesitas contactar en adelante, puedes emplear (al igual que todos) el formulario de contacto –> http://www.sahw.com/contacto.php

    Atentamente,

  30. Mine,

    Cuéntale a la gente qué es el CRTI, no todo el mundo lo sabe. Detalla esa oferta para todos en público, y si puedes, formalízala con algún enlace. Es la manera más correcta.

    Saludos,

  31. Hola Sergio,
    Enhorabuena por tu blog.
    Acabo de encontrarlo por casualidad buscando algo sobre el CISM y la verdad es que me ha alegrado ver que no soy el único bicho raro que se está preparando el CISM.
    Yo también me presenté en junio y lo suspendí. Para más rabia con un 74.
    Aquí estoy, como todas las tardes desde hace ya un par de meses, sacando unas pocas horas de donde puedo y creo que, como a mí, si te vas a presentar el día 9, te hará falta toda la documentación posible.
    He podido localizar en el eMule el típico programilla que si tienes las preguntas en formato doc, te las pregunta tipo test y te permite hacer examenes de prueba.
    Si a alguien le interesa, creo que están bastante bien para ayudar a estudiar. Sólo tenéis que buscar CISM en eMule y bajarse algo parecido a Trandumper. He visto que las preguntas son de libre difusión y encontradas en diferentes fuentes, si no es con ánimo de lucro puedes utilizarlas, así que no se incumple ninguna ley (que yo sepa).
    Si alguien sabe de alguna otra fuente para encontrar preguntas para el CISM y si es posible en español, de todo corazón que será bienvenida.
    Yo hice el examen en inglés y me sobraron 4 minutos de las 4 horas, pero la verdad es que también me pareció bastante chungo. Nada que ver con las preguntas de simulacro que vimos en el curso de preparación.
    Bueno, que no me enrollo más. Sigue así con tu blog y espero contribuir a partir de ahora en él.

    Saludos a todos.

  32. Me voy a presentar al CISM el dia 9. La verdad es que, despues de leerme el manual, estoy un poco arrepentido de haberme preparado la certificacion. No se si aprobaré o no, pero ya estoy arrepentido. Con el CISA, sin embargo, no me ocurrió lo mismo: una certificacion muy bien elaborada, con material decente, muchas preguntas, numerosos articulos, material de todo tipo: CD’s, manuales, etc. El manual del CISM me parece lamentable. Se repite muchisimo. A penas tiene contenido. He echado un vistazo al material disponible, tambien : el CD que comenta justo, el manual de Willy del 2003 (por cierto, considerablemente mejor que el del 2005), que contiene numerosas preguntas, varias presentaciones disponibles en el emule, las preguntas de los libros 2004 y 2005 (100 cada uno) , el manual del 2005, 2006, etc. En total, dispongo de unas 800 preguntas. Pero he observado que ha variado considerablemente el manual y que el CD ese que se comental manuel del willy y algun contenido mas, está obsoleto. Ademas tienen muchas preguntas de COBIT (no cae), de CISSP (no cae) , de CISA (no cae) , del manual willy (no cae), etc, que para alguien que se prepare CISM no vienen al caso. El material «menos malo» (parto de que todo es malo) es el de la ISACA: el manual 2006 y sus preguntas anexas y las 200 preguntas de 2004, 2005 oficiales. A veces el trabajar con un material no oficial no resulta rentable. Me han comentado que el CISSP es una certificacion con mayor contenido técnico, mas elaborada y con material mas decente, asi que para la proxima no me equivoco…

  33. Mi experiencia sobre examén CISA

    Hola amigos cibernautas, el día sábao 9 de Diciembre di el famoso examén de 200 preguntas en 4 horas en un hotel de Quito capital del Ecuador. Solo debo mencionarles que ha sido extenso, presionante y cansado. Pero bueno tuve tiempo de responder las 200 preguntas y repasar algunas que me quedo la duda.

    Entre a las 8 am y salí a las 13h15, el examén empezó exactamente a las 09h15, antes te dan indicaciones y llenas el formulario de registro.

    Permíntanme compartir con ustedes mi experiencia:

    1) Son 200 preguntas, las cuales en promedio cada media hora debes contestar 25, para que tengas el suficiente tiempo. No te sirve el reloj del celular, te lo apagan y te lo requisan hasta el final.

    Tip: lleva un buen reloj de pulsera que te alerte cada media hora para comprobar el grado de avance del examén
    Eso si relajáte…. los nervios te juegan a veces muy malas pasadas.

    2) Si no saben las respuestas de las preguntas, no te preocupes de contestarlas. Marca las preguntas «difíciles» para al final, de tal manera que si te queda tiempo vuelvas a revisarlas.

    Tip: No te demores en las respuestas de preguntas difíciles, sigue adelante, marcalas para contestarlas despúes.

    3) Para cada pregunta hay 4 respuestas: Descarta las que te parezcan menos acertadas, yo llevé 4 lápices, con dos de ellos tapaba las respuestas que me parecián incorrectas y solo me enfoca a decidir cual de las otras 2 respuestas era la más aproximada.

    Tip: Es más fácil descartar las respuestas incorrectas

    4) Estudia no solo el material de preparación y cd de simulación del examén. Es recomendable leer u hojear los artículos de la revista control que te llega cuando te suscribes a ISACA, principalmente los temas de Balance Score Card, Gobierno de TI, Seguridades y auditoría en Wireless, entre otros.

    Tip: revisa más infomación de ISACA, su revista oficial o web site oficial

    5) Isaca en cada país asociado, tiene capítulos locales, los cuales se encargan de preparar cursos de preparación para el examén CISA o CISM. Así que ISACA proporciona a cada capítulo las diapositivas para la elaboración del curso. Algo que ayuda es asistir al curso porque aclaras conceptos que el manual no profundiza.

    Soy secretario del capítulo ISACA Ecuador y asistí a uno de ellos, por si acaso la dirección es http://www.isaca.org.ec

    Finalmente:
    Vayan con un buen desayuno, yo preferí una buena sopa de pollo criollo que me mantuvo despierto y relajado.
    No tomes mucha agua porque te obliga ir al baño y perder 5 minutos en promedio.

    Lleva 4 lápices, 2 borradores, nadie te va a poder prestar, ya que una vez iniciado el examén eres solo tú y nadie más.

    Y si me preguntan que tal me fue: NO LO SE, hay preguntas que tenían su truco…no sabía cual elegir, me dejé llevar por la intuición y experiencia. Se que di me mejor esfuerzo.
    Lo único que hice después del examén fue dormir hasta las 11 am del domingo siguiente… Y la noticia lo sabré en Febrero 2007…
    como dicen:
    «Haced lo que temeis y el temor desaparecerá»

  34. Hola,

    Yo tambien me presenté al CISM en Madrid el dia 9 de Diciembre. Comparto las ideas propuestas por Juan Alberto. Es imposibile saber que tal te ha ido en el examen, porque en mi caso (y en el de otros), como ya me sucedió el año pasado (con el CISA), el tiempo fue muy escaso y no me dió tiempo a repasar. Al final saqué una buena nota, pero no tenia ni idea de lo que habia hecho. «Vas como un robot contestando pregunta por pregunta y cuando llegas al final SE ACABO el TIEMPO… «. Yo contesto las preguntas sobre el propio test y señalo las dificiles, pero contesto todas. Despues, le dedico 10 minutos a rellenar el test (tengo comprobado que asi pierdo menos tiempo que si lo hago una a una). Supuestamente si te da tiempo, las que has señalado como dificiles las repasas (si da tiempo, que en mi caso no fue así.). Con respecto a cuando lees las preguntas yo tambien tacho la que no puede ser: señalo con una raya la que no puede ser, con una cruz la que creo que si puede ser y con un circulo la definitiva. Las dificiles las señalo con un cuadrado en la propia pregunta. «Es una tecnica», como otra cualquiera, pero me ha ido bien, al menos, con el CISA el año pasado. Un saludo.

  35. Hola gente,
    1. FELIZ NAVIDAD.
    2. Me voy a presentar el CISA en jun 2007, mi objetivo es un cambio de trabajo, llevo en sistema de informacion toda la vida, en Helpdesk, sistemas y redes, y a mis 41 , vreo q un trabajo de auditor seria una buena reoriantacion,
    Mi pregunta , a todos, y en particular a la gente de Espana ( Madrid) como esta el mercado laboral, q se paga en el mercado por este puesto? yo no veo anuncios de audiotres de sistemas, ni q pidan CISA,ni nada parecido.
    Estoy estudiando todo en ingles y en enero comprare el temario a la ISACA q sale nuevo, hare el examen en ingles, a no ser q me digan q las traducciones son buenas y comprensibles al espanol.

    Por otra parte me gustaria crear un grupio de trabajo en Madrid , juntarnos unos cuantos, y asi preparar mejor la certificacion, q os parece?

    1000 gracias por los comentarios,
    un abrazo
    Jesus

  36. Hola Jesus, varias cosas:

    1. Sobre si hay o no mucho trabajo de auditor, la verdad es que cada vez hay mas, pues aunque los departamentos de auditoria interna brillan por su asuencia en España, cada vez toman mas fuerza y las empresas comprenden la necesidad de la existencia de tal funcion. Además, hay multitud de empresas que se dedican a la auditoria externa de sistemas.

    Otra cosa a añadir, con respecto al trabajo, es que en Espala, y debido al desaguisado de perfiles, puestos de trabajo y demás que reina en el mundo de los sistemas de informacion en este pais, se está pidiendo cada vez mas certificaciones como CISA para cualquier puesto, sea cual sea su rol. Es mas, se pide para muchos puestos que nada tienen que ver con el mundo de la auditoria.

    2. El ¿ cuanto pagan EN AUDITORIA ? es una pregunta muy compleja de responder. Evidentemente no es lo mismo el puesto de Director de Auditoria en un Banco que el puesto de auditor junior en una consultora. Hay multitud de perfiles en la auditoria de sistemas. Un CISA «supone», al menos, un perfil medio, con varios años de experiencia en auditoria.

    3. Lo de que si hay o no anuncios la verdad es que los anuncios, a partir de ciertos perfiles, de poco o nada sirven, desde mi punto de vista. Una vez obtenido el cisa, y estando asociado en ASIA (Organizacion de auditores de españa) u organizaciones como el IAI (instituto de auditores internos) y otros, disponen de bolsas de trabajo para multitud de puestos de trabajo relacionados con el mundo de la auditoria.

    Otro tema a añadir es que cada vez salen mas proyectos exigiendo, al menos, algun perfil tipo auditor. Incluso en la comunidad de madrid han salido proyectos pidiendo las certificaciones CISA para algunos proyectos.

    4. El material de CISA en español es muy abundante, pero yo lo prefiero en ingles. Hay opiniones para todos los gustos.

  37. Estimados

    Interesante todas sus opiniones. Soy Latino (Chile) y aquí desde hace años se le dá más importancia a la Certificación CISSP de http://www.isc2.org que las que mencionan. Me gustaría saber cual es la visión de esta certificación comparada con CISA y CISM en España.

    Atte.
    yaco

  38. Hola a todos,

    Desde hace tiempo estoy mirando el tema de la certificación como vía para encontrar un trabajo en el área de Seguridad.

    Estoy a punto de terminar Ingeniería Informática, vivo en Valencia (España) y solo tengo, experiencia de unos meses como administrador de sistemas (pero de becario).

    Mi pregunta es: ¿Creéis que debería conseguir alguna certificación en seguridad para acceder a un puesto de trabajo de la rama? ¿Lo dejaríais para más adelante?

    He preguntado a varios compañeros y me aconsejaron que empezase por las certificaciones en Seguridad que no exigen experiencia (ya que no la tengo). En concreto me aconsejaron el siguiente plan:

    1. Que empezase por la certificación Certyred de la Universidad de Salamanca http://cursos-seguridad.usal.es/
    2. Que hiciese el CISA.
    3. Que hiciese algunas certificaciones del SANS GIAC (que no exigen experiencia).
    4. Por último que me sacase el CSSIP.

    Como veréis, estoy en un mar de dudas. Cualquier tipo de consejo que me deis será bienvenida.

    Muchas gracias por adelantado.

  39. Rafael,

    Las certificaciones SANS y el CISSP son altamente recomendables. Son más técnicas que el CISA, con lo que ya eres tú el que diseña el orden. Lo normal es hacer certificaciones no técnicas primero, y luego irse a por las técnicas, pero también puedes hacerlo al reves.

    Si quieres dedicarte a la seguridad, las certificaciones siempre te servirán de algo.

    Un saludo,

  40. Hola,

    Varios comentarios:

    1. Comparto la opinion de Rafael. Todas las certificaciones son interesantes. CISSP y SANS son mucho mas técnicas, en lo que a seguridad se refirere. CISA es de AUDITORIA, y no SEGURIDAD. Hay que tenerlo muy presente porque son funciones muy distintas.

    2. Con respecto al commentario de Javi si hay que tener experiencia para hacer el examen la respuesta es NO. Pero cabe matizar que SI hace falta para obtener la certificacion. Ademas, para alguien sin experiencia, CISA no es una certificacion recomendable, desde mi punto de vista.

    3. Con respecto al comentario de YACO decirte que en España CISSP tiene muy poca presencia, y tienen mas CISA y CISM ¿por que? Porque no hay organizaciones detrás, y eso es tanto o mas importante que la propia certificacion. La ISACA tiene una presencia en España muy notoria mientras que ISC2 (patrocinador de CISSP) no la tiene. El decantarse mas por una que otra depende de multitud de factores, pero como ya te digo en el caso de España, el factor determinante es su apoyo institucional.

  41. Hola,

    Conoce alguien cuantos CISA y CISM hay en España y el mundo? Cuantos hay con ambas certificaciones?
    He buscado esta informacón en la Web y me ha sido imposible. No sé a que se deba, quizás la ISACA (y sus capítulos) no la hacen pública por alguna razón.

    Considero que esta información puede dar una idea de lo extendido de la certificación y las oportunidades de desarrollo profesional que las certificaciones pueden ofrecer.

    Gracias de antemano,

    Xto.

  42. Hola,

    Unos 40.000 CISA y unos 5.000 CISM. Esa informacion la publica ASIA en España, que es el Capitulo de la ISACA. http://www.auditoresdesistemas.com/default/default.asp

    Es una certificacion, por tanto, muy extendida. En cuanto a desarrollo profesional depende… ¿ en auditoria ? SI, ¿ en seguridad ? SI, ¿en desarrollo de sistemas? Vaya…. Todo depende del sector profesional, aunque son muy valoradas, en general, en TIC.

Comentarios cerrados.