Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Cambios en el examen CISSP 2024

Cambios en el examen CISSP 2024

Jun 10, 2025

El examen CISSP se actualizó el 15 de abril de 2024 para reflejar los conceptos y tecnologías de seguridad en evolución. Aunque el peso de los dominios se mantiene mayormente estable, el contenido se renovó en la mayoría de los dominios con nuevos temas como la distribución de claves cuánticas, el borde de servicio de acceso seguro y las leyes de privacidad actualizadas.

El 15 de abril de 2024, ISC² implementó un conjunto actualizado de objetivos para el examen CISSP. El objetivo de refrescar los objetivos del examen es mantenerlo relevante ante los últimos acontecimientos en seguridad. A medida que las cosas progresan y se introducen nuevas tecnologías, los objetivos se actualizan para tenerlos en cuenta, así como para los últimos estándares y procesos. En este blog, veremos los cambios y exploraremos algunas de las cosas clave a tener en cuenta mientras te preparas para el examen actualizado en 2025. Si estudiaste para el CISSP utilizando material de la actualización anterior, solo necesitas revisar los cambios / adiciones ya que gran parte del contenido y los temas siguen siendo los mismos.

Guía de estudio para el examen CISSP, actualizada para 2024

Aprende más

Dominios y cambios de CISSP

Primero, revisemos los 8 dominios que componen el examen CISSP. En la siguiente tabla, mostramos los 8 dominios y el peso relativo en 2018 y 2021 en comparación con los pesos relativos actuales con la actualización de 2024. Notarás que los pesos relativos han sido bastante estables, con solo cambios leves en las últimas actualizaciones.

1

Gestión de Seguridad y Riesgos

15%

15%

16%

2

Seguridad de activos

10%

10%

10%

3

Arquitectura y Ingeniería de Seguridad

13%

13%

13%

4

Comunicación y Network Security

14%

13% (bajó un 1%)

13%

5

Identity and Access Management (IAM)

13%

13%

13%

Detalles sobre las actualizaciones del dominio

Al igual que en la última actualización del examen, encontrarás algunos de los conceptos, términos y acrónimos de seguridad más recientes añadidos al plan de estudios del examen. La lista de cambios a continuación no es exhaustiva, pero es bastante completa. En la guía de estudio actualizada, también indico cuándo algo es nuevo para 2024 o cuándo se ha eliminado algo.

  • Dominio 1 (El nombre permanece igual, el peso aumenta en un 1%). Desde la perspectiva del título, el Dominio 1 es el mismo. Sin embargo, hay algunos cambios dentro que deben tenerse en cuenta:
    • Los “5 Pilares de la Seguridad de la Información” fueron añadidos
    • Para el tema de los principios de gobernanza de seguridad, se añadió el acto de sostenerlos
    • Para los marcos de control de seguridad, se mencionan marcos específicos, incluyendo ISO, NIST, COBIT, SABSA, PCI y FedRAMP – comprenda lo que cada uno de estos significa a nivel de gestión
    • Para el tema legal y regulatorio, se agregó el cumplimiento en
    • El tema sobre privacidad se actualizó a la específica Regulación General de Protección de Datos, California Consumer Privacy Act, Ley de Protección de Información Personal y Ley de Protección de Información Personal – como con otros temas, cuando el esquema menciona ejemplos específicos, asegúrate de entenderlos y las diferencias entre ellos)
    • Para el tema de continuidad del negocio, se añadieron las acciones de evaluación e implementación
    • Se añadió un nuevo tema para las dependencias externas para la continuidad del negocio
    • El tema sobre los contratos de empleo se actualizó para mencionar los requisitos impulsados por políticas
    • Se agregó el alcance al tema de evaluación/ análisis de riesgos
    • Para el monitoreo y la medición, se añadió la palabra “continuo”
    • El tema de los marcos de riesgo añadió ejemplos específicos
    • El tema sobre los riesgos para el hardware, software y servicios se actualizó para enfatizar riesgos más amplios al tratar con proveedores (como la manipulación de productos)
    • El tema sobre la evaluación y el monitoreo de terceros fue renombrado a mitigaciones de riesgo y se añadieron ejemplos como la evaluación y el monitoreo de terceros, los requisitos de nivel de servicio y la lista de materiales de software)
    • El tema sobre la conciencia cambió de “presente” a “aumentar”, un ligero cambio que se centra en la conciencia continua en lugar de la conciencia inicial
    • El tema sobre revisiones periódicas de contenido se añadió incluyendo tecnologías emergentes y tendencias y dio ejemplos específicos (como la IA y la criptomoneda)
  • Dominio 2 (El nombre y el peso permanecen iguales). ¡Nada cambió en este dominio para la actualización del examen de 2024!
  • Dominio 3 (El nombre y el peso permanecen iguales).
    • El tema “Keep it simple” fue cambiado a “Keep it simple and small” para demostrar que el tamaño importa cuando se trata de complejidad
    • El tema sobre zero trust fue actualizado para incluir “confiar pero verificar” – esto no es un tema nuevo sino la combinación de dos temas existentes
    • Se agregó un nuevo tema titulado “Secure access service edge”
    • El tema sobre Sistemas de Control Industrial (ICS) añadió “Tecnología Operativa” al título
    • El tema sobre microservicios incluyó una mención especial para las APIs
    • El tema de PKI agregó una referencia a la distribución de claves cuánticas)
    • El tema de prácticas de gestión de claves añadió una referencia a la rotación
    • El tema de las firmas digitales combinó los temas de no repudio e integridad
    • El tema de los armarios de cableado cambió “intermediate distribution facilities” por “intermediate distribution frame”
    • El tema sobre problemas ambientales incluyó ejemplos de desastres naturales y problemas causados por el hombre
    • Los siguientes temas y subtemas fueron añadidos:
      • Gestione el ciclo de vida del sistema de información
        • Necesidades y requisitos de los interesados
        • Análisis de requisitos
        • Diseño arquitectónico
        • Desarrollo / implementación
        • Integración
        • Verificación y validación
        • Transición / despliegue
        • Operaciones y mantenimiento / sostenimiento
        • Retiro / disposición
  • Dominio 4 (Nombre igual, peso igual).
    • La sección 4.1 cambia ligeramente el título de “evaluar e implementar” a “Aplicar”
    • La sección 4.1.2 añade ejemplos de unicast, broadcast, multicast y anycast
    • La sección 4.1.3 proporciona ejemplos de protocolos seguros incluyendo IPSec, SSH, SSL y TLS
    • Se agregaron 7 temas (del 4.1.6 al 4.1.12) que cubren la arquitectura de transporte, métricas de rendimiento, flujos de tráfico, segmentación física, segmentación lógica, microsegmentación y redes perimetrales. La microsegmentación cambió bastante para incluir referencias a VLANs, VPNs, enrutamiento virtual y reenvío, y dominio virtual.
    • En la sección 4.1.13, se agregó Bluetooth y se eliminó Li-Fi
    • En la sección 4.1.14 – “Cellular networks” se cambió a “Cellular/mobile networks”
    • Las redes definidas por software obtuvieron su propio subtema en el 4.1.16
    • Virtual Private Cloud (VPC) obtuvo su propio subtema en el 4.1.17
    • En la versión 4.1.18, se agregó monitoreo y gestión (así como ejemplos específicos)
    • La sección 4.2.1 cambió de “Operación de hardware” a “Operación de infraestructura”, lo que amplió ligeramente el tema
    • En la Sección 4.2.2, se añadieron como ejemplos la seguridad física de los medios y la calidad de propagación de la señal
    • La sección 4.2.3 se actualizó para mencionar soluciones físicas de NAC y soluciones virtuales
    • Sección 4.2.4 sobre seguridad de endpoints, se añadió el término “host-based”
    • La sección 4.3.1 era “Voice” en 2021 pero ahora añade video y colaboración junto con conferencias y Zoom como ejemplos
  • Doman 5 (Nombre y peso iguales)).
    • Para el Dominio 5, “Identity and Access Management (IAM)” mantiene su título.
    • En la Sección 5.1, sobre el control de acceso a los activos, se agregó un nuevo ítem para los servicios. Anteriormente, los servicios no estaban incluidos en el alcance. Asegúrese de entender el control de acceso a los servicios para el examen actualizado.
    • El tema titulado “Implementación de Identity Management (IdM) fue eliminado.
    • Se agregaron Grupos y Roles como la sección 5.2.1 que cubre la gestión de usuarios y acceso
    • En la Sección 5.2.2, el título se actualizó de “Autenticación de Factor Único/Múltiple (MFA)” a “Autenticación, Autorización y Contabilidad (AAA) (por ejemplo, autenticación de múltiples factores (MFA), autenticación sin contraseña)”. Esto amplía el tema para incluir la autorización y también añade tecnologías sin contraseña a la mezcla. Cabe destacar que el tema de la rendición de cuentas en el examen de 2021 se integró en este tema.
    • El tema sobre los sistemas de gestión de credenciales se actualizó para incluir “password vault” como un ejemplo. Esto hace referencia a aplicaciones/servicios que centralizan las contraseñas y secretos empresariales.
    • Se añadió un nuevo tema, 5.4.7, con el título “Aplicación de la política de acceso (por ejemplo, punto de decisión de política, punto de aplicación de política)”. Esto amplía el tema en torno a los mecanismos de autorización.
    • La sección 5.5.3, titulada “Definición de rol (por ejemplo, personas asignadas a nuevos roles)” se actualizó para incluir la transición que se refiere a personas que se mueven a un nuevo rol dentro de la empresa.
    • La sección 5.5.4 sobre privilege escalation eliminó la cuenta de servicio administrado y minimizó el uso de sudo para centrarse en “uso de sudo” y “audita su uso”.
    • Los subtemas sobre sistemas de autenticación – OIDC, SAML, Kerberos, RADIUS y TACACS+ fueron eliminados.
  • Dominio 6 (Nombre y peso iguales).
    • Para este dominio, el título permanece igual – “Security and Assessment Testing”.
    • En la Sección 6.1.1, el tema interno añade “dentro del control de la organización”.
    • En la Sección 6.1.2, el tema externo añade “fuera del control de la organización).
    • En la Sección 6.1.3, el tema de terceros añade “fuera del control empresarial”.
    • Se añadió un nuevo tema, 6.1.4, titulado “Ubicación (por ejemplo, local, nube, híbrido)” para hacer referencia al tema de estrategias de auditoría.
    • El tema de las pruebas de penetración, 6.2.2, añadió ejemplos de ejercicios de equipos rojos, azules y/o morados. Conozca las diferencias entre cada uno.
    • El tema sobre transacciones sintéticas (6.2.4) añadió una referencia a los puntos de referencia.
    • El tema 6.2.7 fue renombrado de “Análisis de cobertura de pruebas” a “Análisis de cobertura”.
    • El tema 6.2.8 sobre pruebas de interfaz, añadió ejemplos de interfaz de usuario, interfaz de red y aplicación de interfaz de programación (API).
    • Para las versiones 6.5.1, 6.5.2 y 6.5.3, se actualizaron los temas para indicar si había control organizacional o no.
    • Para la versión 6.5.4, se agregó un nuevo tema titulado “Ubicación (por ejemplo, local, nube, híbrido)” para referirse a la realización o facilitación de auditorías de seguridad
  • Dominio 7 (Nombre y peso iguales).
    • El título “Security Operations” permanece igual.
    • Para el tema 7.1.5 en torno a los artefactos, se añadieron datos a la mezcla.
    • El tema 7.2.1 fue renombrado ligeramente de “Detección y prevención de intrusiones” a “Sistema de detección y prevención de intrusiones (IDPS)”.
    • El tema “Continuous monitoring” se actualizó a “Continuous monitoring and tuning”.
    • El tema 7.4.2 fue cambiado de “Separation of Duties (SoD)…” a “Segregation of Duties (SoD)…“.
    • Se añadió un nuevo tema en el 7.5.3 titulado “Data at rest/data in transit” refiriendo al tema de aplicar técnicas de protección de recursos.
    • Para el tema 7.7, el título fue renombrado de “Operate and maintain detective and preventative measure” a “Operate and maintain detection and preventative measures”.
    • Para el tema 7.10.1 sobre estrategias de almacenamiento de respaldo, se añadieron ejemplos de almacenamiento en la nube, almacenamiento local y almacenamiento externo.
    • Para el tema 7.10.2, en torno a las estrategias de sitios de recuperación, se añadieron ejemplos de acuerdos de capacidad de frío vs. anfitrión y recursos.
    • Para el tema 7.11.3 titulado “Comunicaciones”, se agregó el término “métodos” para indicar que el tema trata sobre métodos de comunicación.
    • Se agregó un nuevo tema como 7.12.6 titulado “Comunicaciones (por ejemplo, partes interesadas, estado de las pruebas, reguladores)” en referencia a las pruebas de planes de recuperación de desastres.
    • Para el tema 7.15.2 (formación y concienciación sobre seguridad), se añadieron ejemplos de insider threat, impactos de las redes sociales, fatiga de la autenticación de dos factores.
  • Dominio 8 (Nombre igual, peso reducido en 1%).
    • El título de este dominio, Software Development Security, permanece igual.
    • Para el tema 8.1.1 en torno a metodologías de desarrollo, se añadió una referencia al marco de trabajo ágil escalado.
    • Para la sección 8.2.9 sobre pruebas de seguridad de aplicaciones, se añadieron ejemplos para el análisis de composición de software y la Prueba de Seguridad de Aplicaciones Interactiva (IAST).
    • Para el tema 8.4.4 en torno a servicios gestionados, SaaS y IaaS y PaaS se eliminaron y se reemplazaron con “aplicaciones empresariales”.
    • Se agregó un nuevo tema en la sección 8.4.5 que cubre los servicios en la nube con una referencia a SaaS, IaaS y PaaS.

Preguntas frecuentes sobre la actualización del examen CISSP

Para ayudarle a comprender los cambios en el examen CISSP, presentamos algunas preguntas y respuestas comunes sobre las actualizaciones recientes a continuación.

  1. ¿Con qué frecuencia cambia el esquema del examen CISSP? Por lo general, cada 3 años. El cambio más reciente ocurrió el 15 de abril de 2024. Antes de eso, cambió en mayo de 2021. Anteriormente, hubo un cambio en 2018, 2015 y 2012.
  2. ¿Puedo aprobar el nuevo examen utilizando material de estudio antiguo? Sí. Muchas personas lo han logrado. La clave es tener la experiencia laboral relevante y conocimientos en los temas. Si estás intentando pasar el examen basándote únicamente en el estudio, será más difícil con los materiales antiguos (y por supuesto, el examen tiene como requisito previo experiencia laboral).
  3. ¿Ha cambiado el formato del examen con esta actualización del plan de estudios? No, excepto por la transición de algunos idiomas de un examen lineal (número fijo de preguntas) a un examen no lineal. El examen ahora está disponible solo en formato de Prueba Adaptativa Computarizada (CAT) para todos los idiomas. La versión CAT tiene un mínimo de 100 preguntas y un máximo de 150 preguntas.
  4. ¿Cuál es el propósito de actualizar el examen cada 3 años? El objetivo principal es mantener el examen actualizado y relevante. Si el esquema del examen CISSP nunca se actualizara, la certificación perdería valor y relevancia. Al mantenerlo actualizado y relevante, se sostiene como una certificación de seguridad de primer nivel. También hay otras razones. Por ejemplo, la piratería de exámenes (personas que difunden contenido del examen sin autorización) es una preocupación real.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad