Escolhendo as Certificações de Segurança Corretas: CISSP vs CISM, CISA e CRISC

Se você está interessado em seguir uma carreira em cibersegurança, então fez uma ótima escolha! Profissionais qualificados em segurança da informação estão em alta demanda e provavelmente continuarão assim no futuro, então o campo oferece sólidos benefícios financeiros. De acordo com o IT Skills and Salary Report da Global Knowledge, 41 por cento dos empregadores nos EUA relatam que encontrar profissionais qualificados em cibersegurança é um dos seus principais desafios, e indivíduos certificados ganham em média 22 por cento a mais do que seus colegas não certificados.

Existem dois líderes claros e globalmente reconhecidos em certificação de cibersegurança: ISACA e (ISC)2. A certificação de maior destaque do (ISC)2 é o Certified Information Systems Security Professional (CISSP), enquanto a ISACA oferece três certificações relacionadas à segurança: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) e Certified in Risk and Information Systems Control (CRISC).

Todas essas certificações são direcionadas a profissionais com pelo menos cinco anos de experiência profissional, todas exigem treinamento contínuo para manter a credencial e todas elas comandam um respeito e salários similares. Então, quais delas terão mais valor para você? Para ajudá-lo a decidir, vamos dar uma olhada detalhada em cada uma delas.

(ISC)2: Certified Information Systems Security Professional (CISSP)

Fatos Rápidos

Fundada em 1989, a (ISC)2 é uma das maiores organizações de membros de segurança de TI e cibersegurança do mundo. Ela fornece aos seus membros e à indústria padronizações de segurança, educação e certificações. Lançada em 1994, a CISSP foi a primeira credencial oferecida pela (ISC)2, hoje, é a credencial de maior prestígio no programa de certificação da (ISC)2. Existem mais de 140.000 profissionais de segurança certificados CISSP em todo o mundo. A credencial é constantemente procurada por empregadores; uma busca informal de emprego na SimplyHired revelou quase 9.700 vagas de emprego que solicitavam CISSP, em comparação com 4.511 para CISA e 3.004 para CISM.

A credencial CISSP é direcionada a profissionais de segurança em um amplo espectro de funções, incluindo gerentes, praticantes e executivos. Os CISSPs possuem as habilidades necessárias para projetar, arquitetar, implementar, controlar e manter programas de cibersegurança para suas organizações. As funções típicas incluem CIO, CISO, diretor de segurança, arquiteto de segurança, arquiteto de rede, diretor de TI, gerente de TI, analista de segurança, auditor, consultor e engenheiro de sistemas.

Além da credencial CISSP base, o CISSP está disponível em três concentrações adicionais:

• Information Systems Security Architecture Professional (CISSP-ISSAP)
• Information Systems Security Engineering Professional (CISSP-ISSEP)
• Information Systems Security Management Professional (CISSP-ISSMP)

Obtendo a Credencial

Obter o CISSP não é fácil. Os candidatos qualificados devem:

• Tenha pelo menos cinco anos de experiência profissional remunerada em pelo menos dois dos oito domínios do CISSP Common Body of Knowledge (CBK) (listados abaixo)
• Passe no exame CISSP (US$ 699)
• Concorde com o (ISC)2 Código de Ética
• Seja endossado por um profissional da (ISC)2 dentro de nove meses após passar no exame

Os domínios atuais do CISSP CBK são:

• Gestão de Segurança e Risco
• Segurança de Ativos
• Arquitetura e Engenharia de Segurança
• Comunicação e Network Security
• Identity and Access Management (IAM)
• Avaliação e Teste de Segurança
• Operações de Segurança
• Segurança no Desenvolvimento de Software

Determinado a passar no exame CISSP? O blog da Netwrix tem algo especial para você. Aqui estão sete ótimas dicas de um profissional certificado em CISSP para como passar no exame CISSP na sua primeira tentativa. Além disso, confira estes úteis guias de estudo e materiais de treinamento para a certificação CISSP. E finalmente, avalie sua prontidão com a ajuda do nosso exame prático CISSP.

Mantendo a Credencial

O CISSP é válido por três anos. Uma taxa anual de $85 é necessária. Para se recertificar, os CISSPs devem ou fazer o exame atual ou obter 120 créditos de educação profissional contínua (CPE) (um mínimo de 40 créditos deve ser obtido a cada ano). Saiba mais sobre as mudanças no exame CISSP efetivas em abril de 2018.

Benefícios

No estudo 2017 (ISC)2 Global Information Security Workforce Study, os respondentes com a certificação CISSP relataram um salário anual médio de $120,000. SimplyHired relata ganhos médios de $66,078, com salários chegando a $127,071. O relatório Global Knowledge de 2018 indica o salário médio nos EUA em $109,965, colocando o CISSP na primeira posição entre as credenciais de cibersegurança.

Certificações ISACA

Fatos Rápidos

Fundada em 1969, a Information Systems Audit and Control Association (ISACA) é uma organização globalmente reconhecida e altamente respeitada com mais de 140.000 membros em 180 países. A ISACA oferece quatro credenciais voltadas para diferentes profissionais de TI:

• Certified Information Systems Auditor (CISA) — Auditores
• Certified Information Security Manager (CISM) — Gestores de segurança
• Certified in Risk and Information Systems Control (CRISC) — Profissionais de gestão de riscos
• Certificado em Governança de TI Empresarial (CGEIT) — Profissionais de Governança

Aqui vamos nos concentrar nas três primeiras dessas credenciais; a governança empresarial está além do nosso escopo.

Obtenção da Credencial

Todos os candidatos devem

• Atenda aos rigorosos requisitos de experiência detalhados abaixo
• Passe no exame associado (US$ 575 para membros da ISACA; US$ 760 para não membros); os exames são oferecidos apenas três vezes ao ano, portanto os candidatos devem se inscrever com bastante antecedência
• Concorde com o Código de Ética Profissional e o Programa de Educação Profissional Continuada
• Atenda a requisitos adicionais conforme detalhado abaixo

Mantendo a Credencial

As credenciais da ISACA são válidas por três anos. Também é necessária uma taxa de manutenção anual (US$ 45 para membros da ISACA, US$ 85 para não membros). Para renovar, os titulares das credenciais devem obter 120 créditos de CPE, com pelo menos 20 CPEs obtidos anualmente.

CISM

Uma boa maneira de entender o CISM é compará-lo ao CISSP. Embora ambas as certificações abordem cibersegurança e conceitos gerenciais, o CISSP foca no lado operacional da segurança e seus aspectos técnicos, enquanto o CISM é projetado em torno do lado estratégico da segurança e suas relações com os objetivos empresariais.

Especificamente, CISM é projetado para gerentes de segurança da informação, visando indivíduos que avaliam, projetam, gerenciam e supervisionam ambientes de segurança da informação em nível empresarial. Os candidatos também devem possuir um entendimento completo das tecnologias disponíveis e como implementá-las em sua organização. A certificação CISM valida a habilidade e o conhecimento do candidato em quatro domínios:

• Domínio 1: Governança de Segurança da Informação
• Domínio 2: Gestão de Risco da Informação
• Domínio 3: Desenvolvimento e Gestão do Programa de Segurança da Informação
• Domínio 4: Gestão de Incidentes de Segurança da Informação

De acordo com a ISACA, existem mais de 32.000 detentores da credencial CISM em todo o mundo, com mais de 7.500 atuando como diretores ou gerentes de segurança e outros 3.500 trabalhando como diretores ou gerentes de TI. Outros papéis comuns de CISM incluem consultores de IS/TI, CIO, profissionais de gestão de riscos e cargos de liderança empresarial.

Para realizar o exame CISM, os candidatos devem possuir um mínimo de cinco anos de experiência trabalhando em segurança da informação, três dos quais devem ser em pelo menos três dos domínios listados. Toda a experiência deve ser adquirida dentro do período de 10 anos anteriores para se qualificar. As pontuações do exame são anuladas se o requisito de experiência não for cumprido dentro de cinco anos após a aprovação no exame. Algumas substituições são permitidas para atender ao requisito de experiência, dependendo de outras certificações obtidas e educação.

A Global Knowledge relatou que profissionais certificados em CISM nos EUA ganham em média $105,926 anualmente, o que coloca essa certificação na sexta posição global em termos de potencial de ganhos.

CISA

A credencial CISA é voltada para profissionais de TI que trabalham em funções relacionadas à governança e auditoria. Normalmente, profissionais CISA ocupam cargos como auditor de SI ou TI ou gerente de auditoria, auditor não-TI e consultor. Você também encontrará muitos profissionais CISA atuando em governança, garantia, segurança, controle de auditoria e liderança empresarial.

A certificação CISA valida o conhecimento e a capacidade do candidato para avaliar, controlar, auditar e realizar o monitoramento contínuo dos sistemas de negócios de TI de uma empresa. As habilidades necessárias estão refletidas nos cinco domínios de práticas de trabalho do CISA:

• Domínio 1: O Processo de Auditoria de Sistemas de Informação
• Domínio 2: Governança e Gestão de TI
• Domínio 3: Aquisição, Desenvolvimento e Implementação de Sistemas de Informação
• Domínio 4: Operações de Sistemas de Informação, Manutenção e Gestão de Serviços
• Domínio 5: Proteção e Ativos de Informação

Para obter a credencial, os candidatos precisam ter no mínimo cinco anos de experiência profissional auditando, controlando ou protegendo sistemas de informação (algumas substituições podem ser permitidas para educação) e passar no exame CISA. O processo de estudo do CISA pode incluir a participação em aulas de revisão do CISA, inscrição em um curso online ou uso de software, manuais de revisão e guias de estudo. Após passar no exame, os candidatos também devem cumprir com os Padrões de Auditoria de Sistemas de Informação.

De acordo com o relatório da Global Knowledge, os salários de CISA ocupam a posição número 13, com um salário médio nos EUA de $97,117.

CRISC

A credencial CRISC é direcionada especificamente para profissionais que trabalham com gerenciamento de risco de TI no nível empresarial. Candidatos típicos ao CRISC incluem CIOs/CISOs, analistas de negócios, gerentes de projeto, bem como profissionais de TI envolvidos em atividades de gerenciamento de risco, controle e garantia, e conformidade.

Os domínios de trabalho CRISC são:

• Domínio 1: Identificação de Risco de TI
• Domínio 2: Avaliação de Risco de TI
• Domínio 3: Resposta e Mitigação de Riscos
• Domínio 4: Monitoramento e Relatório de Risco e Controle

Os requisitos do CRISC incluem um mínimo de três anos de experiência profissional em gestão de programas de segurança da informação em dois ou mais dos domínios de trabalho do CRISC, incluindo o Domínio 1 ou 2. Esta experiência deve ser adquirida nos 10 anos anteriores à candidatura ou dentro de cinco anos após passar no exame.

No relatório Global Knowledge, a certificação CRISC ficou em segundo lugar, atrás apenas da CISSP em termos de ganhos relatados, com uma média de ganhos nos EUA reportada em US$ 107.968.

CISSP, CISM, CISA e CRISC em Resumo

*Todas as informações salariais obtidas do IT Skills and Salary Report de 2018 da Global Knowledge.

A Conclusão

Ao escolher entre buscar uma credencial ISACA como CISA e uma certificação CISSP, tenha o seguinte em mente:

• CISSP é uma boa escolha para profissionais de TI de várias disciplinas e funções que estão interessados em seguir uma carreira em segurança da TI ou cibersegurança. Oferece o salário médio mais alto de todas as certificações no relatório Global Knowledge de 2018.
• CISM não fica muito atrás do CISSP em termos de salário médio. Enquanto o CISSP se concentra no lado operacional da segurança, o CISM visa o lado estratégico da segurança e suas relações com os objetivos de negócio.
• A certificação CRISC é superada apenas pela CISSP em termos de ganhos reportados. Ela valida sua capacidade de trabalhar com gerenciamento de risco de TI no nível empresarial.
• Se seus objetivos profissionais estão focados exclusivamente em funções relacionadas a auditoria, então o CISA pode ser a credencial certa para você.