la Certificación en Riesgos y Control de Sistemas de Información (Certified in Risk and Information Systems Control, CRISC) se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo.
La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados de información de los controles.
A quién va dirigido
La certificación CRISC está diseñada para aquellas personas expertas en gestión de riesgos de TI, así como diseño, la implementación, el monitoreo y el mantenimiento de controles de SI
- Profesionales de TI
- Profesionales de riesgo
- Análisis económico
- Los gerentes de proyecto
- Cumplimiento de los profesionales de la empresa
Para la certificación se requieren tres (3) años de experiencia laboral en gestión de riesgos de TI, diseñando e implementando controles de SI, lo que incluye experiencia en al menos dos (2) dominios de CRISC, uno de los cuales debe ser el Dominio 1 o el Dominio 2. No hay convalidaciones por experiencia o sustituciones.
Requisitos de Conexión No Presencial
- Conexión a Internet de, al menos 10Mb.
- Disponer de webcam.
- Disponer de audífonos/auriculares.
- Disponer de micrófono.
Colombia:
Coste para Asociados: U.S. $1.904.400*
Coste para los No Asociados: U.S. $2.666.160*
América:
Coste para Asociados: U.S. $490*
Coste para los No Asociados: U.S. $684*
Europa:
Coste para Asociados: 443 €*
Coste para los No Asociados: 621 €*
*Precios sujetos a cambio sin previo aviso
* Estos costes no incluyen IVA
Actualización de materiales:
Como es habitual, ISACA cada 4 años renueva y actualiza sus materiales. A partir del 3 de septiembre estarán los materiales actualizados en inglés. Desde el 22 de octubre estarán también en español. Desde el 1 de noviembre, el examen será con los materiales nuevos.
Examen
Los exámenes de certificación de ISACA son mediante ordenador. El examen consiste en 150 preguntas de selección múltiple que cubren las respectivas áreas de práctica profesional creadas a partir de los análisis más recientes de las prácticas profesionales. La duración del examen es de 4 horas. El examen de la certificación CISM está disponible en español.
La inscripción tiene una validez de 12 meses para hacer el examen, que se realiza desde casa, o en centros homologados, entre otras ciudades en Madrid. Si prefiere realizar el examen en un centro homologado puede consultar la disponibilidad aquí.
El dominio de gobernanza interroga su conocimiento de la información sobre los entornos de negocios y de TI de una organización, la estrategia organizacional, metas y objetivos, y examina los impactos potenciales o realizados del riesgo de TI para los objetivos y operaciones de negocios de la organización, incluyendo la Gestión de Riesgos Empresariales y el Marco de Gestión de Riesgos.
GOBIERNO ORGANIZATIVO
- Estrategia, metas y objetivos organizativos
- Estructura organizativa, funciones y responsabilidades
- Cultura organizativa
- Políticas y normas
- Procesos empresariales
- Activos organizativos
GOBIERNO DEL RIESGO
- Gestión del riesgo empresarial y marco de gestión del riesgo
- Tres líneas de defensa
- Perfil de riesgo
- Tolerancia al riesgo
- Requisitos legales, reglamentarios y contractuales
- Ética profesional de la gestión del riesgo
Este dominio certificará su conocimiento de las amenazas y vulnerabilidades para el personal, los procesos y la tecnología de la organización, así como la probabilidad y el impacto de las amenazas, vulnerabilidades y escenarios de riesgo.
IDENTIFICACIÓN DE RIESGOS IT
- Eventos de riesgo (por ejemplo, condiciones contribuyentes, resultado de pérdida)
- Modelización de amenazas y panorama de amenazas
- Análisis de vulnerabilidades y deficiencias de control (por ejemplo, análisis de causa raíz)
- Desarrollo de escenarios de riesgo
ANÁLISIS Y EVALUACIÓN DE RIESGOS I
- Conceptos, normas y marcos de evaluación de riesgo
- Registro de riesgos
- Metodologías de análisis de riesgos
- Análisis del impacto en el negocio
- Riesgo inherente y residual
Este dominio se ocupa del desarrollo y la gestión de los planes de tratamiento de riesgos entre las partes interesadas clave, la evaluación de los controles existentes y la mejora de la eficacia para la mitigación de los riesgos informáticos, y la evaluación de la información relevante sobre riesgos y controles a las partes interesadas aplicables.
RESPUESTA AL RIESGO
- Tratamiento de riesgos / Opciones de respuesta a riesgos
- Propiedad de riesgos y controles
- Gestión de riesgos de terceros
- Gestión de problemas, hallazgos y excepciones
- Gestión de riesgos emergentes
DISEÑO E IMPLANTACIÓN DE CONTROLES
- Tipos, normas y marcos de control
- Diseño, selección y análisis de controles
- Implantación de controles
- Pruebas de control y evaluación de la eficacia
SUPERVISIÓN DE RIESGOS Y ELABORACIÓN DE INFORMES
- Planes de tratamiento de riesgos
- Recopilación, agregación, análisis y validación de datos
- Técnicas de supervisión de riesgos y controles
- Técnicas de elaboración de informes sobre riesgos y controles (mapas de calor, cuadros de mando, tableros de control)
- Indicadores clave de rendimiento
- Indicadores clave de riesgo (KRI)
- Indicadores clave de control (KCI)
PRINCIPIOS DE LA TECNOLOGÍA DE LA INFORMACIÓN
- Arquitectura empresarial
- Gestión de operaciones de TI (por ejemplo, gestión de cambios, activos de TI, problemas, incidentes)
- Gestión de proyectos
- Gestión de recuperación de desastres (DRM)
- Gestión del ciclo de vida de los datos
- Ciclo de vida de desarrollo del sistema (SDLC)
- Tecnologías emergentes
PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN
- Conceptos, marcos y normas de seguridad de la información
- Formación para la concienciación sobre la seguridad de la información
- Gestión de la continuidad del negocio
- Principios de privacidad y protección de datos