| I.
La certificazione CISM, istituita e rilasciata da ISACA, riconosce formalmente competenze ed esperienza in ambito di Management della sicurezza dei Sistemi Informativi. La Certificazione CISM è stata omologata dall'ANSI e dal DoD, ed è concesse ed amministrate direttamente dall'ISACA, sul cui sito sono disponibili informazioni più dettagliate ed ampie. Il sito è www.isaca.org. (ritorna all'indice)
II. ISACA è impegnata a offrire prodotti, servizi e supporto non solo a coloro che operano nell'ambito della professione di auditing dei sistemi informativi, ma anche a coloro che coprono ruoli vitali nella sicurezza e controllo dei sistemi informativi. Per questo è stata istituita la certificazione CISM, che opera con regole analoghe a quelle che regolano il CISA. (ritorna all'indice)
III. Per la certificazione CISM è necessaria la combinazione di quattro 'e': "esperienza", "etica", "educazione" e "esame". Più specificamente, i requisiti sono:
- l'avere sostenuto con successo l'esame CISM
- l'adesione ad un codice di condotta professionale
- l'impegno nella formazione professionale permanente
- una esperienza lavorativa documentata e verificata di almeno cinque anni ed un minimo di tre anni di esperienza lavorativa in tre o più delle aree di competenza. Sono previste deroghe relativamente alla esperienza se sono soddisfatti alcuni requisiti di certificazione.
Gli esami di Certificazione CISM si tengono due volte all'anno, in giugno e dicembre, in una unica giornata in tutto il mondo, e nella stessa giornata
dell'esame CISA. L'esame CISM è solo in inglese, Non ci sono condizioni preliminari all'ottenimento della certificazione, eccetto quelle citate. L'esperienza di lavoro deve essere 5 anni di esperienza di management della sicurezza delle IT per il CISM (condizioni e sostitutivi: Requirements for CISM Certification
(ritorna all'indice)
IV. L'ISACA mette a disposizione delle sue sedi locali (i "chapter") la documentazione e i sussidi necessari per tenere corsi di preparazione. L'AIEA è un "Chapter" dell'ISACA ed organizza dal 2004 corsi di preparazione all'esame CISM. Tali corsi si svolgono a Milano e Roma. I corsi ed i relativi programmi sono resi noti sul sito AIEA www.aiea.it
I Corsi di AIEA vengono distribuiti su alcune sessioni (in
genere 3) di due giorni l'una. Le sessioni sono una ogni 2-3 settimane e sono programmate in modo che l'ultima si tenga 2-3 settimane prima dell'esame. (ritorna all'indice)
V. L'AIEA, in quanto Chapter ISACA coordina localmente, tramite un rappresentante designato presso il Chapter stesso, le problematiche
connesse con la Certificazione CISM. In ambito CISM, AIEA svolge attività varie di orientamento e supporto ai soci nella risoluzione di eventuali difficoltà per affrontare l'esame e ottenere / conservare la Certificazione, in particolare consigliando loro la linea di condotta da adottare. (ritorna all'indice)
VI.
No, l'esame può essere affrontato anche preparandosi da soli. Il vantaggio di iscriversi al corso è sostanziato dalla consolidata maggiore percentuale di promossi tra i partecipanti ai corsi, rispetto ai candidati che si preparano da soli. (ritorna all'indice)
VII. L'iscrizione ai Corsi ed all'esame sono
due cose distinte, l'una non implica l'altra. I corsi sono gestiti e tenuti da AIEA; l'iscrizione al corso avviene e viene pagata in euro, presso AIEA. L'esame è tenuto direttamente da ISACA, l'iscrizione all'esame si esegue e si paga in dollari, direttamente presso ISACA. Le due iscrizioni non sono eseguibili con un singolo atto o modulo. (ritorna all'indice)
| |
| 1 - La fonte ufficiale d'informazioni sui requisiti per certificarsi come CISM è la pagina
"http://www.isaca.org/TemplateRedirect.cfm?Template=/ContentManagement/ContentDisplay.cfm&ContentID=20681" dal sito ISACA. (ritorna all'indice)
2 - La fonte ufficiale d'nformazioni sull'esame CISM è il bollettino pubblicati sul sito ISACA. Il riferimento è http://www.isaca.org/cismboi. Questo documento
definisce le date, le condizioni, i costi, le regole di iscrizione e di esecuzione dell'esame (ritorna all'indice)
3 - Il foglio d'esame è un documento in inglese, che riporta alcuni dati e informazioni che sono essenziali per permettere ai candidati di sottoporsi all'esame. Queste informazioni sono:
- il numero dell'esame
- l'indirizzo presso cui presentarsi
- l'ora dell'esame
- la lingua dell'esame
Senza queste indicazioni, e in particolare, senza il numero d'esame, non si viene ammessi in aula e non si può affrontare l'esame. Il foglio viene spedito ai candidati alcune settimane prima della data d'esame. (ritorna all'indice)
4 - Il foglio d'esame viene spedito quando gli elenchi dei candidati sono completi e, quindi, dopo la scadenza del termine d'iscrizione. Il problema può essere dovuto a:
- mancata iscrizione
- mancato pagamento
- mancata ricezione del foglio.
L'iscrizione viene effettuata direttamente presso l'ISACA e deve riportare la firma del candidato, oppure deve essere stata eseguita on-line sul sito indicando un numero
di carta di credito per il pagamento. Se il candidato non ricorda di aver autorizzato a video o firmato alcunché, è probabile non sia iscritto.
- Mancata iscrizione: per stabilire se si è iscritti esistono le seguenti possibilità: se il candidato è socio dell'ISACA ed ha una password di accesso al sito "my isaca" -http://www.isaca.org/SecureTemplate.cfm?section=my_isaca, riservato ai membri, può stabilire immediatamente la propria posizione, consultando i suoi dati su questo sito; se
non è iscritto oppure non ha la password di accesso può solo rivolgersi al CISM Coordinator, oppure direttamente all'ISACA (certification@isaca.org) per chiedere se risulta la sua iscrizione.
Se il candidato sa di essersi iscritto ed ha una prova dell'iscrizione stessa, ma non risulta iscritto, può mandarne questa prova all'ISACA e richiedere di essere comunque ammesso. Se la mancata iscrizione è stata una dimenticanza le possibilità di essere ammessi all'esame sono assai limitate.
- Mancato pagamento: Per stabilire se il pagamento è avvenuto si può consultare la propria pagina sul sito "my isaca" oppure richiedere direttamente questa informazione a certification@isaca.org. Se il pagamento non è stato eseguito, il candidato deve attivarsi immediatamente per regolarizzare la sua posizione. Gli altri problemi di pagamento (se il pagamento non è pervenuto, oppure se non si può stabilire a che titolo e per chi è stato eseguito) devono essere risolti direttamente
dall'interessato. Ad esempio il candidato può inviare all'ISACA (certification@ISACA.org) i riferimenti del pagamento eseguito, specificando che si tratta della quota per la propria iscrizione. Se il pagamento per qualsiasi ragione manca, il candidato può comunque chiedere ad ISACA di ricevere il foglio d'esame e partecipare all'esame stesso. I risultati gli saranno comunicati solo a pagamento ricevuto.
- Mancata ricezione del foglio: se il foglio non è stato ricevuto il candidato
può richiedere un duplicato elettronico tramite e-mail, e presentare la stampa del duplicato all'esame. (ritorna all'indice)
5 - In caso il foglio di esame non sia pervenuto o sia stato smarrito all'ultimo momento, si può tentare di ottenere il duplicato tramite e-mail richiedendolo a:
Certification@isaca.org. Presentarsi ugualmente all'esame con un documento comprovante la propria identità, senza sapere/esibire il proprio numero di partecipazione all'esame, è un tentativo con minime possibilità di successo. Al Commissario d'esame spetta in questo caso la decisione se ammettere o meno il candidato. La partecipazione sarà in ogni caso impossibile se esistono delle incertezze sul numero d'esame. (ritorna all'indice)
6 - Si, AIEA cerca di facilitare la partecipazione dei corsisti , purché il candidato porti una prova che il pagamento è stato richiesto e che la dilazione è dovuta al ritardo intrinseco della procedura aziendale di pagamento. Il candidato deve ovviamente sollecitare la propria organizzazione a velocizzare il pagamento,
rispettando i termini di iscrizione (ritorna all'indice)
7 - Come indicato anche nel manuale, il requisito fondamentale della preparazione è che questa si estenda a tutti gli argomenti riportati sul manuale. Una preparazione "a macchie di leopardo" è quindi insufficiente per definizione. L'esame è
definito in modo da assicurare una copertura uniforme, quindi coloro che lo affrontano impreparati su un determinato argomento, sanno in anticipo che hanno un'alta probabilità di rispondere male alle domande che riguardano quell'argomento. (ritorna all'indice)
8 - Si, ma il candidato che sceglie questi
esercizi decide, a proprio rischio, di usare del materiale di preparazione che potrebbe indurlo in errore. Le domande di prova più appropriate sono indubbiamente quelle messe a disposizione dall'ISACA. Non è opportuno nemmeno usare domande di prova "vecchie": la dinamica di concetti ed argomenti in ambito IT è tale che le domande di esame possono cambiare sensibilmente da sessione a sessione. Un'apposita commissione non solo seleziona di volta in volta le domande d'esercizio più adatte, ma
prepara degli insiemi numericamente bilanciati secondo i pesi dei vari argomenti. Inoltre le domande di prova sono corredate da una spiegazione che riflette le logiche da usare per le risposte d'esame. Leggere e capire queste spiegazioni è una parte fondamentale dell'esercizio. (ritorna all'indice)
9 - Se il
problema è derivante dal testo o dall'argomento della domanda non occorre fare nulla. I risultati d'esame sono sottoposti ad un processo assai strutturato di revisione a posteriori, disegnato per mettere in evidenza difficoltà di questo genere e se necessario porvi rimedio, che viene svolto separatamente per le varie lingue d'esame. (ritorna all'indice)
10 - La lettura delle risposte è automatica, quindi è possibile che una marcatura pasticciata causi una errata rilevazione della risposta. Per questo motivo in tutti i manuali e i bollettini si sottolinea l'importanza di marcare con chiarezza i dati d'esame e le risposte, annerendo a matita lo spazio relativo. Se uno o più pallini dei dati o delle risposte sono stati cancellati e rifatti più volte, e il punteggio
raggiunto è di poco inferiore a quello limite, esiste per il candidato la possibilità di richiedere, a pagamento, la verifica del foglio consegnato. Questo riesame viene eseguito manualmente. Se risultasse che a causa dei pasticci e delle cancellature la risposta è stata erroneamente interpretata in prima sede di valutazione (ipotesi però poco probabile), la revisione potrebbe avere come risultato una correzione del voto. (ritorna all'indice)
11 - Dipende dall'entità della collaborazione. Se è a tempo pieno o comunque molto significativa, non c'è motivo che quell'azienda, se interpellata, neghi a ISACA la conferma integrale dell'attività eseguita. E' opportuno però che il certificando preavvisi la persona di contatto che gli viene chiesto di indicare, in modo che
acquisisca in anticipo la sua autorizzazione a citarlo come referente. La persona di contatto deve essere adeguatamente informata che l'esclusivo scopo delle possibili richieste di informazione di ISACA è quello di provare all'ISACA stessa l'effettivo svolgimento delle attività dichiarate, al fine della certificazione. (ritorna all'indice)
12 - L'esame può essere sostenuto anche senza già disporre dei requisiti di esperienza, e rimane valido per 5 anni. Pertanto l'esperienza richiesta deve essere acquisita e fatta valere entro 5 anni dall'esame. Diversamente l'esame decade. (ritorna all'indice)
13 - Si, ma occorre richiedere questa variazione per tempo. Tipicamente le iscrizioni all'esame si chiudono circa 70 giorni prima del suo svolgimento. Una variazione della lingua può essere richiesta entro i 15 giorni successivi alla scadenza del termine d'iscrizione. Per i termini esatti, che possono variare di anno in anno, è necessario consultare il bollettino informativo d'esame. (ritorna all'indice)
14 - Sono previste due modalità diverse: cancellazione o rinvio.
-la cancellazione dà diritto al rimborso della tariffa ma ISACA trattiene una quota di 100 dollari per spese amministrative
-il rinvio, di cui si può usufruire una sola volta, permette di rimandare l'esame alla sessione successiva. In questo caso la quota
d'iscrizione non può più essere resa, ed inoltre occorrerà versare un quota di reiscrizione di 50 dollari pagabili al momento di iscriversi alla successiva sessione d'esame.
Queste variazioni, come tutte le altre, devono essere richieste entro i pochi giorni successivamente alla chiusura delle iscrizioni. Per i termini esatti consultare il bollettino informativo d'esame. (ritorna all'indice)
15 - No, il materiale di studio già acquistato non può essere reso. (ritorna all'indice)
16 - I candidati saranno informati sul risultato degli esami sostenuti dopo 8-10 settimane dall'esame (ritorna all'indice)
17 - Il candidato ha a disposizione 4 ore per rispondere a 200 domande a risposta multipla. (ritorna all'indice)
18
- Un candidato, per superare l'esame, deve ottenere un risultato minimo di 450 (per maggiori dettagli vedi >>). (ritorna all'indice)
19
- L'esame CISM verifica la conoscenza da parte del candidato di principi e prassi dell'IS Audit e le sue competenze tecniche. L'esame interessa sei aree (domini)
–Governo della sicurezza dell'informazione
Definire e mantenere un contesto che garantisca che le strategie della sicurezza dell'informazione siano in linea con gli obiettivi di business e rispettino leggi e regolamenti che le riguardano
–Gestione del rischio
Identificare e gestire i rischi nell'ambito della
sicurezza dell'informazione e conseguire gli obiettivi di business.
–Gestione di programmi per la sicurezza dell'informazione
Progettare, realizzare e gestire un programma per la sicurezza dell'informazione per attuare il contesto definito nell'ambito del 'Governo della sicurezza dell'informazione'
–Gestione della sicurezza dell'informazione
Coordinare e dirigere attività che interessano sicurezza dell'informazione in modo da attuare il 'Programma per la sicurezza
dell'informazione'.
–Gestione delle risposte
Mettere in atto e gestire la capacità di risposta e recupero a fronte di eventi dannosi o disastrosi per la sicurezza dell'informazione. (ritorna all'indice)
20 - No, dal momento che i due esami si tengono contemporaneamente lo stesso giorno. (ritorna all'indice)
21 - La filosofia ISACA per la certificazione consiste nel valutare abilità e conoscenze del candidato in relazione alle prestazioni lavorative. Per definire le attività svolte da un responsabile della sicurezza dell'informazione e le conoscenze che dovrebbe avere, ISACA ha costituito una 'task
force' di leader del mondo del business, esperti in materia e professionisti per definire l'esperienza lavorativa su cui si basa l'esame di certificazione. In relazione all'importanza dell'analisi e alle evoluzioni nel settore della sicurezza dell'informazione, ISACA ha attualmente in corso una revisione dell'analisi. Ai qualificati CISM che sono impegnati nella attività di revisione dell'analisi si sono aggiunti rappresentanti di ISSA , dell'Information Security Forum e di ASIS
International. (ritorna all'indice)
22 - La certificazione CISM si caratterizza rispetto ad altri attestati di sicurezza dell'informazione perché è concepita specificamente ed esclusivamente per coloro che hanno esperienza nella gestione di un programma di sicurezza dell'informazione. I requisiti di
esperienza e l'esame CISM si basano sull'esperienza richiesta per svolgere, con competenza, i compiti e le funzioni di responsabile della sicurezza dell'informazione. Questi requisiti e le attività e competenze sottoposte a verifica sono state maturate da leader della sicurezza dell'informazione e quindi verificate da esperti e responsabili della sicurezza dell'informazione. I requisiti sono volti a misurare la esperienza di gestione di situazioni attinenti alla sicurezza dell'informazione,
piuttosto che competenze di tipo generale. (ritorna all'indice)
23 - Il programma di certificazione CISM riconosce che le credenziali CISA confermano che l'interessato ha raggiunto un livello di conoscenza e di competenza generale di base nella sicurezza dell'informazione. In base a ciò, ai qualificati CISA
è riconosciuto un attestato di competenza di due anni nella sicurezza dell'informazione. D'altra parte, i certificati CISA non si possono candidare alla qualifica CISM a meno che non possiedano l'esperienza richiesta e possano dimostrare competenza e conoscenze pratiche nel ruolo di responsabile della sicurezza dell'informazione. (ritorna all'indice)
24 - Il programma di certificazione CISM riconosce che le credenziali CISSP confermano che l'interessato ha raggiunto un livello di conoscenza e di competenza generale di base nella sicurezza dell'informazione. In base a ciò, ai certificati CISSP è riconosciuta una competenza di due anni nella sicurezza dell'informazione. D'altra parte, i certificati CISSP non si possono candidare alla qualifica CISM a meno che non
possiedano l'esperienza richiesta e possano dimostrare competenza e conoscenze pratiche nel ruolo di responsabile della sicurezza dell'informazione.
Ai detentori di altri attestati più specialistici, come il GIAC (Global Information Assurance Certification di SANS, il MCSE (Microsoft Security Systems Engineer ), il CompTIA Security + Credential e il CBCP (Certified Business Continuity Professional del Disaster Recovery Institute, è riconosciuto un attestato di esperienza di un anno nella
sicurezza dell'informazione. (ritorna all'indice)
25 - Il CISM si differenzia da molte altre certificazioni di sicurezza per i suoi requisiti di esperienza e per la focalizzazione sulle attività svolte come responsabile della sicurezza dell'informazione.
Altre certificazioni di sicurezza sono
caratterizzate per il focus sulle competenze tecniche o su conoscenze di specifici ambienti elaborativi o prodotti o sono rivolte a personale del settore nelle fasi iniziali della carriera. Solo il CISM si rivolge al responsabile della sicurezza dell'informazione, a colui cioè che, superata la fase di acquisizione di conoscenze, non è più interessato prioritariamente a competenze di tipo tecnico o specialistico, ma si è invece dedicato alla gestione del programma di sicurezza di un'azienda.
La certificazione CISM è concepito per coloro che devono gestire e coordinare i programmi della sicurezza dell'informazione di un'azienda, e per i tecnici, molti dei quali possono essere detentori di altre certificazioni.
L'attenzione agli aspetti manageriali, che caratterizza il CISM, è testimoniata dai requisiti di esperienza, che richiedono un minimo di tre anni di responsabilità nella gestione della sicurezza dell'informazione e dall'esame, che si focalizza sulle attività di competenza
dei responsabili della sicurezza.
(ritorna all'indice)
26 - Sebbene vi siano parecchie differenze fra il 'common body of knowledge' del CISSP e le 'job practice areas' del CISM, quelle più evidenti riguardano i requisiti di esperienza. Le certificazioni CISSP e/o CISA sono complementari alla
certificazione CISM e ne è incoraggiato il conseguimento. (ritorna all'indice)
27 - Per mantenere la certificazione CISM, si devono soddisfare i requisiti del CISM Continuing professional education (CPE) program. Questo programma richiede che l'interessato abbia svolto almeno venti (20) ore annuali e almeno
centoventi (120) ore ogni tre anni di 'continuing professional education'. Inoltre è richiesto il pagamento di un canone annuale a ISACA dell'importo di 40$ per i membri ISACA e di 60$ per gli altri. (ritorna all'indice) | |
".....