Voorbereidingsgids voor CISM-examens - Hoe word je een gecertificeerde informatiebeveiligingsmanager (CISM)?

Wat doet een CISM - Rollen en verantwoordelijkheden

Een CISM beheert informatiebeveiligingsprogramma's. Dit omvat het starten, ontwikkelen en onderhouden van informatiebeveiligingssystemen en -initiatieven. Hoewel het een aantal praktische taken met zich mee kan brengen, is het grootste deel van het werk management. Als u meer geïnteresseerd bent in de technische kant van informatiebeveiliging, verdient het misschien de voorkeur om een Certified Information Security Auditor (CISA) te worden.

U kunt een idee krijgen van wat een CISM doet aan de hand van het officiële inhoudsoverzicht van het ISACA CISM-examen. Het beschrijft de belangrijkste domeinen, subonderwerpen en taken die een CISM moet beheersen om de test te doorstaan. Enkele van de belangrijkste CISM-taken zijn de volgende:

• Identificeer interne en externe invloeden in de organisatie die van invloed zijn op de informatiebeveiligingsstrategie
• Het opstellen en/of onderhouden van een informatiebeveiligingsstrategie in overeenstemming met de doelen en doelstellingen van de organisatie
• Een governancekader voor informatiebeveiliging opzetten en/of onderhouden
• Opstellen en onderhouden van informatiebeveiligingsbeleid om de ontwikkeling van normen, procedures en richtlijnen te begeleiden
• Ontwikkel businesscases ter ondersteuning van investeringen in informatiebeveiliging
• Zorg voor voortdurende betrokkenheid van het senior management en andere belanghebbenden om de succesvolle implementatie van de informatiebeveiligingsstrategie te ondersteunen
• Definieer, communiceer en bewaak verantwoordelijkheden op het gebied van informatiebeveiliging in de hele organisatie en gezagslijnen
• Opstellen en presenteren van rapporten aan de belangrijkste belanghebbenden over de activiteiten, trends en algehele effectiviteit van het informatiebeveiligingsprogramma
• Evalueer en rapporteer informatiebeveiligingsstatistieken aan de belangrijkste belanghebbenden
• Het opzetten en/of onderhouden van het informatiebeveiligingsprogramma in overeenstemming met de informatiebeveiligingsstrategie
• Stem het informatiebeveiligingsprogramma af op de operationele doelstellingen
• Opzetten en onderhouden van informatiebeveiligingsprocessen en -middelen
• Beleid, standaarden, richtlijnen, procedures en andere documentatie voor informatiebeveiliging van de organisatie opstellen, communiceren en onderhouden
• Een programma opzetten, promoten en onderhouden voor bewustzijn en training op het gebied van informatiebeveiliging
• Integreer informatiebeveiligingsvereisten in organisatorische processen om de beveiligingsstrategie van de organisatie te onderhouden
• Integreren van informatiebeveiligingseisen in contracten en activiteiten van externe partijen
• Toezicht houden op de naleving van vastgestelde beveiligingsvereisten door externe partijen
• Definieer en bewaak beheer- en operationele statistieken voor het informatiebeveiligingsprogramma
• Een proces voor de identificatie en classificatie van informatieactiva opzetten en/of onderhouden
• Identificeer wettelijke, regelgevende, organisatorische en andere toepasselijke nalevingsvereisten
• Deelnemen aan en/of toezicht houden op het proces van risicoidentificatie, risicobeoordeling en risicobehandeling
• Deelnemen aan en/of toezicht houden op het proces van kwetsbaarheidsbeoordeling en dreigingsanalyse
• Identificeer, beveel aan of implementeer geschikte risicobehandelings- en responsopties om risico's tot acceptabele niveaus te beheersen op basis van de risicobereidheid van de organisatie
• Bepaal of informatiebeveiligingscontroles geschikt zijn en beheer risico's effectief tot een acceptabel niveau
• Faciliteer de integratie van informatierisicobeheer in bedrijfs- en IT-processen
• Controleer op interne en externe factoren die mogelijk een herbeoordeling van het risico vereisen
• Rapporteer over informatiebeveiligingsrisico's, met inbegrip van niet-naleving en wijzigingen in informatierisico's, aan de belangrijkste belanghebbenden om het besluitvormingsproces voor risicobeheer te vergemakkelijken
• Stel een incidentresponsplan op en onderhoud het, in overeenstemming met het bedrijfscontinuïteitsplan en het noodherstelplan
• Een classificatie- en categorisatieproces voor informatiebeveiligingsincidenten opzetten en onderhouden
• Ontwikkel en implementeer processen om ervoor te zorgen dat informatiebeveiligingsincidenten tijdig worden geïdentificeerd
• Processen opzetten en onderhouden om informatiebeveiligingsincidenten te onderzoeken en te documenteren in overeenstemming met wet- en regelgeving
• Opzetten en onderhouden van incidentafhandelingsprocessen, inclusief inperking, melding, escalatie, uitroeiing en herstel
• Organiseren, trainen, uitrusten en verantwoordelijkheden toewijzen aan incidentresponsteams
• Opstellen en onderhouden van incidentcommunicatieplannen en -processen voor interne en externe partijen
• Evalueer plannen voor incidentbeheer door middel van testen en herziening, inclusief oefeningen op tafel, beoordeling van checklists en simulatietests met geplande tussenpozen
• Voer beoordelingen na incidenten uit om continue verbetering mogelijk te maken, inclusief analyse van de hoofdoorzaak, geleerde lessen, corrigerende maatregelen en herbeoordeling van risico's

Als dit klinkt als taken die u graag zou uitvoeren, dan is CISM worden misschien iets voor u. In de volgende paragrafen bespreken we precies wat u moet doen om u te certificeren als CISM.

CISM-certificering: vereisten, vereisten en kosten

Dus hoe behaal je het CISM-certificaat? Eerst moet u aan de voorwaarden voldoen. Deze omvatten ten minste vijf jaar ervaring in informatiebeveiligingsbeheer. Deze ervaring moet je hebben opgedaan binnen 10 jaar na het aanvragen van de CISM-certificering en niet meer dan vijf jaar na het behalen van het CISM-examen.

Er zijn echter manieren om af te zien van maximaal twee jaar werkervaring. Voor het volgende geldt een jaar ervaring:

• Een volledig jaar ervaring in het beheer van informatiesystemen
• Een volledig jaar ervaring in algemeen beveiligingsbeheer
• Op vaardigheden gebaseerde beveiligingscertificeringen (bijv. SANS Global Information Assurance Certification (GIAC), Microsoft Certified Systems Engineer (MCSE), CompTIA Security +, Disaster Recovery Institute Certified Business Continuity Professional (CBCP), ESL IT Security Manager)

Om af te zien van twee jaar ervaring, moet u over een van de volgende zaken beschikken:

• Certified Information Systems Auditor (CISA) met een goede reputatie
• Gecertificeerde Information Systems Security Professional (CISSP) met een goede reputatie
• Postdoctorale opleiding in informatiebeveiliging of een gerelateerd vakgebied (bijv. bedrijfskunde, informatiesystemen, informatieborging)

Zodra u aan de werkervaringsvereisten voldoet, moet u ermee instemmen de ISACA-code voor beroepsethiek te volgen. Dit betekent dat je:

• Ondersteuning van de implementatie van en aanmoediging van naleving van passende normen en procedures voor het effectieve beheer en beheer van bedrijfsinformatiesystemen en -technologie, met inbegrip van: audit, controle, beveiliging en risicobeheer
• Voer de taken uit met objectiviteit, due diligence en professionele zorg, in overeenstemming met professionele normen
• Op een wettige manier dienen in het belang van belanghebbenden, met behoud van hoge gedrags- en karakternormen, en het beroep of de Vereniging niet in diskrediet brengen
• Behoud de privacy en vertrouwelijkheid van informatie die in het kader van uw activiteiten is verkregen, tenzij openbaarmaking vereist is door de wettelijke autoriteit. Dergelijke informatie mag niet worden gebruikt voor persoonlijk gewin of worden vrijgegeven aan onbevoegde partijen.
• Behoud competentie in uw respectievelijke vakgebieden en stem ermee in om alleen die activiteiten te ondernemen waarvan u redelijkerwijs kunt verwachten dat ze worden voltooid met de nodige vaardigheden, kennis en competentie
• De bevoegde partijen op de hoogte brengen van de resultaten van het uitgevoerde werk, met inbegrip van de openbaarmaking van alle belangrijke feiten die u bekend zijn en die, indien niet bekendgemaakt, de rapportage van de resultaten zouden kunnen verstoren
• Ondersteuning van de professionele opleiding van belanghebbenden bij het vergroten van hun begrip van het beheer en beheer van bedrijfsinformatiesystemen en -technologie, waaronder: audit, controle, beveiliging en risicobeheer

Vervolgens moet u zich registreren voor het CISM-examen. Het examen kost $ 575 voor ISACA-leden en $ 760 voor niet-leden. Voordat u zich registreert, moet u ervoor zorgen dat er een PSI-testlocatie bij u in de buurt is (tenzij u ervoor kiest om het examen online af te leggen met proctoring op afstand). Er zijn 1.300 PSI-locaties over de hele wereld. Vanaf het moment dat u zich inschrijft voor het examen, heeft u een jaar de tijd om het af te leggen, waarna u niet meer in aanmerking komt voor het behalen van de certificering.

Het CISM-examen heeft 150 meerkeuzevragen in vier CISM-domeinen. Dit zijn de domeinen en het deel van de examenvragen dat onder elk valt:

• Beheer van informatiebeveiliging (17% van de vragen)
• Risicobeheer op het gebied van informatiebeveiliging (20% van de vragen)
• Informatiebeveiligingsprogramma (33% van de vragen)
• Incidentmanagement (30% van de vragen)

U krijgt vier uur de tijd om het CISM-examen af te ronden. Zodra je klaar bent, zie je je voorlopige testresultaten, die je vertellen of je geslaagd bent. Om te slagen, moet je minimaal 450 van de 800 punten scoren. Uw gedetailleerde testresultaten worden u binnen 10 werkdagen toegestuurd.

Zodra u geslaagd bent voor het examen, kunt u CISM-certificering aanvragen op de ISACA-website voor $ 50. U moet certificering aanvragen binnen vijf jaar na het behalen van het CISM-examen. ISACA filtert aanvragen in volgorde van binnenkomst, zodat ze zo snel mogelijk contact met u opnemen om u te informeren of u in aanmerking komt voor de CISM-certificering.

Om het CISM-certificaat te behouden, moet u ook elke drie jaar 120 uur permanente beroepsopleiding (CPE) volgen. Dit is om ervoor te zorgen dat u voldoende kennis en vaardigheid behoudt met betrekking tot informatiebeveiligingsbeheer. ISACA biedt veel CPE-mogelijkheden, waaronder de volgende:

• Conferenties (tot 32 CPE's)
• Trainingsweken (32 CPE's)
• Online training (tot 36 CPE's per jaar)
• One-in-Tech educatieve evenementen (tot 36 CPE's per jaar)
• On-demand leren (maximaal 28 CPE's per cursus)
• Dagboekquizzen (één CPE voor elk van de zes tijdschriften per jaar)
• Vrijwilligerswerk bij ISACA (maximaal 20 CPE's per jaar)
• Vrijwilligerswerk bij One in Tech (tot 20 CPE's per jaar)
• Op vaardigheden gebaseerde training/labactiviteiten

Er zijn ook verschillende kwalificerende professionele onderwijsactiviteiten die kunnen meetellen voor CPE's, zoals de volgende:

• ISACA professionele educatie activiteiten en bijeenkomsten (geen limiet)
• Niet-ISACA professionele onderwijsactiviteiten en bijeenkomsten (geen limiet)
• Zelfstudiecursussen (geen limiet)
• Verkoop-/marketingpresentaties van leveranciers (jaarlijkse limiet van 10 uur)
• Lesgeven/lesgeven/presenteren (geen limiet)
• Publicatie van artikelen, monografieën en boeken (geen limiet)
• Ontwikkeling en beoordeling van examenvragen (geen limiet)
• Slagen voor gerelateerde professionele examens (geen limiet)
• Werken in ISACA besturen/commissies (20 uur per jaar)
• Bijdragen aan het beroep (jaarlijkse limiet van 20 uur)
• Mentorschap (jaarlijkse limiet van 10 uur)

Lees voor meer informatie over de CPE-vereisten het volledige CPE-beleid op de ISACA-website.

Zolang je de bovenstaande stappen volgt en slaagt voor het CISM-examen, ontvang je gegarandeerd het CISM-certificaat.

CISM versus CISSP: is de CISM beter dan de CISSP?

U weet misschien dat ISACA's CISM niet de enige cyberbeveiligingscertificering is. Een andere populaire cyberbeveiligingsreferentie is de CISSP (Certified Information Systems Security Professional) van (ISC)². Zowel de CISM als de CISSP zijn leveranciersneutrale certificeringen voor informatiebeveiligingsbeheer die vijf jaar ervaring vereisen, maar er zijn essentiële verschillen.

Het CISM is managementgericht en sterk bedrijfsgericht. Geen van de vier informatiebeveiligingsdomeinen (governance, risicobeheer, beveiligingsprogramma of incidentbeheer) vereist zware technische vaardigheden. Het CISSP-programma daarentegen omvat zowel management- als technische vaardigheden. De focus is dus breder. In feite omvat de CISSP acht domeingebieden voor informatiebeveiliging:

• Beveiliging en risicobeheer
• Beveiliging van activa
• Beveiligingsarchitectuur en -techniek
• Communicatie en netwerkbeveiliging
• Identiteits- en toegangsbeheer (IAM)
• Beveiligingsbeoordeling en -testen
• Beveiligingsoperaties
• Beveiliging van softwareontwikkeling

Wanneer u probeert te beslissen of de CISM of de CISSP meer geschikt voor u is, bestudeer dan hoe de twee examens verschillen. De CISM kost $ 760 (of $ 575 voor ISACA-leden), duurt vier uur, bevat 150 meerkeuzevragen en vereist 450 van de 800 punten om te slagen. De CISSP kost $ 749, duurt drie uur, heeft 100 tot 150 vragen en vereist 700 van de 1,000 punten om te slagen.

Hier zijn enkele andere details om te overwegen:

• Voor de CISM moet je elk jaar 120 uur aan credits voor permanente educatie behalen om je certificaat actief te houden, maar voor CISSP's is dat elke drie jaar 120 uur.
• Wereldwijd zijn er ongeveer 28.000 CISM-certificaathouders, vergeleken met 136.428 CISSP-certificaathouders.
• Het gemiddelde CISM-salaris is $ 131,209, terwijl het gemiddelde CISSP-salaris $ 129,902 is.

Uiteindelijk is het aan jou of je voor de CISM of de CISSP gaat. De een is niet per se beter dan de ander, en beide zullen uw carrière in cyberbeveiliging vooruit helpen. Als je geïnteresseerd bent in CISM en CISSP, kun je ze zelfs allebei verdienen!

Verschil tussen CISM- en CISA-certificering

Een andere cyberbeveiligingscertificering die u misschien heeft overwogen, is de CISA, wat staat voor Certified Information Systems Auditor. De CISA en de CISM hebben veel gemeen, maar ze hebben ook belangrijke verschillen. Laten we eerst de overeenkomsten doornemen.

Ten eerste zijn de CISA en de CISM beide uitgegeven door ISACA en geaccrediteerd door ANSI onder ISO/IEC. Ze vereisen allebei vijf jaar professionele ervaring in informatiebeveiliging en een vier uur durend examen met 150 meerkeuzevragen. In beide gevallen kost het examen $ 575 voor ISACA-leden en $ 760 voor niet-leden.

Maar de twee certificeringen brengen ook substantiële verschillen met zich mee. Terwijl de CISA-certificering laat zien dat u de informatietechnologie en bedrijfssystemen van een organisatie kunt controleren, controleren, bewaken en beoordelen, is de CISM gericht op het beheer van informatiebeveiliging, programmaontwikkeling en -beheer, en incident- en risicobeheer.

Om een beter idee te krijgen van hoe de CISA anders is, beschouwen we de vijf domeinen:

• Auditproces voor informatiesystemen
• Governance en beheer van IT
• Verwerving, ontwikkeling en implementatie van informatiesystemen
• Informatiesystemen, activiteiten en zakelijke veerkracht
• Bescherming van informatiemiddelen

De CISA is eigenlijk de langst bestaande certificering van ISACA. Daarom zijn er meer dan 140.000 CISA-houders, vergeleken met slechts ongeveer 28.000 CISM-certificaathouders. Het gemiddelde salaris voor CISA's is echter $ 106,267, iets lager dan de $ 131,209 die de gemiddelde CISM verdient.

Wat de carrièrepaden van CISA betreft, zijn de meest voorkomende CISA-functies:

• Interne auditor
• Auditor openbare boekhouding
• IS-analist
• Verantwoordelijke IT-audit
• IT-projectmanager
• Beveiligingsingenieur voor netwerkwerking
• Cyber security professional

Daarentegen hebben CISM-houders de neiging om rollen op een hoger niveau op zich te nemen als informatiebeveiligingsmanagers, chief information officers, specialisten op het gebied van informatierisicocompliance, beveiligingsfunctionarissen voor informatiesystemen en informatie-/privacyrisicoconsultants.

Uiteindelijk is het grootste verschil tussen de CISA en de CISM de reikwijdte. CISA's richten zich vooral op technische cyberbeveiligingsvaardigheden, terwijl CISM's zich richten op het beheren van een volledig cyberbeveiligingsprogramma.

Hoe bereid je je voor op het CISM-examen?

Er zijn veel manieren om je voor te bereiden op het CISM-examen. Om je slagingskansen te vergroten, is het het verstandigst om meerdere benaderingen te hanteren. Dit zijn onze beste tips voor examenvoorbereiding om u te helpen slagen:

• Plan het examen in. Voordat u iets anders doet, moet u zich registreren voor het CISM-examen op de ISACA-website. Het examen is online beschikbaar met proctoring op afstand of persoonlijk in een PSI-testcentrum (er zijn 1,300 PSI-locaties over de hele wereld). Zorg er in ieder geval voor dat je jezelf voldoende tijd geeft om je voor te bereiden.
• Maak een studieplan. Zodra je een examendatum hebt vastgesteld, ben je klaar om een studieplan te ontwikkelen. Bekijk de vier CISM-domeinen (governance, risicobeheer, beveiligingsprogramma en incidentmanagement) en verdeel het materiaal in beheersbare brokken. Besteed aandacht aan de weging van elk domein en identificeer gebieden waar u niet zo sterk bent. Zorg ervoor dat u meer tijd besteedt aan de moeilijkere onderwerpen en verklein de hiaten in uw kennis. Een goed ontworpen studieplan is de sleutel om niet te weinig voorbereidingstijd te hebben.
• Bekijk het officiële ISACA-studiemateriaal. ISACA heeft veel gratis studiebronnen op haar website. De informatiegids voor examenkandidaten bevat bijvoorbeeld informatie over examenregistratie, deadlines, voorbereidingsregels, administratie, scores, details van de examendag, het beleid voor herkansingen en examenduur, talen en terminologie. U kunt ook het examenvoorbereidingsmateriaal van ISACA bekijken (houd er rekening mee dat het CISM-examen en het inhoudsoverzicht van het examen op 1 juni 2020 zijn bijgewerkt, dus zorg ervoor dat u over de meest up-to-date versies beschikt).
• Volg een cursus. Naast het gebruik van het studiemateriaal van ISACA, kunt u ook profiteren van CISM-examenvoorbereidingscursussen van derden. Je kunt bijvoorbeeld de ISACA CISM CERTIFICATION bootcamp cursus van Readynez volgen. Het duurt slechts vier dagen, en je kunt het virtueel nemen voor 2.350 euro. De cursus is inclusief al het cursusmateriaal en een certificeringsgarantie! Andere cursussen zijn in eigen tempo en richten zich op verschillende leermethoden: visueel, schrijven/lezen, luisteren, enzovoort. Kies een cursus die bij je leerstijl past.
• Doe oefenexamens. Met studeren kom je niet ver. Op een gegeven moment zou je een oefenexamen moeten afleggen om te weten hoe de werkelijke ervaring zal zijn. Geef jezelf een tijdslimiet van vier uur om de echte ervaring te simuleren. Je kunt veel gratis en betaalde oefenexamens online vinden.
• Ontwikkel goede testvaardigheden. Het goed doen op het CISM-examen is net als elke andere grote academische test. Het vereist goede testvaardigheden. Dat betekent dat je jezelf tempo moet maken. Sla vragen over die je stompen en kom er later op terug. Als je weet dat sommige antwoorden fout zijn, gebruik dan het eliminatieproces om de meest waarschijnlijke te identificeren. Lees vragen zorgvuldig door en let vooral op termen als 'MEESTE, MINSTE, NIET, ALLE, NOOIT en ALTIJD', die de betekenis van een vraag drastisch kunnen veranderen. Onderbreek de vier uur door een slok water te nemen of een wandeling te maken. Als je het antwoord niet weet, volg dan je gevoel. Er is geen boete voor onjuiste antwoorden, dus je kunt net zo goed raden wanneer je geen tijd meer hebt. Denk ten slotte als een informatiebeveiligingsmanager. Dat is tenslotte waar het examen je op test.
• Kom klaar staan op de examendag. Als de examendag aanbreekt, zorg er dan voor dat je van tevoren goed slaapt en een goed ontbijt eet. Kom vroeg aan (30 minuten van tevoren is ideaal). Als je meer dan 15 minuten te laat bent, word je als afwezig behandeld. En vergeet niet om een officieel identiteitsbewijs bij de hand te hebben om te laten zien (acceptabele identiteitsbewijzen zijn onder meer uw rijbewijs, staatsidentiteitskaart, paspoort, militaire identiteitskaart, groene kaart en nationale identiteitskaart). Als u het examen mist of niet haalt, moet u 30 dagen wachten om het opnieuw af te leggen. Als je opnieuw niet slaagt, moet je 90 dagen wachten vanaf de eerste herkansing om het examen opnieuw af te leggen. En als u voor de derde keer niet slaagt, moet u 90 dagen wachten vanaf uw tweede herkansing om het examen opnieuw af te leggen.

Als je al deze voorbereidingstips voor het CISM-examen opvolgt, heb je een veel grotere kans om te slagen. Begin dus vandaag nog met de voorbereidingen en je gaat uitstekend beginnen!

Voordelen CISM-certificering

Nu we hebben besproken hoe u zich kunt voorbereiden op en afleggen aan het CISM-examen, laten we het hebben over de voordelen van het behalen van uw CISM-certificaat. Hier zijn er een paar:

• Verdien een hoger salaris. Van degenen die de CISM verdienen, krijgt 48% binnen een jaar een salarisverhoging. Veel van die salarisverhogingen liggen in het bereik van 20% tot 25%. Een CISM-certificaat is dus de investering meer dan waard. Het gemiddelde CISM-salaris is $ 131,209.
• Krijg meer geloofwaardigheid. De CISM wordt wereldwijd erkend. Het zal u helpen zich te onderscheiden van uw collega's wanneer werkgevers beslissingen nemen over aanwerving en promotie.
• Breid je kennis uit. Natuurlijk zal het behalen van de CISM je beheersing van het vakgebied vergroten. U moet niet alleen uw vaardigheden bewijzen door te slagen voor het examen, maar u moet ook beschikken over professionele ervaring in vijf informatiebeveiligingsdomeinen.
• Verbeter je carrière. Het behalen van de CISM helpt je om van een technische rol naar een leidinggevende functie te gaan. "Manager" zit immers in de naam (certified information security manager). Als je lange tijd in dezelfde positie hebt vastgezeten, is de CISM misschien precies wat je nodig hebt om hogerop te komen in het bedrijf.
• Verbeter uw werkprestaties. Zelfs als je niet meteen geniet van een promotie, zal een CISM je werkprestaties een boost geven. Uiteindelijk zal dit indruk maken op je werkgever en je een promotie of op zijn minst een loonsverhoging opleveren.
• Open netwerkmogelijkheden. ISACA biedt veel netwerkmogelijkheden voor CISM's door middel van evenementen en programma's voor permanente educatie. Maar zelfs buiten ISACA zul je merken dat een CISM-certificaat deuren opent naar werkervaringen die je nog nooit eerder hebt gehad.

Hoe je het ook wendt of keert, het behalen van een CISM-certificaat heeft veel voordelen. Onderschat dus niet de kracht ervan om uw cyberbeveiligingscarrière een boost te geven.

Baanvooruitzichten na het behalen van een CISM-certificering? Carrièrepad

De vooruitzichten op een baan voor CISM-houders zijn aanzienlijk. Bekijk deze statistieken van het National Initiative for Cybersecurity Education (NICE):

• Er is een wereldwijd tekort van 2,72 miljoen cybersecurity-medewerkers.
• Gemiddeld gelooft 50% van de ondervraagde personeelsmanagers over het algemeen niet dat hun sollicitanten goed gekwalificeerd zijn, en nog eens 16% kan of voelt zich niet op zijn gemak bij het nemen van de beslissing.
• In november 2021 waren er in totaal 597.767 vacatures op het gebied van cyberbeveiliging en waren er in totaal 1.053.468 werkzaam in het cyberbeveiligingspersoneel.
• Tussen 2016 en 2026 zullen computer- en wiskundige beroepen met 13,5% groeien, veel sneller dan de gemiddelde banengroei.

Het is vrij duidelijk dat er veel vraag is naar cyberbeveiligingsprofessionals en dat de vraag in de toekomst alleen maar zal toenemen. Enkele veelvoorkomende carrièrepaden na het behalen van uw CISM-certificaat zijn de volgende:

• Informatiebeveiligingsmanager - In deze functie houd je toezicht op alle informatietechnologie van een bedrijf. Je zorgt ervoor dat het bedrijf cyberbeveiliging serieus neemt door middel van antivirussoftware, sterke wachtwoorden, firewalls, multi-factor authenticatie (MFA) en meer. Informatiebeveiligingsmanagers geven ook regelmatig cyberbeveiligingstrainingen om iedereen op de hoogte en op één lijn te houden.
• Chief Information Officer - Dit is een hooggeplaatste leidinggevende functie die toezicht houdt op informatietechnologie en IT-specialisten binnen de IT-afdeling van een bedrijf, en helpt zorgen voor resultaten die de doelen van het bedrijf ondersteunen. Dit omvat het toezicht op het dagelijkse onderhoud van alle computersystemen (zowel hardware als software). Chief information officers moeten ook wendbaar en snel reageren op trends binnen de cybersecurity-industrie en verschuivingen binnen de organisatie.
• Information Risk Compliance Specialist—Deze functie is verantwoordelijk voor het identificeren en beoordelen van cyberbeveiligingsbedreigingen voor een organisatie. Het gaat om het bieden van interne controletests, audits, monitoring en risicobeheer en -beperking. De specialist op het gebied van informatierisicocompliance creëert risicobeheermodellen om de blootstelling te beoordelen en leidt managers, eerstelijnswerkers en andere leidinggevenden op met betrekking tot deze informatie. Dit zorgt ervoor dat de organisatie weet hoe ze moet reageren op bedreigingen en een concurrentievoordeel behoudt.
• Beveiligingsfunctionaris voor informatiesystemen - In deze functie houd je het informatietechnologiesysteem van een organisatie in de gaten, zoek je naar beveiligingsrisico's en stel je protocollen op om deze te neutraliseren. Je helpt ook bij het onderhouden en bijwerken van antivirussoftware om bedreigingen te blokkeren. Om dit te doen, moeten beveiligingsfunctionarissen van informatiesystemen beveiligingskaders begrijpen, over goede probleemoplossende en analytische vaardigheden beschikken en in staat zijn om anderen in eenvoudige bewoordingen voor te lichten over bedreigingen voor informatiebeveiliging.
• Adviseur informatie-/privacyrisico's: in deze rol help je bij het bewaken en beoordelen van informatiebeveiligingsprogramma's door statistieken voor privacyprogramma's te ontwikkelen, privacybeleid en -procedures op te stellen en bij te werken, en risico's zoveel mogelijk te verminderen of te elimineren. Adviseurs op het gebied van informatie- en privacyrisico's stemmen hun beleidsaanbevelingen af op de unieke behoeften van elke organisatie.

En de lijst gaat maar door. Er zijn nog veel meer functies waarvoor het CISM goed van pas komt. Dit komt omdat organisaties over de hele wereld CISM's hoog in het vaandel hebben staan vanwege hun bewezen expertise op het gebied van informatiebeveiliging en managementkennis. CISM's hebben dus zelden moeite met het vinden van goedbetaalde functies in grote organisaties en bedrijven over de hele wereld.

CISM Salaris

Hoeveel verdienen CISM's? Het gemiddelde CISM-salaris in 2022 is $ 131,209. Dat is $ 63.08 per uur, $ 2,523 per week of $ 10,934 per maand.

Natuurlijk variëren de salarissen voor CISM's per locatie, vaardigheidsniveau en ervaring. De laagste geregistreerde salarissen zijn $ 80,000 en de hoogste zijn $ 190,000. Dat is een bereik van $ 110.000. De topverdieners verdienen gemiddeld $ 174,000, het 75e percentiel verdient $ 150,000 en het 25e percentiel verdient $ 100,000.

CISM-praktijkgebieden

De CISM-rol omvat vele praktijkgebieden. De belangrijkste vier zijn informatiebeveiligingsbeheer, risicobeheer voor informatiebeveiliging, informatiebeveiligingsprogramma en incidentbeheer. Laten we de officiële beschrijvingen van elk praktijkgebied van de ISACA-website doornemen en wat ze inhouden.

Beheer van informatiebeveiliging

Beheer van informatiebeveiliging omvat ondernemingsbestuur (inclusief organisatiecultuur, wettelijke, regelgevende en contractuele vereisten, en organisatiestructuren, rollen en verantwoordelijkheden) en informatiebeveiligingsstrategie (ontwikkeling van informatiebeveiligingsstrategieën, kaders en normen voor informatiebeheer en strategische planning).

Governance van informatiebeveiliging heeft alles te maken met het begrijpen van de relatie tussen beheer en cyberbeveiligingsresultaten. Het betekent inzicht in de relaties tussen de organisatie, het ontwerp, de strategie, de processen, de technologie, de menselijke factoren, de cultuur en de architectuur van de informatiebeveiliging.

Het gaat ook om het meten van de waarde en effectiviteit van cyberbeveiligingsmaatregelen ten opzichte van hun resultaten. Rechtvaardigen de kosten het resultaat? Een grote sleutel hiervoor is het begrijpen van cyberbeveiligingsstatistieken en weten hoe deze aan het hogere management kunnen worden uitgelegd.

Informatierisicobeheer

Informatierisicobeheer omvat risicobeoordeling van informatiebeveiliging (opkomend risico- en bedreigingslandschap, analyse van kwetsbaarheden en tekortkomingen in controle, risicobeoordeling en -analyse) en risicorespons op informatiebeveiliging (risicobehandeling en responsopties, risico- en controle-eigendom, risicomonitoring en -rapportage).

Succesvol informatierisicobeheer vereist dat u de risicobeheerstrategie, prioriteiten en rollen van een organisatie begrijpt. Het vereist kennis van de bedreigingen, kwetsbaarheden, blootstellingen en impact, evenals de Recovery Time Objective (RTO), Recovery Point Objective (RPO), Service Delivery Objectives (SDO's) en Acceptable Interruption Window (AIW).

Deze statistieken helpen u om zakelijke afwegingen effectiever in evenwicht te brengen bij het reageren op bedreigingen voor informatiebeveiliging. U moet de reikwijdte en grenzen van informatierisicobeheer bepalen, risicobeoordelingen uitvoeren en een risicobehandelplan opstellen. Het helpt ook om controlebasislijnen in te stellen om de effectiviteit van uw informatierisicobeheerfunctie te meten.

Programma voor informatiebeveiliging

Informatiebeveiligingsprogramma omvat de ontwikkeling van informatiebeveiligingsprogramma's (bronnen voor informatiebeveiligingsprogramma's, identificatie en classificatie van informatieactiva, industriestandaarden en kaders voor informatiebeveiliging, informatiebeveiligingsbeleid, -procedures en -richtlijnen, en statistieken van informatiebeveiligingsprogramma's) en het beheer van informatiebeveiligingsprogramma's (ontwerp en selectie van informatiebeveiligingscontrole, implementatie en integraties van informatiebeveiligingscontrole, testen en evaluatie van informatiebeveiligingscontrole, bewustzijn en training van informatiebeveiliging, beheer van externe diensten en communicatie en rapportage van informatiebeveiligingsprogramma's).

Het ontwikkelen en beheren van een goed informatiebeveiligingsprogramma brengt goede documentatie met zich mee, waaronder een risico- of beheersingsregister en jaaroverzichten over de huidige staat van het risico voor de organisatie.

Beheer van incidenten

Incidentmanagement omvat de gereedheid voor incidentmanagement (incidentresponsplan, bedrijfsimpactanalyse, bedrijfscontinuïteitsplan, noodherstelplan, incidentclassificatie/-categorisatie en training, testen en evaluatie van incidentmanagement) en incidentmanagementactiviteiten (tools en technieken voor incidentbeheer, incidentonderzoek en -evaluatie, methoden voor het inperken van incidenten, communicatie over incidentrespons, uitroeiing en herstel van incidenten, en praktijken voor evaluatie na incidenten).

Velen beschouwen incidentmanagement als de belangrijkste van de vier CISM-praktijkgebieden. Dit komt omdat één beveiligingsincident uw bedrijf kan ruïneren. Om informatiebeveiligingsincidenten goed in de gaten te houden, moet u ze snel identificeren en indammen.

Dit maakt incidentherstel mogelijk binnen een acceptabel onderbrekingsvenster. Enkele technologieën die hierbij kunnen helpen, zijn onder meer een detectiesysteem voor netwerkincidenten, host-inbraakdetectiesystemen en systeem-, database-, besturingssysteem- en applicatielogboeken. Het is ook van vitaal belang om alle bewijzen van inbreuken op de beveiliging te bewaren om aan de rechtbanken te laten zien in geval van een rechtszaak.

Uiteindelijk is er een breed scala aan praktijkgebieden waar u uw CISM-certificering kunt toepassen. Kies er een die het beste bij je talenten en interesses past.

Laat je certificeren en versterk je toekomst - maak je keuze

Als u klaar bent om uw carrière in informatiebeveiliging naar een hoger niveau te tillen, haal dan vandaag nog een CISM-certificering! U kunt online certificering aanvragen door $ 50 aanvraagkosten te betalen. Dit is een eenmalige, niet-restitueerbare vergoeding, dus pas deze alleen toe als u zich inzet U moet ook binnen vijf jaar na het behalen van het CISM-examen een aanvraag indienen. Als dat haalbaar klinkt, druk dan op verzenden!

Onthoud ten slotte dat u ook het vereiste minimum van vijf jaar professionele werkervaring op het gebied van informatiebeveiliging moet aantonen, u moet houden aan de ISACA Code of Professional Ethics en elke drie jaar 120 uur Continuing Education (CPE) -credits moet behouden. Als u alle vakjes aanvinkt, bent u goed op weg om het CISM-certificaat te behalen en een succesvolle carrière in informatiebeveiligingsbeheer te hebben.

Aarzel niet om hier contact met ons op te nemen als er iets is dat we kunnen doen om u te ondersteunen op uw certificeringsreis.