Proseguiamo il nostro cammino nelle certificazioni professionali di sicurezza informatica ed andiamo ad illustrare due certificazioni molto diffuse, ovvero la CISA e la CISM, entrambe provenienti dall’associazione ISACA (di cui abbiamo già parlato).
L’abilitazione Certified Information Systems Auditor (CISA appunto) è indicata per tutti i soggetti che lavorano nell’ambito del controllo e della sicurezza dei Sistemi Informativi.
I requisiti necessari al possesso e al mantenimento della certificazione sono analoghi a quelli delle certificazioni (ISC)2, in particolare:
- l’esame CISA;
- l’esperienza nel campo della verifica, del controllo e della sicurezza dei Sistemi Informativi;
- l’adesione al codice di etica professionale;
- la partecipazione al Programma di Aggiornamento.
Il requisito del secondo punto può essere soddisfatto in differenti modi. È possibile dimostrare un’esperienza almeno quinquennale nel campo della revisione, del controllo e della sicurezza dei sistemi informativi, o in alternativa avere a disposizione altri attestati o esperienze, come meglio specificato nel sito ufficiale.
Inoltre ISACA permette di ottenere un’altra ulteriore certificazione professionale che può associarsi alla precedente certificazione CISA. La nuova certificazione approvata dal Certification Board dell’ISACA prende il nome di Certified Information Security Manager (CISM).
In particolare la certificazione CISM ha per oggetto le seguenti aree tematiche:
- Aspetti di Governance della sicurezza delle informazioni;
- Gestione dei rischi;
- Conoscenza dei programmi di Sicurezza delle Informazioni;
- Capacità di analisi dei rischi e di reazione agli incidenti di sicurezza.
Per quanto riguarda i requisiti necessari e le modalità per il conseguimento della certificazione CISM, le indicazioni sono analoghe a quelle per la CISA. Il modo per ottenere e mantenere la certificazione è quindi il seguente:
- conseguire o aver conseguito l’esame;
- comprovare 5 anni di esperienza, di cui tre di Management in almeno tre delle aree di competenza. Per venire incontro a chi non possiede cinque anni pieni di esperienza è possibile sostituire al massimo due anni attraverso la dichiarazione di altri titoli, come ad esempio la certificazione CISA o CISSP;
- accettare il codice etico e le regole di continuo sviluppo professionale;
- seguire il Programma di Aggiornamento.