A raíz de varios escándalos corporativos hace como 15 años, tales como Enron y WorldCom solo por nombrar a dos, y con la aprobación de la Ley Sarbanes-Oxley en el 2002, las organizaciones que debían adherirse a las regulaciones de seguridad de datos, responsabilidad financiera y privacidad del consumidor, encontraron que no podían hacerlo sin alguien que les asegurara que los procesos internos se estaban llevando a cabo de manera adecuada. Introduzca la necesidad de profesionales competentes de gobernanza, riesgo y cumplimiento (GRC).
El objetivo de GRC, en general, es asegurar que se establezcan políticas y controles adecuados para reducir el riesgo, establecer un sistema de controles y balances para alertar al personal cuando se materialicen nuevos riesgos, y para gestionar los procesos de negocio de una manera más eficiente y proactiva. Los profesionales que tienen una certificación de GRC deben hacer un balance entre las expectativas de los interesados con los objetivos de negocio, y asegurar que los objetivos organizacionales se cumplan al tiempo que se cumplen los requisitos de cumplimiento. Esa es una cantidad increíble de responsabilidad y es absolutamente necesaria en el clima de negocios de hoy en día.
Todo tipo de roles de trabajo requieren o se benefician de una certificación de GRC, incluyendo los CIOs, los analistas de seguridad de TI, los ingenieros o arquitectos de seguridad, los gerentes de los programas de aseguramiento de la información y los auditores senior de TI, entre otros.
Siga leyendo para conocer nuestras seis mejores selecciones para certificaciones de GRC, así como links a los recursos más relevantes.
Certificado en Control de Riesgos y Sistemas de Información (CRISC)
Una de las certificaciones de GRC más solicitadas por los candidatos y empleadores es la CRISC de ISACA, que identifica que los profesionales de TI son responsables de gestionar los riesgos de TI y de la empresa, y garantizar que se cumplan los objetivos de gestión. A menudo, la CRISC se ocupa de supervisar el desarrollo, la implementación y el mantenimiento de los controles del sistema de información (IS, por sus siglas en inglés) diseñados para asegurar los sistemas y gestionar el riesgo. Desde el año 2010, ISACA ha emitido más de 20 mil credenciales de CRISC -un número relativamente alto en el campo de certificación de GRC.
Para obtener el CRISC debe aprobar un examen que cubre cuatro dominios: Identificación de Riesgos de TI (Dominio 1), Evaluación de Riesgos de TI (Dominio 2), Respuesta y Mitigación de Riesgo (Dominio 3) y Monitoreo y Reporte de Riesgo y Control (Dominio 4). El examen consta de 150 preguntas, dura cuatro horas y cuesta 575 dólares para los miembros de ISACA, o 760 dólares para los que no son miembros.
Asimismo, debe probar un mínimo de tres años de experiencia laboral acumulativa en riesgo de TI y sistemas de información asociado con al menos dos de los cuatro dominios, adherirse al Código de Ética Profesional de ISACA y cumplir con la Política de Educación Continua de CRISC.
Certificado de la Gobernanza de la TI Empresarial (CGEIT)
El certificado de CGEIT dado por ISACA, reconoce a los profesionales de TI como unos con un profundo conocimiento de los principios y las prácticas de gobernanza de la TI empresarial, así como la capacidad de aumentar el valor de la organización a través de medidas de gobernanza y optimización de riesgo, y alinear TI con las estrategias y las metas de negocio. Desde que el programa comenzó, más de siete mil individuos han logrado obtener la credencial de CGEIT a través de ISACA.
Para obtener la credencial CGEIT necesita pasar un examen (150 preguntas, cuatro horas) que cubre cinco dominios: Marco para la Gobernanza de la TI Empresarial (Dominio 1), Gestión Estratégica (Dominio 2), Realización de Beneficios (Dominio 3), Optimización de Riesgos (Dominio 4) y Optimización de Recursos (Dominio 5). El examen cuesta 525 dólares para los miembros de ISACA, o 760 dólares para los que no son miembros.
Para obtener el CGEIT debe probar al menos cinco años de experiencia laboral acumulativa en el campo de la gobernanza corporativa, incluyendo por lo menos un año definiendo, implementando y gestionando un marco de gobernanza. Los candidatos también se deben adherir al Código Profesional de Ética de ISACA y cumplir con la Política de Educación Continua de CGEIT.
Project Management Institute – Profesional de Gestión de Riesgos (PMI-RMP)
Cualquier persona que haya seguido una certificación de gestión de proyectos es familiar con el Project Management Institute (PMI), ya sea a través de la investigación o por obtener el codiciado credencial de Profesional de Gestión de Proyectos (PMP). Sin embargo, PMI también ofrece la certificación del Profesional de Gestión de Riesgos (PMI-RMP), así como varias otras que se enfocan en la gestión de negocios, el análisis de negocios, la agilidad y la programación.
El PMI-RMP identifica a los profesionales de TI involucrados con grandes proyectos o trabajando en entornos complejos que evalúan e identifican los riesgos basados en el proyecto. También son competentes en diseñar e implementar planes de mitigación que contrarrestan los riesgos de las vulnerabilidades del sistema, desastres naturales y similares.
El examen PMI-RMP cubre cinco dominios de conocimiento: Estrategia y Planificación de Riesgo (Dominio 1), Participación de las Partes Interesadas (Dominio 2), Facilitación del Proceso de Riesgo (Dominio 3), Monitoreo y Reportes de Riesgo (Dominio 4) y Realización de Análisis Especializados de Riesgo (Dominio 5). El examen consta de 170 preguntas de opción múltiple, y cuesta 520 dólares para los miembros de PMI o 670 dólares para los que no son miembros.
También debe cumplir con los requisitos de experiencia y educación. Una opción es tener un título secundario (diploma de secundaria, grado de asociado o algún equivalente global) y por lo menos 4.500 horas de experiencia en gestión de riesgo de proyectos. La segunda opción es un título de cuatro años (licenciatura o el equivalente global), al menos tres mil horas de experiencia en gestión de riesgo de proyectos y 30 horas de educación en gestión de riesgo de proyectos.
Experto de ITIL
Las certificaciones de Biblioteca de Infraestructura de Tecnologías de Información (ITIL) están vinculadas al marco/infraestructura de ITIL, que describe las mejores prácticas para diseñar, implementar y gestionar una gran variedad de proyectos de servicios de TI. En el lenguaje ITIL, las certificaciones se denominan “calificaciones”, que crean una escalera clásica de certificación, comenzando con la Fundación de ITIL de nivel básico y terminando con el Master de ITIL. Un peldaño por debajo del nivel Master se encuentra el popular Experto de ITIL.
Un profesional con la calificación de Experto de ITIL tiene una profunda comprensión de las mejores prácticas del servicio de ITIL a medida que aplican a través de un entorno de TI, no solo a un área de servicio. En otras palabras, el Experto es capaz de apoyar a una organización vinculando/acoplando las etapas del ciclo de vida del servicio viendo el panorama general como la suma de las partes.
Para lograr la calificación de Experto de ITIL, debe primero obtener el certificado de Fundación de ITIL o un equivalente de calificación Bridge, y luego adquirir por lo menos 17 créditos por el Sistema de Crédito de ITIL. Finalmente, deberá tomar un curso de capacitación aprobado y pasar el examen de Managing Across the Lifecycle (MALC). Los precios de la capacitación varían entre vendedores, pero espere pagar entre 1.800 (online) y 5.000 (presencial) dólares, que incluye el entrenamiento y el examen.
Certificación en Aseguramiento de Gestión de Riesgos (CRMA)
El Instituto de Auditores Internos (IIA) es una asociación profesional global que proporciona información, oportunidades de interconexión y educación para los auditores en negocios, gobernanza e industria de servicios financieros. Una de las certificaciones del IIA es la CRMA, que reconoce a los individuos que están involucrados en la gestión y aseguramiento del riesgo, asícomo en la gobernanza, el aseguramiento de la calidad y el control de la auto evaluación. Un CRMA es considerado un asesor de confianza para la alta dirección y para los miembros de los comités de auditoría en las grandes organizaciones.
Para obtener la credencial de CRMA necesita pasar un examen de opción múltiple (100 preguntas en dos horas), a través de Pearson VUE. El examen cuesta 380 dólares para los miembros del IIA, o 495 dólares para los que no son miembros.
Asimismo, debe tener un título postsecundario (o mayor) de tres o cuatro años. Las alternativas a la licenciatura son dos años de educación postsecundaria y cinco años de experiencia en auditoría interna (o el equivalente), o siete años de experiencia en auditoría interna. El IIA también requiere alguna prueba de al menos dos años de experiencia en auditoría, o experiencia en negocios relacionados con el control en la gestión de riesgos o aseguramiento de la calidad. Finalmente, necesita proporcionar una referencia de carácter firmada por una persona que posea una certificación del IIA o un supervisor, proporcionar una prueba de identificación y aceptar acatar el Código de Ética establecido por el IIA.
Profesional de GRC (GRCP)
OCEG es una organización global dirigida por los miembros y dedicada a proporcionar información, educación y certificación en GRC a sus miembros y a la comunidad en general. Con solo unas pocas, pero muy respetadas certificaciones en su programa, el GRCP es una sólida credencial dirigida a una amplia gala de industrias y prácticas.
El único examen cubre términos y conceptos básicos, principios de GRC y, componentes y prácticas fundamentales, así como la relación de GRC con otras disciplinas. El GRCP es necesario para la certificación de GRC Audit de nivel superior. El examen contiene 100 preguntas y demora dos horas en ser completado. OCEG ofrece un All Access Pass por 395 dólares (renovación automática) o 495 dólares (sin renovación), que proporciona todo lo que necesita para prepararse para el examen y tomarlo. Esto incluye todos los seminarios web archivados y en vivo, los Estándares de OCEG, las Guías y Recursos, el programa de eLearning y el examen.
Recursos para la comunidad GRC
Hay muchos recursos incipientes de interés en la web y profesionales de GRC de largo plazo, y algunos pueden ser útiles para lograr una certificación de GRC. Aquí les dejamos algunos sitios web para añadir a su kit de herramientas de GRC:
* ComplianceWeek: Este sitio web es una excelente fuente de recursos para la comunidad de GRC. Aquí podrá encontrar noticias, documentos oficiales, informes de GRC, materiales de conferencias, oportunidades de negocio y mucho más. El sitio también ofrece webcasts de una hora gratuitos la mayoría de las semanas, que están disponibles a pedido después de cada evento, y muchos son elegibles para créditos de educación y profesional permanente (CPE).
* El GRC Bluebook: Se auto describe como “la base de conocimiento en línea de GRC”, y en él encontrará excelentes reseñas sobre las herramientas de GRC (¡y hay un montón!), noticias, prácticas de riesgo, eventos industriales y mucho más.
* CareersInfoSecurity: Como el sitio web indica, encontrará una sección de portal de empleo. Sin embargo, CareersInfoSecurity va mucho más allá de eso con una biblioteca de capacitación, noticias y otro tipo de contenido dirigido a la seguridad de la información, gestión de riesgos y, profesionales de privacidad y fraude. Usando la herramienta de búsqueda del sitio, ingrese “grc” para concentrarse en los recursos relacionados.
* Security Management: La revista en línea de libre acceso ASIS International cubre diferentes tipos de seguridad: la nacional, la física, la cibernética y la estratégica. Ahí encontrará artículos sobre gestión de riesgos empresariales en la sección de Seguridad Estratégica, así como acceso a podcasts y seminarios web.
* LinkedIn: Busque “grupo grc”, regístrese en los que se vean más interesantes, y luego inicie la interconexión. Un buen grupo general es el de Gobernanza, Riesgo y Cumplimiento (GRC). Esta población de expertos de GRC han pasado por el proceso de certificación, y estarán dispuestos a ofrecerles asesoramiento y respuestas a sus preguntas de certificación. LinkedIn también tiene un portal de trabajo que se está convirtiendo en uno de los mejores.
¡Buena suerte con sus actividades de formación y certificación de GRC!
-Kim Lindros, CIO.com
