La certificación CRISC (Certified in Risk and Information Systems Control) de ISACA es, en 2026, la credencial de referencia para profesionales especializados en gestión de riesgos de TI y control de sistemas de información. Si tu trabajo consiste en identificar, evaluar y gestionar los riesgos que afectan a la tecnología de una organización —y en conectar esa labor con la estrategia de negocio— el CRISC es la certificación que mejor acredita esas competencias.
Qué es el CRISC y a quién va dirigido
A diferencia del CISM, que cubre la gestión global de la seguridad de la información, el CRISC se especializa en gobierno del riesgo de TI y controles de sistemas. Es la certificación elegida por analistas de riesgos, auditores internos, responsables de cumplimiento y directores de TI que necesitan demostrar rigor metodológico en la gestión de riesgos tecnológicos.
Emitida por ISACA —la misma organización detrás de la CISA y el CISM— el CRISC es una de las certificaciones mejor valoradas económicamente en el sector TI según las encuestas salariales anuales de la propia ISACA. Su reconocimiento es global y especialmente fuerte en entornos financieros, aseguradoras y empresas reguladas.
Puedes ver cómo encaja el CRISC en el panorama general en nuestra guía de las mejores certificaciones de ciberseguridad.
Datos clave del examen CRISC 2026
| Parámetro | Detalle |
|---|---|
| Número de preguntas | 150 preguntas de opción múltiple |
| Duración | 4 horas |
| Formato | Lineal (no adaptativo) |
| Puntuación mínima | 450 sobre 800 |
| Modalidad | Centro Pearson VUE o en línea supervisado (PSI) |
| Idiomas disponibles | Inglés y otros idiomas (verificar disponibilidad en ISACA) |
| Plazo para certificarse tras aprobar | 5 años |
| Validez de la certificación | 3 años (ciclo de renovación) |
| CPE anuales mínimos | 20 horas |
| CPE totales en 3 años | 120 horas |
| Cuota de mantenimiento anual | 45 USD (miembros ISACA) / 85 USD (no miembros) |
| Precio del examen | Consultar la web oficial de ISACA (varía según membresía) |
Los cuatro dominios del CRISC actualizados en 2025
El examen CRISC se organiza en cuatro dominios. La estructura actual de dominios procede de la revisión de 2021 (que sustituyó a los antiguos «Identificación de riesgos», «Evaluación», «Respuesta y mitigación» y «Monitoreo»), y su última actualización de pesos entró en vigor el 3 de noviembre de 2025. Estos son los dominios y pesos vigentes en 2026:
Dominio 1 — Gobierno corporativo de TI (26 %)
Abarca el marco de gobierno bajo el cual se gestiona el riesgo de TI en la organización. Incluye la alineación del riesgo con los objetivos de negocio, el establecimiento de estructuras de responsabilidad, el cumplimiento normativo y la cultura de riesgos. El profesional CRISC debe entender cómo las decisiones de gobernanza afectan al perfil de riesgo tecnológico de la empresa.
Dominio 2 — Evaluación del riesgo (22 %)
Cubre la identificación de activos de información, amenazas y vulnerabilidades, así como la valoración del impacto y la probabilidad de los riesgos. Incluye metodologías de análisis tanto cualitativas como cuantitativas y la elaboración de escenarios de riesgo para apoyar la toma de decisiones directivas.
Dominio 3 — Respuesta al riesgo e informes (32 %)
Es el dominio de mayor peso en el examen actualizado. Evalúa la capacidad para seleccionar y diseñar respuestas al riesgo (aceptar, mitigar, transferir, evitar), implementar controles, gestionar excepciones y comunicar el estado del riesgo a la dirección mediante indicadores clave de riesgo (KRI) e informes ejecutivos. También abarca la gestión de proveedores y terceros desde una perspectiva de riesgo.
Dominio 4 — Tecnología y seguridad (20 %)
Nuevo dominio introducido en la actualización de 2025. Cubre los fundamentos tecnológicos que un gestor de riesgos debe conocer: seguridad en la nube, arquitecturas emergentes, gestión de vulnerabilidades, criptografía, seguridad en redes y el impacto de las tecnologías disruptivas (inteligencia artificial, IoT) en el perfil de riesgo de la organización.
Requisitos de experiencia para certificarse
Para obtener el CRISC es necesario acreditar experiencia profesional real, no basta con aprobar el examen. Los requisitos según ISACA en 2026 son:
- Mínimo 3 años de experiencia en gestión de riesgos y control de sistemas de información dentro de las áreas de práctica del CRISC.
- La experiencia debe cubrir al menos 2 de los 4 dominios del examen.
- La experiencia debe haberse adquirido en los 10 años anteriores a la fecha de solicitud de certificación.
A diferencia del CISM, el CRISC no impone un mínimo de años en roles de gestión, lo que lo hace accesible a analistas de riesgos y auditores con responsabilidades operativas pero sin cargo directivo formal.
Perfiles profesionales que encajan con el CRISC
El CRISC está diseñado para quienes trabajan en la intersección entre TI y gestión del riesgo. Los perfiles que más lo demandan son:
- Analistas y gestores de riesgos de TI responsables de evaluar y tratar los riesgos tecnológicos.
- Auditores internos y externos de TI que revisan controles y emiten opinión sobre el perfil de riesgo.
- Responsables de cumplimiento en sectores regulados (banca, seguros, utilities, salud).
- Gerentes y directores de TI con responsabilidades en gobierno de riesgos tecnológicos.
- Profesionales que ya tienen CISA o CISM y quieren profundizar en el ámbito de la gestión de riesgos.
Preparación para el examen CRISC
ISACA ofrece los siguientes recursos oficiales de preparación:
- CRISC Review Manual: el manual oficial de estudio, actualizado para reflejar los nuevos dominios de 2025.
- Banco de preguntas de práctica: preguntas de muestra con explicaciones de por qué cada respuesta es correcta o incorrecta.
- Cursos de revisión en línea y presenciales organizados por capítulos locales de ISACA y socios formativos autorizados.
- Webinars y bootcamps de preparación intensiva.
Utiliza materiales de preparación actualizados: la revisión de pesos de noviembre de 2025 ajustó la distribución del examen, y los materiales muy antiguos (anteriores a 2021) aún pueden listar los dominios desfasados (Identificación de riesgos, Evaluación, Respuesta y mitigación, Monitoreo), que ya no coinciden con el examen actual.
La mayoría de candidatos con experiencia previa en gestión de riesgos invierte entre 100 y 150 horas de estudio. Consulta también nuestra sección de cursos y certificaciones para ver opciones de preparación disponibles en español.
Profundidad en los dominios actualizados del CRISC
Entender qué evalúa realmente el examen CRISC en cada dominio ayuda a orientar el estudio y a comprender por qué esta certificación resulta valiosa en la práctica profesional. Al igual que el CISM, el CRISC no hace preguntas de memoria técnica: plantea escenarios donde el candidato debe demostrar juicio como gestor de riesgos.
Gobierno corporativo de TI (26 %): el nuevo enfoque estratégico
La incorporación de este dominio en la actualización de 2025 refleja la madurez del mercado: los gestores de riesgos de TI ya no trabajan en silos técnicos, sino integrados en las estructuras de gobierno corporativo. Las preguntas evalúan cómo alinear el apetito de riesgo de TI con el del negocio, cómo estructurar los comités de riesgo tecnológico, cómo articular la función de gestión de riesgos de TI dentro del marco de gobierno general de la organización (COBIT, ISO 31000), y cómo reportar al consejo de administración sobre el estado del riesgo tecnológico de forma comprensible y accionable.
Evaluación del riesgo (22 %): metodología y escenarios
Este dominio pone a prueba la capacidad para identificar activos críticos, catalogar amenazas y vulnerabilidades relevantes y cuantificar la exposición al riesgo mediante metodologías reconocidas. El candidato debe manejar tanto el análisis cualitativo (matrices de riesgo, escalas de impacto/probabilidad) como el cuantitativo (Análisis de Impacto sobre el Negocio, Valor en Riesgo, pérdida esperada anualizada). Incluye también la construcción de escenarios de riesgo que sirvan de base para la toma de decisiones directivas.
Respuesta al riesgo e informes (32 %): el dominio más pesado
Con un tercio del examen, este dominio refleja que la parte más crítica del trabajo de un gestor de riesgos no es identificar el riesgo, sino actuar sobre él de forma eficiente y comunicarlo correctamente. Cubre el diseño de controles (preventivos, detectivos, correctivos), la gestión de excepciones al riesgo, la elaboración de indicadores clave de riesgo (KRI) y los cuadros de mando de riesgo para la dirección. También incluye la gestión de riesgos en terceros y proveedores, área de gran relevancia bajo marcos como DORA o el nuevo ENS en España.
Tecnología y seguridad (20 %): el contexto técnico del gestor de riesgos
Nuevo en la actualización de 2025, este dominio reconoce que los gestores de riesgos de TI deben comprender el paisaje tecnológico actual para evaluar adecuadamente los riesgos emergentes. Cubre seguridad en la nube (modelos de responsabilidad compartida, configuración segura, gestión de identidades en entornos cloud), arquitecturas de redes modernas, gestión de vulnerabilidades y parches, criptografía aplicada, y el impacto del uso de inteligencia artificial y del Internet de las Cosas (IoT) en el perfil de riesgo organizacional. No se espera que el candidato sea un técnico: se espera que comprenda estos conceptos lo suficiente para evaluar los riesgos que generan.
La estructura actual del CRISC y su impacto en el estudio
La orientación del CRISC hacia un rol más estratégico e integrado con el gobierno corporativo —consolidada en la revisión de 2021 y con los pesos ajustados en noviembre de 2025— tiene implicaciones prácticas para quien se prepara ahora:
- Evita materiales muy antiguos. Los dominios anteriores a 2021 (Identificación, Evaluación, Respuesta y mitigación, Monitoreo) ya no coinciden con la estructura del examen. Usa material que refleje los dominios vigentes (Gobierno corporativo de TI, Evaluación del riesgo, Respuesta al riesgo e informes, Tecnología y seguridad) y los pesos revisados en noviembre de 2025.
- El Review Manual actualizado de ISACA es la referencia principal. Solo los materiales publicados a partir de noviembre de 2025 reflejan el nuevo Job Practice.
- El foco en gobierno corporativo exige conocer frameworks como COBIT e ISO 31000. No a nivel de implementador, sino de usuario estratégico que los aplica para estructurar la función de riesgos de TI.
- El dominio de Respuesta al riesgo e informes merece dedicación especial. Con el 32 % del examen, es el área donde más puntos se pueden ganar o perder.
CRISC frente a CISM y CISA: diferencias clave
Las tres son certificaciones ISACA orientadas a la gestión, pero tienen focos diferentes:
- CRISC: especialización en riesgo de TI y controles. Ideal para analistas de riesgos, auditores y responsables de cumplimiento. Exige 3 años de experiencia en 2 dominios.
- CISM: gestión global del programa de seguridad de la información y gobierno. Apunta al rol de CISO. Exige 5 años con 3 en gestión.
- CISA: auditoría de sistemas de información. El estándar para auditores internos de TI. Exige 5 años de experiencia en auditoría o control de SI.
El CRISC y la CISA se complementan bien para perfiles de auditoría y cumplimiento. El CRISC y el CISM son la combinación habitual en directores de seguridad que quieren acreditar tanto el gobierno como la gestión del riesgo. Puedes explorar más sobre el perfil de liderazgo en ciberseguridad en nuestra sección de liderazgo en ciberseguridad.
Renovación y mantenimiento del CRISC
La certificación CRISC tiene una vigencia de 3 años y requiere:
- Mínimo 20 CPE anuales de formación continua reconocida por ISACA.
- Un total de 120 CPE a lo largo del ciclo de 3 años.
- Pago de la cuota anual de mantenimiento: 45 USD para miembros de ISACA y 85 USD para no miembros.
- Cumplimiento del Código de Ética Profesional de ISACA.
Para precios de examen, fechas y recursos de preparación actualizados, consulta la ficha oficial del CRISC en ISACA.
Preguntas frecuentes
¿Han cambiado los dominios del CRISC recientemente?
La estructura de cuatro dominios vigente (Gobierno corporativo de TI, Evaluación del riesgo, Respuesta al riesgo e informes, y Tecnología y seguridad) procede de la revisión de 2021, que sustituyó a los dominios antiguos (Identificación de riesgos, Evaluación, Respuesta y mitigación, Monitoreo y reporte). La actualización más reciente, en vigor desde el 3 de noviembre de 2025, ajustó los pesos de los dominios. Usa siempre material de estudio que refleje la estructura y los pesos actuales.
¿Puedo presentarme al CRISC sin tener experiencia previa en gestión de riesgos?
Puedes realizar el examen sin tener la experiencia requerida, pero no podrás obtener la certificación hasta acreditarla. Tienes hasta 5 años desde que apruebas el examen para enviar la solicitud con la experiencia necesaria (3 años en al menos 2 dominios). Si transcurre ese plazo sin acreditarla, perderás el resultado del examen.
¿Cuánto tiempo se tarda en prepararse para el CRISC?
El tiempo varía según la experiencia previa. Candidatos con experiencia sólida en gestión de riesgos o auditoría de TI suelen necesitar entre 100 y 150 horas de estudio. Quienes vienen de un perfil más técnico o con menos contacto con marcos de gobierno pueden necesitar más tiempo para asimilar los conceptos de los dominios 1 y 3.
¿El CRISC es reconocido en España y la Unión Europea?
Sí. El CRISC es reconocido globalmente y tiene especial peso en sectores regulados europeos como banca, seguros y energía, donde los marcos de gestión de riesgos de TI son obligatorios por normativa (DORA, NIS2, Solvencia II). En España, aparece como mérito habitual en ofertas de responsable de riesgos tecnológicos y auditor interno de TI tanto en empresa privada como en organismos supervisores.
¿El CRISC sirve para prepararse para el CISM o son independientes?
Son certificaciones independientes que se pueden obtener en cualquier orden. Sin embargo, muchos profesionales obtienen primero el CRISC (menor exigencia de experiencia: 3 años frente a 5) y posteriormente el CISM, ya que la experiencia en gestión de riesgos del CRISC contribuye a los requisitos del CISM. Combinar ambas certificaciones refuerza mucho el perfil para roles de dirección en seguridad de la información.
