🛡️ Guía independiente de formación en ciberseguridad · Certificaciones, itinerarios y cursos
InicioGuías

CISSP vs CISM: ¿cuál elegir? (2026)

19 de junio de 2026 Guías
CISSP vs CISM: ¿cuál elegir? (2026)

Si estás planteándote dar el salto a la seguridad de la información a nivel directivo, tarde o temprano te tropiezas con las dos certificaciones más reconocidas del sector: CISSP (Certified Information Systems Security Professional) y CISM (Certified Information Security Manager). Ambas abren puertas, ambas exigen años de experiencia, y ambas aparecen una y otra vez en las ofertas de empleo para perfiles senior. Pero no son intercambiables. Esta comparativa te ayudará a entender exactamente qué certifica cada una, a qué perfil apunta y cuál encaja mejor con tu trayectoria.

CISSP vs CISM: resumen rápido

Antes de entrar en detalle, aquí tienes la diferencia clave en una frase: CISSP te convierte en un experto técnico-gerencial de 360 grados, capaz de diseñar y gestionar programas de seguridad desde sus cimientos; CISM te posiciona como gestor de la función de seguridad, con foco en estrategia, gobierno del riesgo y alineación con el negocio. Son complementarias, pero tienen pesos distintos según el rol al que aspires.

Tabla comparativa CISSP vs CISM

Criterio CISSP CISM
Organismo emisor ISC2 (International Information System Security Certification Consortium) ISACA (Information Systems Audit and Control Association)
Año de creación 1994 2002
Formato del examen CAT (Computerized Adaptive Testing) Lineal (preguntas fijas)
Número de preguntas 125–175 (máximo 150 ítems, de los cuales 25 son de prueba no puntuados) 150 preguntas
Duración 3 horas 4 horas
Precio del examen 749 USD 575 USD (miembro ISACA) / 760 USD (no miembro)
Experiencia requerida 5 años en 2 o más dominios CISSP (acumulados, a tiempo completo) 5 años en seguridad de la información (mínimo 3 en gestión)
Número de dominios 8 dominios 4 dominios
Enfoque Técnico-gerencial amplio (diseño, arquitectura, operaciones, derecho…) Gestión estratégica de la seguridad, gobierno y riesgo
Mantenimiento 120 CPE en 3 años + AMF anual de 135 USD 120 CPE en 3 años + cuota anual 45 USD (miembro) / 85 USD (no miembro)
Reconocimiento Muy alto; estándar de facto para CISO y roles senior en todo el mundo Muy alto en entornos corporativos grandes y auditoría
Salario medio EE.UU. ~142.000–165.000 USD/año (Glassdoor 2025) ~150.000–201.000 USD/año (Glassdoor 2025)

Quién está detrás de cada certificación

ISC2 y la CISSP

ISC2 (International Information System Security Certification Consortium) es una organización sin ánimo de lucro fundada en 1989 y con sede en Washington D.C. Es la entidad de certificación de seguridad de la información más grande del mundo por número de miembros. La CISSP, su insignia, fue creada en 1994 y está acreditada bajo el estándar ANSI/ISO/IEC 17024, lo que le otorga validez en contrataciones públicas y privadas a nivel internacional. Hoy cuenta con más de 160.000 profesionales certificados en más de 170 países.

ISACA y la CISM

ISACA (Information Systems Audit and Control Association) lleva desde 1967 en el sector y es la entidad detrás de certificaciones tan conocidas como CISA, CRISC y COBIT. La CISM, lanzada en 2002, está también acreditada bajo ISO/IEC 17024. ISACA tiene más de 170.000 miembros en 188 países y sus certificaciones son especialmente valoradas en auditoría, gobierno de TI y gestión del riesgo empresarial. Si ya conoces nuestro análisis de la CISM de ISACA, sabrás que el foco de ISACA siempre ha sido la alineación de la seguridad con el negocio.

Los dominios: qué cubre cada examen

Los 8 dominios del CISSP

El examen CISSP evalúa el conocimiento en ocho dominios definidos en el Common Body of Knowledge (CBK). Los pesos actuales, vigentes desde el 15 de abril de 2024, son:

  • Dominio 1 – Seguridad y gestión del riesgo: 16% — el de mayor peso. Abarca gobernanza, conformidad, ética, gestión del riesgo y continuidad de negocio.
  • Dominio 2 – Seguridad de activos: 10% — clasificación de la información, propiedad, privacidad y manejo seguro de datos.
  • Dominio 3 – Arquitectura e ingeniería de seguridad: 13% — diseño de sistemas seguros, criptografía, modelos de seguridad.
  • Dominio 4 – Seguridad en comunicaciones y redes: 13% — arquitecturas de red, protocolos, seguridad perimetral.
  • Dominio 5 – Gestión de identidades y accesos (IAM): 13% — autenticación, autorización, gestión de accesos privilegiados.
  • Dominio 6 – Evaluación y pruebas de seguridad: 12% — auditorías, pruebas de penetración, análisis de vulnerabilidades.
  • Dominio 7 – Operaciones de seguridad: 13% — gestión de incidentes, análisis forense, continuidad operacional.
  • Dominio 8 – Seguridad en el desarrollo de software: 10% — SDLC seguro, análisis de código, DevSecOps.

La amplitud es notable: un candidato CISSP necesita entender desde cómo funciona la criptografía de curva elíptica hasta cómo redactar una política de clasificación de datos o diseñar controles de acceso para aplicaciones en la nube. Esta amplitud es precisamente su principal valor —y su principal reto.

Los 4 dominios del CISM (vigentes hasta noviembre 2026)

El CISM es intencionalmente más estrecho pero más profundo en su área. Los cuatro dominios actuales son:

  • Dominio 1 – Gobierno de la seguridad de la información: estrategia de seguridad, marcos de gobernanza, alineación con objetivos de negocio y cumplimiento regulatorio.
  • Dominio 2 – Gestión del riesgo de la información: identificación, evaluación y tratamiento de riesgos; metodologías de análisis; tolerancia al riesgo del negocio.
  • Dominio 3 – Desarrollo y gestión del programa de seguridad de la información: diseño e implementación del programa, gestión de controles, recursos, métricas y reporting.
  • Dominio 4 – Gestión de incidentes: preparación, detección, respuesta y recuperación ante incidentes de seguridad.

Nota: ISACA tiene prevista una actualización del temario CISM efectiva a partir del 3 de noviembre de 2026, que añadirá mayor énfasis en estrategia de seguridad y arquitectura de la información. Si tu examen es posterior a esa fecha, consulta el Exam Content Outline oficial de ISACA.

Requisitos de experiencia

CISSP: cinco años, dos dominios

Para obtener la CISSP necesitas acreditar al menos cinco años de experiencia profesional acumulada y a tiempo completo en dos o más de los ocho dominios del CBK actual. No valen los años de estudio ni las prácticas no remuneradas.

Existe una vía alternativa para quienes tienen cuatro años de experiencia: acreditar un título universitario de cuatro años (o un equivalente aprobado por ISC2) permite reducir un año del requisito. También puedes aprobar el examen antes de cumplir la experiencia: te conviertes en Associate of ISC2 y tienes seis años para completar los cinco años de experiencia requeridos.

CISM: cinco años, gestión

El CISM exige cinco años de experiencia en seguridad de la información, de los cuales al menos tres deben ser específicamente en gestión de la seguridad de la información dentro de las áreas del temario CISM. Esta experiencia debe haberse obtenido en los diez años anteriores a la solicitud de certificación. ISACA permite sustituir hasta dos años del requisito mediante ciertos títulos o certificaciones complementarias aprobadas. Al igual que el CISSP, puedes aprobar el examen antes de tener la experiencia y completarla después.

Formato del examen: CAT vs. lineal

CISSP: examen adaptativo (CAT)

Desde abril de 2024, el CISSP se administra en todos los idiomas exclusivamente en formato CAT (Computerized Adaptive Testing). El sistema ajusta la dificultad de cada pregunta en función de tus respuestas anteriores: si aciertas, la siguiente pregunta es más difícil; si fallas, es más fácil. El examen termina cuando el sistema tiene suficiente confianza estadística para determinar si superas el umbral de competencia, o cuando alcanzas el límite máximo.

  • Preguntas mínimas: 125 (con 25 preguntas de prueba no puntuadas)
  • Preguntas máximas: 175
  • Duración máxima: 3 horas
  • Puedes terminar antes de llegar a las 175 preguntas si el sistema determina tu resultado con confianza

Este formato puede resultar desconcertante: es posible que salgas con 125 preguntas y hayas aprobado, o con 175 y hayas reprobado. No hay forma de saber el resultado mientras haces el examen.

CISM: examen lineal clásico

El CISM sigue el formato tradicional: 150 preguntas fijas con 4 horas para responderlas. Todas las preguntas son de opción múltiple con cuatro respuestas posibles. El examen se administra en centros PSI autorizados o en modalidad remota con supervisor en línea.

La puntuación de corte es de 450 sobre 800 (en la escala ISACA, no es un porcentaje directo). Las preguntas buscan evaluar juicio, no memorización: suelen presentar escenarios y pedir la respuesta «más correcta» desde la perspectiva de un gestor de seguridad.

Precio y coste total

Coste de la CISSP

El precio del examen CISSP es de 749 USD globalmente, independientemente de si eres miembro de ISC2 o no. A eso hay que sumar:

  • AMF anual: 135 USD/año una vez certificado (se paga desde el primer año para activar la membresía)
  • Material de estudio: variable; el libro oficial de ISC2 ronda los 60–80 USD; cursos de preparación online entre 200 y 800 USD
  • Costes de renovación: 120 CPE cada 3 años + AMF

Coste del CISM

El CISM tiene precio diferenciado por membresía:

  • Miembros ISACA: 575 USD
  • No miembros: 760 USD
  • Cuota de membresía ISACA: ~145 USD/año — compensa si vas a hacer el examen
  • Cuota de mantenimiento anual: 45 USD (miembros) / 85 USD (no miembros)
  • CPE requeridos: 120 en 3 años (mínimo 20 al año)

En términos de inversión inicial, ambas certificaciones rondan los 750–800 USD de examen. La CISM es más barata si te haces miembro de ISACA (575 USD vs 749 USD CISSP). A largo plazo, el mantenimiento anual del CISSP es algo más caro (135 USD AMF) que el de la CISM para miembros (45 USD).

Reconocimiento de mercado y salarios

Ambas certificaciones tienen un reconocimiento altísimo a nivel global y aparecen frecuentemente en ofertas de trabajo para CISO, Security Manager, Information Security Officer y roles similares. Sin embargo, su peso varía según el contexto:

  • El CISSP es prácticamente obligatorio en procesos de contratación de defensa, gobierno y contratistas federales en EE.UU. (cumple el estándar DoD 8570). También es la referencia más citada en job descriptions de CISO y arquitecto de seguridad.
  • El CISM es especialmente valorado en entornos corporativos grandes, sectores regulados (banca, seguros, farmacéutica) y empresas de auditoría y consultoría alineadas con ISACA y COBIT.

En cuanto a salarios en Estados Unidos (datos de Glassdoor 2025, como referencia orientativa para el mercado anglófono):

  • Profesionales con CISSP: media de 142.000–165.000 USD/año según el rol; el rango habitual va de ~121.000 a ~225.000 USD.
  • Profesionales con CISM: media de ~150.000–201.000 USD/año en roles de gestión; el rango percentil 25–75 está entre ~158.750 y ~258.820 USD.

Los salarios más altos para CISM reflejan que la certificación está más concentrada en puestos directivos donde la masa salarial es mayor, mientras que el CISSP cubre también perfiles más técnicos (con salarios generalmente más bajos que los puramente directivos). En España y Latinoamérica los valores absolutos son diferentes, pero la jerarquía relativa entre ambas certificaciones se mantiene.

Para un contexto más amplio de qué certificaciones tienen más valor en el mercado, consulta nuestro mapa de certificaciones de seguridad.

Perfil ideal: ¿a quién va dirigida cada una?

El perfil CISSP

La CISSP fue diseñada para profesionales de seguridad con experiencia amplia que quieren validar un conocimiento holístico de la disciplina. El candidato típico:

  • Ha trabajado en roles técnicos durante varios años (administración de sistemas, redes, pentesting, arquitectura) y quiere dar el salto a posiciones de mayor responsabilidad.
  • Aspira a convertirse en CISO, arquitecto de seguridad o director de seguridad en organizaciones medianas o grandes.
  • Trabaja o quiere trabajar en entornos que exigen certificaciones reconocidas a nivel gubernamental o de defensa.
  • Quiere una certificación que valide tanto la profundidad técnica como la capacidad de gestión.

El perfil CISM

La CISM está diseñada para quien ya gestiona —o quiere gestionar— la función de seguridad de la información en una organización. El candidato típico:

  • Tiene experiencia en gestión de riesgos, gobierno de TI o auditoría de sistemas.
  • Trabaja en o aspira a roles como Information Security Manager, Risk Manager, Security Director o consultor de seguridad para grandes empresas.
  • Opera en entornos donde ISACA, COBIT o ISO 27001 son marcos de referencia habituales.
  • Prefiere un examen centrado en escenarios de gestión y toma de decisiones estratégicas, sin necesidad de profundidad técnica en todas las áreas.

Si además te interesa el campo del riesgo y el control de sistemas de información, puede complementar muy bien con la CRISC de ISACA, otra certificación del ecosistema ISACA orientada a riesgos empresariales.

Elige CISSP si…

  • Tu experiencia es predominantemente técnica y quieres validar ese amplio espectro de conocimientos.
  • Aspiras a ser CISO o arquitecto de seguridad y quieres la credencial con más reconocimiento global para ese rol.
  • Trabajas o quieres trabajar en el sector público, defensa o contratos gubernamentales en EE.UU.
  • Quieres una certificación que abra puertas tanto en roles técnicos senior como en posiciones de liderazgo.
  • Puedes asumir el mayor esfuerzo de estudio que implica dominar ocho áreas de conocimiento.

Elige CISM si…

  • Ya llevas años gestionando equipos o programas de seguridad y quieres validar esa dimensión directiva.
  • Tu entorno es corporativo grande, sector financiero, asegurador o farmacéutico, donde ISACA tiene mucho peso.
  • Tienes base en gestión del riesgo, auditoría o cumplimiento y el enfoque técnico del CISSP no refleja bien tu perfil.
  • Quieres una certificación más enfocada en gobierno y estrategia, con un temario más acotado.
  • Piensas complementarla con CRISC o CISA para construir un perfil ISACA sólido.

¿Se pueden tener las dos?

Sí, y muchos directivos de seguridad tienen ambas. La combinación CISSP + CISM es especialmente potente para quien quiere asumir el rol de CISO en una gran empresa y necesita demostrar tanto la base técnica como la capacidad de gestión estratégica. El solape de contenidos existe (ambas cubren gestión del riesgo e incidentes), pero el enfoque es suficientemente diferente para que las dos aporten valor. Dicho esto, hacerlas en paralelo es exigente: la mayoría de profesionales espacia las dos certificaciones al menos un par de años.

Para decidir por dónde empezar, explora las distintas rutas en nuestra sección de cursos y certificaciones, donde encontrarás más recursos ordenados por especialidad.

Veredicto: ¿cuál es mejor?

No hay una respuesta universal, pero sí una guía clara:

  • CISSP es mejor si buscas el mayor reconocimiento internacional posible para un rol de CISO o arquitecto de seguridad, especialmente si tienes o quieres tener base técnica sólida. Es la certificación que más abre puertas en el mercado anglosajón y en entornos que valoran el estándar DoD/ISO.
  • CISM es mejor si ya estás en un rol de gestión de la seguridad o riesgo, tu entorno valora el ecosistema ISACA, o simplemente prefieres una certificación con un temario más acotado que la CAT de ISC2.

En la práctica, el mercado trata ambas como señales de alto nivel. Lo que más diferencia los candidatos con estas certificaciones no es cuál tienen, sino la experiencia real que demuestran detrás.

Preguntas frecuentes (FAQ)

¿Es más difícil el CISSP que el CISM?

En general, sí. El CISSP cubre ocho dominios muy dispares, exige entender tanto conceptos técnicos como de gestión, y su formato CAT es impredecible. El CISM está más centrado y sus preguntas se orientan a escenarios de gestión, lo que muchos candidatos encuentran más accesible si vienen del lado directivo. Aun así, ambos tienen tasas de suspenso altas en el primer intento.

¿Se puede hacer el examen en español?

El CISSP se ofrece en varios idiomas, incluido el español, en formato CAT. El CISM también está disponible en español en los centros de examen PSI. Consulta la disponibilidad concreta en la web de ISC2 o ISACA al momento de registrarte.

¿Cuánto tiempo se tarda en preparar el CISSP?

La preparación media para el CISSP es de tres a seis meses estudiando varias horas a la semana, dependiendo de la experiencia previa. Para el CISM, la mayoría de candidatos reportan dos a cuatro meses de preparación. Ambas certificaciones requieren acceso a material oficial (libros de review, practice questions) y, preferiblemente, a cursos de preparación específicos.

¿El CISSP sirve para el DoD 8570 / 8140?

Sí. El CISSP está aprobado para los niveles de Gestión de Seguridad de la Información (IAM) III y Management (IAT) III bajo el marco DoD 8570/8140 de EE.UU. El CISM también está incluido en este marco para el nivel IAM II y III. Si trabajas o aspiras a trabajar para el gobierno federal estadounidense o sus contratistas, ambas son válidas, aunque el CISSP tiene mayor penetración histórica.

¿Qué pasa si apruebo el examen pero no tengo la experiencia?

Tanto ISC2 como ISACA permiten aprobar el examen antes de acreditar la experiencia. En ISC2 te conviertes en Associate of ISC2 y tienes seis años para completar los cinco años de experiencia. En ISACA puedes aprobar y luego enviar la documentación de experiencia cuando la tengas. En ambos casos, hasta que no se valida la experiencia no se emite el certificado oficial.

¿Existe alguna alternativa más accesible antes de llegar a CISSP o CISM?

Si estás empezando tu carrera en ciberseguridad, lo más habitual es comenzar con certificaciones de nivel de entrada o intermedio (CompTIA Security+, eJPT, CEH) y acumular experiencia antes de abordar CISSP o CISM. Puedes ver una ruta completa en nuestro mapa de certificaciones y en la sección de cursos.

Reseñas relacionadas

Sigue tu camino

Cursos de ciberseguridad por especialización

Descubre los cursos que más se adaptan a tu perfil profesional.