Certified Information Security Manager (CISM)

O Certified Information Security Manager (CISM) é a certificação de gestão de segurança da informação da ISACA (Information Systems Audit and Control Association), emitida desde 2002. Com cerca de 3 mil buscas mensais no Brasil em 2026, é amplamente exigida em vagas de Information Security Manager, Cyber Risk Manager, Security Director e CISO em multinacionais e em consultorias top tier.

Diferente do CISSP (que cobre 8 domínios técnicos amplos), o CISM tem foco específico em quatro áreas de gestão: Information Security Governance, Information Risk Management, Information Security Program e Information Security Incident Management. É a credencial certa para quem quer ser CISO ou se posicionar em vagas gerenciais de segurança.

É a certificação certa para Information Security Managers experientes, profissionais buscando promoção a CISO, Cyber Risk Managers, Security Consultants em consultorias top tier, e profissionais com CISSP buscando complemento gerencial.

O que cai na prova

• Information Security Governance (17%)
• Information Security Risk Management (20%)
• Information Security Program (33%)
• Incident Management (30%)

A prova tem 150 questões em 240 minutos (4 horas), com necessidade de 450 pontos em escala de 200-800. Estilo predominante é cenário corporativo: questões longas descrevendo situação organizacional ambígua e pedindo a melhor decisão de gestão.

Como o CISSP, o CISM prefere respostas "de gestor" sobre respostas "de técnico". Mas vai além: várias questões pedem perspectiva de board ou C-level, não apenas de manager. Quem responde com mentalidade de security analyst reprova.

Pré-requisitos e perfil ideal

O CISM exige 5 anos de experiência em gestão de segurança da informação, dos quais 3 devem ser em pelo menos 3 das 4 áreas-domínio do CISM. A experiência precisa ser ganha nos últimos 10 anos, ou nos 5 anos seguintes à aprovação na prova.

Há substituições aceitas: até 2 anos podem ser substituídos por outras credenciais (CISA, CISSP, MBA, mestrado em segurança da informação, certificações específicas como GIAC GSE) ou por ensino em segurança da informação.

Quem passa na prova mas ainda não tem os 5 anos pode tornar-se "CISM Aspirant" por até 5 anos enquanto acumula experiência.

Perfil ideal: Information Security Managers com 5-10 anos de experiência, profissionais aspirantes a CISO, Cyber Risk Managers em multinacionais, consultores sêniores de segurança em Big 4.

Quanto custa no Brasil

USD 575 para membros ISACA ou USD 760 para não membros. Anuidade ISACA é USD 135. Ao câmbio de mai/2026, o exame fica entre R$ 3.105 (membro) e R$ 4.104 (não membro). Para manter a certificação ativa, pagamento anual de USD 45 + cumprimento de 120 CPEs (Continuing Professional Education) a cada 3 anos.

Cursos preparatórios oficiais ISACA custam entre USD 1.500 e USD 3.500. Alternativas mais baratas: livro CISM Review Manual (oficial ISACA, ~USD 100), curso de Hemang Doshi (Udemy), curso de Cybrary.

Como estudar

Plano:

• CISM Review Manual (oficial ISACA): Material primário, cerca de 350 páginas. Leitura completa essencial.
• CISM Review Questions, Answers and Explanations Manual (oficial ISACA): Banco oficial com 1.000+ questões.
• Curso de Hemang Doshi (Udemy): O curso de Hemang Doshi é referência absoluta. Mais de 60 mil alunos.
• Simulados: ISACA Database de questões (acesso por assinatura), Boson ExSim CISM, Pocket Prep. Mira 80%+ consistente.
• Networking com CISMs ativos: ISACA Brazil Chapter tem grupos de estudo e mentoria. Conversar com CISMs experientes ajuda a calibrar mentalidade de gestor.

Tempo total: 4 a 7 meses com 8-12 horas semanais. Profissionais já em cargos gerenciais de segurança levam 4-5 meses. Em transição de carreira técnica para gestão, 6-9 meses.

Salário e impacto na carreira

Information Security Managers com CISM no Brasil ganham entre R$ 20 mil e R$ 38 mil pleno em 2026, segundo Robert Half. Para Cyber Risk Managers e Security Directors em multinacionais, a faixa sobe para R$ 28-50 mil. CISOs em grandes empresas brasileiras podem chegar a R$ 50-100 mil + variável.

O CISM tem retorno salarial similar ao CISSP, mas em vagas gerenciais. Em consultorias Big 4, é tipicamente exigência para promoção a Senior Manager ou Director em práticas de cyber risk advisory.

Outros cursos do estude.org sobre segurança

• Segurança de Sistemas Computacionais (MIT)
• Cursos de Administração no estude.org
• Cursos de Economia no estude.org
• Certificação complementar: CISSP
• Certificação complementar para gestão: PMP

Próximo passo após esta certificação

Para CISOs aspirantes, o próximo degrau é tipicamente combinação de credenciais executivas: CISM + CISSP + MBA executivo (FGV, INSPER, Wharton, Stanford). Para audit profissional, CISA (Certified Information Systems Auditor). Para risco corporativo, CRISC (Certified in Risk and Information Systems Control). Para governança, CGEIT (Certified in the Governance of Enterprise IT).

CISM ou CISSP, qual escolher?

• CISSP: cobertura técnica ampla (8 domínios), foco em arquitetura, redes, criptografia e operações. Para Security Architects e profissionais técnicos sêniores.
• CISM: foco específico em gestão (governança, risco, programa, incidentes). Para Information Security Managers e CISOs aspirantes.
• Combinação ideal: para CISOs e Security Directors, CISSP + CISM cobre tanto fundamento técnico quanto perspectiva gerencial. É a combinação mais comum em vagas executivas top tier no Brasil.

Onde o CISM é exigido no Brasil

O CISM é tipicamente exigência em vagas gerenciais de segurança. Empresas que valorizam nominalmente em 2026: Itaú (Information Security Management), Bradesco, Santander, Banco do Brasil, Caixa Tech, Vale (Cyber Risk), Petrobras (TI Corporativa), Embraer, Volvo, IBM Brasil, Microsoft Brasil. Em consultorias Big 4 (Deloitte Cyber, EY Advisory, KPMG Cyber, PwC Cybersecurity), é tipicamente exigência para Senior Manager e Director.

Cargos típicos: Information Security Manager (R$ 20-38k), Cyber Risk Manager (R$ 22-40k), Security Program Manager (R$ 22-38k), Senior Security Consultant (R$ 18-32k), CISO (R$ 30-80k + variável).

Erros comuns que reprovam candidatos no CISM

• Responder como técnico: CISM exige perspectiva de board e gerente. Mesmo quando a opção técnica parece certa, escolha a que reflete governança, política ou risco organizacional.
• Subestimar gestão de risco: 20% da prova é risk management profundo. Quantitative risk analysis, qualitative risk analysis, BIA, e DR são temas constantes.
• Ignorar gestão de incidentes: 30% da prova é incident management. Quem trata como secundário sofre.
• Confundir CISA com CISM: CISA é audit, CISM é gestão. Perguntas de audit caem ocasionalmente no CISM, mas a perspectiva é diferente.
• Não estudar frameworks: NIST CSF, ISO 27001/27005, COBIT, GDPR, LGPD, SOX caem em cenários específicos.

Calendário sugerido de estudo (6 meses)

• Mês 1: CISM Review Manual (Domain 1 - Governance). Curso Hemang Doshi correspondente.
• Mês 2: Domain 2 (Risk Management). Pratique cálculos quantitativos (ALE, ARO, SLE, ROSI).
• Mês 3: Domain 3 (Program). Frameworks NIST CSF, ISO 27001/27002.
• Mês 4: Domain 4 (Incident Management). NIST SP 800-61 (Computer Security Incident Handling Guide).
• Mês 5: Primeiros 4 simulados ISACA Database. Revisão de áreas fracas.
• Mês 6: Mais 4 simulados Boson ExSim. Revisão final e agendamento.

Comunidades brasileiras para estudo

• ISACA São Paulo Chapter: chapter brasileiro com eventos mensais, grupos de estudo CISM/CISA e mentoria.
• ISACA Rio de Janeiro Chapter: chapter ativo no RJ.
• CISOhub Brasil: comunidade de CISOs e Information Security Managers brasileiros.
• Grupo de Telegram CISM Brasil: ativo para troca de materiais e simulados.
• Canais YouTube em português: Bruno Salgado, Daniel Donda, ISACA Brasil oficial.

Para acompanhar novas certificações cobertas e cursos preparatórios gratuitos, inscreva-se no canal do estude.org no YouTube.

Perguntas frequentes