Google Cloud Professional Cloud Security Engineer
227 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
El Google Cloud Professional Cloud Security Engineer (PCSE) valida la capacidad de diseñar e implementar infraestructura segura en Google Cloud. El examen cubre la jerarquía y las condiciones de IAM, las restricciones de las políticas de la organización, los VPC Service Controls, Cloud KMS / EKM / Confidential VM, Cloud Armor y Cloud IDS, Security Command Center Premium, BeyondCorp e Identity-Aware Proxy, Cloud DLP / Sensitive Data Protection, el registro de auditoría y el conjunto completo de marcos de cumplimiento que Google Cloud admite (HIPAA, PCI, FedRAMP, ISO, SOC). El estilo de las preguntas es muy basado en escenarios y recompensa a los candidatos que piensan en términos de defensa en profundidad — muchas preguntas presentan varias respuestas técnicamente correctas y esperan la opción más estratificada o de menor privilegio. PCSE es el análogo de GCP de AWS Security Specialty y Azure AZ-500.
Dominio más grande con un 25%. Cloud Identity, jerarquía de IAM (organización / carpeta / proyecto / recurso), condiciones, políticas de denegación, roles personalizados, cuentas de servicio y Workload Identity Federation, BeyondCorp Enterprise.
Cloud KMS (software, HSM, EKM), CMEK / CSEK, Confidential VM y Confidential GKE Nodes, Cloud DLP / Sensitive Data Protection, seguridad a nivel de columna / fila de BigQuery, Secret Manager. 23%.
VPC Service Controls (perímetros, reglas de entrada / salida, puentes), Cloud Armor (OWASP, geolocalización, limitación de velocidad, protección adaptativa), Cloud IDS, IAP, Private Service Connect. 22% — VPC SC es el tema más denso.
Security Command Center (niveles Standard vs. Premium vs. Enterprise), registros de auditoría de Cloud Logging (Actividad de administración, Acceso a datos, Eventos del sistema, Política denegada), Chronicle, patrones de respuesta a incidentes. 19%.
Dominio más pequeño con un 11%, pero de alta densidad. Assured Workloads, Sovereign Controls, marcos regulatorios, recopilación de pruebas, controles de residencia y región de datos.
Servicios que encontrarás en el examen y por qué cada uno importa.
Primitiva de identidad, rol y política — roles predefinidos y personalizados, IAM Conditions, políticas de denegación y herencia de jerarquía de recursos que aplican cada decisión de autorización.
Por qué está en el examen: El Dominio 1 (Configuración de Acceso) trata íntegramente sobre la mecánica de IAM — el diseño de roles de mínimo privilegio, las IAM Conditions y la evaluación de políticas en la jerarquía de organización/carpeta/proyecto son los temas más examinados.
Almacén de identidades de fuerza laboral federado a IdP externos, combinado con el acceso sensible al contexto de BeyondCorp Enterprise para el control de aplicaciones Zero Trust sin una VPN.
Por qué está en el examen: El Dominio 1 evalúa la identidad de fuerza laboral federada más el modelo BeyondCorp — las políticas de acceso sensible al contexto y las señales de confianza del dispositivo reemplazan la confianza del perímetro de red en el examen.
Perímetro de servicio alrededor de las API gestionadas de Google Cloud (BigQuery, GCS, etc.) que bloquea la exfiltración de datos incluso cuando los permisos de IAM están mal configurados.
Por qué está en el examen: El Dominio 2 (Protección de Datos) nombra a VPC Service Controls como la respuesta canónica para prevenir la exfiltración de datos y aislar proyectos sensibles de la internet pública.
Gestión jerárquica de claves — KMS respaldado por software, claves protegidas por HSM FIPS 140-2 L3 y EKM para claves en posesión del cliente fuera de Google Cloud, todo con la misma superficie de API.
Por qué está en el examen: El Dominio 2 evalúa cuándo elegir CMEK vs. CSEK vs. EKM y cómo la rotación de claves, los permisos de IAM en las claves y Cloud KMS Autokey aplican el cifrado en reposo.
Plataforma nativa de CSPM y detección de amenazas en la nube — los niveles Premium y Enterprise exponen configuraciones incorrectas, vulnerabilidades y amenazas activas en toda la organización a partir de los hallazgos de Event Threat Detection, Container Threat Detection y SHA.
Por qué está en el examen: El Dominio 4 (Operaciones de Seguridad) convierte a SCC en la respuesta para la gestión centralizada de la postura, el triaje de vulnerabilidades y la investigación de amenazas activas en toda la organización de GCP.
WAF de borde y protección DDoS delante de balanceadores de carga HTTP(S) globales — reglas OWASP preconfiguradas, reglas personalizadas, prohibiciones basadas en tasas y protección adaptativa de ML.
Por qué está en el examen: El Dominio 3 (Comunicaciones y Perímetro) evalúa Cloud Armor para la mitigación de ataques L7 y la limitación de tasas en el borde en aplicaciones expuestas a internet.
Pasarela Zero Trust de capa de aplicación que autentica y autoriza cada solicitud a aplicaciones de App Engine, Cloud Run, GKE Ingress y Compute Engine sin necesidad de una VPN.
Por qué está en el examen: El Dominio 1 cita a IAP como la respuesta canónica para reemplazar la VPN con verificaciones de identidad por solicitud; el Dominio 3 lo reutiliza para la tunelización SSH/RDP sin exponer las instancias públicamente.
Catálogo de series de tiempo de cada recurso y política de IAM en toda la organización, exportable a BigQuery para consultas ad-hoc y notificaciones de cambios basadas en feeds a través de Pub/Sub.
Por qué está en el examen: Los Dominios 4 y 5 usan Cloud Asset Inventory como evidencia de cumplimiento ("muéstrame cada bucket público el 2024-01-01") y para detectar desviaciones de las líneas base aprobadas.
Almacén de secretos gestionado con replicación automática, versionado, acceso controlado por IAM, claves de cifrado gestionadas por el cliente y ganchos de rotación a través de Cloud Functions.
Por qué está en el examen: El Dominio 2 evalúa Secret Manager como la respuesta a "dejar de subir claves API al control de código fuente" y cómo las IAM Conditions más VPC-SC aíslan el acceso a los secretos.
Descubrimiento, clasificación y desidentificación de PII — detecta más de 150 infoTypes, enmascara/tokeniza/redacta in-situ y produce perfiles de riesgo para BigQuery y Cloud Storage.
Por qué está en el examen: El Dominio 2 nombra a Sensitive Data Protection como el servicio canónico para escanear lagos de datos y BigQuery en busca de PII antes del entrenamiento de ML o el intercambio externo.
Emisión de credenciales de corta duración para cargas de trabajo externas (AWS, Azure, GitHub Actions, IdP OIDC) para que puedan llamar a las API de Google Cloud sin claves de cuenta de servicio de larga duración.
Por qué está en el examen: El Dominio 1 y el Dominio 2 evalúan Workload Identity Federation como la respuesta explícita para eliminar las claves de cuenta de servicio descargables, un anti-patrón recurrente del examen.
Confidential VMs y Confidential GKE Nodes ejecutan cargas de trabajo en hardware AMD SEV / Intel TDX para que el contenido de la memoria permanezca cifrado incluso desde el hipervisor del host.
Por qué está en el examen: El Dominio 2 cita a Confidential Computing para proteger los datos en uso — las cargas de trabajo reguladas (sanidad, finanzas) en infraestructura compartida son un escenario recurrente.
Los niveles de acceso (dispositivo, IP, geolocalización) alimentan las reglas de VPC-SC y IAP; Access Approval requiere la aprobación explícita del cliente antes de que el personal de Google acceda a sus datos para soporte.
Por qué está en el examen: El Dominio 1 usa Access Context Manager para la creación de políticas sensibles al contexto; el Dominio 5 (Cumplimiento) cita a Access Approval para industrias reguladas que requieren registros de auditoría de acceso del proveedor.
Almacenamiento privado de artefactos para imágenes de contenedor, Maven, npm, etc., con escaneo de vulnerabilidades de Container Analysis que alimenta los hallazgos a Security Command Center.
Por qué está en el examen: El Dominio 3 + el Dominio 4 evalúan el patrón de la cadena de suministro: almacenar imágenes en Artifact Registry, escanear a través de Container Analysis, controlar los despliegues a través de Binary Authorization.
Pruebas de seguridad de aplicaciones dinámicas (DAST) gestionadas que rastrean aplicaciones de App Engine, Compute Engine y GKE para detectar XSS, contenido mixto, bibliotecas desactualizadas y problemas del OWASP Top 10.
Por qué está en el examen: El Dominio 3 cita a Web Security Scanner como la respuesta nativa de GCP para encontrar vulnerabilidades de capa de aplicación sin desplegar una pila DAST separada.
Barreras de protección jerárquicas — restricciones booleanas y de lista que limitan las configuraciones de recursos (sin IPs externas, regiones permitidas, CMEK requerido, etc.) en carpetas y proyectos.
Por qué está en el examen: El Dominio 5 (Cumplimiento) nombra a Org Policy como el control preventivo que complementa a IAM al bloquear configuraciones de riesgo antes de que existan.
Streams de auditoría de Admin Activity, Data Access, System Event y Policy Denied, más el enrutamiento de Cloud Logging a BigQuery, GCS, Pub/Sub o Chronicle para retención a largo plazo.
Por qué está en el examen: El Dominio 4 + el Dominio 5 usan Audit Logs como el registro de evidencia inmutable de quién hizo qué, y el enrutamiento/receptores de logs deciden dónde reside la retención de cumplimiento.
Portal de autoservicio para descargar informes de atestación SOC, ISO, PCI DSS, FedRAMP y HIPAA, además de monitoreo continuo para cargas de trabajo FedRAMP High y elegibles para HIPAA.
Por qué está en el examen: El Dominio 5 (Cumplimiento) evalúa directamente dónde obtener las atestaciones de terceros de Google Cloud y cómo rastrear qué servicios caen bajo cada alcance.
Plataforma SIEM y SOAR nativa de la nube — ingesta Cloud Audit Logs, telemetría EDR y feeds de terceros, ejecuta reglas de detección en YARA-L y orquesta playbooks de respuesta.
Por qué está en el examen: El Dominio 4 cita a Chronicle como el destino SIEM empresarial para Cloud Audit Logs y como la fuente de detecciones de alta fidelidad que se retroalimentan en Security Command Center.
$140k–$195k–$285k USD anual
El rango refleja ingenieros de seguridad en la nube y arquitectos sénior con sede en EE. UU. donde GCP es la plataforma principal. El TC de un ingeniero de seguridad L5 de FAANG supera los $300k. La seguridad en la nube exige una prima en las tres nubes principales; los candidatos a PCSE tienden a estar ligeramente por encima de los equivalentes de AWS Security Specialty en FAANG debido al menor grupo de candidatos con habilidades en GCP.
Fuente: levels.fyi 2025–2026 (Google L5–L6 security engineers, FAANG y unicornios sénior de seguridad en la nube), U.S. BLS OEWS May 2024 (15-1212 information security analysts, 15-1241 computer network architects). Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
La demanda de PCSE ha crecido constantemente a medida que la adopción empresarial de GCP y la presión regulatoria aumentaron entre 2024 y 2026. Hay una fuerte demanda en los socios de Google Cloud con prácticas de seguridad, grandes empresas reguladas (servicios financieros, atención médica, sector público) y en el propio Google para especialistas en seguridad de ingeniería de clientes. La certificación también es valiosa en equipos de seguridad multi-nube, donde emparejar PCSE con AWS Security Specialty o Azure AZ-500 señala una verdadera profundidad entre nubes. Los titulares reportan consistentemente una fuerte respuesta de los reclutadores — los ingenieros de seguridad cualificados en GCP siguen siendo un grupo de candidatos pequeño en relación con AWS.
No existen requisitos previos formales. Google recomienda tres o más años de experiencia en la industria y uno o más años diseñando e implementando soluciones de seguridad en Google Cloud. En la práctica, PCSE no es una primera certificación GCP sensata — los candidatos exitosos tienen fundamentos de seguridad sólidos (tríada CIA, modelado de amenazas, privilegio mínimo, defensa en profundidad) y han dedicado un tiempo significativo a IAM, redes y registro en al menos una nube.
El Associate Cloud Engineer (ACE) es un escalón común, pero una experiencia con CISSP o AWS Security Specialty a menudo lo sustituye bien. La familiaridad con la CLI gcloud, las restricciones de las políticas de la organización y los VPC Service Controls es efectivamente obligatoria. La ruta de aprendizaje oficial de Cloud Security Engineer en Google Cloud Skills Boost (alrededor de 40 a 60 horas) cubre el plan de estudios; la mayoría de los candidatos exitosos también construyen un sandbox de múltiples proyectos y múltiples perímetros para internalizar el comportamiento de los VPC Service Controls.
PCSE se clasifica como profesional y se encuentra consistentemente entre los exámenes GCP más difíciles, junto con PCA y PCNE. Planifique de 90 a 140 horas de estudio durante 9 a 13 semanas si PCSE es su primera certificación profesional de GCP, o de 50 a 80 horas durante 5 a 8 semanas si ya posee ACE más AWS Security Specialty o equivalente. El examen consta de 50 a 60 preguntas de opción múltiple / selección múltiple en 120 minutos, administrado a través de Pearson VUE (Google migró de Kryterion / Webassessor a principios de 2026).
El obstáculo más común son los VPC Service Controls — el diseño del perímetro, las reglas de entrada / salida, los puentes y la interacción con Shared VPC confunden a la mayoría de los candidatos y representan una parte desproporcionada de los intentos fallidos. El segundo obstáculo son las condiciones de IAM y las políticas de denegación, que Google favorece mucho en las preguntas de escenario sobre las respuestas más antiguas basadas en roles. Google no publica puntuaciones numéricas — solo aprobado/reprobado. La credencial es válida por dos años y la recertificación requiere volver a aprobar el examen actual.
La guía de examen actual se actualizó a principios de 2024 para añadir políticas de denegación de IAM, Workload Identity Federation, Sovereign Controls y cobertura actualizada del nivel Enterprise de Security Command Center.
Actualización importante que introdujo VPC Service Controls como tema principal y amplió el dominio de protección de datos para incluir Confidential Computing.
PCSE (Google Cloud Professional Cloud Security Engineer) es un examen de nivel Professional un examen desafiante, con muchos escenarios, que requiere una profunda experiencia práctica y la capacidad de tomar decisiones de compensación arquitectónica. La mayoría de los candidatos necesitan entre 150 y 300 horas de estudio distribuidas en 3 a 6 meses para los exámenes de nivel profesional y experto. Estos exámenes suelen esperar una competencia previa a nivel asociado. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 150 y 300 horas de estudio distribuidas en 3 a 6 meses para los exámenes de nivel profesional y experto. Estos exámenes suelen esperar una competencia previa a nivel asociado. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
PCSE es una credencial reconocida en el ecosistema de GCP y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con GCP a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para PCSE es No publicado. El examen contiene 50 preguntas y dura 2 h.
La tarifa del examen PCSE es de $200 USD. Las tarifas son establecidas por GCP y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de GCP antes de reservar.
Las certificaciones Google Cloud Professional son válidas por 2 años. Recertifícate volviendo a aprobar la versión actual del examen.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para PCSE. El modo de simulación de examen reproduce el examen real: 50 preguntas en 2 h, con el mismo umbral de aprobación de No publicado. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.