[16/07/2021] La certificación Certified Information Systems Auditor (CISA) valida sus conocimientos en materia de auditoría, aseguramiento, control, seguridad, ciberseguridad y gobernanza de sistemas de información.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Ofrecida por la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés), la credencial está diseñada para auditores de TI y SI encargados de evaluar los sistemas de información de una organización, para identificar problemas y posibles amenazas a la seguridad. Esta certificación, reconocida a nivel mundial, es una de las pocas certificaciones diseñadas específicamente para auditores de TI. Según ISACA, la certificación también es beneficiosa para los analistas de cumplimiento, gerentes de programas, analistas de riesgos, gerentes de protección de datos, responsables de seguridad y consultores de TI.
Requisitos para la certificación CISA
Para solicitar el examen CISA, necesitará al menos cinco años de experiencia laboral en auditorías de sistemas de información (SI), control, aseguramiento o seguridad dentro de los 10 años previos a la fecha de entrega de la solicitud. De no poder justificar el requisito anterior, existe la posibilidad de convalidar hasta tres años de experiencia si cuenta con lo siguiente:
- Un máximo de un año de experiencia en SI o auditorías no relacionadas con SI
- El equivalente a un título de dos o cuatro años, que puede convalidarse por uno o dos años de experiencia.
- Una maestría en SI o TI de cualquier universidad acreditada, que equivale a un año de experiencia
Examen CISA
El examen CISA se califica en una escala de 200 a 800 puntos. Para aprobar, deberá obtener una puntuación de 450 o más. Tendrá cuatro horas para completar el examen de opción múltiple de 150 preguntas, que cubre cinco áreas principales de práctica laboral en auditoría, control y seguridad de SI:
- Dominio 1: Proceso de auditoría de los sistemas de información (21%)
- Dominio 2: Gobernanza y gestión de TI (17%)
- Dominio 3: Adquisición, desarrollo e implementación de sistemas de información (12%)
- Dominio 4: Operaciones, mantenimiento y gestión de servicios de sistemas de información (23%)
- Dominio 5: Protección de los activos de información (27%)
El dominio 1 cubre los conceptos básicos de la auditoría de TI y cómo proporcionar servicios de auditoría que se alineen con las mejores prácticas recomendadas para proteger y controlar los sistemas de información. Este dominio pone a prueba su capacidad para evaluar qué tan segura es la infraestructura de SI y TI de una organización, y si existen riesgos potenciales. Incluye preguntas sobre temas tales como los estándares de auditoría de SI, planificación de auditorías basadas en el riesgo, analítica de datos, metodología de muestreo y otras habilidades relacionadas con la planificación y ejecución de una auditoría de TI o SI.
El dominio 2 se centra en la gobernanza y la gestión de TI, validando su capacidad para identificar problemas críticos y ofrecer recomendaciones para proteger la información y las tecnologías relacionadas. Esta parte del examen incluye preguntas sobre arquitectura empresarial, modelos de madurez, gestión de recursos de TI, garantía de calidad y gestión de TI, entre otros temas.
El dominio 3 implica la adquisición, desarrollo, prueba e implementación de sistemas de TI para cumplir con los objetivos de la organización. Se evaluarán sus conocimientos sobre temas como la gobernanza de proyectos, las metodologías de desarrollo de sistemas, la identificación y el diseño de controles, las metodologías de pruebas, la configuración y la gestión de versiones.
El dominio 4 evalúa el conocimiento de las operaciones de SI y la resiliencia empresarial, poniendo a prueba lo que sabe sobre cómo se relaciona la TI con el negocio en general. Las preguntas del examen cubren temas como gestión de activos de TI, interfaces del sistema, gobernanza de datos, gestión del rendimiento de sistemas, gestión de problemas e incidentes, análisis de impacto empresarial, planificación de la continuidad empresarial, planificación de la recuperación ante desastres, entre otros temas relacionados.
El dominio 5 cubre los principios, las mejores prácticas y las dificultades de la ciberseguridad. Las preguntas son sobre temas relacionados con la seguridad y el control de activos de información, así como la gestión de eventos de seguridad. También se evalúa sobre principios de privacidad, seguridad de redes y puntos finales, infraestructura de clave pública (PKI), entornos virtualizados, herramientas y técnicas de pruebas de seguridad y gestión de respuesta a incidentes, entre otros temas relacionados.
Capacitación CISA
ISACA ofrece varias opciones para prepararse para el examen CISA. Puede elegir entre capacitación visual dirigida por un instructor, cursos de repaso en línea o a pedido, manuales de repaso impresos o descargables, preguntas de revisión y acceso a una base de datos de respuestas y explicaciones con una suscripción de 12 meses a la membresía de ISACA.
También puede optar por asistir a un curso presencial de cuatro días organizado por ISACA en varios lugares de los Estados Unidos. Alternativamente, si su organización desea certificar a un grupo de empleados a la vez, los líderes de TI pueden llevar la capacitación directamente a su empresa.
También puede encontrar cursos y bootcamps ofrecidos fuera de ISACA por compañías de terceros como Infosec Institute, Learning Tree, Cybrary, Secure Ninja, Career Academy, BSI y otras.
Tasas de examen y mantenimiento de CISA
Los miembros de ISACA reciben tarifas de examen con descuento, pero si no desea una membresía, puede optar por pagar tarifas más altas por los exámenes de certificación y las renovaciones. El examen requiere una tarifa de solicitud de 50 dólares. Una vez aceptado, los miembros de ISACA pagan 575 dólares por la inscripción al examen, mientras que los que no son miembros deberán pagar 760 dólares.
Para mantener su certificación CISA, deberá obtener un mínimo de 20 horas de créditos de educación profesional por año y 120 horas cada tres años. También deberá pagar la tarifa de mantenimiento anual de 45 dólares para los miembros de ISACA u 85 dólares para los que no lo son. Existe la posibilidad de que tenga que cumplir con la auditoría anual de CPE si es seleccionado y también se espera que cumpla con el código de ética profesional de ISACA y acate sus estándares de auditoría de TI.
Basado en el artículo de Sarah K. White (CIO) y editado por CIO Perú
Puede ver también: