Académique Documents
Professionnel Documents
Culture Documents
Certified Information Systems Auditor o Auditor Certificado de Sistemas de Informacin (CISA) es una certificacin para auditores respaldada por la Asociacin de Control y Auditora de Sistemas de Informacin (ISACA) (Information Systems Audit and Control Association). CISA es actualmente uan certificacin reconocida en forma global y adoptada por todo el mundo como simbolo de excelencia. La certificacin CISA ha sido obtenida por ms de 30,00 profesionales en todo el mundo. El propsito de la certificacin es ayudar a los empleadores a contratar auditores que son expertos en medicin y evaluacin controles afirmando que un candidato posee un sistema de base de habilidades de auditora. HISTORIA: La certificacin CISA fue establecida en 1978, debido a las siguientes razones: Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de los individuos al realizar auditoras de sistemas. Proveer una herramienta motivacional para los auditores de sistemas de informacin para mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento. Proveer criterios de ayudar y gestin en la seleccin de personal y desarrolladores. El primer examen se llev a cabo en 1981, y los registros han crecido cada ao. En la actualidad, el examen es ofrecido en 11 idiomas y ms de 200 lugares de todo el mundo. En 2005, la ISACA anunci que el examen se ofrecer en junio y diciembre, y que empezara en 2005. Anteriormente, el examen slo haba sido administrado anualmente, en junio. Ms de 50 mil candidatos han conseguido el certificado CISA. La certificacin CISA es aprobada formalmente por el Departamento de Defensa de los Estados Unidos en la categora de Aseguramiento de Informacin Tcnica (DoD 8570.01-M).
Reconocimiento Mundial
CISA a pesar que en la actualidad la certificacin no sea necesaria para el desarrollo de sus funciones, un nmero creciente de organizaciones estn requiriendo o recomendando a sus empleados la obtencin de la Certificacin. Para ayudar a asegurar el xito en el mercado global, es vital elegir un programa de certificacin basado en la prcticas de Gestin de Seguridad de la Informacin universalmente aceptadas. La Certificacin CISM lleva a cabo dicho programa.
Ms de 40.000 profesionales han obtenido la certificacin CISA desde su inicio, por lo tanto mucha gente est de acuerdo: la obtencin de la acreditacin CISA es un buen objetivo profesional. En 2008 la certificacin CISA cumpli 30 aos.
El Instituto Nacional Estadounidense de Estndares (ANSI) ha acreditado el programa de certificacin CISA bajo norma ISO / IEC 17024:2003, Requisitos generales para entidades que realizan la certificacin de las personas. ANSI, una organizacin privada, sin fines de lucro que acredita a otras organizaciones para que sirvan como producto de otros fabricantes, el sistema y los certificadores de personal. ISACA se enorgullece de ser reconocido con este estndar internacional de desempeo.
IMPORTANCIA:
Quienes ejercen la profesin de Auditora, Control y Seguridad de Sistemas de Informacin necesitan normas profesionales, que no slo le permitan mantener sus destrezas; sino que adems, garantice que sus tcnicas de auditora, control y seguridad son adecuadas en el ambiente de Sistemas de Informacin en permanente cambio. La Certificacin profesional CISA es un logro y una referencia de alto nivel de rendimiento. Los Certificados logran una significativa ventaja competitiva y, por ende, sus oportunidades profesionales son notorias.
REQUISITOS:
Los candidatos a la certificacin CISA deben pasar un examen de acuerdo con el Cdigo Profesional de tica de ISACA, adems de comprobar cinco aos de experiencia en auditora de sistemas, control interno y seguridad informtica y tener un programa de educacin continua.
En caso de no cumplir con estos requisitos, existen algunas equivalencias definidas estan son: Un mnimo de un ao de experiencia en sistemas de informacin o un ao de experiencia en auditoras operacionales, pueden ser sustituidos por un ao de experiencia auditora de sistemas, control interno y seguridad informtica. 60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos aos de experiencia respectivamente de auditora de sistemas, control interno y seguridad informtica. 2 aos de instructor de tiempo completo en Universidad en campos relacionados (ejemplo: ciencias computacionales, contabilidad, auditora de sistemas de informacin, pueden ser sustituidos por un ao de experiencia de auditora de sistemas de informacin, control interno y seguridad de informtica.
Adems el aspirante debe tener conocimientos en seis reas de especializacin estas son:
Proceso de auditora de sistemas (IS) informacin IT Governance Sistemas y gestin del ciclo de vida de la infraestructura Entrega y soporte de servicios Proteccin de activos de informacin Continuidad del negocio y recuperacin ante desastres Si el candidato tiene experiencia suficiente relacionada, pasa el examen y firma el cdigo, l o ella recibir la certificacin; mantenimiento de la certificacin, sin embargo, requiere que los practicantes obtener crditos de educacin profesional continua as sus habilidades siguen siendo pertinentes a su campo. Los aspirantes deben aprobar un examen riguroso de la Junta que cubre 11 diferentes temas relativos a los sistemas de informacin Se debe llenar la solicitud para entrar al examen de CISA
EXAMEN
Previo a la obtencion de un ticket de admisin se pasa por un proceso de calificacin el cual se basa en las 4 Es: Experiencia, tica, Educacin y Examen. El examen consiste de 200 preguntas de opcin mltiple que deben ser contestadas en 4 horas. El examen est dividido en 5 dominios , como son:
Proceso
de
Auditora
de
Sistemas
de
Proporcionar los servicios de auditora de acuerdo con normas de auditora de TI para ayudar a la organizacin en la proteccin y el control de los sistemas de informacin.
1.1 Desarrollar e implementar una estrategia de auditora de TI basado en el riesgo en el cumplimiento de estndares de auditora para asegurar que las reas clave estn incluidos. 1.2 Plan de auditoras especficas para determinar si los sistemas de informacin estn protegidos, controlados y proporcionan valor a la organizacin. 1.3 Llevar a cabo auditoras de conformidad con las normas de auditora de TI para alcanzar los objetivos de auditora planeados. 1.4 Informar sobre los hallazgos de auditora y formular recomendaciones a las partes interesadas clave para comunicar los resultados y los efectos del cambio cuando sea necesario. 1.5 Conducta seguimientos o preparar informes de estado para garantizar las medidas adecuadas se han tomado por la administracin en forma oportuna manera.
Gobierno de TI (14%)
Proporcionar seguridad de que el liderazgo y la organizacin de la estructura y los procesos necesarios estn en su lugar para lograr los objetivos y para apoyar la estrategia de la organizacin
2.1 Evaluar la eficacia de la estructura de gobierno de TI para determinar si las decisiones de TI, las direcciones y apoyo al desempeo estrategias y objetivos de la organizacin. 2.2 evaluarlo estructura organizativa y los recursos humanos (personal) de gestin para determinar si apoyan las estrategias y objetivos de la organizacin. 2.3 Evaluar la estrategia de TI, incluyendo la direccin de TI y los procesos de la estrategia de desarrollo, aprobacin, ejecucin y mantenimiento de la alineacin con las estrategias y objetivos de la organizacin. 2.4 Evaluar las polticas de la organizacin de TI, las normas y los procedimientos y los procesos para su desarrollo, aprobacin, ejecucin, mantenimiento y monitoreo, para determinar si apoyan la estrategia de TI y cumplir con los requisitos reglamentarios y legales. 2.5 Evaluar la adecuacin del sistema de gestin de calidad para determinar si es compatible con las estrategias y objetivos de la organizacin en una manera costo-efectiva 2.6 Evaluar la gestin de TI y el seguimiento de los controles (por ejemplo, la monitorizacin continua, control de calidad) para el cumplimiento de las polticas, normas y procedimientos de la organizacin. 2.7 Evaluar los recursos de TI de inversin, uso y asignacin de las prcticas, incluidos los criterios de priorizacin, para la alineacin con las estrategias de la organizacin y objetivos. 2.8 evaluarlo estrategias de contratacin y las polticas y prcticas de gestin de contratos para determinar si apoyan las estrategias y objetivos de la organizacin. 2.9 Evaluar las prcticas de gestin de riesgos para determinar si los riesgos relacionados con las TI de la organizacin se gestionan adecuadamente. 2.10 Evaluar las prcticas de control y de garanta de determinar si el directorio y la gerencia ejecutiva reciban informacin suficiente y oportuna sobre el desempeo de TI. 2.11 Evaluar el plan de continuidad de negocio de la organizacin para determinar la capacidad de la organizacin para continuar con las operaciones esenciales de la empresa durante el perodo de una interrupcin de TI.
afectan a la organizacin 2.7 Conocimiento de los sistemas de gestin de calidad 2.8 Conocimiento de la utilizacin de modelos de madurez 2.9 Conocimiento de las tcnicas de optimizacin de procesos 2.10 Conocimiento de los Recursos de inversin y asignacin de las prcticas, incluidos los criterios de priorizacin (por ejemplo, gestin de cartera, valor de gestin, gestin de proyectos) 2.11 Conocimiento de seleccin de proveedores de TI, gestin de contratos, gestin de relaciones y procesos de monitoreo de desempeo, incluyendo las relaciones de outsourcing tercera parte 2.12 Conocimiento de gestin del riesgo empresarial 2.13 Conocimiento de las prcticas de seguimiento y presentacin de informes de desempeo de TI (por ejemplo, cuadros de mando, tecla indicadores de desempeo [KPI]) prcticas 2.14 Conocimiento de los recursos de TI humanos (personal) de gestin utilizados para invocar el plan de continuidad del negocio 2.15 Conocimiento de anlisis de impacto en el negocio (BIA) en relacin con la planificacin de la continuidad del negocio 2.16 Conocimiento de las normas y procedimientos para el desarrollo y mantenimiento del plan de continuidad de negocio y mtodos de ensayo
Informacin
Adquisicin,
3.2 Conocimiento de los mecanismos de gobierno de proyectos (por ejemplo, comit de direccin, junta de supervisin de proyectos, la oficina de gestin de proyectos). 3.3 Conocimiento de proyecto marcos de control de gestin, prcticas y herramientas 3.4 Conocimiento de las prcticas de gestin de riesgos aplicado a los proyectos 3.5 Conocimiento de la arquitectura de TI relacionados con los datos, las aplicaciones y la tecnologa (por ejemplo, aplicaciones distribuidas, aplicaciones basadas en la web, servicios web, aplicaciones de n niveles) 3.6 Conocimiento de prcticas de adquisicin (por ejemplo, evaluacin de proveedores, gestin de proveedores, escrow) 3.7 Conocimiento de anlisis de requisitos y prcticas de gestin (por ejemplo, la verificacin de los requisitos, trazabilidad, anlisis de las deficiencias, la gestin de la vulnerabilidad, los requisitos de seguridad) 3.8 Conocimiento de los criterios de xito del proyecto y los riesgos 3.9 Conocimiento de objetivos y tcnicas que garanticen la integridad, exactitud, validez y autorizacin de transacciones y datos de control de 3.10 Conocimiento de las metodologas de desarrollo de sistemas y herramientas, incluyendo sus fortalezas y debilidades (por ejemplo, las prcticas de desarrollo gil, desarrollo de prototipos, desarrollo rpido de aplicaciones [RAD] y orientada a objetos tcnicas de diseo) 3.11 Conocimiento de las metodologas y prcticas de pruebas relacionadas con el desarrollo de sistemas de informacin 3.12 Conocimiento de la configuracin y gestin en relacin con el desarrollo de sistemas de informacin liberar 3.13 Conocimiento de migracin de sistemas y la infraestructura prcticas de implementacin y conversin de datos herramientas, tcnicas y procedimientos. 3.14 Conocimiento de objetivos y prcticas (por ejemplo, el cierre del proyecto, la implementacin del control, la realizacin de beneficios, la medicin del desempeo) de revisin post-implementacin
Informacin de Operaciones de Sistemas, Soporte y Mantenimiento (23%) Proteccin de los activos de informacin (30%)
Asegurar que los procesos de operaciones de los sistemas de informacin, mantenimiento y soporte cumplen con las estrategias y objetivos de la organizacin.
cumplidas por el proveedor. 4.4 Evaluar las operaciones y procedimientos de usuario final para determinar si los procesos programados y no programados se gestionan hasta su finalizacin. 4.5 Evaluar el proceso de mantenimiento de los sistemas de informacin para determinar si que son controlados de manera efectiva y que sigan apoyando los objetivos de la organizacin. 4.6 Evaluar las prcticas de administracin de datos para determinar la integridad y la optimizacin de bases de datos. 4.7 Evaluar la utilizacin de la capacidad y las herramientas y tcnicas de monitoreo de desempeo para determinar si los servicios de TI cumplir con los objetivos de la organizacin. 4.8 Evaluar las prcticas de gestin de problemas e incidentes para determinar si se registran incidentes, problemas o errores, analizar y resolver en forma oportuna. 4.9 Evaluar cambios, configuracin y liberacin prcticas de gestin para determinar si los cambios programados y no programados realizados en el entorno de produccin de la organizacin estn adecuadamente controlada y documentada. 4.10 Evaluar la adecuacin de copia de seguridad y restauracin disposiciones para determinar la disponibilidad de la informacin necesaria para reanudar el procesamiento. 4.11 evaluar el plan de recuperacin de desastres de la organizacin para determinar si se permite la recuperacin de las capacidades de procesamiento de TI en caso de un desastre.
produccin, incluyendo el cambio, la configuracin, la liberacin y las prcticas de gestin de parches 4.13 Conocimiento de copia de seguridad de datos, almacenamiento, mantenimiento, conservacin y restauracin practica 4.14 Conocimiento de asuntos regulatorios, legales, contractuales y de seguros relacionados con la recuperacin de desastres 4.15 Conocimiento de anlisis de impacto en el negocio (BIA) en relacin con la planificacin de recuperacin de desastres 4.16 Conocimiento del desarrollo y mantenimiento de los planes de recuperacin de desastres 4.17 Conocimiento de los tipos de sitios de procesamiento alternativos y mtodos utilizados para monitorear los acuerdos contractuales (por ejemplo, sitios calientes, sitios clidos, sitios fros) 4.18 Conocimiento de los procesos utilizados para invocar la recuperacin de desastres planea 4.19 Conocimiento de los mtodos de prueba de recuperacin de desastres
5.3 Conocimiento de los controles de acceso lgico para la identificacin, autenticacin y restriccin de usuarios a funciones y datos autorizados 5.4 Conocimiento de los controles de seguridad relacionados con el hardware, el software del sistema (por ejemplo, las aplicaciones, los sistemas operativos), y sistemas de gestin de bases de datos. 5.5 Conocimiento de los riesgos y controles asociados con la virtualizacin de sistemas 5.6 Conocimiento de la configuracin, implementacin, operacin y mantenimiento de los controles de seguridad de red 5.7 de conocimiento de la red y los dispositivos de seguridad de Internet, protocolos y tcnicas 5.8 Conocimiento de los mtodos y tcnicas de ataque del sistema de informacin 5.9 Conocimiento de las herramientas de deteccin y tcnicas de control (por ejemplo, de malware , deteccin de virus, programas espa) 5.10 Conocimiento de las tcnicas de pruebas de seguridad (por ejemplo, pruebas de intrusin, anlisis de vulnerabilidades) 5.11 Conocimiento de los riesgos y controles asociados con la fuga de datos 5.12 Conocimiento de las tcnicas relacionados con el cifrado 5.13 Conocimiento de la infraestructura de clave pblica () componentes y digitales PKI tcnicas de firma 5.14 Conocimiento de los riesgos y controles asociados con la computacin peer-to-peer, mensajera instantnea, y las tecnologas basadas en la web (por ejemplo, redes sociales, foros, blogs) 5.15 Conocimiento de los controles y los riesgos asociados con el uso de la telefona mvil e inalmbrica dispositivos 5.16 Conocimiento de seguridad de las comunicaciones de voz (por ejemplo, PBX, VoIP) 5.17 Conocimiento de las tcnicas y procesos de conservacin evidencia sigui en investigaciones forenses (por ejemplo, informtica, procesos, cadena de custodia) 5.18 Conocimiento de las normas de clasificacin de los datos y los procedimientos de apoyo 5.19 Conocimiento de controles de acceso fsico para la identificacin, autenticacin y restriccin de usuarios a las instalaciones autorizadas 5.20 Conocimiento de los dispositivos de proteccin del medio ambiente y prcticas que apoyan 5.21 Conocimiento de los procesos y procedimientos que se utilizan para almacenar, recuperar, transportar y desechar los activos de informacin confidencial
El examen CISA puede presentarse anualmente en junio, septiembre (desde 2013) y diciembre
CREDENCIAL CISA
La designacin CISA se otorga a las personas con un inters en los sistemas de informacin de auditora, control y seguridad que cumplan con los siguientes requisitos:
Obtener una calificacin aprobatoria en el examen CISA Adherirse al Cdigo de tica Profesional de ISACA Comprometerse a cumplir con la Poltica de Educacin Profesional Continua CISA Adquiera un mnimo de 5 aos de experiencia profesional de auditora de sistemas de informacin, control o experiencia laboral en seguridad (como se describe en las reas de prctica laboral). Sustituciones y renuncias de esta experiencia se pueden obtener si cierta educacin y generales es o se cumplan los requisitos de experiencia de auditora. Cumplir con las Normas de Auditora de Sistemas de Informacin
Para mantener la certificacion CISA El objetivo de la poltica de educacin profesional es asegurar que todos los CISA mantengan un adecuado nivel de conocimiento actual y la competencia en el campo de la gestin de seguridad de sistemas de informacin. Los cambios en las polticas de certificacin de ISACA CPE se han hecho en las siguientes reas: Aprobacin de exmenes profesionales relacionados (sin lmite). Eficaz para CPE ganado a partir del 1 enero de 2014, dos (2) veces el nmero de horas de CPE se ganan por cada hora de examen cuando se obtiene una calificacin de aprobado en un examen profesional asociado Este cambio entr en vigor el 1 de enero de 2014 y ha sido aprobado por la Acreditacin y el Consejo de Administracin de Carrera. El cambio es universal y se aplica por igual a todas las certificaciones de ISACA. Bibliografia: http://www.isacavalencia.org/index.php?option=com_content&view=article&id=18&Item id=105 http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/What-isCISA/Pages/default.aspx