CISA – Certified Information Systems Auditor

El Certificado de Auditor de Sistemas de Información es una certificación profesional, con reconocimiento a nivel internacional, emitida por ISACA desde 1978. La asociación ISACA valida los conocimientos en los campos de auditoría, control y seguridad de los sistemas de información de todo aquel que se presente al examen CISA, una vez aprobado, es necesario acreditar 5 años de experiencia. Además, todos los auditores que posean el certificado CISA están obligados a realizar cada año un mínimo de horas de formación para mantenerse al día en un entorno tan cambiante.

A finales de 2012 ya tenía claro que quería profundizar mis conocimientos en temas de auditoría de sistemas de información, por ese motivo añadí en mi lista de propósitos para el 2013 comenzar a estudiar conceptos, metodologías y escenarios de auditorías. A finales del verano del 2013 empecé a recabar información, leer y estudiar. Finalmente, después de un año estudiando, el mes pasado me presenté al examen y esta semana pasada por fin me dieron la nota de “successfully”.

El material utilizado y el orden de estudio ha sido el siguiente:

• Ver los videos de CBT Nuggets.
• Leer el libro Certified Information Systems Auditor. Study Guide. Third Edition. David Cannon.
• Leer el libro CISA Review Manual 2013. ISACA
• Leer el libro Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA 2013.
• Practicar el examen a partir de la base de datos de preguntas de ISACA.

La certificación CISA está dividida en cinco áreas o dominios. Siendo los porcentajes que veis a continuación la importancia de cada uno de los dominios.

• El proceso de auditoría de SI (14%)
• Gobierno de TI (14%)
• Administración del ciclo de vida de infraestructura y sistemas (19%)
• Soporte y entrega de servicios de TI (23%)
• Protección de los activos de información (30%)

Para todo aquel que me haya seguido durante este año en el blog habrá podido observar que he realizado muchas entradas referentes a auditoría, el motivo principal de ello ha sido que mientras iba estudiando también iba escribiendo en el blog para compartir mis conocimientos y experiencias con todos vosotros. Básicamente las entradas referentes a auditoría que he escrito mientras estudiaba son las siguientes:

• Auditoría de Sistemas de Información
• Gobierno de TI
• El proceso de Auditoría
• Ciclo de vida de los Sistemas de Información
• Gestión e Implementación de Sistemas
• Protección de Activos I
• Protección de Activos II
• Protección de Activos III
• Business Continuity and Disaster Recovery
• Controles internos
• Estrategia y Objetivos
• Ciclo de vida de implantación de productos
• RPO y RTO
• Técnicas y métodos de ataques DoS
• Tratamiento de Riesgos
• Funciones y Responsabilidades del CISO
• Comité Directivo y Comité de Estrategia TIC

Todas las entradas anteriores os pueden servir para haceros una idea de los conceptos que se tratan en la certificación CISA y que por lo tanto hay que tenerlos claros. Desde mi punto de vista el examen CISA no me ha resultado nada fácil, ya que consiste en un tipo test de 200 preguntas de opción múltiple que deben ser contestadas en 4 horas, y si no se entienden bien los conceptos, lo más probable es que no de tiempo a completarlo.

Tan solo me queda recomendar a todo aquel que esté interesado en la seguridad de la información que estudie certificaciones como esta, ya que además de aprender y reforzar conceptos, sirve para que un tercero de confianza valide tus conocimientos.