Ser un auditor CISA: qué es, para qué vale, cómo se obtiene la certificación, etc.


Un auditor CISA (Certified Information Systems Auditor) es aquel que obtiene la certificación del mismo nombre. CISA es el nombre de la certificación de referencia en el mundo de la auditoría tecnológica. Una de las más antiguas, lleva desde el 78, y que tienen más de 50.000 profesionales.
Yo obtuve el CISA en 2008 y, al menos a mí, me ha sido muy útil, ya que para ciertas dedicaciones ser auditor CISA es prácticamente obligatorio. Sí recuerdas aquel estudio que hicimos sobre qué certificación profesional escoger, el CISA estaba entre las mas demandadas.
Ser auditor CISA es importante, si quieres optar a un puesto de auditoría informática, de software, de sistemas, etc. Porque en casi todos los sitios que conozco, que piden estos perfiles, en España o en el extranjero, piden el CISA como requisito previo (o tienes que obtener la certificación el primer año de trabajo).
Quien lleva la regulación para ser auditor CISA es una asociación llamada ISACA (Information Systems Audit and Control Association), que además cuenta con capítulos en numerosos países, España entre otros muchos.

Cómo ser auditor CISA

Básicamente, para ser auditor CISA hay que superar un examen (más abajo cuento un poco de que va), aportar un currículum que demuestre experiencia previa en auditoría, firmar el código ético y pagar la correspondiente cuota a ISACA.
En lo que refiere al CV, para ser auditor CISA se requiere una experiencia previa en auditoría, o seguridad, de 5 años. Si no te dan los años, existe la opción de aprobar el examen, y después, los siguientes 5 años, obtener la experiencia necesaria que te falta. La nota te la guardan y cuando tienes la experiencia obtienes el CISA. También te pueden convalidar años de experiencia, de esos cinco, si has dado clases, tienes títulos, etc.
Además, el título de auditor CISA hay que mantenerlo. ¿Cómo? acreditando horas de formación profesional cada año, para demostrar que no te estás quedando obsoleto.

El examen de auditor CISA

El examen tiene 200 preguntas de selección múltiple, si te equivocas no restan, y te dan 4 horas. Y este es de los que se suspende, así que… hay que estudiar.
Aunque las preguntas erróneas no restan, para aprobar tienes que sacar lo que sería equivalente a un 7,5. Lo que suma cada pregunta, etc., no me lo preguntéis, que nunca nadie lo ha tenido del todo claro.
En Madrid, al menos, que es lo que me conozco, el examen de auditor CISA suele hacerse en algún hotel, en una gran y fría sala. Con un montón de tipos controlando para que no copies, a los cuales, cuenta la leyenda, que los eligen con conocimientos no técnicos para que nunca puedan ayudarte durante el examen.
Si llegas 1 seg. tarde no te dejan pasar, sólo te dejan tener un lápiz en la mesa, etc. Todas las instrucciones te las da al principio una señora muy seria con acento inglés, hablando muy fuerte con un micrófono, etc.
Se hacen dos ediciones al año, una antes de verano, en junio, y la otra en navidad, diciembre.
Los costes de inscripción al examen van de los 410€ a los 710€, dependiendo de si te inscribes antes, después, de forma online, fax, de si eres miembro de ISACA, etc. Aquí, en ISACA Madrid, puedes encontrar más datos.
El examen puedes elegir hacerlo en español o en inglés, y no sabría decirte que es peor. Sí, porque no sé si es más difícil entender la traducción del examen a castellano o hacerlo directamente en inglés. Yo lo hice en castellano, y hoy, yo al menos, lo habría en inglés.
En el examen de auditor CISA preguntan de cinco áreas:
– Proceso de auditoría de sistemas de información
– Gobierno y gestión de TI
– Adquisición, desarrollo e implementación de sistemas de información
– Operaciones, mantenimiento y soporte de sistemas de información
– Protección de los activos de información

Auditor CISA: Los libros para estudiar y los cursos

Yo en su día me hice con un ejemplar del “CISA Exam Prep: Certified Information Systems Auditor” de Gregg, y me fue útil, aunque la edición es un poco antigua. También me leí el “The CISA Prep Guide” de Kramer.
Un libro del que me han hablado muy bien, y que está mas actualizado, es el “CISA Certified Information Systems Auditor All-in-One Exam Guide”.
Por otro lado, aparte de los libros, puedes prepararte el examen por libre o ir a alguna academia para que te ayuden. El capítulo de ISACA en Madrid, por ejemplo, ofrece buenos cursos de preparación. Pero además, hay bastantes opciones, y modalidades, en una rápida búsqueda en Google puedes encontrar muchos cursos.

Leer más sobre ser auditor CISA…

Hay una guía que edita ISACA anualmente con dudas, procedimiento, papeleo, etc.
Aunque es del 2006, te recomiendo esta guía de ISACA Madrid, que en su mayoría es vigente hoy y lo deja todo muy clarito.

jgarzas

Ph.D. en informática, Postdoctorado en la Carnegie Mellon (EE.UU) e Ingeniero en Informática.

Primera vez que me tocó hacer una gestión Ágil en una empresa... año 2001. Desde entonces he trabajado en, o para, más de 90. Y he formado a más de 2000 alumnos.

También soy profe de la Universidad Rey Juan Carlos.

0 comentarios en “Ser un auditor CISA: qué es, para qué vale, cómo se obtiene la certificación, etc.”

  1. Pingback: ¿Qué es ITIL? - Javier Garzás | Javier Garzás

  2. Muy util tu articulo, me surge una duda a partir de la certificación, he notado que los libros en general se orientan mucho a la preparación del examen, dar pautas o Tips de como encarar el examen, la pregunta es si dichos textos tambien abordan a nivel conceptual y de forma detallada las 5 areas de enfoque: 1.Proceso de auditoría de sistemas de información…
    Gracias

  3. Conocen la respuesta a esta pregunta?
    CASO:
    Se ha pedido al Auditor de SI que realice un trabajo preliminar que evaluará el alistamiento de la organización para que mida el cumplimiento de los nuevos requisitos regulatorios. Estos requisitos están diseñados para asegurar que la gerencia esté asumiendo un papel activo en establecer y mantener un entorno bien controlado.
    Las tareas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción y administración de redes , Gobierno de TI etc.
    Al Auditor se le han dado 6 meses para realizar este trabajo preliminar de modo que debe existir el tiempo disponible suficiente
    En anticipación del trabajo a ser realizado, el director de información solicitó reportes directos para desarrollar narrativas y flujos de procesos que describieran las principales actividades de las que el TI es responsable.
    Preguntas
    A1 ¿Qué debería hacer primero el auditor de SI?
    a) Efectuar una evaluación de riesgo TICs
    b) Realizar un auditoría de inspección de los controles de acceso lógico
    c) Revisar el plan de auditoría para concentrarse en la auditoria basada en el riesgo
    d) Comenzar a probar los controles que el auditor de TICs estima que son los críticos
    A2. Cuándo se aprueba la administración de cambios de programas, ¿Cómo se debe seleccionar la muestra?
    a) Los documentos de administración de cambios deben ser seleccionados al azar y examinados para verificar si son apropiados
    b) Se debe sacar muestras de los cambios al código de producción y estos deben ser rastreados hasta la documentación apropiada que autorizó
    c) Los documentos de administración de cambios deben ser seleccionados en base a la criticidad del sistema y deben ser examinados para verificar si son apropiados
    d) A los cambios l código de producción se les debe sacar una muestra y se les debe rastreas hasta los registros (logs) producidos por el sistema que indiquen la fecha y la hora del cambio

  4. hola javier,,mi esposo acabo de aprobar el examen,,el es de India pero queremos optar por trabajo en otro Pais,,que me recomiendas,,el tiene experiencia en su Pais,,gracias

  5. Hola Javier, una consulta es necesario comprar los libros y material de apoyo para someterse al examen o puedo utilizar los de alguien que recién aprobó el examen.

  6. Cuando comenta que existe la opción de poder presentarse al examen, sin los cinco años de experiencia , y que le guardan la nota, pasados cinco años de experiencias o convalidación de títulos; mi consulta es si superas el examen puedes empezar a ejercer aún no teniendo La certificación entonces ?.
    Gracias, y disculpa por la ignorancia.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *