Escolar Documentos
Profissional Documentos
Cultura Documentos
Systems Auditor
TM
TM
Guía del candidato para el Examen y la Certificación CISA®
Todos los plazos vencen a las 5 p.m. de Chicago, Illinois, EE.UU. Guía del candidato para el Examen y la Certificación CISA
(hora del centro de los EE.UU.). Impreso en los Estados Unidos de América.
2
Guía del candidato para el Examen y la Certificación CISA®
Generalidades
El símbolo de excelencia de un programa de certificación profesional es el valor y el reconocimiento que concede al individuo que lo obtiene. Desde 1978, el
programa Certified Information Systems Auditor (CISA), patrocinado por ISACA, ha sido el estándar de éxito aceptado en todo el mundo entre los profesionales
de auditorias, control y seguridad de sistemas de información.
Las destrezas y prácticas técnicas que promueve y evalúa CISA son los pilares del éxito en el campo. Poseer la designación CISA demuestra competencia y es
la base de medición en la profesión. Con una demanda creciente de profesionales con destrezas en auditorías, control y seguridad de sistemas de información,
CISA se ha convertido en el programa de certificación preferido por individuos y organizaciones en todo el mundo. La certificación CISA significa comprometerse
a servir a una organización y la profesión elegida con distinción.
ISO/IEC 17024 especifica los requisitos a cumplir por las organizaciones que certifican a individuos en cuanto a requerimientos
específicos. Según ANSI, de ISO/IEC 17024 “se espera que desempeñe un papel vital a la hora de facilitar una estandarización global
de la comunidad de certificación, aumentar la movilidad entre países y mejorar la seguridad pública y proteger a los consumidores”.
La acreditación de ANSI significa que los procedimientos de ISACA cumplen con los requisitos esenciales de ANSI en cuanto a transparencia, equilibrio, consenso y
debido proceso. Con esta acreditación, ISACA espera que continúen presentándose oportunidades significativas para los CISA en todo el mundo.
El examen CISA
Desarrollo/Descripción del Examen CISA
El Comité de certificación CISA supervisa el desarrollo del examen y garantiza la vigencia del contenido. Las preguntas del examen CISA se desarrollan a través
de un proceso exhaustivo diseñado para consolidar la calidad final del examen. El proceso incluye un Subcomité de mejora de exámenes (TES) que trabaja con
los redactores de los ítems para desarrollar y revisar las preguntas antes de enviarlas al Comité de certificación CISA para su revisión.
La práctica laboral sirve de base para el examen y para los requisitos de experiencia para obtener la certificación CISA. Esta práctica laboral se actualiza
periódicamente y consta de seis áreas de contenido (dominios). Los dominios y los enunciados de tareas y de conocimiento que los acompañan fueron el
resultado de investigaciones y discusiones extensas por parte de expertos de todo el mundo en el área.
Los enunciados de tareas y conocimientos representan las tareas realizadas por los CISA y el conocimiento requerido para realizar estas tareas. Los candidatos
al examen se evaluarán de acuerdo a su conocimiento práctico asociado a la realización de estas tareas.
Nota: Los porcentajes que aparecen en los dominios indican el énfasis o porcentaje de preguntas que aparecerán en el examen en cada dominio.
Para obtener una descripción de los enunciados de tareas y conocimientos de cada dominio, consulte las páginas 8-11.
El examen consta de 200 preguntas de selección múltiple y se administra dos veces al año; en junio y diciembre, durante una sesión de cuatro horas. Los
candidatos pueden elegir presentar el examen en uno de varios idiomas. Si desea una lista actualizada de idiomas, visite www.isaca.org/cisaterminology.
A pesar de que el conocimiento sobre los Objetivos de control para la información y tecnologías relacionadas (CobiT®) no se evalúa específicamente en el
examen CISA, los objetivos o procesos de control CobiT se reflejan en los enunciados de tareas de prácticas laborales CISA. Debido a su importancia, se
recomienda una revisión exhaustiva de CobiT como preparación para los candidatos al examen CISA. Para centrar la atención de un candidato hacia los
procesos específicos CobiT relacionados con las tareas de análisis de las prácticas CISA, vaya a www.isaca.org/cisaguide.
3
Guía del candidato para el Examen y la Certificación CISA®
Preparación para el examen CISA
Se puede lograr la aprobación del examen CISA mediante un plan de estudios organizado. A fin de brindar apoyo a las personas con el desarrollo de un plan de
estudio exitoso, ISACA ofrece guías de estudio y cursos de repaso para los candidatos al examen. Vaya a www.isaca.org/cisaguide para conocer las guías de
estudio de ISACA que pueden ayudarle en su preparación para el examen. Envíe su orden con anticipación, ya que el tiempo de entrega puede ser de una a cuatro
semanas dependiendo de la ubicación geográfica y las prácticas aduaneras. Para información actualizada sobre envíos, refiérase a www.isaca.org/shipping.
ISACA también ofrece el Curso de Repaso en línea CISA®. El curso incluye ejercicios interactivos, casos de estudio, herramientas de repaso y
NUEVO preguntas de práctica. Visite www.isaca.org/elearning para obtener más información y una vista preliminar del curso.
Puede encontrar una lista de referencias recomendadas para un estudio más profundo para la preparación del examen en www.isaca.org/
cisaguide. Puede encontrar una lista más completa en el Manual de Preparación al Examen CISA 2009.
Puede encontrar una lista de los acrónimos que los candidatos deberían conocer y una lista adicional de acrónimos que pudiera ser de interés para los
candidatos en www.isaca.org/cisaguide.
Para ayudar a los candidatos con terminología técnica, está disponible una lista de los términos técnicos más frecuentemente utilizados en inglés junto con su
traducción en otros idiomas en el sitio web de ISACA en www.isaca.org/examterm.
ISACA posee un glosario de términos, así como glosarios específicos de cada certificación. Estos glosarios están disponibles en www.isaca.org/glossary.
No se establece ninguna afirmación ni garantía por parte de ISACA ni la Junta de Certificación CISA en relación con estas u otras publicaciones o cursos que
asegure de alguna forma que los candidatos aprobarán el examen.
Los candidatos que deseen hacer comentarios sobre las condiciones de administración de las pruebas pueden hacerlo al concluir la sesión de la prueba llenando
el “Cuestionario de administración de pruebas”. El Cuestionario de administración de pruebas se presenta al final del cuadernillo del examen, y sus respuestas al
cuestionario se deben ingresar en las casillas P a S de la sección Códigos especiales (Esquema No. 4) al frente de su Hoja de respuestas.
Los candidatos que deseen expresar comentarios o inquietudes adicionales sobre la administración de exámenes deben comunicarse con la sede internacional
de ISACA por correo postal o electrónico (exam@isaca.org). Esos comentarios e inquietudes deben ser recibidos por ISACA en un plazo de 2 semanas después de
la fecha del examen.
Los candidatos que deseen hacer comentarios sobre el contenido del examen pueden hacerlo enviándolos por correo a Professional Examination Service.
Sin embargo, sólo aquellos comentarios recibidos por Professional Examination Service durante las primeras 2 semanas después de la administración
de exámenes serán considerados en el proceso de calificación del examen. Después de finalizar el examen, podrá solicitar la dirección de Professional
Examination Service al supervisor.
Boleto de admisión
Aproximadamente de dos a tres semanas antes de la fecha del examen CISA, los candidatos recibirán un boleto físico de admisión y un boleto electrónico de
parte de ISACA. Los boletos indicarán la fecha, hora de inscripción y la localización del examen, programa de eventos de ese día y una lista de los materiales
que los candidatos deben llevar para tomar el examen CISA.
Por favor note: Para recibir un copia impresa del boleto de admisión, se debe pagar todos los cargos. Para recibir un boleto electrónico, se debe
pagar todos los cargos y los candidatos deben poseer una dirección de correo electrónico actual en sus registros. Sólo podrán presentar el examen
los candidatos con un boleto de admisión. Tanto la copia impresa del boleto de admisión como el boleto electrónico son válidos para el examen. Si la
dirección postal o de correo electrónico de un candidato cambia, el/ella deberá actualizar su perfil en el sitio web de ISACA (www.isaca.org) o ponerse en
contacto a través de exam@isaca.org.
Es imperativo que los candidatos anoten las fechas específicas de registro y del examen en su boleto de admisión. NO SE PERMITIRÁ A NINGUN
CANDIDATO INGRESAR AL CENTRO DE PRUEBA UNA VEZ QUE EL JEFE EXAMINADOR HAYA COMENZADO A DAR LAS INSTRUCCIONES ORALES,
APROXIMADAMENTE 30 MINUTOS ANTES QUE COMIENCE EL EXAMEN. No se permitirá tomar el examen a ningún candidato que llegue después del
comienzo de la lectura de las instrucciones, y perderá el valor de su inscripción. Un boleto de admisión sólo se puede utilizar en el centro de prueba designado
en el boleto de admisión.
Arreglos especiales
Al solicitarlo, ISACA hará los arreglos que sean razonables en sus procedimientos de examen para los candidatos con incapacidades documentadas
o compromisos religiosos. Estos candidatos pueden solicitar que se consideren las modificaciones que sean razonables en el formato, presentación,
comida y bebida en el lugar del examen, u horario de examen. Los pedidos de comida o bebida en el lugar del examen deben estar acompañados por
una nota de un médico, de lo contrario, no se permiten ni comida ni bebidas en ninguno de los lugares de examen. La solicitud de consideraciones
especiales se debe enviar a la Oficina central internacional de ISACA por escrito, junto con los documentos apropiados, antes del 7 de abril de 2010 para
el examen de junio de 2010 y antes del 6 de octubre de 2010 para el examen de diciembre de 2010.
4
Guía del candidato para el Examen y la Certificación CISA®
Sea puntual
La inscripción empezará a la hora indicada en el boleto de admisión en cada centro. Todos los candidatos deben estar inscritos y en el centro cuando el jefe
examinador comience a dar las instrucciones orales. NO SE ADMITIRÁ A NINGÚN CANDIDATO EN EL CENTRO DE PRUEBA DESPUÉS DE QUE EL JEFE
EXAMINADOR HAYA COMENZADO A DAR LAS INSTRUCCIONES ORALES, aproximadamente 30 minutos antes de que comience el examen.
Administre el tiempo
• El examen, con una duración de cuatro horas, permite detenerse en cada pregunta por más de un minuto. Se aconseja a los candidatos mantener un mismo
ritmo durante todo el examen. Los candidatos deben responder un promedio de 50 preguntas por hora.
• Se recomienda a los candidatos colocar inmediatamente sus respuestas en la hoja de respuestas. No se otorgará tiempo adicional para transferir o
registrar respuestas una vez concluido el tiempo del examen, en caso de que el candidato marque las respuestas en el cuadernillo de la prueba.
5
Guía del candidato para el Examen y la Certificación CISA®
El examen CISA contiene algunas preguntas que se incluyen solamente con propósitos de investigación y análisis. Estas preguntas no están identificadas ni
separadas, tampoco se utilizan para calcular la calificación final de los candidatos.
Aproximadamente ocho semanas después de la fecha del examen, los resultados oficiales del examen se enviarán por correo a los candidatos.
Además, con el consentimiento del candidato, en el formulario de inscripción, se enviará al candidato un mensaje de correo electrónico con el estado de
aprobación/reprobación y la calificación del candidato. Esta notificación por correo electrónico se enviará solamente a la dirección especificada en el perfil
del candidato al momento de la divulgación inicial de los resultados. Para garantizar la confidencialidad de las calificaciones, los resultados del examen no se
informarán por teléfono ni fax. Para evitar que la notificación por correo electrónico sea enviada a las carpetas de correo no solicitado (spam), los candidatos
deberán agregar exam@isaca.org a su directorio de direcciones, lista de direcciones aprobadas o lista de remitentes seguros.
Los candidatos recibirán un informe de calificaciones que contiene una calificación para cada área de dominio. Los candidatos que tuvieron éxito recibirán,
junto con un informe de calificaciones, detalles sobre cómo solicita la certificación CISA. Los candidatos que no tuvieron éxito, recibirán, junto con un informe
de calificaciones, una copia del nuevo Boletín de información CISA.
Las diferentes calificaciones pueden ser útiles para identificar las áreas en las que el candidato reprobado puede necesitar más preparación antes de volver a tomar
el examen. Los candidatos reprobados deben tener en cuenta que la calificación total escalada no se puede determinar al calcular un promedio simple o ponderado
de las diferentes calificaciones.
Los candidatos que obtengan una calificación reprobatoria en el examen pueden solicitar la calificación manual de sus hojas de respuestas. Este procedimiento
garantiza que la calificación computarizada no haya sido alterada por posibles marcas imprecisas, respuestas múltiples u otras condiciones. Sin embargo, los
candidatos deben entender que todas las calificaciones son sometidas a varias verificaciones de control de calidad antes de su divulgación; por lo tanto, lo
más probable es que las revisiones manuales no produzcan ningún cambio en la calificación. Las solicitudes de calificación manual se deben presentar por
escrito al departamento de certificación dentro de los 90 días siguientes a la divulgación de los resultados del examen. Las solicitudes de calificación manual
presentadas después de ese plazo no serán procesadas. Todas las solicitudes deben incluir el nombre del candidato, el número de identificación del examen y
la dirección de correo. Cada solicitud requiere un pago de US $50.
Todas las preguntas del examen CISA tienen el formato de planteamiento de un problema (pregunta) y cuatro opciones (opciones de respuesta). Se pide al
candidato que elija la respuesta correcta o la mejor respuesta entre las opciones. El problema se puede formular como una pregunta o como un enunciado
incompleto. En algunas situaciones, pudiera incluirse un escenario. Estas preguntas normalmente incluyen la descripción de una situación y requieren que el
candidato responda dos o más preguntas basándose en la información suministrada. Se recuerda al candidato que debe leer cada pregunta cuidadosamente.
Algunas preguntan del examen CISA pudieran requerir que el candidato elija la respuesta apropiada con base en un calificativo, como MÁS probable o EL
MEJOR. En cada caso, el candidato debe leer la pregunta cuidadosamente, eliminar las respuestas que sean claramente incorrectas y luego hacer la mejor
elección posible. Están disponibles modelos del examen CISA en www.isaca.org/cisaassessment.
6
Guía del candidato para el Examen y la Certificación CISA®
Para obtener la certificación, se requiere un período mínimo de cinco años de experiencia laboral profesional en auditoría, control, aseguramiento o seguridad
de SI. Se puede obtener sustituciones o excepciones a la experiencia de la siguiente manera:
• Un máximo de un año en sistemas de información O un año de experiencia en auditoría no relacionada con SI puede sustituir un año de experiencia.
• Se puede sustituir de 60 a 120 horas completas de crédito universitario semestral (el equivalente a un título universitario de dos o cuatro años), no limitado
por la restricción de 10 años detallada posteriormente, por uno o dos años, respectivamente, de experiencia. Incluso si se han obtenido múltiples títulos, sólo
se puede cambiar por un máximo de dos años.
• Se puede sustituir un título de licenciatura o master de una universidad que apoye el Currículum Modelo patrocinado por ISACA por un año de experiencia.
Para ver una lista de estas escuelas, por favor dirigirse a www.isaca.org/modeluniversities. No se puede usar esta opción si ya se han reclamado tres años de
sustitución de experiencia y excepción educativa.
• Un título de master en seguridad de información o tecnología de la información de una universidad reconocida se puede sustituir por un año de experiencia.
Excepción: Se pueden sustituir dos años de experiencia como instructor universitario de tiempo completo en un campo relacionado (por ejemplo: ciencias de la
computación, contabilidad, o auditoría de sistemas de información) por cada año de experiencia.
La experiencia se debe haber obtenido dentro del período de 10 años que precede a la fecha de solicitud de certificación CISA o dentro de los cinco años
posteriores a la fecha de haber aprobado el examen inicialmente. Si la solicitud de certificación CISA no se presenta dentro de los cinco años posteriores
a la fecha de aprobación del examen, será necesario volver a tomar y aprobar el examen.
Es importante resaltar que muchas personas deciden tomar el examen CISA antes de cumplir con los requisitos de experiencia. Esta práctica es aceptable
y recomendada, aunque la designación CISA no se concederá hasta que se haya cumplido con todos los requisitos.
7
Guía del candidato para el Examen y la Certificación CISA®
Descripción de las áreas de práctica laboral del CISA
Enunciados de tareas y conocimientos del CISA
ÁREA DE CONTENIDO (Dominio)
1. El proceso de auditoría de SI—Proveer servicios de auditoría de SI de acuerdo con las normas, pautas y mejores prácticas de auditoría de
SI para ayudar a la organización en sus esfuerzos por asegurarse de que sus sistemas de tecnología de la información y de negocios estén
protegidos y controlados.
Enunciados de tareas
1.1 D esarrollar e implementar una estrategia de auditoría de SI basada en riesgos para la organización de acuerdo con las normas, guías y mejores
prácticas de auditoría de SI.
1.2 Planificar auditorías específicas para asegurar que los sistemas de TI y de negocios estén protegidos y controlados.
1.3 Realizar auditorías de acuerdo con las normas, guías y mejores prácticas de auditoría de SI para alcanzar los objetivos de auditoría planificados.
1.4 Comunicar los problemas que surjan, los riesgos potenciales y los resultados de la auditoría a las principales partes interesadas.
1.5 Asesorar sobre la implementación de prácticas de control y gestión de riesgos dentro de la organización y, al mismo tiempo, mantener la independencia.
Enunciados de conocimientos
1.1 Conocimiento de las normas, guías y procedimientos de auditoría de SI y del Código de Ética Profesional de ISACA
1.2 Conocimiento de las prácticas y técnicas de auditoría de SI
1.3 C onocimiento de técnicas para recolectar información y preservar evidencia (por ejemplo, observación, indagación, entrevista, herramientas
y técnicas de auditoría computarizada (CAATT) y medios electrónicos)
1.4 Conocimiento del ciclo de vida de la evidencia (por ejemplo, recolección, protección, cadena de custodia)
1.5 Conocimiento de los objetivos de control y controles relacionados con SI (por ejemplo, CobiT)
1.6 Conocimiento de la evaluación de riesgos en el contexto de una auditoría
1.7 Conocimiento de las técnicas de planificación y gerencia de auditorías
1.8 Conocimiento de las técnicas de reporte y comunicación (por ejemplo, facilitación, negociación y resolución de conflictos)
1.9 Conocimiento de la autoevaluación de control (CSA)
1.10 Conocimiento de técnicas de auditoría continua
2. Gobierno de TI—Asegurar que la organización haya establecido la estructura, las políticas, la rendición de cuentas, los mecanismos y las prácticas
de seguimiento para lograr los requisitos de gobierno corporativo de TI.
Enunciados de tareas
2.1 E valuar la efectividad de la estructura de gobierno de TI para asegurar un control gerencial adecuado sobre las decisiones, instrucciones
y ejecución de TI de modo que respalde las estrategias y objetivos de la organización.
2.2 E valuar la estructura organizativa de TI y la gerencia de recursos humanos (personal) para asegurar que respalden las estrategias y los objetivos
de la organización.
2.3 E valuar la estrategia y el proceso de TI para su desarrollo, aprobación, implementación y mantenimiento a fin de asegurar que respalde
las estrategias y los objetivos de la organización.
2.4 E valuar las políticas, normas y procedimientos de TI de la organización y los procesos para su desarrollo, aprobación, implementación y
mantenimiento a fin de asegurar que respalden la estrategia de TI y cumplan con los requisitos legales y las regulaciones.
2.5 Evaluar las prácticas gerenciales para asegurar que cumplan con la estrategia de TI, las políticas, las normas y los procedimientos de la organización.
2.6 E valuar las prácticas de inversión, uso y asignación de recursos de TI para asegurar que concuerden con las estrategias y los objetivos
de la organización.
2.7 E valuar las estrategias de contratación de TI y las políticas y prácticas gerenciales de contratos para asegurar que respalden las estrategias
y los objetivos de la organización.
2.8 Evaluar las prácticas gerenciales de riesgos para asegurar que los riesgos de la organización relacionados con TI sean manejados adecuadamente.
2.9 E valuar las prácticas de seguimiento y aseguramiento para garantizar que la junta directiva y la gerencia ejecutiva reciban información suficiente
y oportuna sobre la ejecución de TI.
Enunciados de conocimientos
2.1 C onocimiento del propósito de las estrategias, políticas, normas y procedimientos de IT para una organización y los elementos esenciales de cada
uno de ellos
2.2 Conocimiento de las estructuras de gobierno de TI
2.3 C onocimiento de los procesos para desarrollar, implementar y mantener las estrategias, políticas, normas y procedimientos de TI (por ejemplo,
protección de los activos de información, continuidad del negocio y recuperación en caso de desastre, gerencia del ciclo de vida de la
infraestructura y los sistemas, y soporte y entrega de los servicios de TI)
2.4 Conocimiento de las estrategias y políticas de gerencia de la calidad
2.5 Conocimiento de la estructura de la organización, las funciones y las responsabilidades relacionadas con el uso y la gerencia de TI
8
Guía del candidato para el Examen y la Certificación CISA®
ÁREA DE CONTENIDO (Dominio)
2. Gobierno de TI (continuación )
2.6 Conocimiento de las normas y guías de TI aceptadas en el ámbito internacional
2.7 Conocimiento de la arquitectura de TI de la empresa y sus implicaciones en el establecimiento de metas estratégicas a largo plazo
2.8 Conocimiento de las metodologías y herramientas de gerencia de riesgos
2.9 Conocimiento del uso de las estructuras de control (por ejemplo, CobiT, COSO y ISO/IEC 17799)
2.10 Conocimiento del uso de los modelos de madurez y mejoramiento del proceso (por ejemplo, CMM y CobiT)
2.11 Conocimiento de las estrategias y procesos de contratación y de las prácticas gerenciales de contratación
2.12 Conocimiento de las prácticas de monitoreo y reporte de la ejecución de TI (por ejemplo, cuadros de mando integrales e indicadores clave
de desempeño)
2.13 Conocimiento de temas relevantes sobre legislaciones y regulaciones (por ejemplo, requisitos de privacidad, propiedad intelectual
y gobierno corporativo)
2.14 Conocimiento de la gerencia de recursos humanos (personal) de TI
2.15 Conocimiento de las prácticas de inversión en recursos de TI y asignación de los mismos (por ejemplo, retorno de la inversión de la gerencia
de portafolio)
3. Gerencia del ciclo de vida de la infraestructura y los sistemas—Asegurar que las prácticas gerenciales de desarrollo/adquisición, prueba,
implementación, mantenimiento y eliminación de sistemas e infraestructura cumplan con los objetivos de la organización.
Enunciados de tareas
3.1 E valuar los casos de negocio para el desarrollo/adquisición del sistema propuesto a fin de asegurar que cumpla con las metas de negocio
de la organización.
3.2 Evaluar la estructura gerencial del proyecto y las prácticas de gobierno de proyectos para asegurar que los objetivos de negocio se alcancen
de una manera rentable, al tiempo que se controlan los riesgos para la organización.
3.3 Realizar revisiones para asegurar que un proyecto esté avanzando de acuerdo con los planes del proyecto, esté respaldado adecuadamente
por documentación y que la notificación de su estado sea correcta.
3.4 Evaluar los mecanismos de control propuestos para los sistemas y/o la infraestructura durante las fases de especificación, desarrollo/adquisición
y pruebas para asegurar que provean seguridad y cumplan con las políticas de la organización y otros requisitos.
3.5 Evaluar los procesos aplicados para desarrollar/adquirir y probar los sistemas y/o la infraestructura a fin de asegurar que los productos satisfagan
los objetivos de la organización.
3.6 Evaluar el grado de preparación del sistema y/o la infraestructura para su implementación y migración a la fase de producción.
3.7 Realizar la revisión de sistemas y/o infraestructura posterior a la implementación para asegurar que cumplan con los objetivos de la organización
y que estén sometidos a control interno efectivo.
3.8 Realizar revisiones periódicas de los sistemas y/o la infraestructura para asegurar que continúen cumpliendo con los objetivos de la organización
y estén sometidos a control interno efectivo.
3.9 Evaluar el proceso aplicado para el mantenimiento de los sistemas y/o la infraestructura a fin de asegurar el continuo respaldo de los objetivos de
la organización y que los sistemas y/o la infraestructura estén sometidos a control interno efectivo.
3.10 Evaluar el proceso aplicado para eliminar sistemas y/o infraestructura a fin de asegurar que cumplan con las políticas y procedimientos de la organización.
Enunciados de conocimientos
3.1 Conocimiento de las prácticas gerenciales relacionadas con beneficios (por ejemplo, estudios de factibilidad y casos de negocio)
3.2 Conocimiento de los mecanismos de gobierno de proyectos (por ejemplo, comité directivo y junta de supervisión de proyectos)
3.3 Conocimiento de las prácticas, herramientas y estructuras de control de gerencia de proyectos
3.4 Conocimiento de las prácticas gerenciales aplicadas a proyectos
3.5 Conocimiento de los criterios y riesgos de éxito de un proyecto
3.6 Conocimiento de la gestión de configuración, cambio y liberación (release) en relación con el desarrollo y mantenimiento de sistemas
y/o infraestructura
3.7 Conocimiento de los objetivos y técnicas de control que aseguran la completitud, exactitud, validez y autorización de las transacciones y los datos
dentro de las aplicaciones de los sistemas de TI
3.8 Conocimiento de la arquitectura empresarial relacionada con datos, aplicaciones y tecnología (por ejemplo, aplicaciones distribuidas, aplicaciones
basadas en Internet, servicios a través de Internet y aplicaciones de n-capas)
3.9 Conocimiento de las prácticas de gerencia y análisis de requerimientos (por ejemplo, verificación de requerimientos, trazabilidad y análisis de brechas)
3.10 Conocimiento de los procesos de adquisición y gerencia de contratos (por ejemplo, evaluación de proveedores, preparación de contratos, gerencia
de proveedores y garantía en depósito)
3.11 Conocimiento de las metodologías y herramientas de desarrollo de sistemas y comprensión de sus fortalezas y debilidades (por ejemplo, prácticas
de desarrollo ágil, desarrollo de prototipos, desarrollo rápido de aplicaciones y técnicas de diseño orientado a objetos)
3.12 Conocimiento de los métodos de aseguramiento de la calidad
9
Guía del candidato para el Examen y la Certificación CISA®
ÁREA DE CONTENIDO (Dominio)
3. Gerencia del ciclo de vida de la infraestructura y los sistemas (continuación )
3.13 C onocimiento de los procesos de gerencia de pruebas (por ejemplo, estrategias de pruebas, planes de pruebas, entornos de prueba, criterios de
aceptación o rechazo)
3.14 Conocimiento de las herramientas, técnicas y procedimientos de conversión de datos
3.15 Conocimiento de los procedimientos de eliminación de sistemas y/o infraestructura
3.16 Conocimiento de las prácticas de certificación y acreditación de software y hardware
3.17 C onocimiento de los objetivos y métodos de revisión posterior a la implementación (por ejemplo, conclusión del proyecto, obtención de beneficios
y medición del desempeño)
3.18 Conocimiento de las prácticas de migración de sistemas e implementación de infraestructura
4. Soporte y entrega de los servicios de TI—Asegurar que las prácticas gerenciales de servicios de TI garanticen la entrega del nivel de servicios
requerido para satisfacer los objetivos de la organización.
Enunciados de tareas
4.1 Evaluar las prácticas gerenciales de nivel de servicio para asegurar el establecimiento y control del nivel de servicio recibido de proveedores
internos y externos.
4.2 Evaluar la gestión de operaciones para asegurar que las funciones de soporte de TI satisfagan efectivamente las necesidades de negocio.
4.3 Evaluar las prácticas de administración de datos para asegurar la integridad y optimización de las bases de datos.
4.4 Evaluar el uso de herramientas y técnicas de monitoreo del desempeño y capacidad para asegurar que los servicios de TI cumplan con los
objetivos de la organización.
4.5 Evaluar las prácticas gerenciales de cambio, configuración y liberación para asegurar que los cambios hechos al entorno de producción de la
organización estén controlados y documentados adecuadamente.
4.6 Evaluar las prácticas gerenciales de problemas e incidentes para asegurar que los incidentes, problemas y errores sean registrados, analizados y
resueltos de manera oportuna.
4.7 Evaluar la funcionalidad de la infraestructura de TI (por ejemplo, componentes de red, hardware y software del sistema) para asegurar que
respalde los objetivos de la organización.
Enunciados de conocimientos
4.1 Conocimiento de las prácticas gerenciales de nivel de servicio
4.2 Conocimiento de las mejores prácticas gerenciales de operaciones (por ejemplo, programación de la carga de trabajo, gerencia de servicios de red
y mantenimiento preventivo)
4.3 Conocimiento de los procesos, herramientas y técnicas de monitoreo del desempeño del sistema (por ejemplo, analizadores de red, informes
de utilización del sistema y balanceo de carga)
4.4 Conocimiento de la funcionalidad de los componentes de hardware y red (por ejemplo, enrutadores, conmutadores, firewall y periféricos)
4.5 Conocimiento de las prácticas de administración de bases de datos
4.6 Conocimiento de la funcionalidad del software de sistema, que incluye sistemas operativos, utilidades y sistemas de administración de bases de datos
4.7 Conocimiento de las técnicas de planificación y monitoreo de la capacidad
4.8 Conocimiento de los procesos para gestionar los cambios programados y de emergencia en los sistemas y/o la infraestructura de producción,
incluyendo las prácticas gerenciales de cambio, configuración, liberación y parches
4.9 Conocimiento de las prácticas gerenciales de incidentes/problemas (por ejemplo, help desk, procedimientos de escalamiento y trazabilidad)
4.10 Conocimiento de las prácticas de licenciamiento e inventario de software
4.11 Conocimiento de las herramientas y técnicas de resiliencia del sistema (por ejemplo, hardware con tolerancia de fallas, eliminación de punto único
de falla y clustering)
5. Protección de los activos de información—Asegurar que la arquitectura de seguridad (políticas, estándares, procedimientos y controles)
garantiza la confidencialidad, integridad y disponibilidad de los activos de información.
Enunciados de tareas
5.1 E valuar el diseño, la implementación y el monitoreo de los controles de acceso lógicos para asegurar la confidencialidad, integridad, disponibilidad
y uso autorizado de los activos de información.
5.2 Evaluar la seguridad de la infraestructura de red para asegurar la confidencialidad, integridad, disponibilidad y uso autorizado de la red y de la
información transmitida.
5.3 Evaluar el diseño, implementación y monitoreo de controles ambientales para prevenir o minimizar pérdidas.
5.4 Evaluar el diseño, implementación y monitoreo de controles de acceso físico para asegurar que los activos de información se encuentren
adecuadamente protegidos.
5.5 Evaluar los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información confidencial.
10
Guía del candidato para el Examen y la Certificación CISA®
ÁREA DE CONTENIDO (Dominio)
5. Protección de los activos de información (continuación)
Enunciados de conocimientos
5.1 C onocimiento de las técnicas de diseño, implementación y monitoreo de seguridad (por ejemplo, evaluación de amenaza y riesgo, análisis
de sensibilidad y evaluación del impacto sobre la privacidad)
5.2 C onocimiento de controles de acceso físico para la identificación, autenticación y restricción de usuarios a funciones y datos autorizados
(por ejemplo, contraseñas dinámicas, reto/respuesta, menús y perfiles)
5.3 C onocimiento de arquitecturas de seguridad de acceso lógico (por ejemplo, sigle sign-on, estrategias de identificación de usuario y administración
de identidad)
5.4 C onocimiento de métodos y técnicas de ataque (por ejemplo, hacking, spoofing, caballos de troya, denegación de servicio y spamming)
5.5 C onocimiento de procesos relacionados con seguimiento y respuesta a incidentes de seguridad (por ejemplo, procedimientos de escalamiento
de problemas y equipo de respuesta a incidentes de emergencia)
5.6 Conocimiento de dispositivos, protocolos y técnicas de seguridad de redes e Internet (por ejemplo, SSL, SET, VPN y NAT)
5.7 Conocimiento de sistemas de detección de intrusos y configuración, implementación y mantenimiento de firewall
5.8 Conocimiento de técnicas de algoritmos de cifrado (por ejemplo, AESRSA)
5.9 C onocimiento de componentes de infraestructura de llave pública (PKI) (por ejemplo, autoridades de certificación y autoridades de registro)
y técnicas de firma digital
5.10 Conocimiento de herramientas de detección y técnicas de control de virus
5.11 Conocimiento de herramientas de prueba y evaluación de seguridad (por ejemplo, prueba de penetración y análisis de vulnerabilidad)
5.12 C
onocimiento de prácticas y dispositivos de protección ambiental (por ejemplo, extinción de incendios, sistemas de refrigeración y sensores
de humedad)
5.13 C
onocimiento de prácticas y sistemas físicos de seguridad (por ejemplo, biometría, tarjetas de acceso, bloqueo con clave por teclado -cipher
locks- y tokens)
5.14 Conocimiento de esquemas de clasificación de datos (por ejemplo, datos públicos, confidenciales, privados y sensitivos)
5.15 Conocimiento de seguridad en comunicaciones de voz (por ejemplo, voz sobre IP)
5.16 C
onocimiento de los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información
confidencial
5.17 C
onocimientos de controles y riesgos asociados con el uso de dispositivos portátiles e inalámbricos (por ejemplo, PDAs, dispositivos USB
y dispositivos Bluetooth)
6. Continuidad del negocio y recuperación ante desastres—Asegurar que, en el evento de una interrupción, los procesos de recuperación ante
desastres y la continuidad del negocio garantizarán la renovación oportuna de servicios de TI, a la vez que reducirán al mínimo el impacto en la empresa.
Enunciados de tareas
6.1 Evaluar lo adecuado de las copias de respaldo y recuperación para asegurar la disponibilidad de la información requerida para reanudar
el procesamiento.
6.2 Evaluar el plan de recuperación ante desastres para asegurar que permite la recuperación de las capacidades de procesamiento de TI en caso
de un desastre.
6.3 Evaluar el plan de continuidad del negocio de la organización para asegurar su capacidad de continuar con operaciones empresariales esenciales
durante el período de una interrupción de TI.
Enunciados de conocimientos
6.1 Conocimiento de procesos y prácticas de respaldo, almacenamiento, mantenimiento, retención y restauración de datos
6.2 Conocimiento de asuntos reglamentarios, legales, contractuales y relacionados con seguros relativos a la continuidad del negocio y recuperación
ante desastres
6.3 Conocimiento de análisis de impacto del negocio (BIA, business impact analysis)
6.4 Conocimiento del desarrollo y mantenimiento de los planes de continuidad del negocio y recuperación ante desastres
6.5 Conocimiento de enfoques y métodos de prueba de continuidad del negocio y recuperación ante desastres
6.6 Conocimiento de prácticas gerenciales de recursos humanos relacionadas con la continuidad del negocio y recuperación ante desastres (por
ejemplo, planificación de evacuación y equipos de respuesta)
6.7 Conocimiento de procesos utilizados para invocar los planes de continuidad del negocio y recuperación ante desastres
6.8 Conocimiento de tipos de sitios y métodos de procesamiento alterno para hacer seguimiento de los acuerdos contractuales (por ejemplo, hot sites,
warm sites y cold sites)
11
Prepárese para los exámenes CISA 2010
SOLICÍTELOS YA— Materiales de revisión de preparación para el examen y desarrollo profesional CISA® 2010
Para pasar el examen Certified Information Systems AuditorTM (CISA), los candidatos deben tener un plan de estudio organizado. Para asistir a las personas con el
desarrollo de un plan de estudio exitoso, ISACA® ofrece ayudas de estudio y cursos de repaso (www.isaca.org/cisareview) para los candidatos al examen.
Manual de Preparación al Examen CISA 2010 Para asistir a los candidatos a aprovechar al máximo el estudio, las preguntas se
ISACA presentan de las dos maneras siguientes:
• Ordenadas por área de práctica de trabajo
El Manual de Preparación al Examen CISA® 2010 es una completa guía de • Desordenadas, simulando un ejemplo de examen de 200 preguntas
referencia diseñada para ayudar a los individuos en la preparación para el examen
CISA y quienes desean entender el papel y la responsabilidad del auditor de sistemas QAE-10 Edición en inglés QAE-10J Edición en japonés
de la información. El manual ha evolucionado en las últimas ediciones y ahora QAE-10I Edición en italiano QAE-10S Edición en español
representa el recurso de gestión de auditoría de sistemas de la información más
actualizado, completo, comentado por colegas disponible a nivel mundial. Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA
El Manual de Preparación al Examen CISA 2010 tiene un formato nuevo. Cada Suplemento 2010
uno de los seis capítulos ha sido dividido en dos secciones para que el estudio se ISACA
pueda concentrar. La primera sección de cada capítulo contiene las definiciones y los
objetivos de las seis áreas, junto con las tareas correspondientes que deben realizar Para prepararse para el examen CISA de 2010, se recomienda el Manual de
los auditores de sistemas de la información (SI) y los conocimientos relacionados Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento
(necesarios para planificar, gestionar y realizar auditorías de SI) 2010, que se elabora cada año. Este suplemento consta de 100 nuevas preguntas,
que se ponen a prueba en el examen. respuestas y explicaciones de ejemplo, creadas con base en las áreas actuales de
prácticas de trabajo de CISA, usando un proceso de desarrollo similar al que se
La Sección Uno presenta una visión general que proporciona: usa para desarrollar los ítems para el examen real. El objetivo de estas preguntas es
• Definiciones para las seis áreas brindar a los candidatos a CISA una mayor comprensión del tipo y estructura de las
• Objetivos para cada área preguntas que han aparecido en general en exámenes anteriores, y fueron preparadas
• Descripciones de las tareas específicamente para estudiar para el examen CISA.
• Un mapa de la relación que existe entre cada tarea y los conocimientos relacionados
• Una guía de referencia para los conocimientos relacionados, que incluye los CQA-10ES Edición en inglés CQA-10JS Edición en japonés
conceptos y las explicaciones relevantes QAE-10FS Edición en francés QAE-10SS Edición en español
• Referencias a contenido específico en la Sección Dos para cada conocimiento QAE-10IS Edición en italiano
relacionado
• Ejemplos de preguntas de práctica y explicaciones de las respuestas
• Recursos sugeridos para estudios posteriores Base de Datos de Preguntas de Práctica v10 CISA
ISACA
La Sección Dos consta de material y contenido de referencia que respaldan los
conocimientos relacionados. El material incluido corresponde al conocimiento La Base de Datos de Preguntas de Práctica v10 CISA® combina el Manual de
y/o entendimiento de importancia para los candidatos a CISA, al prepararse para Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA 2010 con el
tomar el examen de certificación de CISA. Además, el Manual de Preparación al Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA
Examen CISA 2010 incluye resúmenes breves de los temas principales y casos de Suplemento 2010 en una guía completa para estudio con 900 preguntas. Se pueden
estudio para ayudar a los candidatos a comprender las prácticas actuales. También tomar ejemplos de exámenes con preguntas seleccionadas al azar y se pueden ver los
se incluyen las definiciones y los términos que con mayor frecuencia aparecen en el resultados por área de práctica de trabajo, lo que permite que el candidato se concentre
examen. en un área de estudio a la vez. Además, las preguntas generadas durante una sesión
de estudio están clasificadas de acuerdo a la historia de calificaciones previas del
Este manual puede usarse como documento único para estudio individual o como usuario, lo que permite a los candidatos a CISA identificar rápida y fácilmente sus
una guía o referencia para grupos de estudio y capítulos que ofrezcan cursos de puntos fuertes y débiles y concentrar de esa manera su estudio de acuerdo a lo que
repaso a nivel local. necesiten. Otras características permiten la selección de ejemplos de exámenes por
La edición de 2010 se desarrolló y organizó con el fin de preparar a los candidatos área de práctica de trabajo específica, revisión de preguntas que fueron respondidas
para comprender los conceptos fundamentales y estudiar las siguientes áreas anteriormente en forma incorrecta y la variación de la duración de las sesiones de
prácticas laborales: estudio. La base de datos está disponible en formato CD-ROM o como una descarga.
• Proceso de auditoría de SI POR FAVOR NOTE los requerimientos del sistema a continuación:
• Gobierno de TI • Procesador Pentium de 400 MHz o equivalente (mínimo); procesador Pentium
• Gestión del ciclo de vida de infraestructura y sistemas de 1 GHz o equivalente (recomendado)
• Soporte y prestación de los servicios de TI • Sistemas operativos compatibles: Windows Server 2003, Windows Server 2008,
• Protección de los activos de información Windows Vista, Windows XP
• Continuidad del negocio y recuperación ante desastres • 512 MB de RAM o más
CRM-10 Edición en inglés CRM-10J Edición en japonés • Una unidad de disco duro con 250 MB de espacio disponible (las unidades de
CRM-10F Edición en francés CRM-10S Edición en español almacenamiento flash/portátiles no son compatibles)
CRM-10I Edición en italiano • Ratón
• Unidad de CD-ROM