Certified Information

Systems Auditor
TM

Una certificación ISACA

Guía del candidato para el

Examen y la Certificación CISA

TM
 Guía del candidato para el Examen y la Certificación CISA®
Exámenes CISA 2010—
Información importante sobre fechas
Fecha del examen—12 de junio de 2010
Plazo de inscripción temprana: 10 de febrero de 2010
Plazo de inscripción final: 7 de abril de 2010
Modificación de inscripciones
para el examen: Entre el 17 y el 23 de abril, se aplica
un cargo de US $50 y no se aceptan
cambios después del 23 de abril de 2010
Reembolsos: Hasta el 16 de abril de 2010, se aplica un
cargo de procesamiento de US $100 y no
se procesan reembolsos después de esa
fecha
Aplazamientos: Para las solicitudes recibidas el o antes
del 23 de abril de 2010 se aplica un
cargo de procesamiento de US $50. Para
las solicitudes recibidas del 24 de abril al
27 de mayo de 2010, se aplica un cargo
de procesamiento de US $100. Después
del 27 de mayo de 2010, no se permiten
aplazamientos.
Fecha del examen—11 de diciembre de 2010
Plazo de inscripción temprana: 18 de agosto de 2010
Plazo de inscripción final: 6 de octubre de 2010
Modificación de inscripciones
para el examen: Entre el 9 y el 15 de octubre, se aplica
un cargo de US $50 y no se aceptan
cambios después del 15 de octubre
de 2010
Reembolsos: Hasta el 8 de octubre de 2010, se aplica
un cargo de procesamiento de
US $100 y no se procesan reembolsos
después de esa fecha
Aplazamientos: Para las solicitudes recibidas el o antes
del 15 de octubre de 2010 se aplica un
cargo de procesamiento de US $50. Para
las solicitudes recibidas del 16 de octubre
al 24 de noviembre de 2010 se aplica
un cargo de procesamiento de US $100.
Después del 24 de noviembre de 2010,
no se permiten aplazamientos.
Todos los plazos vencen a las 5 p.m. de Chicago, Illinois, EE.UU.
(hora del centro de los EE.UU.).
2
Tabla de Contenido
Generalidades..........................................................................3
Acreditación del programa CISA renovada
Bajo ISO/IEC 17024:2003.........................................................3
El examen CISA........................................................................3
Preparación para el examen CISA..........................................4
Administración del examen CISA...........................................4
Calificación del examen CISA.................................................6
Tipos de preguntas en el examen CISA..................................6
Solicitud de Certificación CISA...............................................6
Requisitos para obtener la certificación inicial CISA............6
Requisitos para mantener la certificación CISA....................7
Código de Ética Profesional de ISACA....................................7
Revocación de la certificación CISA.......................................7
Enunciados de tareas y conocimientos del CISA...................8
ISACA®
Con más de 86,000 miembros en más de 160 países, ISACA
(www.isaca.org) es reconocida como el líder mundial en gobierno,
control, seguridad y aseguramiento de TI. Fundada en 1969, ISACA
patrocina conferencias internacionales, publica el ISACA Journal® y
desarrolla estándares de auditoría y control de sistemas de información
a nivel internacional. También administra la designación mundialmente
respetada Certified Information Systems Auditor™ (CISA®), obtenida
por más de 60,000 profesionales desde 1978; la designación Certified
Information Security Manager® (CISM®), obtenida por más de 10.000
profesionales desde 2002 y la nueva designación Certified in the
Governance of Enterprise IT® (CGEIT®).
Cláusula de exención de responsabilidad
ISACA y la Junta de certificación CISA han diseñado La Guía del
candidato para el Examen y la Certificación CISA® como una ayuda
para quienes aspiran a la certificación CISA. No se establece ninguna
afirmación ni garantía por parte de ISACA en relación con estas u
otras publicaciones que asegure de ninguna forma que los candidatos
aprobarán el examen CISA.
Reservación de derechos
Copyright © 2009 ISACA. Se prohíbe la reproducción o el
almacenamiento en cualquier formato por cualquier razón sin
previa autorización de ISACA. No se otorga otra clase de derechos ni
permisos en relación con este trabajo. Todos los derechos reservados.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: exam@isaca.org
Página Internet: www.isaca.org
Guía del candidato para el Examen y la Certificación CISA
Impreso en los Estados Unidos de América.
Guía del candidato para el Examen y la Certificación CISA®

Generalidades
El símbolo de excelencia de un programa de certificación profesional es el valor y el reconocimiento que concede al individuo que lo obtiene. Desde 1978, el
programa Certified Information Systems Auditor (CISA), patrocinado por ISACA, ha sido el estándar de éxito aceptado en todo el mundo entre los profesionales
de auditorias, control y seguridad de sistemas de información.

Las destrezas y prácticas técnicas que promueve y evalúa CISA son los pilares del éxito en el campo. Poseer la designación CISA demuestra competencia y es
la base de medición en la profesión. Con una demanda creciente de profesionales con destrezas en auditorías, control y seguridad de sistemas de información,
CISA se ha convertido en el programa de certificación preferido por individuos y organizaciones en todo el mundo. La certificación CISA significa comprometerse
a servir a una organización y la profesión elegida con distinción.

Acreditación del programa CISA renovada bajo ISO/IEC 17024:2003

El Instituto Nacional de Normalización Estadounidense (ANSI, por sus siglas en inglés) ha acreditado la certificación CISA bajo norma ISO/IEC 17024:2003,
Requisitos Generales para los Organismos que Operan Sistemas de Certificación de Personal. ANSI, una organización privada sin fines de lucro que acredita
a otras organizaciones para que sirvan como certificadores de productos, sistemas y personal de terceros.

ISO/IEC 17024 especifica los requisitos a cumplir por las organizaciones que certifican a individuos en cuanto a requerimientos
específicos. Según ANSI, de ISO/IEC 17024 “se espera que desempeñe un papel vital a la hora de facilitar una estandarización global
de la comunidad de certificación, aumentar la movilidad entre países y mejorar la seguridad pública y proteger a los consumidores”.

La acreditación de ANSI: Programa acreditado por ANSI

• Promueve la pericia y las calificaciones exclusivas de las certificaciones que provee ISACA CERTIFICACIÓN DE PERSONAL
#0694
• Protege la integridad de las certificaciones y brinda defensa legal ISO/IEC 17024
• Mejora la confianza del consumidor y del público en cuanto a las certificaciones y las personas que las poseen
• Facilita la movilidad a través de fronteras o entre industrias

La acreditación de ANSI significa que los procedimientos de ISACA cumplen con los requisitos esenciales de ANSI en cuanto a transparencia, equilibrio, consenso y
debido proceso. Con esta acreditación, ISACA espera que continúen presentándose oportunidades significativas para los CISA en todo el mundo.

El examen CISA
Desarrollo/Descripción del Examen CISA
El Comité de certificación CISA supervisa el desarrollo del examen y garantiza la vigencia del contenido. Las preguntas del examen CISA se desarrollan a través
de un proceso exhaustivo diseñado para consolidar la calidad final del examen. El proceso incluye un Subcomité de mejora de exámenes (TES) que trabaja con
los redactores de los ítems para desarrollar y revisar las preguntas antes de enviarlas al Comité de certificación CISA para su revisión.

La práctica laboral sirve de base para el examen y para los requisitos de experiencia para obtener la certificación CISA. Esta práctica laboral se actualiza
periódicamente y consta de seis áreas de contenido (dominios). Los dominios y los enunciados de tareas y de conocimiento que los acompañan fueron el
resultado de investigaciones y discusiones extensas por parte de expertos de todo el mundo en el área.

Los enunciados de tareas y conocimientos representan las tareas realizadas por los CISA y el conocimiento requerido para realizar estas tareas. Los candidatos
al examen se evaluarán de acuerdo a su conocimiento práctico asociado a la realización de estas tareas.

El análisis práctico laboral actual contiene los siguientes dominios y porcentajes:

• El proceso de auditoría de SI (10%)
• Gobierno de TI (15%)
• Administración del ciclo de vida de infraestructura y sistemas (16%)
• Soporte y entrega de servicios de TI (14%)
• Protección de los activos de información (31%)
• Continuidad del negocio y recuperación ante desastres (14%)

Nota: Los porcentajes que aparecen en los dominios indican el énfasis o porcentaje de preguntas que aparecerán en el examen en cada dominio.
Para obtener una descripción de los enunciados de tareas y conocimientos de cada dominio, consulte las páginas 8-11.

El examen consta de 200 preguntas de selección múltiple y se administra dos veces al año; en junio y diciembre, durante una sesión de cuatro horas. Los
candidatos pueden elegir presentar el examen en uno de varios idiomas. Si desea una lista actualizada de idiomas, visite www.isaca.org/cisaterminology.

A pesar de que el conocimiento sobre los Objetivos de control para la información y tecnologías relacionadas (CobiT®) no se evalúa específicamente en el
examen CISA, los objetivos o procesos de control CobiT se reflejan en los enunciados de tareas de prácticas laborales CISA. Debido a su importancia, se
recomienda una revisión exhaustiva de CobiT como preparación para los candidatos al examen CISA. Para centrar la atención de un candidato hacia los
procesos específicos CobiT relacionados con las tareas de análisis de las prácticas CISA, vaya a www.isaca.org/cisaguide.

3
 Guía del candidato para el Examen y la Certificación CISA®
Preparación para el examen CISA
Se puede lograr la aprobación del examen CISA mediante un plan de estudios organizado. A fin de brindar apoyo a las personas con el desarrollo de un plan de
estudio exitoso, ISACA ofrece guías de estudio y cursos de repaso para los candidatos al examen. Vaya a www.isaca.org/cisaguide para conocer las guías de
estudio de ISACA que pueden ayudarle en su preparación para el examen. Envíe su orden con anticipación, ya que el tiempo de entrega puede ser de una a cuatro
semanas dependiendo de la ubicación geográfica y las prácticas aduaneras. Para información actualizada sobre envíos, refiérase a www.isaca.org/shipping.

ISACA también ofrece el Curso de Repaso en línea CISA®. El curso incluye ejercicios interactivos, casos de estudio, herramientas de repaso y
NUEVO preguntas de práctica. Visite www.isaca.org/elearning para obtener más información y una vista preliminar del curso.

Puede encontrar una lista de referencias recomendadas para un estudio más profundo para la preparación del examen en www.isaca.org/
cisaguide. Puede encontrar una lista más completa en el Manual de Preparación al Examen CISA 2009.

Puede encontrar una lista de los acrónimos que los candidatos deberían conocer y una lista adicional de acrónimos que pudiera ser de interés para los
candidatos en www.isaca.org/cisaguide.

Para ayudar a los candidatos con terminología técnica, está disponible una lista de los términos técnicos más frecuentemente utilizados en inglés junto con su
traducción en otros idiomas en el sitio web de ISACA en www.isaca.org/examterm.

ISACA posee un glosario de términos, así como glosarios específicos de cada certificación. Estos glosarios están disponibles en www.isaca.org/glossary.

No se establece ninguna afirmación ni garantía por parte de ISACA ni la Junta de Certificación CISA en relación con estas u otras publicaciones o cursos que
asegure de alguna forma que los candidatos aprobarán el examen.

Administración del examen CISA

ISACA utiliza una agencia examinadora profesional reconocida internacionalmente para que ayude en la construcción, administración y calificación del examen CISA.

Los candidatos que deseen hacer comentarios sobre las condiciones de administración de las pruebas pueden hacerlo al concluir la sesión de la prueba llenando
el “Cuestionario de administración de pruebas”. El Cuestionario de administración de pruebas se presenta al final del cuadernillo del examen, y sus respuestas al
cuestionario se deben ingresar en las casillas P a S de la sección Códigos especiales (Esquema No. 4) al frente de su Hoja de respuestas.
Los candidatos que deseen expresar comentarios o inquietudes adicionales sobre la administración de exámenes deben comunicarse con la sede internacional
de ISACA por correo postal o electrónico (exam@isaca.org). Esos comentarios e inquietudes deben ser recibidos por ISACA en un plazo de 2 semanas después de
la fecha del examen.
Los candidatos que deseen hacer comentarios sobre el contenido del examen pueden hacerlo enviándolos por correo a Professional Examination Service.
Sin embargo, sólo aquellos comentarios recibidos por Professional Examination Service durante las primeras 2 semanas después de la administración
de exámenes serán considerados en el proceso de calificación del examen. Después de finalizar el examen, podrá solicitar la dirección de Professional
Examination Service al supervisor.

Boleto de admisión
Aproximadamente de dos a tres semanas antes de la fecha del examen CISA, los candidatos recibirán un boleto físico de admisión y un boleto electrónico de
parte de ISACA. Los boletos indicarán la fecha, hora de inscripción y la localización del examen, programa de eventos de ese día y una lista de los materiales
que los candidatos deben llevar para tomar el examen CISA.

Por favor note: Para recibir un copia impresa del boleto de admisión, se debe pagar todos los cargos. Para recibir un boleto electrónico, se debe
pagar todos los cargos y los candidatos deben poseer una dirección de correo electrónico actual en sus registros. Sólo podrán presentar el examen
los candidatos con un boleto de admisión. Tanto la copia impresa del boleto de admisión como el boleto electrónico son válidos para el examen. Si la
dirección postal o de correo electrónico de un candidato cambia, el/ella deberá actualizar su perfil en el sitio web de ISACA (www.isaca.org) o ponerse en
contacto a través de exam@isaca.org.

Es imperativo que los candidatos anoten las fechas específicas de registro y del examen en su boleto de admisión. NO SE PERMITIRÁ A NINGUN
CANDIDATO INGRESAR AL CENTRO DE PRUEBA UNA VEZ QUE EL JEFE EXAMINADOR HAYA COMENZADO A DAR LAS INSTRUCCIONES ORALES,
APROXIMADAMENTE 30 MINUTOS ANTES QUE COMIENCE EL EXAMEN. No se permitirá tomar el examen a ningún candidato que llegue después del
comienzo de la lectura de las instrucciones, y perderá el valor de su inscripción. Un boleto de admisión sólo se puede utilizar en el centro de prueba designado
en el boleto de admisión.

Arreglos especiales
Al solicitarlo, ISACA hará los arreglos que sean razonables en sus procedimientos de examen para los candidatos con incapacidades documentadas
o compromisos religiosos. Estos candidatos pueden solicitar que se consideren las modificaciones que sean razonables en el formato, presentación,
comida y bebida en el lugar del examen, u horario de examen. Los pedidos de comida o bebida en el lugar del examen deben estar acompañados por
una nota de un médico, de lo contrario, no se permiten ni comida ni bebidas en ninguno de los lugares de examen. La solicitud de consideraciones
especiales se debe enviar a la Oficina central internacional de ISACA por escrito, junto con los documentos apropiados, antes del 7 de abril de 2010 para
el examen de junio de 2010 y antes del 6 de octubre de 2010 para el examen de diciembre de 2010.
4
Guía del candidato para el Examen y la Certificación CISA®
Sea puntual
La inscripción empezará a la hora indicada en el boleto de admisión en cada centro. Todos los candidatos deben estar inscritos y en el centro cuando el jefe
examinador comience a dar las instrucciones orales. NO SE ADMITIRÁ A NINGÚN CANDIDATO EN EL CENTRO DE PRUEBA DESPUÉS DE QUE EL JEFE
EXAMINADOR HAYA COMENZADO A DAR LAS INSTRUCCIONES ORALES, aproximadamente 30 minutos antes de que comience el examen.

Recuerde traer el Boleto de admisión

Los candidatos pueden utilizar su boleto de admisión (bien sea su boleto electrónico o físico) sólo en el centro de prueba designado. Los candidatos serán
admitidos al centro de prueba solamente si tienen un boleto de admisión válido y una forma aceptable de identificación. La forma de identificación aceptable
debe estar actualizada y debe ser un certificado original emitido por el gobierno que contenga el nombre del candidato, como aparece en el boleto de admisión,
y la fotografía del candidato. La información del documento de identidad no puede estar escrita a mano. Todas estas características deben ser demostradas
por una única prueba de identificación suministrada. Los ejemplos incluyen, pero no se limitan a, un pasaporte, una licencia de conducir, una identificación
militar, una identificación estatal, una tarjeta de inmigración y un documento de identificación nacional. El candidato que no provea una forma de identifiación
aceptable no podrá tomar el examen y perderá el valor de su inscripción.

Lea las Reglas del Centro de prueba

• No se permite a los candidatos ingresar al centro de prueba después de que se haya comenzado a dar las instrucciones orales.
• Los candidatos deben tener varios lápices No. 2 o HB (mina blanda) con punta y un buen borrador. No habrá lápices ni borradores disponibles en el centro de prueba.
• No se permite a los candidatos traer material de referencia, hojas en blanco o diccionarios de idiomas al centro de prueba.
• No se permite a los candidatos ingresar con calculadoras ni utilizarlas en el centro de prueba.
• No se permite que los candidatos traigan ningún tipo de dispositivo de comunicaciones (por ejemplo teléfonos celulares, PDAs, Blackberries) al centro de prueba.
• No se permiten visitantes en el centro de prueba.
• No se permiten alimentos ni bebidas en el centro de prueba.

La Política de Pertenencias Personales completa está disponible en www.isaca.org/cisabelongings.

Llene la Hoja de respuestas con mucho cuidado

• Antes de que los candidatos comiencen el examen, el jefe examinador del centro de prueba leerá en voz alta las instrucciones sobre cómo ingresar la
información de identificación en la hoja de respuestas. El número de identificación del candidato, como aparece en el boleto de admisión, y el resto de la
información requerida se deben ingresar apropiadamente, de lo contrario es posible que las calificaciones se retrasen o se reporten incorrectamente.
• Existe un supervisor que habla el idioma primario utilizado en cada centro de prueba. Si un candidato desea presentar el examen en otro idioma que no sea el
del centro de prueba, el supervisor pudiera no comunicarse en la lengua elegida. Sin embargo, habrá instrucciones escritas en el idioma del examen.
• Se instruye a los candidatos para que lean todas las instrucciones cuidadosamente antes de intentar responder a las preguntas. Los candidatos que omitan
las instrucciones o las lean rápidamente pudieran perder información importante y posiblemente perder crédito.
• Se debe marcar las respuestas en el círculo apropiado en la hoja de respuestas. Los candidatos deben asegurarse de no marcar más de una respuesta por
pregunta y de que responden a las preguntas en la fila de respuestas apropiada. Si es necesario cambiar una respuesta, el candidato tiene que borrar la
respuesta incorrecta completamente antes de marcar una nueva.
• Se debe responder a todas las preguntas. No se penalizan las respuestas incorrectas. Las calificaciones se basan únicamente en el número de
preguntas respondidas correctamente, por lo que se debe responder a todas las preguntas.
• Después de terminar, los candidatos deben entregar sus hojas de respuestas y el cuadernillo de la prueba.

Administre el tiempo
• El examen, con una duración de cuatro horas, permite detenerse en cada pregunta por más de un minuto. Se aconseja a los candidatos mantener un mismo
ritmo durante todo el examen. Los candidatos deben responder un promedio de 50 preguntas por hora.
• Se recomienda a los candidatos colocar inmediatamente sus respuestas en la hoja de respuestas. No se otorgará tiempo adicional para transferir o
registrar respuestas una vez concluido el tiempo del examen, en caso de que el candidato marque las respuestas en el cuadernillo de la prueba.

Mantenga una conducta apropiada

• Para proteger la seguridad del examen y mantener la validez de las calificaciones, se pide a los candidatos firmar la hoja de respuestas.
• El Comité de Certificación CISA se reserva el derecho de descalificar a cualquier candidato que sea descubierto en cualquier tipo de conducta inapropiada,
como recibir o dar ayuda; utilizar notas, papeles u otro tipo de ayuda; intentar resolver el examen de otro candidato; o sacar materiales o notas del examen
del centro de prueba. La agencia examinadora proporcionará al Comité de Certificación CISA los registros correspondientes a tales irregularidades para su
revisión y tomar una decisión.

Razones para la expulsión

El supervisor puede expulsar a un candidato por alguna de las siguientes razones:
• Admisión desautorizada al centro de prueba.
• El candidato perturba o da o recibe ayuda.
• El candidato intentar sacar materiales o notas de la prueba fuera del centro de prueba.
• El candidato ingresa elementos no permitidos al centro de prueba.

5
 Guía del candidato para el Examen y la Certificación CISA®

Calificación del examen CISA

El examen CISA consta de 200 ítems de selección múltiple. Las calificaciones del candidato se reportan como calificaciones escaladas. La calificación
escalada es la conversión de la calificación bruta del candidato en un examen a una escala común. ISACA utiliza y reporta las calificaciones en una escala
común de 200 a 800. Por ejemplo, una calificación de 800 en esta escala representa una puntuación perfecta, ya que se respondieron todas las preguntas
correctamente; una calificación de 200 en esta escala constituye la clasificación más baja posible y significa que sólo se respondió correctamente un número
muy bajo de respuestas. Un candidato deberá recibir una calificación de 450 o mayor para aprobar el examen. Una calificación de 450 representa una norma
consistente mínima de conocimiento de acuerdo a lo establecido por el Comité de Certificación CISA de ISACA. El candidato que recibe una calificación
aprobatoria, puede entonces solicitar certificación si cumple con el resto de los requisitos.

El examen CISA contiene algunas preguntas que se incluyen solamente con propósitos de investigación y análisis. Estas preguntas no están identificadas ni
separadas, tampoco se utilizan para calcular la calificación final de los candidatos.

Aproximadamente ocho semanas después de la fecha del examen, los resultados oficiales del examen se enviarán por correo a los candidatos.
Además, con el consentimiento del candidato, en el formulario de inscripción, se enviará al candidato un mensaje de correo electrónico con el estado de
aprobación/reprobación y la calificación del candidato. Esta notificación por correo electrónico se enviará solamente a la dirección especificada en el perfil
del candidato al momento de la divulgación inicial de los resultados. Para garantizar la confidencialidad de las calificaciones, los resultados del examen no se
informarán por teléfono ni fax. Para evitar que la notificación por correo electrónico sea enviada a las carpetas de correo no solicitado (spam), los candidatos
deberán agregar exam@isaca.org a su directorio de direcciones, lista de direcciones aprobadas o lista de remitentes seguros.
Los candidatos recibirán un informe de calificaciones que contiene una calificación para cada área de dominio. Los candidatos que tuvieron éxito recibirán,
junto con un informe de calificaciones, detalles sobre cómo solicita la certificación CISA. Los candidatos que no tuvieron éxito, recibirán, junto con un informe
de calificaciones, una copia del nuevo Boletín de información CISA.

Las diferentes calificaciones pueden ser útiles para identificar las áreas en las que el candidato reprobado puede necesitar más preparación antes de volver a tomar
el examen. Los candidatos reprobados deben tener en cuenta que la calificación total escalada no se puede determinar al calcular un promedio simple o ponderado
de las diferentes calificaciones.

Los candidatos que obtengan una calificación reprobatoria en el examen pueden solicitar la calificación manual de sus hojas de respuestas. Este procedimiento
garantiza que la calificación computarizada no haya sido alterada por posibles marcas imprecisas, respuestas múltiples u otras condiciones. Sin embargo, los
candidatos deben entender que todas las calificaciones son sometidas a varias verificaciones de control de calidad antes de su divulgación; por lo tanto, lo
más probable es que las revisiones manuales no produzcan ningún cambio en la calificación. Las solicitudes de calificación manual se deben presentar por
escrito al departamento de certificación dentro de los 90 días siguientes a la divulgación de los resultados del examen. Las solicitudes de calificación manual
presentadas después de ese plazo no serán procesadas. Todas las solicitudes deben incluir el nombre del candidato, el número de identificación del examen y
la dirección de correo. Cada solicitud requiere un pago de US $50.

Tipos de preguntas en el examen CISA

Las preguntas del examen CISA se desarrollan con el fin de medir y evaluar conocimiento práctico y la aplicación de normas y conceptos generales. Todas las
preguntas se diseñaron de modo que tengan una mejor respuesta.

Todas las preguntas del examen CISA tienen el formato de planteamiento de un problema (pregunta) y cuatro opciones (opciones de respuesta). Se pide al
candidato que elija la respuesta correcta o la mejor respuesta entre las opciones. El problema se puede formular como una pregunta o como un enunciado
incompleto. En algunas situaciones, pudiera incluirse un escenario. Estas preguntas normalmente incluyen la descripción de una situación y requieren que el
candidato responda dos o más preguntas basándose en la información suministrada. Se recuerda al candidato que debe leer cada pregunta cuidadosamente.
Algunas preguntan del examen CISA pudieran requerir que el candidato elija la respuesta apropiada con base en un calificativo, como MÁS probable o EL
MEJOR. En cada caso, el candidato debe leer la pregunta cuidadosamente, eliminar las respuestas que sean claramente incorrectas y luego hacer la mejor
elección posible. Están disponibles modelos del examen CISA en www.isaca.org/cisaassessment.

Solicitud para la Certificación CISA

La aprobación del examen no significa que el candidato sea un CISA. Una vez que el candidato aprueba el examen CISA, el/ella tiene cinco años a partir de la
fecha del examen para solicitar la certificación. Los candidatos aprobados deben completar la solicitud de certificación y someter a verificación su experiencia
laboral utilizando los formularios apropiados incluidos en la solicitud. Los candidatos no obtienen la certificación, ni pueden utilizar la designación CISA,
hasta que no se haya recibido y aprobado la solicitud completa. Una vez recibida la certificación, el nuevo CISA recibirá un certificado y los requisitos de
las políticas del programa de educación profesional continua (CPE, por sus siglas en inglés). Al momento de la solicitud, los individuos deben manifestar que
están de acuerdo con que ISACA se reserve el derecho, sin estar obligado, a publicar o divulgar de cualquier modo el estado de sus CISA.

Requisitos para obtener la certificación inicial CISA

En principio, la certificación se otorga a aquellos individuos que hayan completado de manera satisfactoria el examen CISA y cumplan con los siguientes
requisitos de experiencia laboral.

6
Guía del candidato para el Examen y la Certificación CISA®
Para obtener la certificación, se requiere un período mínimo de cinco años de experiencia laboral profesional en auditoría, control, aseguramiento o seguridad
de SI. Se puede obtener sustituciones o excepciones a la experiencia de la siguiente manera:
• Un máximo de un año en sistemas de información O un año de experiencia en auditoría no relacionada con SI puede sustituir un año de experiencia.
• Se puede sustituir de 60 a 120 horas completas de crédito universitario semestral (el equivalente a un título universitario de dos o cuatro años), no limitado
por la restricción de 10 años detallada posteriormente, por uno o dos años, respectivamente, de experiencia. Incluso si se han obtenido múltiples títulos, sólo
se puede cambiar por un máximo de dos años.
• Se puede sustituir un título de licenciatura o master de una universidad que apoye el Currículum Modelo patrocinado por ISACA por un año de experiencia.
Para ver una lista de estas escuelas, por favor dirigirse a www.isaca.org/modeluniversities. No se puede usar esta opción si ya se han reclamado tres años de
sustitución de experiencia y excepción educativa.
• Un título de master en seguridad de información o tecnología de la información de una universidad reconocida se puede sustituir por un año de experiencia.

Excepción: Se pueden sustituir dos años de experiencia como instructor universitario de tiempo completo en un campo relacionado (por ejemplo: ciencias de la
computación, contabilidad, o auditoría de sistemas de información) por cada año de experiencia.

La experiencia se debe haber obtenido dentro del período de 10 años que precede a la fecha de solicitud de certificación CISA o dentro de los cinco años
posteriores a la fecha de haber aprobado el examen inicialmente. Si la solicitud de certificación CISA no se presenta dentro de los cinco años posteriores
a la fecha de aprobación del examen, será necesario volver a tomar y aprobar el examen.

Es importante resaltar que muchas personas deciden tomar el examen CISA antes de cumplir con los requisitos de experiencia. Esta práctica es aceptable
y recomendada, aunque la designación CISA no se concederá hasta que se haya cumplido con todos los requisitos.

Requisitos para mantener la certificación CISA

Los CISA deben cumplir con los siguientes requisitos para mantener su certificación:
• Acumular y reportar un mínimo de 20 horas de EPC al año. La norma EPC de CISA (www.isaca.org/cisacpepolicy) requiere la acumulación de horas de EPC
durante un período de notificación anual y de tres años.
• Acumular y reportar un mínimo de 120 horas de EPC durante un período de notificación de tres años.
• Entregar la totalidad de las cuotas anuales de mantenimiento de EPC a ISACA International Headquarters.
• Responder y entregar la documentación requerida de actividades de EPC como respaldo de las horas reportadas si fue seleccionado para una auditoría anual.
• Cumplir con el Código de Ética Profesional de ISACA.
El incumplimiento de estos requisitos generales ocasionará la revocación de la designación CISA de la persona.

Código de Ética Profesional de ISACA

ISACA establece este Código de Ética Profesional para guiar la conducta profesional y personal de los miembros de la asociación y de los poseedores
de la certificación.
Los miembros y los poseedores de la certificación ISACA deberán:
1. Respaldar la implementación y promover el cumplimiento de los estándares, los procedimientos y los controles apropiados para los sistemas de información
2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor profesional, de acuerdo con las normas y las mejores prácticas profesionales
3. Servir en beneficio de las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener altos niveles de conducta y carácter, y no involucrarse
en actos que resten méritos a la profesión
4. Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus deberes a menos que la divulgación sea requerida por una autoridad
legal. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas.
5. Mantener la aptitud en sus respectivos campos y asumir sólo aquellas actividades que razonablemente esperen completar con competencia profesional
6. Informar a las partes apropiadas los resultados del trabajo realizado, revelando todos los hechos significativos que conozcan
7. Respaldar la educación profesional de las partes interesadas para que tengan una mejor comprensión de la seguridad y el control de los sistemas de
información
El incumplimiento de este Código de Ética Profesional puede acarrear una investigación de la conducta de un miembro y/o titular de la certificación y, en última
instancia, medidas disciplinarias.

Revocación de la certificación CISA

El Comité de certificación CISA puede, a su juicio y después de la debida consideración exhaustiva, revocar la certificación CISA de una persona por cualquiera
de las siguientes razones:
• Incumplimiento de la norma de EPC de CISA
• Quebrantamiento de cualquier disposición del Código de Ética Profesional de ISACA
• Falsificación o retención deliberada de información relevante
• Distorsión intencional de un hecho importante
• Tener o ayudar a otras personas a tener un comportamiento deshonesto, no autorizado o inapropiado en cualquier momento en relación con un examen CISA
o con el proceso de certificación

7
 Guía del candidato para el Examen y la Certificación CISA®
Descripción de las áreas de práctica laboral del CISA
Enunciados de tareas y conocimientos del CISA
ÁREA DE CONTENIDO (Dominio)
1. El proceso de auditoría de SI—Proveer servicios de auditoría de SI de acuerdo con las normas, pautas y mejores prácticas de auditoría de
SI para ayudar a la organización en sus esfuerzos por asegurarse de que sus sistemas de tecnología de la información y de negocios estén
protegidos y controlados.
Enunciados de tareas
1.1 D  esarrollar e implementar una estrategia de auditoría de SI basada en riesgos para la organización de acuerdo con las normas, guías y mejores
prácticas de auditoría de SI.
1.2 Planificar auditorías específicas para asegurar que los sistemas de TI y de negocios estén protegidos y controlados.
1.3 Realizar auditorías de acuerdo con las normas, guías y mejores prácticas de auditoría de SI para alcanzar los objetivos de auditoría planificados.
1.4 Comunicar los problemas que surjan, los riesgos potenciales y los resultados de la auditoría a las principales partes interesadas.
1.5 Asesorar sobre la implementación de prácticas de control y gestión de riesgos dentro de la organización y, al mismo tiempo, mantener la independencia.
Enunciados de conocimientos
1.1 Conocimiento de las normas, guías y procedimientos de auditoría de SI y del Código de Ética Profesional de ISACA
1.2 Conocimiento de las prácticas y técnicas de auditoría de SI
1.3 C  onocimiento de técnicas para recolectar información y preservar evidencia (por ejemplo, observación, indagación, entrevista, herramientas
y técnicas de auditoría computarizada (CAATT) y medios electrónicos)
1.4 Conocimiento del ciclo de vida de la evidencia (por ejemplo, recolección, protección, cadena de custodia)
1.5 Conocimiento de los objetivos de control y controles relacionados con SI (por ejemplo, CobiT)
1.6 Conocimiento de la evaluación de riesgos en el contexto de una auditoría
1.7 Conocimiento de las técnicas de planificación y gerencia de auditorías
1.8 Conocimiento de las técnicas de reporte y comunicación (por ejemplo, facilitación, negociación y resolución de conflictos)
1.9 Conocimiento de la autoevaluación de control (CSA)
1.10 Conocimiento de técnicas de auditoría continua
2. Gobierno de TI—Asegurar que la organización haya establecido la estructura, las políticas, la rendición de cuentas, los mecanismos y las prácticas
de seguimiento para lograr los requisitos de gobierno corporativo de TI.
Enunciados de tareas
2.1 E valuar la efectividad de la estructura de gobierno de TI para asegurar un control gerencial adecuado sobre las decisiones, instrucciones
y ejecución de TI de modo que respalde las estrategias y objetivos de la organización.
2.2 E valuar la estructura organizativa de TI y la gerencia de recursos humanos (personal) para asegurar que respalden las estrategias y los objetivos
de la organización.
2.3 E valuar la estrategia y el proceso de TI para su desarrollo, aprobación, implementación y mantenimiento a fin de asegurar que respalde
las estrategias y los objetivos de la organización.
2.4 E valuar las políticas, normas y procedimientos de TI de la organización y los procesos para su desarrollo, aprobación, implementación y
mantenimiento a fin de asegurar que respalden la estrategia de TI y cumplan con los requisitos legales y las regulaciones.
2.5 Evaluar las prácticas gerenciales para asegurar que cumplan con la estrategia de TI, las políticas, las normas y los procedimientos de la organización.
2.6 E valuar las prácticas de inversión, uso y asignación de recursos de TI para asegurar que concuerden con las estrategias y los objetivos
de la organización.
2.7 E valuar las estrategias de contratación de TI y las políticas y prácticas gerenciales de contratos para asegurar que respalden las estrategias
y los objetivos de la organización.
2.8 Evaluar las prácticas gerenciales de riesgos para asegurar que los riesgos de la organización relacionados con TI sean manejados adecuadamente.
2.9 E valuar las prácticas de seguimiento y aseguramiento para garantizar que la junta directiva y la gerencia ejecutiva reciban información suficiente
y oportuna sobre la ejecución de TI.
Enunciados de conocimientos
2.1 C  onocimiento del propósito de las estrategias, políticas, normas y procedimientos de IT para una organización y los elementos esenciales de cada
uno de ellos
2.2 Conocimiento de las estructuras de gobierno de TI
2.3 C onocimiento de los procesos para desarrollar, implementar y mantener las estrategias, políticas, normas y procedimientos de TI (por ejemplo,
protección de los activos de información, continuidad del negocio y recuperación en caso de desastre, gerencia del ciclo de vida de la
infraestructura y los sistemas, y soporte y entrega de los servicios de TI)
2.4 Conocimiento de las estrategias y políticas de gerencia de la calidad
2.5 Conocimiento de la estructura de la organización, las funciones y las responsabilidades relacionadas con el uso y la gerencia de TI
8
Guía del candidato para el Examen y la Certificación CISA®
ÁREA DE CONTENIDO (Dominio)
2. Gobierno de TI (continuación )
2.6 Conocimiento de las normas y guías de TI aceptadas en el ámbito internacional
2.7 Conocimiento de la arquitectura de TI de la empresa y sus implicaciones en el establecimiento de metas estratégicas a largo plazo
2.8 Conocimiento de las metodologías y herramientas de gerencia de riesgos
2.9 Conocimiento del uso de las estructuras de control (por ejemplo, CobiT, COSO y ISO/IEC 17799)
2.10 Conocimiento del uso de los modelos de madurez y mejoramiento del proceso (por ejemplo, CMM y CobiT)
2.11 Conocimiento de las estrategias y procesos de contratación y de las prácticas gerenciales de contratación
2.12 Conocimiento de las prácticas de monitoreo y reporte de la ejecución de TI (por ejemplo, cuadros de mando integrales e indicadores clave
de desempeño)
2.13 Conocimiento de temas relevantes sobre legislaciones y regulaciones (por ejemplo, requisitos de privacidad, propiedad intelectual
y gobierno corporativo)
2.14 Conocimiento de la gerencia de recursos humanos (personal) de TI
2.15 Conocimiento de las prácticas de inversión en recursos de TI y asignación de los mismos (por ejemplo, retorno de la inversión de la gerencia
de portafolio)
3. Gerencia del ciclo de vida de la infraestructura y los sistemas—Asegurar que las prácticas gerenciales de desarrollo/adquisición, prueba,
implementación, mantenimiento y eliminación de sistemas e infraestructura cumplan con los objetivos de la organización. 
Enunciados de tareas
3.1 E valuar los casos de negocio para el desarrollo/adquisición del sistema propuesto a fin de asegurar que cumpla con las metas de negocio
de la organización.
3.2 Evaluar la estructura gerencial del proyecto y las prácticas de gobierno de proyectos para asegurar que los objetivos de negocio se alcancen
de una manera rentable, al tiempo que se controlan los riesgos para la organización.
3.3 Realizar revisiones para asegurar que un proyecto esté avanzando de acuerdo con los planes del proyecto, esté respaldado adecuadamente
por documentación y que la notificación de su estado sea correcta.
3.4 Evaluar los mecanismos de control propuestos para los sistemas y/o la infraestructura durante las fases de especificación, desarrollo/adquisición
y pruebas para asegurar que provean seguridad y cumplan con las políticas de la organización y otros requisitos.
3.5 Evaluar los procesos aplicados para desarrollar/adquirir y probar los sistemas y/o la infraestructura a fin de asegurar que los productos satisfagan
los objetivos de la organización.
3.6 Evaluar el grado de preparación del sistema y/o la infraestructura para su implementación y migración a la fase de producción.
3.7 Realizar la revisión de sistemas y/o infraestructura posterior a la implementación para asegurar que cumplan con los objetivos de la organización
y que estén sometidos a control interno efectivo.
3.8 Realizar revisiones periódicas de los sistemas y/o la infraestructura para asegurar que continúen cumpliendo con los objetivos de la organización
y estén sometidos a control interno efectivo.
3.9 Evaluar el proceso aplicado para el mantenimiento de los sistemas y/o la infraestructura a fin de asegurar el continuo respaldo de los objetivos de
la organización y que los sistemas y/o la infraestructura estén sometidos a control interno efectivo.
3.10 Evaluar el proceso aplicado para eliminar sistemas y/o infraestructura a fin de asegurar que cumplan con las políticas y procedimientos de la organización.
Enunciados de conocimientos
3.1 Conocimiento de las prácticas gerenciales relacionadas con beneficios (por ejemplo, estudios de factibilidad y casos de negocio)
3.2 Conocimiento de los mecanismos de gobierno de proyectos (por ejemplo, comité directivo y junta de supervisión de proyectos)
3.3 Conocimiento de las prácticas, herramientas y estructuras de control de gerencia de proyectos
3.4 Conocimiento de las prácticas gerenciales aplicadas a proyectos
3.5 Conocimiento de los criterios y riesgos de éxito de un proyecto
3.6 Conocimiento de la gestión de configuración, cambio y liberación (release) en relación con el desarrollo y mantenimiento de sistemas
y/o infraestructura
3.7 Conocimiento de los objetivos y técnicas de control que aseguran la completitud, exactitud, validez y autorización de las transacciones y los datos
dentro de las aplicaciones de los sistemas de TI
3.8 Conocimiento de la arquitectura empresarial relacionada con datos, aplicaciones y tecnología (por ejemplo, aplicaciones distribuidas, aplicaciones
basadas en Internet, servicios a través de Internet y aplicaciones de n-capas)
3.9 Conocimiento de las prácticas de gerencia y análisis de requerimientos (por ejemplo, verificación de requerimientos, trazabilidad y análisis de brechas)
3.10 Conocimiento de los procesos de adquisición y gerencia de contratos (por ejemplo, evaluación de proveedores, preparación de contratos, gerencia
de proveedores y garantía en depósito)
3.11 Conocimiento de las metodologías y herramientas de desarrollo de sistemas y comprensión de sus fortalezas y debilidades (por ejemplo, prácticas
de desarrollo ágil, desarrollo de prototipos, desarrollo rápido de aplicaciones y técnicas de diseño orientado a objetos)
3.12 Conocimiento de los métodos de aseguramiento de la calidad
9
 Guía del candidato para el Examen y la Certificación CISA®
ÁREA DE CONTENIDO (Dominio)
3. Gerencia del ciclo de vida de la infraestructura y los sistemas (continuación )
3.13 C  onocimiento de los procesos de gerencia de pruebas (por ejemplo, estrategias de pruebas, planes de pruebas, entornos de prueba, criterios de
aceptación o rechazo)
3.14 Conocimiento de las herramientas, técnicas y procedimientos de conversión de datos
3.15 Conocimiento de los procedimientos de eliminación de sistemas y/o infraestructura
3.16 Conocimiento de las prácticas de certificación y acreditación de software y hardware
3.17 C onocimiento de los objetivos y métodos de revisión posterior a la implementación (por ejemplo, conclusión del proyecto, obtención de beneficios
y medición del desempeño)
3.18 Conocimiento de las prácticas de migración de sistemas e implementación de infraestructura
4. Soporte y entrega de los servicios de TI—Asegurar que las prácticas gerenciales de servicios de TI garanticen la entrega del nivel de servicios
requerido para satisfacer los objetivos de la organización.
Enunciados de tareas
4.1 Evaluar las prácticas gerenciales de nivel de servicio para asegurar el establecimiento y control del nivel de servicio recibido de proveedores
internos y externos.
4.2 Evaluar la gestión de operaciones para asegurar que las funciones de soporte de TI satisfagan efectivamente las necesidades de negocio.
4.3 Evaluar las prácticas de administración de datos para asegurar la integridad y optimización de las bases de datos.
4.4 Evaluar el uso de herramientas y técnicas de monitoreo del desempeño y capacidad para asegurar que los servicios de TI cumplan con los
objetivos de la organización.
4.5 Evaluar las prácticas gerenciales de cambio, configuración y liberación para asegurar que los cambios hechos al entorno de producción de la
organización estén controlados y documentados adecuadamente.
4.6 Evaluar las prácticas gerenciales de problemas e incidentes para asegurar que los incidentes, problemas y errores sean registrados, analizados y
resueltos de manera oportuna.
4.7 Evaluar la funcionalidad de la infraestructura de TI (por ejemplo, componentes de red, hardware y software del sistema) para asegurar que
respalde los objetivos de la organización.
Enunciados de conocimientos
4.1 Conocimiento de las prácticas gerenciales de nivel de servicio
4.2 Conocimiento de las mejores prácticas gerenciales de operaciones (por ejemplo, programación de la carga de trabajo, gerencia de servicios de red
y mantenimiento preventivo)
4.3 Conocimiento de los procesos, herramientas y técnicas de monitoreo del desempeño del sistema (por ejemplo, analizadores de red, informes
de utilización del sistema y balanceo de carga)
4.4 Conocimiento de la funcionalidad de los componentes de hardware y red (por ejemplo, enrutadores, conmutadores, firewall y periféricos)
4.5 Conocimiento de las prácticas de administración de bases de datos
4.6 Conocimiento de la funcionalidad del software de sistema, que incluye sistemas operativos, utilidades y sistemas de administración de bases de datos
4.7 Conocimiento de las técnicas de planificación y monitoreo de la capacidad
4.8 Conocimiento de los procesos para gestionar los cambios programados y de emergencia en los sistemas y/o la infraestructura de producción,
incluyendo las prácticas gerenciales de cambio, configuración, liberación y parches
4.9 Conocimiento de las prácticas gerenciales de incidentes/problemas (por ejemplo, help desk, procedimientos de escalamiento y trazabilidad)
4.10 Conocimiento de las prácticas de licenciamiento e inventario de software
4.11 Conocimiento de las herramientas y técnicas de resiliencia del sistema (por ejemplo, hardware con tolerancia de fallas, eliminación de punto único
de falla y clustering)
5. Protección de los activos de información—Asegurar que la arquitectura de seguridad (políticas, estándares, procedimientos y controles)
garantiza la confidencialidad, integridad y disponibilidad de los activos de información.
Enunciados de tareas
5.1 E valuar el diseño, la implementación y el monitoreo de los controles de acceso lógicos para asegurar la confidencialidad, integridad, disponibilidad
y uso autorizado de los activos de información.
5.2 Evaluar la seguridad de la infraestructura de red para asegurar la confidencialidad, integridad, disponibilidad y uso autorizado de la red y de la
información transmitida.
5.3 Evaluar el diseño, implementación y monitoreo de controles ambientales para prevenir o minimizar pérdidas.
5.4 Evaluar el diseño, implementación y monitoreo de controles de acceso físico para asegurar que los activos de información se encuentren
adecuadamente protegidos.
5.5 Evaluar los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información confidencial.

10
Guía del candidato para el Examen y la Certificación CISA®
ÁREA DE CONTENIDO (Dominio)
5. Protección de los activos de información (continuación)
Enunciados de conocimientos
5.1 C  onocimiento de las técnicas de diseño, implementación y monitoreo de seguridad (por ejemplo, evaluación de amenaza y riesgo, análisis
de sensibilidad y evaluación del impacto sobre la privacidad)
5.2 C  onocimiento de controles de acceso físico para la identificación, autenticación y restricción de usuarios a funciones y datos autorizados
(por ejemplo, contraseñas dinámicas, reto/respuesta, menús y perfiles)
5.3 C  onocimiento de arquitecturas de seguridad de acceso lógico (por ejemplo, sigle sign-on, estrategias de identificación de usuario y administración
de identidad)
5.4 C  onocimiento de métodos y técnicas de ataque (por ejemplo, hacking, spoofing, caballos de troya, denegación de servicio y spamming)
5.5 C  onocimiento de procesos relacionados con seguimiento y respuesta a incidentes de seguridad (por ejemplo, procedimientos de escalamiento
de problemas y equipo de respuesta a incidentes de emergencia)
5.6 Conocimiento de dispositivos, protocolos y técnicas de seguridad de redes e Internet (por ejemplo, SSL, SET, VPN y NAT)
5.7 Conocimiento de sistemas de detección de intrusos y configuración, implementación y mantenimiento de firewall
5.8 Conocimiento de técnicas de algoritmos de cifrado (por ejemplo, AESRSA)
5.9 C onocimiento de componentes de infraestructura de llave pública (PKI) (por ejemplo, autoridades de certificación y autoridades de registro)
y técnicas de firma digital
5.10 Conocimiento de herramientas de detección y técnicas de control de virus
5.11 Conocimiento de herramientas de prueba y evaluación de seguridad (por ejemplo, prueba de penetración y análisis de vulnerabilidad)
5.12 C
 onocimiento de prácticas y dispositivos de protección ambiental (por ejemplo, extinción de incendios, sistemas de refrigeración y sensores
de humedad)
5.13 C
 onocimiento de prácticas y sistemas físicos de seguridad (por ejemplo, biometría, tarjetas de acceso, bloqueo con clave por teclado -cipher
locks- y tokens)
5.14 Conocimiento de esquemas de clasificación de datos (por ejemplo, datos públicos, confidenciales, privados y sensitivos)
5.15 Conocimiento de seguridad en comunicaciones de voz (por ejemplo, voz sobre IP)
5.16 C
 onocimiento de los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información
confidencial
5.17 C
 onocimientos de controles y riesgos asociados con el uso de dispositivos portátiles e inalámbricos (por ejemplo, PDAs, dispositivos USB
y dispositivos Bluetooth)
6. Continuidad del negocio y recuperación ante desastres—Asegurar que, en el evento de una interrupción, los procesos de recuperación ante
desastres y la continuidad del negocio garantizarán la renovación oportuna de servicios de TI, a la vez que reducirán al mínimo el impacto en la empresa.
Enunciados de tareas
6.1 Evaluar lo adecuado de las copias de respaldo y recuperación para asegurar la disponibilidad de la información requerida para reanudar
el procesamiento.
6.2 Evaluar el plan de recuperación ante desastres para asegurar que permite la recuperación de las capacidades de procesamiento de TI en caso
de un desastre.
6.3 Evaluar el plan de continuidad del negocio de la organización para asegurar su capacidad de continuar con operaciones empresariales esenciales
durante el período de una interrupción de TI.
Enunciados de conocimientos
6.1 Conocimiento de procesos y prácticas de respaldo, almacenamiento, mantenimiento, retención y restauración de datos
6.2 Conocimiento de asuntos reglamentarios, legales, contractuales y relacionados con seguros relativos a la continuidad del negocio y recuperación
ante desastres
6.3 Conocimiento de análisis de impacto del negocio (BIA, business impact analysis)
6.4 Conocimiento del desarrollo y mantenimiento de los planes de continuidad del negocio y recuperación ante desastres
6.5 Conocimiento de enfoques y métodos de prueba de continuidad del negocio y recuperación ante desastres
6.6 Conocimiento de prácticas gerenciales de recursos humanos relacionadas con la continuidad del negocio y recuperación ante desastres (por
ejemplo, planificación de evacuación y equipos de respuesta)
6.7 Conocimiento de procesos utilizados para invocar los planes de continuidad del negocio y recuperación ante desastres
6.8 Conocimiento de tipos de sitios y métodos de procesamiento alterno para hacer seguimiento de los acuerdos contractuales (por ejemplo, hot sites,
warm sites y cold sites)

11
 Prepárese para los exámenes CISA
SOLICÍTELOS  YA— Materiales de revisión de preparación para el examen y desarrollo profesional CISA® 2010
Para pasar el examen Certified Information Systems AuditorTM (CISA), los candidatos deben tener un plan de estudio organizado. Para asistir a las personas con el
desarrollo de un plan de estudio exitoso, ISACA® ofrece ayudas de estudio y cursos de repaso (www.isaca.org/cisareview) para los candidatos al examen.
Manual de Preparación al Examen CISA 2010
ISACA
El Manual de Preparación al Examen CISA® 2010 es una completa guía de
referencia diseñada para ayudar a los individuos en la preparación para el examen
CISA y quienes desean entender el papel y la responsabilidad del auditor de sistemas
de la información. El manual ha evolucionado en las últimas ediciones y ahora
representa el recurso de gestión de auditoría de sistemas de la información más
actualizado, completo, comentado por colegas disponible a nivel mundial.
El Manual de Preparación al Examen CISA 2010 tiene un formato nuevo. Cada
uno de los seis capítulos ha sido dividido en dos secciones para que el estudio se
pueda concentrar. La primera sección de cada capítulo contiene las definiciones y los
objetivos de las seis áreas, junto con las tareas correspondientes que deben realizar
los auditores de sistemas de la información (SI) y los conocimientos relacionados
(necesarios para planificar, gestionar y realizar auditorías de SI)
que se ponen a prueba en el examen.
La Sección Uno presenta una visión general que proporciona:
• Definiciones para las seis áreas
• Objetivos para cada área
• Descripciones de las tareas
• Un mapa de la relación que existe entre cada tarea y los conocimientos relacionados
• Una guía de referencia para los conocimientos relacionados, que incluye los
conceptos y las explicaciones relevantes
• Referencias a contenido específico en la Sección Dos para cada conocimiento
relacionado
• Ejemplos de preguntas de práctica y explicaciones de las respuestas
• Recursos sugeridos para estudios posteriores
La Sección Dos consta de material y contenido de referencia que respaldan los
conocimientos relacionados. El material incluido corresponde al conocimiento
y/o entendimiento de importancia para los candidatos a CISA, al prepararse para
tomar el examen de certificación de CISA. Además, el Manual de Preparación al
Examen CISA 2010 incluye resúmenes breves de los temas principales y casos de
estudio para ayudar a los candidatos a comprender las prácticas actuales. También
se incluyen las definiciones y los términos que con mayor frecuencia aparecen en el
examen.
Este manual puede usarse como documento único para estudio individual o como
una guía o referencia para grupos de estudio y capítulos que ofrezcan cursos de
repaso a nivel local.
La edición de 2010 se desarrolló y organizó con el fin de preparar a los candidatos
para comprender los conceptos fundamentales y estudiar las siguientes áreas
prácticas laborales:
• Proceso de auditoría de SI
• Gobierno de TI
• Gestión del ciclo de vida de infraestructura y sistemas
• Soporte y prestación de los servicios de TI
• Protección de los activos de información
• Continuidad del negocio y recuperación ante desastres
CRM-10 Edición en inglés CRM-10J Edición en japonés
CRM-10F Edición en francés CRM-10S Edición en español
CRM-10I Edición en italiano
Manual de Preguntas, Respuestas y Explicaciones de Preparación
al Examen CISA 2010
ISACA
El Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen
CISA® 2010 consta de 800 preguntas de estudio de tipo opciones múltiples que
aparecieron en el Manual de Preguntas, Respuestas y Explicaciones de Preparación
al Examen CISA 2008 y los Suplementos 2008 y 2009. Muchas preguntas han sido
revisadas o escritas de nuevo para reconocer un cambio de práctica de trabajo,
representar mejor el formato actual de las preguntas en el examen CISA y ofrecer
una mejor aclaración o explicación de la respuesta correcta sugerida. Estas preguntas
no son verdaderos ítems del examen; pero se espera que proporcionen al candidato
a CISA una mayor comprensión del tipo y la estructura de las preguntas y los temas
que han aparecido anteriormente en el examen. Esta publicación es ideal para usarse
junto con el Manual de Preparación al Examen CISA 2010.
2010  
Para asistir a los candidatos a aprovechar al máximo el estudio, las preguntas se
presentan de las dos maneras siguientes:
• Ordenadas por área de práctica de trabajo
• Desordenadas, simulando un ejemplo de examen de 200 preguntas
QAE-10 Edición en inglés QAE-10J Edición en japonés
QAE-10I Edición en italiano QAE-10S Edición en español
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA
Suplemento 2010
ISACA
Para prepararse para el examen CISA de 2010, se recomienda el Manual de
Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento
2010, que se elabora cada año. Este suplemento consta de 100 nuevas preguntas,
respuestas y explicaciones de ejemplo, creadas con base en las áreas actuales de
prácticas de trabajo de CISA, usando un proceso de desarrollo similar al que se
usa para desarrollar los ítems para el examen real. El objetivo de estas preguntas es
brindar a los candidatos a CISA una mayor comprensión del tipo y estructura de las
preguntas que han aparecido en general en exámenes anteriores, y fueron preparadas
específicamente para estudiar para el examen CISA.
CQA-10ES Edición en inglés CQA-10JS Edición en japonés 
QAE-10FS Edición en francés QAE-10SS Edición en español 
QAE-10IS Edición en italiano 
Base de Datos de Preguntas de Práctica v10 CISA
ISACA
La Base de Datos de Preguntas de Práctica v10 CISA® combina el Manual de
Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA 2010 con el
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA
Suplemento 2010 en una guía completa para estudio con 900 preguntas. Se pueden
tomar ejemplos de exámenes con preguntas seleccionadas al azar y se pueden ver los
resultados por área de práctica de trabajo, lo que permite que el candidato se concentre
en un área de estudio a la vez. Además, las preguntas generadas durante una sesión
de estudio están clasificadas de acuerdo a la historia de calificaciones previas del
usuario, lo que permite a los candidatos a CISA identificar rápida y fácilmente sus
puntos fuertes y débiles y concentrar de esa manera su estudio de acuerdo a lo que
necesiten. Otras características permiten la selección de ejemplos de exámenes por
área de práctica de trabajo específica, revisión de preguntas que fueron respondidas
anteriormente en forma incorrecta y la variación de la duración de las sesiones de
estudio. La base de datos está disponible en formato CD-ROM o como una descarga.
POR FAVOR NOTE los requerimientos del sistema a continuación:
• Procesador Pentium de 400 MHz o equivalente (mínimo); procesador Pentium
de 1 GHz o equivalente (recomendado)
• Sistemas operativos compatibles: Windows Server 2003, Windows Server 2008,
Windows Vista, Windows XP
• 512 MB de RAM o más
• Una unidad de disco duro con 250 MB de espacio disponible (las unidades de
almacenamiento flash/portátiles no son compatibles)
• Ratón
• Unidad de CD-ROM
CDB-10 Edición en inglés—CD-ROM
CDB-10W Edición en inglés—Descarga
CDB-10S Edición en español—CD-ROM
CDB-10SW Edición en español—Descarga
Curso en Línea de Preparación al Examen CISA
ISACA
Un completo curso de preparación al examen basado en la web está disponible en
www.isaca.org/elearning.
Para ordenar material de repaso CISA para los
exámenes de junio/diciembre de 2010, visite el
sitio web de ISACA en www.isaca.org/cismbooks.