Más de un mes llevaba sin actualizar el blog, pero hoy os puedo decir, que por una buena causa, y es que he aprobado la certificación CISA . Como sus siglas indican, Certified Information Systems Auditor (CISA) es una certificación para auditores respaldada por la Asociación de Control y Auditoría de Sistemas de Información.
La certificación CISA es reconocida en todo el mundo como un estándar para los profesionales de sistemas de negocio y tecnología de la información que auditan, supervisan, acceden y controlan los datos. Ser certificado por CISA ayuda a los recluiter de RRHH a identificar candidatos con experiencia profesional, conocimientos y habilidades, incluida la experiencia en el manejo de vulnerabilidades, el control institucional y la garantía de cumplimiento.
Cómo de dificil es el CISA
La certificación CISA, consta de 5 módulos, de los cuales, en base a la experiencia profesional (Hay que recordar que ISACA para darnos la certificación, nos exige 5 años de experiencia) , puede llegar a costarnos más o menos, siempre teniendo en cuenta la propia metodología de la Asociación de Control y Auditoría de Sistemas de Información.
Módulo 1 - El proceso de auditoría de los sistemas de información.
Esto ayuda al candidato a obtener el conocimiento requerido para cumplir con los estándares más altos de los sistemas de información y proporcionar las mejores prácticas de auditoría. Para las organizaciones, esto significaría un control y protección completos de sus sistemas de negocios e información.
Módulo 2 - El papel de CISA en el gobierno TI
Los temas que se cubren en el Módulo 2 ayudan a desarrollar prácticas de control y mecanismos de gestión de IS (Information Sistem). Las organizaciones se benefician de profesionales certificados que brindarán la garantía de las mejores prácticas, incluidas las políticas, la responsabilidad y las estructuras de monitorización, para llegar al gobierno TI deseado.
Módulo 3 - El papel de CISA en la gestión del ciclo de vida de los sistemas e infraestructura
Este módulo cubre los procesos y metodologías que emplean las organizaciones modernas al cambiar o reinventar los componentes de infraestructura de sus sistemas de aplicación. Al igual que el material cubierto en los otros temas, este módulo prepara para el mundo real.
Módulo 4: La función de CISA en la prestación de servicios de TI y el soporte
En este módulo, se debe revisar los procesos y las metodologías aplicables a los diferentes sistemas TI. Además, brindará información sobre la auditoría IS en caso de una interrupción. Las empresas pueden ganar contratando candidatos certificados que puedan implementar metodologías de recuperación de desastres y la reanudación oportuna de los servicios de base de datos, minimizando así el impacto negativo en una variedad de procesos empresariales.
Módulo 5 - El papel de CISA en la protección de los activos de información
El componente clave del Módulo 5 permite que un profesional pueda garantizar la integridad, la disponibilidad y la confidencialidad de los activos de información mientras instituye controles de acceso lógicos y físicos y otras medidas de seguridad.
Elegibilidad del CISA
La Asociación de Auditoría y Control de Sistemas de Información (ISACA) requiere criterios profesionales y académicos estrictos para los candidatos que deseen solicitar la certificación CISA.
Los criterios profesionales requieren que los candidatos tengan un mínimo de 4,000 horas reales de experiencia laboral en puestos de tiempo completo en sistemas de información, experiencia en seguridad y controles. Sin embargo, los candidatos pueden sustituir un máximo de 1 año de experiencia en auditoría, seguridad y control con un año de experiencia a tiempo completo en sistemas de información o auditoría. Para los instructores universitarios, un año de la experiencia requerida de auditoría, seguridad y control también se puede sustituir con dos años de experiencia completa como educador.
Perfiles de trabajo esperados
La principal descripción de trabajo de un auditor de tecnología de la información es ver que no haya situaciones de fraude, gastos innecesarios o incumplimiento de las leyes gubernamentales y regulaciones federales, así como analizar y preparar informes para la administración.
Es probable que los titulares de certificados CISA sean contratados para roles como:
- Auditor interno
- Auditor Contable Público
- Analista de Seguridad de la Información
- Ingeniero de Seguridad en Operaciones de Red
- Gerente de Auditoría de TI
- Profesional de la ciberseguridad
- Gerente de Riesgos y Aseguramiento de TI
- Consultoría TI
- Oficial de privacidad
- Especialista en Seguridad PCI
¿ Por qué CISA ?
Según ISACA, hay una enorme brecha de habilidades en el mercado. El número de ofertas de trabajo de ciberseguridad supera con creces el número de candidatos calificados que pueden cumplir estos roles. ¿Por qué uno de ellos no podrías ser tú?
Las empresas necesitan profesionales de auditoría que tengan habilidades de auditoría, control y seguridad en Sistemas de la Información. Y es ahí donde la certificación CISA demuestra que tienes todas las habilidades necesarias para asumir un rol de seguridad de SI.
¿Qué hace que el examen CISA sea tan difícil?
Como uno de los exámenes más difíciles en el dominio de seguridad de TI, el examen CISA es famoso por ser difícil de aprobar y por tener una tasa de aprobación baja. Aunque ISACA, el organismo que administra el examen, ha dejado de publicar información sobre las tasas de aprobación en los últimos años, los comentarios de los candidatos CISA exitosos y no exitosos sugieren que la tasa de aprobación está en el rango de 40 a 50%.
Pero la pregunta sigue siendo: ¿Por qué el examen CISA es difícil de pasar?
Algunas razones:
Para mi, una razón importante, es, lo largo y pesado que se hace le examen (150 preguntas, por cierto, muy largas, de leer hasta 3 veces para entender), que a mí, hicieron que de las cuatro horas que dura el examen, me sobrasen 10 minutos.
Las preguntas en el examen CISA a menudo son ambiguas y subjetivas, y muchos candidatos se quejan de las preguntas de la muestra ofrecidas por ISACA son vagas y no son relevantes para las normas en el examen real.
Por otro lado, buscando información anterior al examen, me encontré que una queja común es que las preguntas sobre el examen CISA implican el recuerdo de la nomenclatura y la terminología del programa de seguridad TI, que hace que en algunos casos sea complicado, si dichas siglas no estas familiarizado con ellas.
¿Por qué es mayor la tasa de fracaso en el examen CISA en comparación con otras certificaciones de Sistemas de la Información?
Si bien el examen es menos difícil de lo que comúnmente se percibe, miles de candidatos no logran aprobar el examen en el primer intento. Los expertos señalan varias razones para esto:
- Los estudiantes con antecedentes técnicos o tecnológicos a menudo lidian con los conceptos de gobierno y auditoría. Si bien los conocimientos técnicos son importantes, la capacidad de auditar y administrar los procesos de seguridad TI es una necesidad para el examen CISA.
- En el otro extremo del espectro, los aspirantes con antecedentes en auditoría y contabilidad son excelentes en estas áreas, pero luchan con los aspectos técnicos del examen. Los estudiantes de tales orígenes necesitarían entender los conceptos y objetivos centrales del currículo.
- Muchos estudiantes experimentados insisten en seguir su propio enfoque para abordar preguntas y escenarios difíciles en el examen CISA, evitando el enfoque estándar prescrito por ISACA.
14 Tips para prepararse el examen CISA
1. Estudia el CRM religiosamente
ISACA ofrece el Manual de Revisión de CISA (CRM), una guía única para el examen CISA. Es una referencia completa diseñada para preparar candidatos para el examen CISA. Proporciona todos los detalles relacionados con el examen CISA, así como la definición de los roles y responsabilidades de un auditor de sistemas de información. En general, este manual es la mejor guía de autoaprendizaje para los aspirantes a CISA.
2. Revisar la base de datos de preguntas de revisión CISA
Practicar preguntas de revisión a fondo es obligatorio para este examen. La base de datos de preguntas de revisión de ISACA es un recurso integral de preguntas de práctica, respuestas y explicaciones. En mi caso, me lo prepare con el CD de preguntas de CISA, un imprescindible recurso capaz de adaptarte el estudio.
3. Piensa como un auditor
La naturaleza del examen exige que los aspirantes piensen como un auditor de TI, no como examinados: porque el énfasis está en las aplicaciones del mundo real, afinando sus habilidades de toma de decisiones al abordar escenarios de problemas hipotéticos y aprender a manejar, Evaluar y priorizar múltiples tareas bien te ayudará a aprobar el examen CISA.
4. Aproveche los recursos gratuitos de ISACA
El sitio web de ISACA ofrece una gran colección de recursos útiles y gratuitos para profesionales que se preparan para el examen CISA.
Aquí hay enlaces a unos pocos:
- Guía de auditoría y garantía de seguridad de la información
- Guía de información del candidato de ISACA
- Prueba de autoevaluación CISA de ISACA
- ISACA's base de datos de libros blancos de descarga gratuita
5. Coloca blogs y artículos de CISA en tu lista de lectura.
Además de los CD de CRM y CISA, los candidatos también deben visitar otros blogs (Además de el mejor blog de seguridad) y artículos de CISA disponibles para obtener una mejor perspectiva de la preparación del examen. Además de compartir información invaluable del mundo de la Seguridad que puede ayudar a los aspirantes a abordar las preguntas de CISA de las áreas de conocimiento actualizadas recientemente, los blogs mantenidos por contribuyentes regulares también son plataformas de gran aporte siempre.
Algunos grandes blogs para prepararte la certificación CISA:
- Blogs de ISACA : ¡ Para obtener información, consejos y trucos de la fuente!
- Risk3Sixty : Mantenido por un par de auditores de TI con amplia experiencia, Risk3Sixty está dirigido a profesionales que trabajan en el espacio de Auditoría de seguridad TI. El blog cubre varios problemas y desafíos cotidianos que puede enfrentar como auditor CISA certificado, por lo que ayudará a adaptarse a la mentalidad de auditoría.
6. Experiencia práctica en auditoría de Sistemas de la Información
Hará que la experiencia de certificación CISA sea más simple al obtener experiencia práctica y práctica en Seguridad de TI. Aunque son similares a las auditorías financieras y de recursos, las auditorías de TI tienen un alcance muy diferente, y tratan principalmente con información. Los aspirantes a CISA deben tener una idea clara de los procesos de negocios, la definición del alcance de la auditoría, la planificación de la auditoría y la presentación de informes.
7. Planificar y preparar con antelación
La gestión de las horas de estudio y la asignación de tiempo por áreas temáticas es esencial para tener éxito cuando se realiza el examen CISA. Si eres un profesional en activo, la recomendación es planificar el examen de 3 a 4 meses antes. También hay quien sugiere más o menos que se dedique al menos una o dos horas de estudio regularmente.
Además, le recomendamos que adapte su preparación y plan de estudios de acuerdo con su experiencia profesional y nivel de experiencia, de la siguiente manera:
8. División óptima del tiempo de preparación
De acuerdo con los entrenadores de preparación para el examen CISA, se debe pasar el 35 - 45% del tiempo dedicado al manual, el 15 - 20% en entrenamiento, y otro 35 - 40% en exámenes de simulación y exámenes de práctica.
9. Adaptabilidad: Mantener una "Mente abierta"
En el contexto del CISA, uno de los mejores consejos podría ser este: Desaprender lo aprendido es casi tan importante como aprender contenido nuevo. La industria TI es dinámica y siempre cambiante y, en consecuencia, también lo son sus principios y técnicas de auditoría.
10. Usa el documento de preguntas de CISA
Al igual que con muchos exámenes competitivos, el éxito en el CISA es también una función de la forma en que se maneja la prueba de manera eficaz y eficiente: un tema común entre los aspirantes que no tienen éxito es la falta de tiempo para completar el examen, que resulta de una mala gestión de las preguntas.
Al revisar los documentos de preguntas de años anteriores y las preguntas de pruebas simuladas, se debe diseñar un "plan de ataque" con estimaciones de la cantidad de tiempo que desea dedicar a la pregunta y al área temática. En esto, el CD de preguntas de ISACA, nos ayudará, pudiendo ir incrementando las preguntas, en tiempo, en temas .... (Recomiendo la obtención del CD como complemento de gran importancia al estudio, como veremos )
11. Únete a los grupos y foros de CISA
Los participantes pueden unirse a los grupos y foros de CISA para interactuar con otros aspirantes a CISA y con CISAs ya certificados. Estas plataformas pueden proporcionar conocimientos teóricos y prácticos sobre la auditoría de Sistemas de la Información, ayudando así a mejorar la comprensión de los conceptos del candidatos y su aplicación en el mundo real.
12. Explora los CDs de CISA y el material de aprendizaje electrónico
Aunque una parte del programa de estudios de CISA requiere memorización, adquirir un grado de competencia y fluidez con la seguridad TI significa obtener una comprensión completa de las diversas áreas de la materia del examen. Presentado en un formato de guión gráfico fácil de asimilar, el material de capacitación de ISACA está disponible en CD en la tienda online de ISACA.
13. Cursos de formación de certificación CISA
Muchas organizaciones acreditadas ofrecen cursos de capacitación de certificación CISA online o en persona. Tras ir al curso por mi parte, creo que es recomendable para gente con "poca" esperiencia, y sobre todo a nivel general, para aprender los conceptos claves de ISACA, como podria ser "Piensa en modo Americano" , o "Desconfia de las personas", ya que indica que damos vacaciones a los empleados, para así evitar fraudes.
14. Estudia tus habilidades de razonamiento verbal
Para los candidatos que están preparandose el examen CISA en un idioma que no sea su lengua materna, puede ser un poco desalentador ( Mi recomendación, hazlo en tu idioma ). Las preguntas de elección múltiple abiertas y basadas en estudios de casos generalmente se presentan con elecciones subjetivas que requieren un razonamiento verbal para deducir las expectativas y llegar al conjunto de respuestas correcto. Se recomienda revisar el Glosario de términos CISA de ISACA para familiarizarse con los términos técnicos de seguridad de TI en inglés, así como con las siglas correspondientes al examen CISA.