CCAK Certificate of Cloud Auditing Knowledge.

CCAK es la credencial conjunta de ISACA y Cloud Security Alliance para auditores de nube. Abarca la gobernanza cloud, el CCM, el programa STAR y las consideraciones de auditoría específicas de los hyperscalers. La extensión natural para un titular de CISA cuyo alcance ha pasado a ser cloud-first.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

La perspectiva de Cyber Academy

CCAK es la credencial conjunta de ISACA y Cloud Security Alliance para auditores de nube. Abarca la gobernanza cloud, el CCM, el programa STAR y las consideraciones de auditoría específicas de los hyperscalers. La extensión natural para un titular de CISA cuyo alcance ha pasado a ser cloud-first.

Qué certifica realmente el CCAK

El Certificate of Cloud Auditing Knowledge es una credencial conjunta de ISACA y la Cloud Security Alliance, y responde a una carencia concreta. La formación tradicional en auditoría de TI presupone que puedes recorrer el centro de datos, inspeccionar los tickets de cambios y probar de extremo a extremo controles que la organización posee íntegramente. En la nube, esa premisa se rompe. El proveedor opera la infraestructura física, el hipervisor y grandes partes de la plataforma, y tú nunca los ves. El CCAK está construido en torno a cómo auditar y dar aseguramiento a ese esquema: cómo se reparte la responsabilidad de los controles entre cliente y proveedor, qué evidencia puedes obtener realmente, y cómo razonar sobre el aseguramiento cuando no puedes realizar la prueba tú mismo.

Es un certificado de conocimientos más que una certificación condicionada por la experiencia, por lo que no lleva asociado un requisito de experiencia de varios años como sí ocurre con el CISA. Eso lo hace accesible más temprano en una carrera, pero se posiciona como complemento de credenciales de auditoría más profundas y no como sustituto. El lector natural es alguien que ya domina el método de auditoría y ahora necesita encima la capa específica de la nube.

Qué abarca el cuerpo de conocimientos

El CCAK está anclado en las propias herramientas de la CSA y no en la documentación de un único proveedor, que es lo que lo mantiene neutral respecto al fabricante. Los principales puntos de referencia con los que los profesionales aprenden a trabajar incluyen:

  • La Cloud Controls Matrix (CCM), el marco de controles de la CSA mapeado a través de los dominios de la nube y correlacionado con normas como ISO 27001 y los principales regímenes regulatorios. Es el catálogo de controles frente al cual evalúas un entorno de nube.
  • El Consensus Assessments Initiative Questionnaire (CAIQ), el conjunto normalizado de preguntas que un cliente plantea a un proveedor para entender qué controles de la CCM opera el proveedor y cómo.
  • El programa STAR (Security, Trust, Assurance and Risk), el registro de aseguramiento de la CSA. STAR tiene niveles que van desde la autoevaluación del proveedor hasta la certificación por un tercero, y el CCAK te enseña a leer qué demuestra y qué no demuestra cada nivel.
  • La responsabilidad compartida, la asignación de controles y las consideraciones de auditoría propias de cada proveedor a través de los principales hyperscalers, de modo que sepas qué controles pruebas tú, cuáles atestigua el proveedor y dónde está la junta entre ambos.

Dónde se sitúa el CCAK respecto al CISA y al CCSP

Los profesionales confunden con frecuencia el CCAK con las dos credenciales entre las que se ubica, así que vale la pena trazar la distinción con claridad. El CISA establece que eres capaz de auditar sistemas de información, sin más. El CCSP, de (ISC)2, es una credencial amplia de diseño y arquitectura de seguridad de la nube. El CCAK es más estrecho y más específico que cualquiera de los dos: trata sobre dar aseguramiento a la nube, no sobre construirla ni sobre auditar sistemas en general.

El CCAK comparado con credenciales vecinas
CredencialEnfoque principalPostura
CCAKAuditoría y aseguramiento de entornos de nubeEspecífico de la nube, basado en conocimientos, neutral respecto al fabricante
CISAAuditoría de sistemas de información en generalMétodo de auditoría amplio, condicionado por la experiencia
CCSPDiseño y protección de la arquitectura de la nubeArquitectura de seguridad, no centrada en la auditoría

En la práctica, el emparejamiento más sólido es CISA más CCAK. El CISA aporta la disciplina de auditoría, los estándares de evidencia y la mentalidad de independencia; el CCAK añade la capa de nube, de modo que un titular del CISA cuyo alcance ha pasado a ser cloud-first pueda evaluar las fronteras de la responsabilidad compartida y leer evidencia STAR sin reaprender auditoría desde cero. Esa es la progresión que el CCAK está diseñado para servir.

Frequently asked questions

01¿Es el CCAK un sustituto del CISA?

No. El CISA establece que eres capaz de auditar sistemas de información y conlleva un requisito de experiencia. El CCAK es un certificado de conocimientos más estrecho, centrado en el aseguramiento de la nube, y no tiene ese requisito. Están diseñados para tenerse juntos, con el CISA como base de auditoría y el CCAK como capa de nube.

02¿Exige el CCAK experiencia profesional?

No. El CCAK es un certificado de conocimientos, por lo que no impone el requisito de experiencia de varios años que sí imponen credenciales como el CISA. Eso lo hace alcanzable más temprano, aunque resulta más útil a quien ya domina el método de auditoría.

03¿Cuál es la diferencia entre el CCAK y CSA STAR?

El CCAK certifica el conocimiento de una persona en auditoría de la nube. STAR es el programa de aseguramiento de la CSA para los servicios en la nube en sí, con niveles que van desde la autoevaluación hasta la certificación por un tercero. El CCAK te enseña a evaluar STAR; STAR no se te otorga a ti.

04¿Está el CCAK ligado a un solo proveedor de nube?

No. El CCAK es neutral respecto al fabricante. Se apoya en marcos de la CSA como la Cloud Controls Matrix y el CAIQ, y abarca consideraciones propias de cada proveedor a través de los principales hyperscalers en lugar de certificarte en una única plataforma.

05¿En qué se diferencia el CCAK del CCSP?

El CCSP, de (ISC)2, es una credencial amplia para diseñar y proteger la arquitectura de la nube. El CCAK trata sobre auditar y dar aseguramiento a entornos de nube. Uno construye y protege la nube, el otro la evalúa.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.