CISA Certified Information Systems Auditor.

CISA es la certificación de referencia en auditoría de sistemas de información, otorgada por ISACA desde 1978. Abarca cinco dominios: el proceso de auditoría, gobernanza, adquisición, operaciones y protección de activos. Es la credencial estándar en los encargos de las Big Four. Reconocida a nivel mundial; obligatoria en numerosos roles de auditoría interna y cumplimiento normativo en sectores regulados.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

La perspectiva de Cyber Academy

CISA es la certificación de referencia en auditoría de sistemas de información, otorgada por ISACA desde 1978. Abarca cinco dominios: el proceso de auditoría, gobernanza, adquisición, operaciones y protección de activos. Es la credencial estándar en los encargos de las Big Four. Reconocida a nivel mundial; obligatoria en numerosos roles de auditoría interna y cumplimiento normativo en sectores regulados.

Qué certifica realmente CISA

CISA es la credencial que demuestra que puede auditar un sistema de información y defender la opinión a la que llega. La otorga ISACA y ha sido durante décadas la cualificación de referencia en auditoría de TI, razón por la cual constituye la expectativa por defecto en los encargos de las Big Four y el requisito que muchos empleadores regulados incluyen en las descripciones de puestos de auditoría interna y cumplimiento. La certificación no trata de operar la TI ni de protegerla. Trata de evaluar de forma independiente si los controles existen, si funcionan, y si la evidencia respalda esa conclusión.

La distinción de praticante que conviene retener es que CISA es una credencial de aseguramiento, no de implementación. Quien posee CISM dirige un programa de seguridad. Quien posee CISA forma una opinión independiente sobre si ese programa, y el entorno de TI más amplio que lo rodea, está controlado. Esa independencia es la cuestión central: un auditor que construyó el control no puede ofrecer un aseguramiento creíble sobre él. CISA forma la mentalidad de evidencia y muestreo que mantiene la opinión defendible.

Los cinco dominios de CISA

El examen y el cuerpo de conocimientos se organizan en cinco dominios. Avanzan desde cómo se audita, pasando por cómo se gobierna la TI, hasta las tres áreas del ciclo de vida que un auditor debe ser capaz de evaluar:

  • Proceso de auditoría de sistemas de información. Planificación, alcance basado en riesgo, recopilación de evidencia, muestreo y elaboración de informes. La disciplina que hace auditables todos los demás dominios.
  • Gobierno y gestión de la TI. Estrategia, políticas, estructura organizativa, y cómo la empresa dirige y supervisa su TI.
  • Adquisición, desarrollo e implementación de sistemas de información. Si los proyectos, los cambios y los nuevos sistemas están controlados desde el caso de negocio hasta la puesta en producción.
  • Operación de sistemas de información y resiliencia del negocio. Operaciones diarias, gestión de servicios, copias de seguridad, continuidad y recuperación ante desastres.
  • Protección de los activos de información. Seguridad lógica y física, identidad y acceso, cifrado, y controles de protección de datos.

El lugar de CISA junto a credenciales próximas

CISA no existe de forma aislada en el catálogo de ISACA, y los profesionales la combinan habitualmente con otras. Los movimientos más frecuentes son laterales hacia el riesgo con CRISC, o ascendentes hacia el liderazgo en seguridad con CISM. Frente al mundo ISO, CISA y la credencial PECB Lead Auditor certifican ambas la competencia de auditoría, pero en ámbitos distintos: CISA es una cualificación amplia de auditoría de TI ligada a los dominios de ISACA, mientras que Lead Auditor se basa en ISO 19011 y se orienta a auditar un sistema de gestión específico, como un SGSI ISO 27001, a menudo como vía para convertirse en auditor acreditado de un organismo de certificación.

CISA comparada con credenciales próximas
CredencialOrganismoEnfoque principal
CISAISACAAseguramiento amplio de auditoría de TI en cinco dominios
CISMISACAGestión y gobierno de un programa de seguridad de la información
CRISCISACAIdentificación, evaluación y respuesta al riesgo de TI
Lead AuditorPECBAuditoría de un sistema de gestión específico según ISO 19011

Obtener la credencial es más que aprobar el examen. ISACA exige experiencia profesional verificada en auditoría de TI, la adhesión a un código de ética profesional, y educación profesional continua para mantener activa la certificación. Ese requisito de experiencia es lo que da peso a CISA: confirma que quien la posee ha realizado realmente el trabajo, no solo lo ha estudiado.

Frequently asked questions

01¿Cuál es la diferencia entre CISA y CISM?

CISA certifica que usted puede auditar y dar aseguramiento independiente sobre un entorno de TI. CISM certifica que usted puede diseñar y gestionar un programa de seguridad de la información. CISA es la vertiente de aseguramiento, CISM la vertiente de gestión, y muchos profesionales poseen ambas.

02¿Se requiere experiencia laboral para obtener CISA?

Sí. ISACA exige experiencia profesional verificada en auditoría, control o seguridad de sistemas de información, además de aprobar el examen. Existen sustituciones limitadas, pero el requisito de experiencia es central en la credencial.

03¿Cómo está estructurado el examen CISA?

El examen se articula en torno a los cinco dominios de CISA y se basa en escenarios. Las preguntas evalúan el juicio de auditoría y la priorización de riesgos, como qué debería hacer primero un auditor en una situación dada, en lugar de la memorización de nombres de controles.

04CISA o PECB Lead Auditor, ¿cuál debería elegir?

CISA es una credencial amplia de auditoría de TI ligada a los dominios de ISACA y es la referencia por defecto en los puestos de auditoría de TI y de las Big Four. PECB Lead Auditor se basa en ISO 19011 para auditar un sistema de gestión específico, como ISO 27001, y es la vía hacia la auditoría acreditada de un organismo de certificación. Sirven a trayectorias profesionales distintas y no son mutuamente excluyentes.

05¿Hay que renovar CISA?

Sí. Quienes poseen CISA mantienen la credencial mediante el programa de educación profesional continua de ISACA y la adhesión a su código de ética profesional. Sin educación continua, la certificación caduca.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.