Il punto di vista di Cyber Academy
CISA è la certificazione di riferimento per l'audit IT, rilasciata da ISACA dal 1978. Cinque domini che coprono il processo di audit, la governance, l'acquisizione, le operazioni e la protezione degli asset. La certificazione di riferimento nei mandati delle Big Four. Riconosciuta a livello globale; obbligatoria per molti ruoli di audit interno e compliance nei settori regolamentati.
Cosa certifica realmente CISA
CISA è la credenziale che attesta la capacità di auditare un sistema informativo e di difendere l'opinione a cui si giunge. È rilasciata da ISACA ed è da decenni la qualifica di riferimento nell'audit IT, motivo per cui rappresenta l'aspettativa predefinita negli incarichi delle Big Four e il requisito che molti datori di lavoro regolamentati inseriscono nelle descrizioni dei ruoli di audit interno e compliance. La certificazione non riguarda la gestione operativa dell'IT né la sua messa in sicurezza. Riguarda la valutazione indipendente dell'esistenza dei controlli, del loro funzionamento, e della capacità delle evidenze di sostenere tale conclusione.
La distinzione professionale da tenere a mente è che CISA è una credenziale di assurance, non di implementazione. Chi possiede CISM gestisce un programma di sicurezza. Chi possiede CISA formula un'opinione indipendente sul fatto che tale programma, e l'ambiente IT più ampio che lo circonda, sia controllato. Questa indipendenza è il punto centrale: un auditor che ha costruito il controllo non può fornirne un'assurance credibile. CISA forma la mentalità basata su evidenze e campionamento che rende l'opinione difendibile.
I cinque domini CISA
L'esame e il corpo di conoscenze sono organizzati in cinque domini. Procedono dal modo in cui si effettua l'audit, attraverso il modo in cui l'IT è governato, fino alle tre aree del ciclo di vita che un auditor deve essere in grado di valutare:
- Processo di audit dei sistemi informativi. Pianificazione, definizione dell'ambito basata sul rischio, raccolta delle evidenze, campionamento e reporting. La disciplina che rende auditabile ogni altro dominio.
- Governance e gestione dell'IT. Strategia, policy, struttura organizzativa, e modalità con cui l'azienda indirizza e supervisiona la propria IT.
- Acquisizione, sviluppo e implementazione dei sistemi informativi. Se progetti, modifiche e nuovi sistemi siano controllati dal business case fino al go-live.
- Operatività dei sistemi informativi e resilienza del business. Operatività quotidiana, gestione dei servizi, backup, continuità e disaster recovery.
- Protezione degli asset informativi. Sicurezza logica e fisica, identità e accessi, cifratura, e controlli di protezione dei dati.
Dove si colloca CISA rispetto alle credenziali affini
CISA non è isolata nel catalogo ISACA, e i professionisti la combinano abitualmente con altre. Le evoluzioni più comuni sono laterali verso il rischio con CRISC, o ascendenti verso la leadership nella sicurezza con CISM. Rispetto al mondo ISO, CISA e la credenziale PECB Lead Auditor certificano entrambe la competenza di audit, ma in ambiti diversi: CISA è una qualifica ampia di audit IT legata ai domini ISACA, mentre Lead Auditor si fonda su ISO 19011 ed è orientata all'audit di uno specifico sistema di gestione, come un SGSI ISO 27001, spesso come percorso per diventare auditor accreditato di un organismo di certificazione.
| Credenziale | Ente | Focus principale |
|---|---|---|
| CISA | ISACA | Assurance ampia di audit IT su cinque domini |
| CISM | ISACA | Gestione e governance di un programma di sicurezza delle informazioni |
| CRISC | ISACA | Identificazione, valutazione e risposta al rischio IT |
| Lead Auditor | PECB | Audit di uno specifico sistema di gestione secondo ISO 19011 |
Ottenere la credenziale è più che superare l'esame. ISACA richiede un'esperienza professionale verificata in audit IT, l'adesione a un codice di etica professionale, e una formazione professionale continua per mantenere attiva la certificazione. Tale requisito di esperienza è ciò che conferisce peso a CISA: conferma che il titolare ha effettivamente svolto il lavoro, e non solo studiato la materia.
Frequently asked questions
01Qual è la differenza tra CISA e CISM?
CISA certifica la capacità di auditare e fornire assurance indipendente su un ambiente IT. CISM certifica la capacità di progettare e gestire un programma di sicurezza delle informazioni. CISA è il versante dell'assurance, CISM quello della gestione, e molti professionisti possiedono entrambe.
02È richiesta esperienza lavorativa per ottenere CISA?
Sì. ISACA richiede un'esperienza professionale verificata in audit, controllo o sicurezza dei sistemi informativi, oltre al superamento dell'esame. Esistono sostituzioni limitate, ma il requisito di esperienza è centrale nella credenziale.
03Come è strutturato l'esame CISA?
L'esame è costruito attorno ai cinque domini CISA ed è basato su scenari. Le domande valutano il giudizio di audit e la prioritizzazione del rischio, ad esempio cosa un auditor dovrebbe fare per primo in una data situazione, anziché la memorizzazione dei nomi dei controlli.
04CISA o PECB Lead Auditor, quale scegliere?
CISA è una credenziale ampia di audit IT legata ai domini ISACA ed è il riferimento predefinito nei ruoli di audit IT e nelle Big Four. PECB Lead Auditor si fonda su ISO 19011 per auditare uno specifico sistema di gestione, come ISO 27001, ed è il percorso verso l'audit accreditato presso un organismo di certificazione. Servono percorsi di carriera diversi e non sono reciprocamente esclusive.
05È necessario rinnovare CISA?
Sì. I titolari CISA mantengono la credenziale attraverso il programma di formazione professionale continua di ISACA e l'adesione al suo codice di etica professionale. Senza formazione continua, la certificazione decade.