CISA Certified Information Systems Auditor.

CISA é a certificação de referência em auditoria de TI, atribuída pela ISACA desde 1978. Cinco domínios que abrangem o processo de auditoria, governação, aquisição, operações e proteção de ativos. A certificação de eleição nos projetos das Big Four. Reconhecida globalmente; obrigatória em muitas funções de auditoria interna e conformidade em setores regulados.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

A perspetiva da Cyber Academy

CISA é a certificação de referência em auditoria de TI, atribuída pela ISACA desde 1978. Cinco domínios que abrangem o processo de auditoria, governação, aquisição, operações e proteção de ativos. A certificação de eleição nos projetos das Big Four. Reconhecida globalmente; obrigatória em muitas funções de auditoria interna e conformidade em setores regulados.

O que a CISA realmente certifica

A CISA é a credencial que demonstra que você consegue auditar um sistema de informação e defender a opinião a que chega. É concedida pela ISACA e há décadas é a qualificação de referência em auditoria de TI, razão pela qual constitui a expectativa padrão nos trabalhos das Big Four e o requisito que muitos empregadores regulados incluem nas descrições de cargos de auditoria interna e conformidade. A certificação não trata de operar a TI nem de protegê-la. Trata de avaliar de forma independente se os controles existem, se funcionam, e se as evidências sustentam essa conclusão.

A distinção de praticante que vale a pena reter é que a CISA é uma credencial de asseguração, não de implementação. Quem possui CISM dirige um programa de segurança. Quem possui CISA forma uma opinião independente sobre se esse programa, e o ambiente de TI mais amplo que o envolve, está controlado. Essa independência é o ponto central: um auditor que construiu o controle não pode assegurá-lo de forma credível. A CISA forma a mentalidade baseada em evidência e amostragem que mantém a opinião defensável.

Os cinco domínios da CISA

O exame e o corpo de conhecimentos estão organizados em cinco domínios. Avançam de como você audita, passando por como a TI é governada, até as três áreas do ciclo de vida que um auditor precisa ser capaz de avaliar:

  • Processo de auditoria de sistemas de informação. Planejamento, definição de escopo baseada em risco, coleta de evidências, amostragem e elaboração de relatórios. A disciplina que torna auditável todos os demais domínios.
  • Governança e gestão da TI. Estratégia, políticas, estrutura organizacional, e como a empresa direciona e supervisiona a sua TI.
  • Aquisição, desenvolvimento e implementação de sistemas de informação. Se projetos, mudanças e novos sistemas estão controlados desde o caso de negócio até a entrada em produção.
  • Operação de sistemas de informação e resiliência do negócio. Operações diárias, gestão de serviços, backup, continuidade e recuperação de desastres.
  • Proteção dos ativos de informação. Segurança lógica e física, identidade e acesso, criptografia, e controles de proteção de dados.

Onde a CISA se posiciona ao lado de credenciais próximas

A CISA não existe isoladamente no catálogo da ISACA, e os profissionais costumam combiná-la com outras. Os movimentos mais comuns são laterais em direção ao risco com a CRISC, ou ascendentes em direção à liderança em segurança com a CISM. Frente ao mundo ISO, a CISA e a credencial PECB Lead Auditor certificam ambas a competência de auditoria, mas em faixas diferentes: a CISA é uma qualificação ampla de auditoria de TI ligada aos domínios da ISACA, enquanto a Lead Auditor é construída sobre a ISO 19011 e voltada para auditar um sistema de gestão específico, como um SGSI ISO 27001, muitas vezes como o caminho para se tornar auditor acreditado de um organismo de certificação.

A CISA comparada a credenciais próximas
CredencialOrganismoFoco principal
CISAISACAAsseguração ampla de auditoria de TI em cinco domínios
CISMISACAGestão e governança de um programa de segurança da informação
CRISCISACAIdentificação, avaliação e resposta ao risco de TI
Lead AuditorPECBAuditoria de um sistema de gestão específico segundo a ISO 19011

Obter a credencial é mais do que passar no exame. A ISACA exige experiência profissional verificada em auditoria de TI, a adesão a um código de ética profissional, e educação profissional continuada para manter a certificação ativa. Esse requisito de experiência é o que confere peso à CISA: confirma que o titular efetivamente realizou o trabalho, e não apenas o estudou.

Frequently asked questions

01Qual é a diferença entre CISA e CISM?

A CISA certifica que você consegue auditar e dar asseguração independente sobre um ambiente de TI. A CISM certifica que você consegue projetar e gerir um programa de segurança da informação. A CISA é o lado da asseguração, a CISM o lado da gestão, e muitos profissionais possuem ambas.

02É exigida experiência profissional para obter a CISA?

Sim. A ISACA exige experiência profissional verificada em auditoria, controle ou segurança de sistemas de informação, além da aprovação no exame. Existem substituições limitadas, mas o requisito de experiência é central para a credencial.

03Como o exame CISA está estruturado?

O exame é construído em torno dos cinco domínios da CISA e é baseado em cenários. As perguntas avaliam o julgamento de auditoria e a priorização de risco, como o que um auditor deve fazer primeiro em uma dada situação, em vez da memorização de nomes de controles.

04CISA ou PECB Lead Auditor, qual devo escolher?

A CISA é uma credencial ampla de auditoria de TI ligada aos domínios da ISACA e é a referência padrão em cargos de auditoria de TI e nas Big Four. A PECB Lead Auditor é construída sobre a ISO 19011 para auditar um sistema de gestão específico, como a ISO 27001, e é o caminho para a auditoria acreditada junto a um organismo de certificação. Servem a trajetórias de carreira diferentes e não são mutuamente exclusivas.

05É preciso renovar a CISA?

Sim. Os titulares da CISA mantêm a credencial por meio do programa de educação profissional continuada da ISACA e da adesão ao seu código de ética profissional. Sem educação continuada, a certificação caduca.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.