A perspetiva da Cyber Academy
CISA é a certificação de referência em auditoria de TI, atribuída pela ISACA desde 1978. Cinco domínios que abrangem o processo de auditoria, governação, aquisição, operações e proteção de ativos. A certificação de eleição nos projetos das Big Four. Reconhecida globalmente; obrigatória em muitas funções de auditoria interna e conformidade em setores regulados.
O que a CISA realmente certifica
A CISA é a credencial que demonstra que você consegue auditar um sistema de informação e defender a opinião a que chega. É concedida pela ISACA e há décadas é a qualificação de referência em auditoria de TI, razão pela qual constitui a expectativa padrão nos trabalhos das Big Four e o requisito que muitos empregadores regulados incluem nas descrições de cargos de auditoria interna e conformidade. A certificação não trata de operar a TI nem de protegê-la. Trata de avaliar de forma independente se os controles existem, se funcionam, e se as evidências sustentam essa conclusão.
A distinção de praticante que vale a pena reter é que a CISA é uma credencial de asseguração, não de implementação. Quem possui CISM dirige um programa de segurança. Quem possui CISA forma uma opinião independente sobre se esse programa, e o ambiente de TI mais amplo que o envolve, está controlado. Essa independência é o ponto central: um auditor que construiu o controle não pode assegurá-lo de forma credível. A CISA forma a mentalidade baseada em evidência e amostragem que mantém a opinião defensável.
Os cinco domínios da CISA
O exame e o corpo de conhecimentos estão organizados em cinco domínios. Avançam de como você audita, passando por como a TI é governada, até as três áreas do ciclo de vida que um auditor precisa ser capaz de avaliar:
- Processo de auditoria de sistemas de informação. Planejamento, definição de escopo baseada em risco, coleta de evidências, amostragem e elaboração de relatórios. A disciplina que torna auditável todos os demais domínios.
- Governança e gestão da TI. Estratégia, políticas, estrutura organizacional, e como a empresa direciona e supervisiona a sua TI.
- Aquisição, desenvolvimento e implementação de sistemas de informação. Se projetos, mudanças e novos sistemas estão controlados desde o caso de negócio até a entrada em produção.
- Operação de sistemas de informação e resiliência do negócio. Operações diárias, gestão de serviços, backup, continuidade e recuperação de desastres.
- Proteção dos ativos de informação. Segurança lógica e física, identidade e acesso, criptografia, e controles de proteção de dados.
Onde a CISA se posiciona ao lado de credenciais próximas
A CISA não existe isoladamente no catálogo da ISACA, e os profissionais costumam combiná-la com outras. Os movimentos mais comuns são laterais em direção ao risco com a CRISC, ou ascendentes em direção à liderança em segurança com a CISM. Frente ao mundo ISO, a CISA e a credencial PECB Lead Auditor certificam ambas a competência de auditoria, mas em faixas diferentes: a CISA é uma qualificação ampla de auditoria de TI ligada aos domínios da ISACA, enquanto a Lead Auditor é construída sobre a ISO 19011 e voltada para auditar um sistema de gestão específico, como um SGSI ISO 27001, muitas vezes como o caminho para se tornar auditor acreditado de um organismo de certificação.
| Credencial | Organismo | Foco principal |
|---|---|---|
| CISA | ISACA | Asseguração ampla de auditoria de TI em cinco domínios |
| CISM | ISACA | Gestão e governança de um programa de segurança da informação |
| CRISC | ISACA | Identificação, avaliação e resposta ao risco de TI |
| Lead Auditor | PECB | Auditoria de um sistema de gestão específico segundo a ISO 19011 |
Obter a credencial é mais do que passar no exame. A ISACA exige experiência profissional verificada em auditoria de TI, a adesão a um código de ética profissional, e educação profissional continuada para manter a certificação ativa. Esse requisito de experiência é o que confere peso à CISA: confirma que o titular efetivamente realizou o trabalho, e não apenas o estudou.
Frequently asked questions
01Qual é a diferença entre CISA e CISM?
A CISA certifica que você consegue auditar e dar asseguração independente sobre um ambiente de TI. A CISM certifica que você consegue projetar e gerir um programa de segurança da informação. A CISA é o lado da asseguração, a CISM o lado da gestão, e muitos profissionais possuem ambas.
02É exigida experiência profissional para obter a CISA?
Sim. A ISACA exige experiência profissional verificada em auditoria, controle ou segurança de sistemas de informação, além da aprovação no exame. Existem substituições limitadas, mas o requisito de experiência é central para a credencial.
03Como o exame CISA está estruturado?
O exame é construído em torno dos cinco domínios da CISA e é baseado em cenários. As perguntas avaliam o julgamento de auditoria e a priorização de risco, como o que um auditor deve fazer primeiro em uma dada situação, em vez da memorização de nomes de controles.
04CISA ou PECB Lead Auditor, qual devo escolher?
A CISA é uma credencial ampla de auditoria de TI ligada aos domínios da ISACA e é a referência padrão em cargos de auditoria de TI e nas Big Four. A PECB Lead Auditor é construída sobre a ISO 19011 para auditar um sistema de gestão específico, como a ISO 27001, e é o caminho para a auditoria acreditada junto a um organismo de certificação. Servem a trajetórias de carreira diferentes e não são mutuamente exclusivas.
05É preciso renovar a CISA?
Sim. Os titulares da CISA mantêm a credencial por meio do programa de educação profissional continuada da ISACA e da adesão ao seu código de ética profissional. Sem educação continuada, a certificação caduca.