Práctica Profesional para la Certificación CISA 2019 

 

Válido para exámenes a partir del mes de junio de 2019

Se completó el análisis de la práctica profesional de CISA, lo que da lugar a una nueva práctica profesional de CISA que refleja las responsabilidades vitales y cambiantes de los auditores de TI. La práctica profesional sirve de base para el examen y los requisitos para obtener la certificación.

Práctica profesional de CISA 2016

 

 

Esta nueva práctica profesional consta de dominios, subtemas y tareas de soporte que representan el trabajo que se lleva a cabo durante la auditoría, aseguramiento y control a los sistemas de información. Estos dominios, subtemas y tareas son el resultado de largas investigaciones, retroalimentación y validación por parte de expertos en la materia y líderes prominentes de la industria de todo el mundo.

La práctica profesional que se muestra a continuación está organizada por dominios que serán evaluados por primera vez durante el examen CISA de junio de 2019.   El examen CISA incluirá 150 preguntas para evaluar la práctica profesional de 2019.

Áreas de práctica profesional por dominio para la certificación CISA 2019

Los dominios, conocimientos y tareas de soporte de la práctica profesional son los siguientes:

Dominio 1: Proceso de auditoría a los sistemas de información (21 por ciento)
Dominio 2: Gobierno y gestión de TI (17 por ciento)
Dominio 3: Adquisición, desarrollo e implementación de sistemas de información (12 por ciento)
Dominio 4: Operaciones de los sistemas de información y resiliencia del negocio (23 por ciento)
Dominio 5: Protección de los activos de información (27 por ciento)


Dominio 1: El proceso de auditoría a los sistemas de información

   A. Planificación

  1. Estándares, lineamientos y códigos de ética de la auditoria a los SI
  2. Procesos del negocio
  3. Tipos de controles
  4. Planificación de la auditoría basada en riesgos
  5. Tipos de auditorías y evaluaciones

   B. Ejecución

  1. Auditoría a la gestión de proyectos
  2. Metodología de muestreo
  3. Auditoría de las técnicas de recopilación de evidencias
  4. Análisis de datos
  5. Técnicas de informes y comunicación


Dominio 2: Gobierno y gestión de TI

   A. Gobierno de TI

  1. Gobierno de TI y Estrategia de TI
  2. Marcos relacionados con TI
  3. Estándares, políticas y procedimientos de TI
  4. Estructura organizacional
  5. Arquitectura de la empresa
  6. Gestión de riesgos empresariales
  7. Modelos de madurez
  8. Leyes, regulaciones y estándares de la industria que afectan a la organización

   B. Gestión de TI

  1. Gestión de recursos de TI
  2. Adquisición y gestión de proveedores de servicios de TI
  3. Supervisión e informes del desempeño de TI
  4. Aseguramiento de calidad y gestión de calidad de TI


Dominio 3: Adquisición, desarrollo e implementación de sistemas de información

   A. Adquisición y desarrollo de sistemas de información

  1. Gobierno y gestión de proyectos
  2. Caso de negocio y análisis de factibilidad
  3. Metodologías de desarrollo de sistemas
  4. Identificación y diseño del control

   B. Implementación de sistemas de información

  1. Metodologías de prueba
  2. Gestión de configuración y versiones
  3. Migración de sistemas, implementación de infraestructura y conversión de datos
  4. Revisión posterior a la implementación


Dominio 4: Operaciones de los Sistemas de Información y resiliencia del negocio

   A. Operaciones de los sistemas de información

  1. Componentes comunes de tecnología
  2. Gestión de activos de TI
  3. Programación de labores y automatización del proceso de producción
  4. Interfaces del sistema
  5. Computación de usuario final
  6. Gobierno de datos
  7. Gestión del desempeño de los sistemas
  8. Gestión de incidentes y problemas
  9. Gestión de cambios, configuración, versiones y parches
  10. Gestión del nivel de servicio de TI
  11. Gestión de la base de datos

   B. Resiliencia del negocio

  1. Análisis de impacto del negocio (BIA)
  2. Resiliencia del sistema
  3. Respaldo, almacenamiento y restauración de datos
  4. Plan de continuidad del negocio (BCP)
  5. Planes de recuperación de desastres (DRP)     


Dominio 5: Protección de los activos de información

   A. Seguridad y control de los activos de información

  1. Marcos, estándares y lineamientos de seguridad de los activos de información
  2. Principios de Privacidad
  3. Acceso físico y controles ambientales
  4. Gestión de identidad y acceso
  5. Seguridad de la red y del punto final
  6. Clasificación de datos
  7. Cifrado de datos y técnicas relacionadas con el cifrado
  8. Infraestructura de llave pública (PKI)
  9. Técnicas de comunicación basadas en la web
  10. Ambientes virtualizados
  11. Dispositivos móviles, inalámbricos y de la Internet de las cosas (IoT)

   B. Gestión de eventos de seguridad

  1. Concientización, entrenamiento y programas de seguridad
  2. Métodos y técnicas de ataques a los sistemas de información
  3. Herramientas y técnicas para probar la seguridad
  4. Herramientas y técnicas para monitorear la seguridad
  5. Gestión de respuesta a incidentes
  6. Recolección y manejo forense de evidencias


Tareas de soporte

  1. Planificar auditorías para determinar si los sistemas de información están protegidos, controlados y si proveen valor a la organización.
  2. Realizar auditorías de conformidad con los estándares de auditoría de SI y una estrategia de auditoría de SI basada en riesgos.
  3. Comunicar el progreso de la auditoría, los hallazgos, resultados y las recomendaciones a las partes interesadas.
  4. Realizar seguimientos a la auditoría para evaluar si los riesgos fueron abordados suficientemente.
  5. Evaluar si la estrategia de TI está alineada con las estrategias y objetivos de la organización.
  6. Evaluar la eficacia de la estructura de gobierno de TI y la estructura organizacional de TI.
  7. Evaluar la gestión de las políticas y prácticas de TI en la organización.
  8. Evaluar si las políticas y prácticas de TI de la organización cumplen con los requerimientos legales y regulatorios
  9. Evaluar si la gestión de recursos y el portafolio de TI están alineados con las estrategias y los objetivos de la organización.
  10. Evaluar las políticas y prácticas de gestión de riesgos de la organización.
  11. Evaluar la gestión de TI y la supervisión de controles.
  12. Evaluar la supervisión y presentación de informes de los principales indicadores de desempeño de TI (KPIs).
  13. Evaluar la capacidad de la organización para continuar con las operaciones del negocio.
  14. Evaluar si el caso de negocio de los cambios propuestos a los sistemas de información cumple con los objetivos de negocio.
  15. Evaluar si los procesos de gestión de selección y contratación de proveedores externos de TI están alineados con los requerimientos de negocio.
  16. Evaluar las políticas y prácticas de gestión de proyectos de la organización.
  17. Evaluar los controles en todas las etapas del ciclo de vida del desarrollo de sistemas de información.
  18. Evaluar la preparación de los sistemas de información para su implementación y migración a producción.
  19. Realizar revisiones posteriores a la implementación de los sistemas para determinar si se cumplen con los entregables, los controles y los requerimientos del proyecto.
  20. Evaluar si las prácticas de gestión de servicios de TI están alineadas con los requerimientos del negocio.
  21. Realizar revisiones periódicas de los sistemas de información y la arquitectura de la empresa.
  22. Evaluar las operaciones de TI para determinar si están siendo controladas de manera eficaz y continúa para respaldar los objetivos de la organización.
  23. Evaluar las prácticas de mantenimiento de TI para determinar si está siendo controladas de manera eficaz y continúa para respaldar los objetivos de la organización.
  24. Evaluar las prácticas de gestión de bases de datos.
  25. Evaluar las políticas y prácticas del gobierno de datos.
  26. Evaluar las políticas y prácticas de gestión de incidentes y problemas.
  27. Evaluar las políticas y prácticas de gestión de cambios, configuración, versiones y parches.
  28. Evaluar la computación de usuario final para determinar si los procesos están siendo controlados de manera eficaz.
  29. Evaluar las políticas y prácticas de seguridad y privacidad de la información de la organización.
  30. Evaluar los controles físicos y ambientales para determinar si los activos de información están protegidos adecuadamente.
  31. Evaluar los controles de seguridad lógica para verificar la confidencialidad, integridad y disponibilidad de la información.
  32. Evaluar si las prácticas de clasificación de datos están alineadas con las políticas de la organización y con los requerimientos externos aplicables.
  33. Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.
  34. Evaluar el programa de seguridad de la información para determinar su eficacia y que estén alineadas con las estrategias y los objetivos de la organización.
  35. Realizar pruebas técnicas de seguridad para identificar posibles amenazas y vulnerabilidades.
  36. Usar herramientas de análisis de datos para agilizar los procesos de auditoría.
  37. Proporcionar servicios de consultoría y guía a la organización para mejorar la calidad y control de los sistemas de información.
  38. Identificar oportunidades de mejora de los procesos en las políticas y prácticas de TI de la organización.
  39. Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes, las regulaciones y las prácticas de la industria.