Práctica Profesional para la Certificación CISA 2016 

 

Práctica profesional de CISA 2019

 

 

Una práctica profesional sirve de base para el examen y los requisitos para obtener la certificación. Esta nueva práctica profesional consta de enunciados de tareas y conocimientos, que representan el trabajo que se lleva a cabo durante la auditoría, el aseguramiento y control de los sistemas de información. Estos enunciados y los dominios son el resultado de largas investigaciones, retroalimentación y validación por parte de expertos en la materia y líderes prominentes de la industria de todo el mundo.

La práctica profesional que se muestra a continuación está organizada por dominios que se evaluaron por primera vez durante el examen CISA de junio de 2016. A partir de 2016, el examen CISM incluye 150 preguntas para evaluar la nueva práctica profesional.

Áreas de práctica profesional para la certificación CISA por dominio

Los dominios de la práctica profesional y los enunciados de tareas y conocimientos relacionados son los siguientes:

Dominio 1—El Proceso de Auditar Sistemas de Información (21%)
Dominio 2—Gobierno y Gestión de TI (16%)
Dominio 3—Adquisición, Desarrollo e Implementación de Sistemas de Información (18%)
Dominio 4—Operación de Sistemas de Información, Mantenimiento y Gestión de Servicios (20%)
Dominio 5—Protección de los Activos de Información (25%)

Dominio 1—El Proceso de Auditar Sistemas de Información

Proveer servicios de auditoría de acuerdo con los estándares de auditoría de SI para ayudar a la organización a proteger y controlar los sistemas de información. (21%)

Enunciados de tareas:

1.1  Ejecutar una estrategia de auditoría de SI basada en los riesgos que cumpla con los estándares de auditoría de SI para asegurar que se auditen las áreas clave de riesgo.
1.2 Planificar auditorías específicas para determinar si los sistemas de información están protegidos y controlados, y si proveen valor a la organización.
1.3 Conducir auditorías en conformidad con los estándares de auditoría de SI para lograr los objetivos planificados de auditoría.
1.4 Comunicar los resultados de las auditorías y hacer recomendaciones a las partes interesadas clave, a través de reuniones e informes de auditoría que promuevan el cambio cuando sea necesario.
1.5 Conducir seguimientos de las auditorías para determinar si la gerencia tomó las acciones apropiadas oportunamente.

Enunciados de conocimientos:

1.1 Conocimiento de Estándares de Auditoría y Aseguramiento de ISACA, Directrices, Herramientas y Técnicas, Código de Ética Profesional y otros estándares aplicables
1.2 Conocimiento de los conceptos de la evaluación de riesgo, herramientas y técnicas utilizadas en la planificación, el examen, el informe y seguimiento
1.3 Conocimiento de los procesos fundamentales de negocio (por ejemplo, compras, nóminas de pago de sueldo, cuentas por pagar, cuentas por cobrar) y el rol de SI en estos procesos
1.4 Conocimiento de los principios de control relacionados con los controles en los sistemas de información
1.5 Conocimiento de las técnicas de planificación de auditoría basada en el riesgo y de las técnicas de gestión de proyectos de auditoría, incluyendo el seguimiento
1.6 Conocimiento de las leyes y regulaciones aplicables que afectan al alcance, a la recopilación y la preservación de evidencias, y a la frecuencia de las auditorías
1.7 Conocimiento de las técnicas de recopilación de evidencia (por ejemplo, observación, consulta, inspección, entrevista, análisis de datos, técnicas de investigación forense, técnicas de auditoría asistida por computadora [TAAC]) usadas para reunir, proteger y preservar la evidencia de auditoría
1.8 Conocimiento de diferentes metodologías de muestreo y otros procedimientos sustantivos analíticos de datos
1.9 Conocimiento de las técnicas de reporte y comunicación (por ejemplo, facilitación, negociación, resolución de conflictos, estructura del informe de auditoría, formalización de la observación, resumen ejecutivo, verificación de resultados)
1.10 Conocimiento de los sistemas y marcos de aseguramiento de calidad (QA) de la auditoría
1.11 Conocimiento de varios tipos de auditorías (por ejemplo, interna, externas, financiera) y métodos para evaluar y confiar en el trabajo de otros auditores o entidades de contro

Dominio 2—Gobierno y gestión de TI

Asegurar que se implementen las estructuras y los procesos de liderazgo y organización para alcanzar objetivos y apoyar las estrategia de la organización. (16%)

Enunciados de tareas:

2.1 Evaluar la estrategia de TI, incluyendo la dirección de TI, y los procesos para el desarrollo, la aprobación, la implementación y el mantenimiento de la estrategia para que esté alineada con las estrategias y los objetivos de la organización.
2.2 Evaluar la efectividad de la estructura de gobierno de TI para determinar si las decisiones, las direcciones y el desempeño de TI respaldan las estrategias y los objetivos de la organización.
2.3 Evaluar la estructura organizativa de TI y la gestión de recursos humanos (personal) para determinar si dan soporte a las estrategias y los objetivos de la organización.
2.4 Evaluar las políticas, los estándares y los procedimientos de TI de la organización y los procesos para su desarrollo, aprobación, publicación, implementación y mantenimiento a fin de determinar si respaldan la estrategia de TI y cumplen con los requerimientos legales y regulatorios.
2.5 Evaluar la gestión de recursos de TI, que incluyen inversión, priorización, asignación y uso, para determinar si concuerdan con las estrategias y los objetivos de la organización.
2.6 Evaluar la gestión de cartera de TI, que incluyen inversión, priorización y asignación, para determinar si concuerdan con las estrategias y los objetivos de la organización.
2.7 Evaluar las prácticas de gestión de riesgos para determinar si los riesgos de la organización relacionados con TI se identifican, evalúan, monitorean, informan y gestionan.
2.8 Evaluar la gestión de TI y el monitoreo de controles (por ejemplo, monitoreo continuo, aseguramiento de la calidad [QA]) para determinar si cumplen con las políticas, los estándares y los procedimientos de la organización.
2.9 Evaluar el monitoreo y presentación de informes de los indicadores clave de desempeño (KPI) para determinar si la gerencia recibe suficiente información y oportuna.
2.10 Evaluar el plan de continuidad del negocio (BCP) de la organización, que incluye la alineación del plan de recuperación de desastre (DRP) de TI con el BCP, para determinar la capacidad de la organización de continuar con las operaciones esenciales del negocio durante el período de una interrupción de TI.

Enunciados de conocimientos relacionados:

2.1 Conocimiento del propósito de la estrategia, las políticas, los estándares y los procedimientos de TI para una organización y los elementos esenciales de cada uno de ellos
2.2 Conocimiento del gobierno, la gestión, la seguridad y los marcos de control de TI, así como los estándares, las directrices y las prácticas relacionadas
2.3 Conocimiento de la estructura, los roles y las responsabilidades organizacionales relacionados con TI, que incluye la segregación de funciones (SoD).
2.4 Conocimiento de leyes, regulaciones y estándares relevantes de la industria que afecten a la organización
2.5 Conocimiento de la dirección de la tecnología y la arquitectura de TI de la organización y sus implicaciones para establecer direcciones estratégicas a largo plazo
2.6 Conocimiento de los procesos para el desarrollo, la implementación y el mantenimiento de la estrategia, las políticas, los estándares y los procedimientos de TI
2.7 Conocimiento del uso de modelos de madurez y capacidad
2.8 Conocimiento de las técnicas de optimización de procesos
2.9 Conocimiento de las prácticas de inversión y asignación de recursos de TI, incluyendo criterios de priorización (por ejemplo, gestión de cartera, gestión del valor, gestión de personal)
2.10 Conocimiento de procesos de selección de proveedores de TI, gestión de contratos, gestión de relaciones y monitoreo del desempeño, incluyendo relaciones de outsourcing de terceros
2.11 Conocimiento de gestión de riesgos empresariales (ERM)
2.12 Conocimiento de las prácticas de monitoreo y presentación de informes del rendimiento de los controles (por ejemplo, monitoreo continuo, aseguramiento de la calidad [QA])
2.13 Conocimiento de los sistemas de aseguramiento de la calidad (QA) y gestión de la calidad
2.14 Conocimiento de las prácticas para monitorear y reportar el desempeño de TI (por ejemplo, cuadros de mando balanceado [balanced scorecards, BSC], indicadores clave de desempeño [KPI])
2.15 Conocimiento del análisis de impacto en el negocio (BIA)
2.16 Conocimiento de los estándares y procedimientos para el desarrollo, el mantenimiento y las pruebas del plan de continuidad del negocio (BCP)
2.17 Conocimiento de los procedimientos utilizados para invocar y ejecutar el plan de continuidad del negocio (BCP) y para regresar a las operaciones normales

Dominio 3—Adquisición, Desarrollo e Implementación de Sistemas de Información

Garantizar que las prácticas para adquirir, desarrollar, probar e implementar los sistemas de información cumplan las estrategias y los objetivos de la organización. (18%)

Enunciados de tareas:

3.1  Evaluar el caso de negocio para las inversiones propuestas en la adquisición, el desarrollo, el mantenimiento y el subsiguiente retiro del sistema de información para determinar si el caso de negocio cumple con los objetivos de la empresa.
3.2 Evaluar la selección de proveedores de TI y los procesos de gestión de contratos, para asegurar que se cumplan los niveles de servicio y los controles requeridos de la organización.
3.3 Evaluar el marco de referencia y los controles de la gestión de proyectos para determinar si los requerimientos del negocio se logran de forma rentable, a la vez que se gestionan los riesgos para la organización.
3.4 Realizar revisiones para determinar si un proyecto está progresando en conformidad con los planes del proyecto, está respaldado de manera adecuada por documentación y el informe de avance es preciso y oportuno.
3.5 Evaluar los controles para los sistemas de información durante las fases de requerimientos, adquisición, desarrollo y pruebas para verificar si cumplen con las políticas, los estándares, los procedimientos de la organización y los requerimientos externos aplicables.
3.6 Evaluar la preparación de los sistemas de información para su implementación y migración a producción, para determinar si se cumplen los entregables del proyecto, controles y requerimientos de la organización.
3.7 Realizar revisiones posteriores a la implementación de los sistemas para determinar si se cumplen con los entregables, controles y los requerimientos de la organización.

Enunciados de conocimientos:

3.1 Conocimiento de las prácticas de realización de beneficios (por ejemplo, estudios de factibilidad, casos de negocio, costo total de propiedad [TCO], retorno de la inversión [ROI])
3.2 Conocimiento de las prácticas de gestión de proveedores y adquisición (por ejemplo, proceso de evaluación y selección, gestión de contratos, gestión de relaciones y riesgos de proveedores, colocación de software en resguardo con un tercero [escrow], licenciamiento de software), que incluye las relaciones de externalización (outsourcing) de terceros, proveedores de TI y proveedores del servicio.
3.3 Conocimiento de los mecanismos de gobierno de proyectos (por ejemplo, comité directivo, junta de supervisión de proyectos, oficina de gestión de proyectos)
3.4 Conocimiento de las prácticas, las herramientas y los marcos de control de la gestión de proyectos
3.5 Conocimiento de las prácticas de gestión de riesgos aplicadas a los proyectos
3.6 Conocimiento del análisis de requerimientos y prácticas de gestión (por ejemplo, verificación de requerimientos, trazabilidad, análisis de brechas [gap analysis], gestión de vulnerabilidades, requerimientos de seguridad)
3.7 Conocimiento de la arquitectura de la empresa (EA) relacionada a datos, aplicaciones y tecnologías (por ejemplo, aplicaciones basadas en la web, servicios en la web, aplicaciones de múltiples capas, servicios en la nube, virtualización)
3.8 Conocimiento de las metodologías y herramientas de desarrollo de sistemas, incluidas sus fortalezas y debilidades (por ejemplo, prácticas de desarrollo ágil, uso de prototipos, desarrollo rápido de aplicaciones [RAD], técnicas de diseño orientado a objetos, prácticas de codificación seguras, sistema de control de versiones)
3.9 Conocimiento de los objetivos y las técnicas de control que aseguran la integridad, precisión, validez y autorización de transacciones y datos
3.10 Conocimiento de las metodologías de prueba y prácticas relacionadas con el ciclo de vida de desarrollo de sistemas de información (SDLC, en español, CVDS)
3.11 Conocimiento de la gestión de configuración y versiones con relación al desarrollo de los sistemas de información
3.12 Conocimiento de las prácticas de migración de sistemas e implementación de infraestructuras, así como de herramientas de conversión de datos, técnicas y procedimientos
3.13 Conocimiento de los criterios de éxito y riesgos de los proyectos
3.14 Conocimiento de los objetivos y las prácticas de revisión posterior a la implementación (por ejemplo, cierre de proyectos, implementación de controles, realización de beneficios, medición del desempeño)

Dominio 4— Ges Operación de Sistemas de Información, Mantenimiento y Gestión de Servicios

Proveer aseguramiento de que los procesos de operación de sistemas de información, mantenimiento y gestión de servicio cumplan las estrategias y los objetivos de la organización. (20%)

Enunciados de tareas:

4.1 Evaluar las prácticas y el marco de referencia de la gestión de servicios de TI (internos o por terceros) para determinar si se cumplen los controles y los niveles de servicios esperados por la organización, así como los objetivos estratégicos.
4.2 Realizar revisiones periódicas de los sistemas de información para determinar si siguen cumpliendo con los objetivos de la organización dentro de la arquitectura empresarial (EA).
4.3 Evaluar las operaciones de TI (por ejemplo, programación de trabajos, gestión de configuración, capacidad y gestión de desempeño) para determinar si son controladas de manera efectiva y siguen soportando los objetivos de la organización.
4.4 Evaluar el mantenimiento de TI (parches, actualizaciones) para determinar si está siendo controlado de forma efectiva y continúa respaldando los objetivos de la organización.
4.5 Evaluar las prácticas de gestión de base de datos para determinar la integridad y optimización de las bases de datos.
4.6 Evaluar la calidad de los datos y la gestión del ciclo de vida para determinar si siguen cumpliendo con los objetivos estratégicos.
4.7 Evaluar las prácticas de gestión de incidentes y problemas para determinar si se previenen, detectan, analizan, informan y resuelven los problemas e incidentes de manera oportuna para respaldar los objetivos de la organización.
4.8 Evaluar las prácticas de gestión de cambios y liberación de versiones para determinar si los cambios realizados a los sistemas y las aplicaciones son controlados y documentados de manera adecuada.
4.9 Evaluar la computación de usuario final para determinar si los procesos son controlados de manera efectiva y respaldan los objetivos de la organización.
4.10 Evaluar la continuidad y resiliencia de TI (respaldos/restauraciones, plan de recuperación de desastres [DRP]) para determinar si se controlan de manera efectiva y si siguen respaldando los objetivos de la organización.

Enunciados de conocimientos:

4.1 Conocimiento de los marcos de referencia de gestión de servicios
4.2 Conocimiento de las prácticas de gestión de servicios y gestión de niveles de servicio
4.3 Conocimiento de técnicas para monitorear el desempeño de terceros, así como el cumplimiento con los acuerdos de servicios y requerimientos regulatorios
4.4 Conocimiento de la arquitectura empresarial (EA)
4.5 Conocimiento de la funcionalidad de la tecnología fundamental (por ejemplo, componentes de la red y hardware, software del sistema, middleware, sistemas de gestión de base de datos)
4.6 Conocimiento de técnicas y herramientas de resiliencia del sistema (por ejemplo, hardware tolerante a fallas, eliminación de un punto único de falla, clustering)
4.7 Conocimiento de la gestión de activos de TI, licenciamiento de software, gestión de código fuente y prácticas de inventario
4.8 Conocimiento de las prácticas de programación de trabajos, que incluyan el manejo de excepciones
4.9 Conocimiento de las técnicas de control que aseguren la integridad de las interfaces del sistema
4.10 Conocimiento de planificación de la capacidad y de herramientas y técnicas de monitoreo relacionadas
4.11 Conocimiento de los procesos de monitoreo de rendimiento de sistemas, las herramientas y técnicas asociadas (por ejemplo, analizadores de red, reportes de utilización de sistemas, balanceo de carga)
4.12 Conocimiento de las prácticas de respaldo, almacenamiento, mantenimiento y restauración de datos
4.13 Conocimiento de las prácticas de gestión y optimización de base de datos
4.14 Conocimiento de calidad de datos (completitud, precisión, integridad) y gestión de ciclo de vida (antigüedad, retención)
4.15 Conocimiento de las prácticas de gestión de incidentes y problemas
4.16 Conocimiento de las prácticas de gestión de cambios, configuración, liberación de versiones y parches
4.17 Conocimiento de riesgos operativos y controles relacionados con la computación de usuario final
4.18 Conocimiento de asuntos regulatorios, legales, contractuales y de seguros relacionados con la recuperación de desastres
4.19 Conocimiento del análisis del impacto en el negocio (BIA) relacionado con el plan de recuperación de desastres
4.20 Conocimiento del desarrollo y mantenimiento de planes de recuperación de desastres (DRP)
4.21 Conocimiento de beneficios e inconvenientes de sitios de procesamiento alterno (por ejemplo, sitios en caliente, tibios y frios, o hot sites, warm sites, cold sites)
4.22 Conocimiento de métodos de prueba de recuperación de desastres
4.23 Conocimiento de procesos utilizados para invocar planes de recuperación ante desastres (DRP)

Dominio 5—Protección de los Activos de Información

Garantizar que las políticas, las normas, los procedimientos y los controles de la organización aseguren la confidencialidad, integridad y disponibilidad de los activos de información. (25%)

Enunciados de tareas:

5.1  Evaluar las políticas, los estándares y los procedimientos de seguridad y privacidad de la información, para determinar su completitud y alineación con las prácticas generalmente aceptadas, así como el cumplimiento con los requerimientos externos aplicables.
5.2 Evaluar el diseño, la implementación, el mantenimiento, el monitoreo y el informe de los controles físicos y ambientales para determinar si los activos de información están adecuadamente protegidos.
5.3 Evaluar el diseño, la implementación, el mantenimiento, el monitoreo y el informe de los controles de seguridad lógicos y del sistema para verificar la confidencialidad, la integridad y la disponibilidad de la información.
5.4 Evaluar el diseño, la implementación y el monitoreo de los procesos y procedimientos de clasificación de datos para determinar si están alineados con las políticas, los estándares, los procedimientos y los requerimientos externos de la organización.
5.5 Evaluar los procesos y los procedimientos utilizados para almacenar, recuperar, transportar y desechar activos para determinar si los activos de información están adecuadamente protegidos.
5.6 Evaluar el programa de seguridad de la información para determinar su efectividad y alineación con las estrategias y los objetivos de la organización.

Enunciados de conocimientos:

5.1 Conocimiento de las prácticas generalmente aceptadas y los requerimientos externos aplicables (por ejemplo, leyes y regulaciones) relacionados con la protección de los activos de información
5.2 Conocimiento de los principios de privacidad
5.3 Conocimiento de las técnicas para el diseño, la implementación, el mantenimiento, el monitoreo y el informe de los controles de seguridad
5.4 Conocimiento de los controles físicos y ambientales, y de las prácticas de respaldo relacionadas con la protección de los activos de información
5.5 Conocimiento de los controles de acceso físico para la identificación, autenticación y restricción de usuarios a instalaciones y hardware autorizados
5.6 Conocimiento de los controles de acceso lógico para la identificación, autenticación y restricción de usuarios a funciones y datos autorizados
5.7 Conocimiento de controles de seguridad relacionados con hardware, software del sistema (por ejemplo, aplicaciones, sistemas operativos) y sistemas de gestión de bases de datos.
5.8 Conocimiento del riesgo y controles asociados con la virtualización de los sistemas
5.9 Conocimiento del riesgo y controles asociados con el uso de dispositivos móviles e inalámbricos, incluido dispositivos de propiedad personal (traiga su propio dispositivo [BYOD])
5.10 Conocimiento de seguridad en comunicaciones de voz (por ejemplo, PBX, voz sobre protocolo de Internet [VoIP])
5.11 Conocimiento de dispositivos, protocolos y técnicas de seguridad de la red y de Internet
5.12 Conocimiento de la configuración, implementación, operación y mantenimiento de los controles de seguridad de red
5.13 Conocimiento de las técnicas relacionadas con la encriptación y su uso
5.14 Conocimiento de los componentes de la infraestructura de llave pública (PKI) y técnicas de firma digital
5.15 Conocimiento del riesgo y controles asociados con la computación entre pares (peer-to-peer), mensajería instantánea y tecnologías basadas en la web (por ejemplo, redes sociales, tableros de mensajes, blogs, computación en la nube)
5.16 Conocimiento de los estándares de clasificación de datos relacionados con la protección de activos de información
5.17 Conocimiento de los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información confidencial
5.18 Conocimiento del riesgo y controles asociados con la fuga de datos
5.19 Conocimiento del riesgo de seguridad y controles relacionados con la computación de usuario final
5.20 Conocimiento de métodos para implementar un programa de concienciación sobre la seguridad
5.21 Conocimiento de métodos y técnicas de ataques a los sistemas de información
5.22 Conocimiento de herramientas de prevención y detección, y de las técnicas de control
5.23 Conocimiento de las técnicas de pruebas de seguridad (por ejemplo, pruebas de penetración, escaneo de vulnerabilidades)
5.24 Conocimiento de procesos relacionados con el monitoreo y la respuesta a incidentes de seguridad (por ejemplo, procedimientos de escalamiento, equipo de respuesta a incidentes de emergencia)
5.25 Conocimiento de los procesos que se siguen en una investigación forense y los procedimientos de recolección y preservación de datos y evidencias (por ejemplo, cadena de custodia).
5.26 Conocimiento de los factores de riesgo de fraude relacionados con la protección de activos de información