Haber aprobado el examen CISA no equivale a ser Auditor Certificado CISA
Este es el primer escollo que tenemos que dejar claro. Una cosa es haber aprobado el examen CISA y otra muy distinta es estar acreditado como Auditor Certificado CISA. Son conceptos DISTINTOS.
En el primer caso, las personas que han aprobado el examen CISA, simple y llanamente, son alumnos que han aprobado el examen CISA. Es más, según el código de conducta que asumimos al examinarnos, según ISACA, hacerse llamar CISA cuando sólo se es un alumno con el CISA aprobado es motivo de revocación del estatus de alumno aprobado.
La diferencia entre una persona que ha aprobado el examen CISA y un Auditor Certificado CISA estriba en varios puntos. Teniendo en cuenta los requisitos para la certificación, una vez aprobado el examen se dispone de 5 años naturales para poder “transformar†nuestro aprobado en el examen CISA en una certificación como Auditor CISA. Pero aquà no acaba la cosa. El proceso de certificación, es decir, el proceso que hace que dejemos de ser alumnos que han aprobado el examen CISA para convertirnos en Auditores Certificados CISA, consta de los siguientes elementos:
1) Como ya hemos comentado, haber aprobado el examen CISA.
2) Acreditación de experiencia en auditorÃa de sistemas, control o seguridad de la información.
3) Adhesión al Código de Conducta de los Auditores CISA
4) Adhesión al proceso de educación continua (CPE)
5) Cumplir con los estándares de AuditorÃa de Sistemas.
Desglosemos cada paso:
1) Sobre el examen, es fácil. El primer requisito es haber aprobado el examen CISA. Esto es una condición necesaria, pero no es suficiente.
2) Acreditación de experiencia. Este es el punto más enrevesado. En términos generales, sin entrar en más detalle, debemos demostrar al menos 5 años de experiencia en auditorÃa de sistemas, control o seguridad de la información. Sólo es posible acreditar estos 5 años de experiencia en el perÃodo que comprende los 10 años anteriores a la fecha del aprobado. De modo que, si apruebas con 22 años, teóricamente puedes demostrar experiencia desde los 12 años para que sea computable, pero obviamente, nadie se va a creer que tu experiencia auditando se extiende desde los 12 a los 17 años 
3) El código de conducta resume una serie de pautas a cumplir por los aspirantes a Auditores Certificados. Para que nos entendamos, es una declaración de intenciones, en lo referente a la honestidad y buen hacer de los trabajos, asà como el respecto a la función de auditorÃa, los intereses de los accionistas de las empresas cuyos sistemas audites, etc. Consta de un total de 7 puntos.
4) El proceso de educación continua obliga a la realización de un mÃnimo de actividades para mantener el estado activo de la certificación. La certificación que no se mantiene con la formación continua, año a año, es revocada.
5) El cumplimiento de los estándares es un compromiso de mantener, en aras de la mejora de la función de auditorÃa, un respeto a los estándares de la misma, y los métodos de actuación comúnmente aceptados y que hayan sido promulgados por ISACA. Según la polÃtica de estándares de ISACA, todo gira en torno a las buenas prácticas de ISACA, realizadas en su dÃa con la colaboración de la International Federation of Accountants (IFAC), la Federación Internacional de Contables. Asà pues, cosas tan habituales como la realización de un test de penetración, tiene un código de buenas prácticas asociado que debe ser respetado, si es que queremos considerarnos Auditores CISA. Este punto es, en resumen, una llamada de atención a los llaneros solitarios que ejecutan sus trabajos alegando que son Auditores CISA, pero que luego se pasan por el forro lo que aconseja CISA. Para ir a nuestro aire, debemos hacerlo a tÃtulo personal. Ir por ahà diciendo que auditamos conforme a CISA, para luego hacer las cosas a nuestro antojo, no sólo es motivo de revocación, sino que además, es una situación que no se corresponde a la realidad. Si alguno de los métodos, consejos o buenas prácticas promovidas por ISACA te parece una chorrada, lo tienes fácil: o ayudas a corregirlos (son documentos colaborativos, y que agradecen revisiones), o bien te certificas con otras institución cuyos métodos te gusten más.
En resumen: un alumno que sólo ha aprobado el examen CISA sólo cumple con el punto 1. Un Auditor Certificado CISA debe cumplir con los puntos 1, 2, 3, 4 y 5. Si preferÃs un ejemplo más espartano, imaginad la diferencia entre un Licenciado en Derecho, y un Abogado. El Licenciado sólo ha aprobado sus exámenes en la carrera, mientras que el Abogado no sólo ha aprobado la Licenciatura, sino que ha hecho una pasantÃa (acredita experiencia), se ciñe a los dictámenes de su Colegio Profesional (no va por ahà impartiendo justicia a su aire), respeta la profesión y cumple con sus códigos de conducta, se forma de una manera continua para no quedarse desfasado, y cumple con los estándares de actuación en la abogacÃa.
Una vez entendido este ejemplo, es fácil razonar que un aprobado en examen CISA no equivale a ser Auditor Certificado CISA.
Los CISA y el mercado laboral
Una de las preguntas frecuentes que nos hacemos es ¿sirve ser Auditor Certificado CISA para mejorar nuestro currÃculum? ¿es algo en lo que merezca invertir para mejorar nuestra situación profesional?
Este es un terreno abonado para el debate, especialmente para que los que confuden haber aprobado el CISA con ser Auditores Certificados CISA arremetan contra lo que supone aprobar el examen: en este mismo blog son muchas las opiniones vertidas en las que se comenta, y nos les falta razón, que haber aprobado el examen CISA no implica saber hacer auditorÃas. Claro, menudo descubrimiento.
Y es que, como ya hemos repetido hasta la saciedad, el examen sólo es la llave hacia la certificación. Sólo es cumplir el paso 1. Para saber hacer auditorÃas y poder demostrarlo, hay que tener experiencia en el campo de batalla.
Asà pues, un entrevistador documentado razonará que un CV en el que aparece “CISA†implica obligatoriamente preguntar al candidato si es un alumno que ha aprobado el CISA, o si por el contrario, es un Auditor Certificado. Eso, para empezar.
¿Que existe la posibilidad de tener aprobado el examen por haberse leÃdo la noche antes el temario y haber tenido suerte? Claro que existe. Es un tipo test, y el azar siempre puede salirnos rentable.
¿Que existe la posibilidad que la experiencia de 5 años te la firme y acredite un amiguete, y no hayas tocado en tu vida un sistema? Claro que es posible. La picaresca no tiene lÃmites.
¿Que hay gente que pretende canjear 5 años de experiencia en AuditorÃa de Sistemas, Control y Seguridad por haber estado 5 años instalando el Windows o el Linux al vecino? También los hay.
¿Que en ISACA no se chupan el dedo, y miran con lupa las propuestas de certificación? Por supuesto.
Sobre el tapete, y excluyendo las casuÃsticas picarescas, un Auditor Certificado CISA es algo más que un alumno que ha aprobado el examen CISA: es un profesional que sigue un código de conducta, es una persona que acata los estándares y no va por ahà pegando tiros al aire, es un profesional que puede demostrar al menos 5 años de experiencia en el campo de batalla, y es un profesional que se molesta en formarse dÃa a dÃa, y año a año. ¿Se capta la diferencia?
Un gestor de Recursos Humanos desarrollado su labor en una empresa de selección de personal no tiene por qué ser un desinformado. Captar esta diferencia, una vez entendido que no es lo mismo haber aprobado el examen con el hecho de estar certificado, tampoco es tan complicado. Además, siempre queda el CurrÃculum Vitae, en el que se puede deducir rápidamente si la persona que afirma ser Auditor Certificado CISA lo es o no.
¿Que hay selecciones de personal en las que ni se sabe qué es el CISA, o en las que se piensa que aprobar el examen es ser CISA certificado? También las hay.
Asà pues, una persona en cuyo CV aparezcan como experiencias laborales tareas en las que no se realiza una función de auditorÃa, a duras penas podrá alegar que tiene experiencia de campo. Haber sido barman, conductor de autobús, administrativo o repartidor de periódicos son profesiones respetabilÃsimas, honorabilÃsimas y muy loables, pero no implican experiencia en la función de auditorÃa. Un chico de 20 años a duras penas podrá argumentar experiencia laboral, ni en auditorÃa, ni en nada. Tampoco resulta creÃble que un señor de 35 años que se ha dedicado a otras cosas que no son la función de auditorÃa pueda acreditar experiencia en la función de auditorÃa.
Bajo mi punto de vista, ser Auditor Certificado CISA implica que se tiene experiencia. Por tanto, es un factor muy valorable en las organizaciones, y asà se puede ver en las ofertas de empleo. Ya no es porque se supone que eres apto para el trabajo en equipo, ya no es por que se supone que sabes adherirte a un código de conducta. Tampoco es por el hecho de defender los intereses de terceros en tu organización. Es por el hecho de que eres una persona con experiencia, y la experiencia lo es, la gran mayorÃa de las veces, prácticamente todo.
¿Implica ser Auditor Certificado CISA ser un especialista técnico en seguridad?
NO.
Un auditor CISA certificado es aquel que se ha certificado según ISACA. Por tanto, es aquel que cumple nuestros 5 famosos pasos, entre los que está la acreditación de experiencia.
La función de auditorÃa NO ES un concepto técnico. Es un concepto ORGANIZATIVO. Las áreas de auditorÃa que ISACA considera clave son las siguientes:
1) El proceso de AuditorÃa (el nombre ya lo dice todo, el PROCESO).
2) El gobierno de las TecnologÃas de la Información
3) Gestión y ciclo de vida de las infraestructuras y sistemas
4) Soporte y despliegue de servicios de TI
5) Protección de los activos de información
6) Continuidad de los negocios y recuperación ante desastres.
Parece obvio que CISA tiene como puntos principales cuestiones que salta a la vista que no son técnicas. Evidentemente, es que CISA implica ser un profesional de la función de auditorÃa, concepto que no tiene nada que ver con ser un experto técnico. ¿Por qué mezclar estas dos disciplinas?
Entonces, ¿se puede ser un experto técnico y a la vez un experto en la función de auditorÃa? Claro.
Pues vaya chasco, yo quiero ser especialista técnico certificado
No gastes el dinero en CISA. Gástatelo en formación del SANS, o en cursos de formación técnica especializados, impartidos por instituciones reconocidas.
¿Tiene sentido criticar la certificación CISA por no ser eminentemente técnica?
Pues cada uno que extraiga sus propias conclusiones. Yo soy de los que creo que el que hace este tipo de crÃticas o bien no ha entendido qué es CISA, o probablemente el concepto de función de auditorÃa le resulte extraño. O ambas cosas.
Qué pesado con la función de auditorÃa, ¿de qué va eso?
Bajo mi estricto punto de vista personal, la función de auditorÃa es algo que compete muchas cosas. Cada cual que llame auditorÃa a lo que le de la real gana: este es un mundo libre, y el pensamiento, es más libre aún. Si queremos considerar auditor a un sexador de pollos, respetable profesión, o queremos decirle a nuestro primo que comprobar el nivel de aceite del coche es auditar el coche, adelante.
Para mà la función de auditorÃa se caracteriza por poner interés en, al menos:
1) Revisar el cumplimiento reglamentario, normativo y regulatorio, tanto externo como internos a la organización.
2) Examinar y evaluar, proporcionando valor añadido, la información financiera, fiscal y operativa de una organización, tanto en su aspecto procedimental como en lo relacionado a la infraestructura tecnológica que da soporte a dichos procesos.
3) Revisión del control interno. Establecer indicadores, evaluarlos y proporcionar material para la toma de decisiones.
4) Revisión de la efectividad y eficiencia de las operaciones de la organización, alineando los requisitos tecnológicos con los de negocio.
5) La realización de un trabajo apto para que en todos los niveles de la organización se entienda qué se audita, para qué se audita y cual es el objetivo que perseguimos. El informe de auditorÃa tiene que servir para que los responsables del negocio TOMEN DECISIONES, por tanto, debe ser un documento en el que muestren los procesos analizados, se evalúe el impacto de las debilidades y se propongan medidas y plazos para subsanar las desviaciones respecto a los planes de las unidades auditadas. El documento tiene que velar por que en todos los casos, los objetivos de las unidades auditadas estén en consonancia con los requisitos de negocio.
6) El trabajo en equipo. Los equipos de auditorÃa cuentan con profesionales multidisciplinares, entre los que también hay especialistas técnicos. También hay analistas, gerentes de proyecto, jefes de equipo. La auditorÃa de un sistema puede ser larga en cuanto a objetivo y alcance, y suele requerir un equipo para ser concluÃda con éxito. Yo creo que la función de auditorÃa es demasiado extensa para que un único perfil aglutine experiencia en todos los campos, con lo que suelo ser partidario de que cada auditor haga lo que mejor sepa hacer, y que sea el gerente del proyecto el que mueva las fichas en el tablero para ganar la partida.
Como véis, son aspectos ORGANIZATIVOS. No técnicos. La técnica es sólo una parte que afecta a estos parámetros. La lista se puede completar con muchas caracterÃsticas más.
¿Y el CISM?
Pues si en todo lo anterior cambias CISA por CISM, y cambias Auditor Certificado por Gestor Certificado, más o menos es válido. Cambian los dominos, ya que no se trata de auditar: se trata de gestionar. CISA es adecuado para ser auditor, y CISM es la certificación adecuada para ser gerente o gestor de proyectos.
CISM es, por decirlo de alguna manera, el lÃder de un equipo de auditorÃa. El planificador y controlador del equipo.
Sobre CISM, tenéis mucho en la Web de ISACA.
Fuente: http://www.sahw.com/wp/
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: