El examen CISA y CISM, y la diferencia con la certificación CISA y CISM

Debido a los múltiples mensajes que habéis dejado en un hilo anterior del blog, en el que os contaba que preparaba el CISM, me he decidido a escribir un poco sobre el tema.

Y lo hago para tratar de clarificar un poco. Errare humamun est, con lo que espero no equivocarme al daros mi punto de vista. Como siempre, las erratas y las discrepancias son bienvenidas en los comentarios.

Haber aprobado el examen CISA no equivale a ser Auditor Certificado CISA

Este es el primer escollo que tenemos que dejar claro. Una cosa es haber aprobado el examen CISA y otra muy distinta es estar acreditado como Auditor Certificado CISA. Son conceptos DISTINTOS.

En el primer caso, las personas que han aprobado el examen CISA, simple y llanamente, son alumnos que han aprobado el examen CISA. Es más, según el código de conducta que asumimos al examinarnos, según ISACA, hacerse llamar CISA cuando sólo se es un alumno con el CISA aprobado es motivo de revocación del estatus de alumno aprobado.

La diferencia entre una persona que ha aprobado el examen CISA y un Auditor Certificado CISA estriba en varios puntos. Teniendo en cuenta los requisitos para la certificación, una vez aprobado el examen se dispone de 5 años naturales para poder «transformar» nuestro aprobado en el examen CISA en una certificación como Auditor CISA. Pero aquí no acaba la cosa. El proceso de certificación, es decir, el proceso que hace que dejemos de ser alumnos que han aprobado el examen CISA para convertirnos en Auditores Certificados CISA, consta de los siguientes elementos:

1) Como ya hemos comentado, haber aprobado el examen CISA.
2) Acreditación de experiencia en auditoría de sistemas, control o seguridad de la información.
3) Adhesión al Código de Conducta de los Auditores CISA
4) Adhesión al proceso de educación continua (CPE)
5) Cumplir con los estándares de Auditoría de Sistemas.

Desglosemos cada paso:

1) Sobre el examen, es fácil. El primer requisito es haber aprobado el examen CISA. Esto es una condición necesaria, pero no es suficiente.

2) Acreditación de experiencia. Este es el punto más enrevesado. En términos generales, sin entrar en más detalle, debemos demostrar al menos 5 años de experiencia en auditoría de sistemas, control o seguridad de la información. Sólo es posible acreditar estos 5 años de experiencia en el período que comprende los 10 años anteriores a la fecha del aprobado. De modo que, si apruebas con 22 años, teóricamente puedes demostrar experiencia desde los 12 años para que sea computable, pero obviamente, nadie se va a creer que tu experiencia auditando se extiende desde los 12 a los 17 años :)

3) El código de conducta resume una serie de pautas a cumplir por los aspirantes a Auditores Certificados. Para que nos entendamos, es una declaración de intenciones, en lo referente a la honestidad y buen hacer de los trabajos, así como el respecto a la función de auditoría, los intereses de los accionistas de las empresas cuyos sistemas audites, etc. Consta de un total de 7 puntos.

4) El proceso de educación continua obliga a la realización de un mínimo de actividades para mantener el estado activo de la certificación. La certificación que no se mantiene con la formación continua, año a año, es revocada.

5) El cumplimiento de los estándares es un compromiso de mantener, en aras de la mejora de la función de auditoría, un respeto a los estándares de la misma, y los métodos de actuación comúnmente aceptados y que hayan sido promulgados por ISACA. Según la política de estándares de ISACA, todo gira en torno a las buenas prácticas de ISACA, realizadas en su día con la colaboración de la International Federation of Accountants (IFAC), la Federación Internacional de Contables. Así pues, cosas tan habituales como la realización de un test de penetración, tiene un código de buenas prácticas asociado que debe ser respetado, si es que queremos considerarnos Auditores CISA. Este punto es, en resumen, una llamada de atención a los llaneros solitarios que ejecutan sus trabajos alegando que son Auditores CISA, pero que luego se pasan por el forro lo que aconseja CISA. Para ir a nuestro aire, debemos hacerlo a título personal. Ir por ahí diciendo que auditamos conforme a CISA, para luego hacer las cosas a nuestro antojo, no sólo es motivo de revocación, sino que además, es una situación que no se corresponde a la realidad. Si alguno de los métodos, consejos o buenas prácticas promovidas por ISACA te parece una chorrada, lo tienes fácil: o ayudas a corregirlos (son documentos colaborativos, y que agradecen revisiones), o bien te certificas con otras institución cuyos métodos te gusten más.

En resumen: un alumno que sólo ha aprobado el examen CISA sólo cumple con el punto 1. Un Auditor Certificado CISA debe cumplir con los puntos 1, 2, 3, 4 y 5. Si preferís un ejemplo más espartano, imaginad la diferencia entre un Licenciado en Derecho, y un Abogado. El Licenciado sólo ha aprobado sus exámenes en la carrera, mientras que el Abogado no sólo ha aprobado la Licenciatura, sino que ha hecho una pasantía (acredita experiencia), se ciñe a los dictámenes de su Colegio Profesional (no va por ahí impartiendo justicia a su aire), respeta la profesión y cumple con sus códigos de conducta, se forma de una manera continua para no quedarse desfasado, y cumple con los estándares de actuación en la abogacía.

Una vez entendido este ejemplo, es fácil razonar que un aprobado en examen CISA no equivale a ser Auditor Certificado CISA.

Los CISA y el mercado laboral

Una de las preguntas frecuentes que nos hacemos es ¿sirve ser Auditor Certificado CISA para mejorar nuestro currículum? ¿es algo en lo que merezca invertir para mejorar nuestra situación profesional?

Este es un terreno abonado para el debate, especialmente para que los que confuden haber aprobado el CISA con ser Auditores Certificados CISA arremetan contra lo que supone aprobar el examen: en este mismo blog son muchas las opiniones vertidas en las que se comenta, y nos les falta razón, que haber aprobado el examen CISA no implica saber hacer auditorías. Claro, menudo descubrimiento.

Y es que, como ya hemos repetido hasta la saciedad, el examen sólo es la llave hacia la certificación. Sólo es cumplir el paso 1. Para saber hacer auditorías y poder demostrarlo, hay que tener experiencia en el campo de batalla.

Así pues, un entrevistador documentado razonará que un CV en el que aparece «CISA» implica obligatoriamente preguntar al candidato si es un alumno que ha aprobado el CISA, o si por el contrario, es un Auditor Certificado. Eso, para empezar.

¿Que existe la posibilidad de tener aprobado el examen por haberse leído la noche antes el temario y haber tenido suerte? Claro que existe. Es un tipo test, y el azar siempre puede salirnos rentable.

¿Que existe la posibilidad que la experiencia de 5 años te la firme y acredite un amiguete, y no hayas tocado en tu vida un sistema? Claro que es posible. La picaresca no tiene límites.

¿Que hay gente que pretende canjear 5 años de experiencia en Auditoría de Sistemas, Control y Seguridad por haber estado 5 años instalando el Windows o el Linux al vecino? También los hay.

¿Que en ISACA no se chupan el dedo, y miran con lupa las propuestas de certificación? Por supuesto.

Sobre el tapete, y excluyendo las casuísticas picarescas, un Auditor Certificado CISA es algo más que un alumno que ha aprobado el examen CISA: es un profesional que sigue un código de conducta, es una persona que acata los estándares y no va por ahí pegando tiros al aire, es un profesional que puede demostrar al menos 5 años de experiencia en el campo de batalla, y es un profesional que se molesta en formarse día a día, y año a año. ¿Se capta la diferencia?

Un gestor de Recursos Humanos desarrollado su labor en una empresa de selección de personal no tiene por qué ser un desinformado. Captar esta diferencia, una vez entendido que no es lo mismo haber aprobado el examen con el hecho de estar certificado, tampoco es tan complicado. Además, siempre queda el Currículum Vitae, en el que se puede deducir rápidamente si la persona que afirma ser Auditor Certificado CISA lo es o no.

¿Que hay selecciones de personal en las que ni se sabe qué es el CISA, o en las que se piensa que aprobar el examen es ser CISA certificado? También las hay.

Así pues, una persona en cuyo CV aparezcan como experiencias laborales tareas en las que no se realiza una función de auditoría, a duras penas podrá alegar que tiene experiencia de campo. Haber sido barman, conductor de autobús, administrativo o repartidor de periódicos son profesiones respetabilísimas, honorabilísimas y muy loables, pero no implican experiencia en la función de auditoría. Un chico de 20 años a duras penas podrá argumentar experiencia laboral, ni en auditoría, ni en nada. Tampoco resulta creíble que un señor de 35 años que se ha dedicado a otras cosas que no son la función de auditoría pueda acreditar experiencia en la función de auditoría.

Bajo mi punto de vista, ser Auditor Certificado CISA implica que se tiene experiencia. Por tanto, es un factor muy valorable en las organizaciones, y así se puede ver en las ofertas de empleo. Ya no es porque se supone que eres apto para el trabajo en equipo, ya no es por que se supone que sabes adherirte a un código de conducta. Tampoco es por el hecho de defender los intereses de terceros en tu organización. Es por el hecho de que eres una persona con experiencia, y la experiencia lo es, la gran mayoría de las veces, prácticamente todo.

¿Implica ser Auditor Certificado CISA ser un especialista técnico en seguridad?

NO.

Un auditor CISA certificado es aquel que se ha certificado según ISACA. Por tanto, es aquel que cumple nuestros 5 famosos pasos, entre los que está la acreditación de experiencia.

La función de auditoría NO ES un concepto técnico. Es un concepto ORGANIZATIVO. Las áreas de auditoría que ISACA considera clave son las siguientes:

1) El proceso de Auditoría (el nombre ya lo dice todo, el PROCESO).
2) El gobierno de las Tecnologías de la Información
3) Gestión y ciclo de vida de las infraestructuras y sistemas
4) Soporte y despliegue de servicios de TI
5) Protección de los activos de información
6) Continuidad de los negocios y recuperación ante desastres.

Parece obvio que CISA tiene como puntos principales cuestiones que salta a la vista que no son técnicas. Evidentemente, es que CISA implica ser un profesional de la función de auditoría, concepto que no tiene nada que ver con ser un experto técnico. ¿Por qué mezclar estas dos disciplinas?

Entonces, ¿se puede ser un experto técnico y a la vez un experto en la función de auditoría? Claro.

Pues vaya chasco, yo quiero ser especialista técnico certificado

No gastes el dinero en CISA. Gástatelo en formación del SANS, o en cursos de formación técnica especializados, impartidos por instituciones reconocidas.

¿Tiene sentido criticar la certificación CISA por no ser eminentemente técnica?

Pues cada uno que extraiga sus propias conclusiones. Yo soy de los que creo que el que hace este tipo de críticas o bien no ha entendido qué es CISA, o probablemente el concepto de función de auditoría le resulte extraño. O ambas cosas.

Qué pesado con la función de auditoría, ¿de qué va eso?

Bajo mi estricto punto de vista personal, la función de auditoría es algo que compete muchas cosas. Cada cual que llame auditoría a lo que le de la real gana: este es un mundo libre, y el pensamiento, es más libre aún. Si queremos considerar auditor a un sexador de pollos, respetable profesión, o queremos decirle a nuestro primo que comprobar el nivel de aceite del coche es auditar el coche, adelante.

Para mí la función de auditoría se caracteriza por poner interés en, al menos:

1) Revisar el cumplimiento reglamentario, normativo y regulatorio, tanto externo como internos a la organización.
2) Examinar y evaluar, proporcionando valor añadido, la información financiera, fiscal y operativa de una organización, tanto en su aspecto procedimental como en lo relacionado a la infraestructura tecnológica que da soporte a dichos procesos.
3) Revisión del control interno. Establecer indicadores, evaluarlos y proporcionar material para la toma de decisiones.
4) Revisión de la efectividad y eficiencia de las operaciones de la organización, alineando los requisitos tecnológicos con los de negocio.
5) La realización de un trabajo apto para que en todos los niveles de la organización se entienda qué se audita, para qué se audita y cual es el objetivo que perseguimos. El informe de auditoría tiene que servir para que los responsables del negocio TOMEN DECISIONES, por tanto, debe ser un documento en el que muestren los procesos analizados, se evalúe el impacto de las debilidades y se propongan medidas y plazos para subsanar las desviaciones respecto a los planes de las unidades auditadas. El documento tiene que velar por que en todos los casos, los objetivos de las unidades auditadas estén en consonancia con los requisitos de negocio.
6) El trabajo en equipo. Los equipos de auditoría cuentan con profesionales multidisciplinares, entre los que también hay especialistas técnicos. También hay analistas, gerentes de proyecto, jefes de equipo. La auditoría de un sistema puede ser larga en cuanto a objetivo y alcance, y suele requerir un equipo para ser concluída con éxito. Yo creo que la función de auditoría es demasiado extensa para que un único perfil aglutine experiencia en todos los campos, con lo que suelo ser partidario de que cada auditor haga lo que mejor sepa hacer, y que sea el gerente del proyecto el que mueva las fichas en el tablero para ganar la partida.

Como véis, son aspectos ORGANIZATIVOS. No técnicos. La técnica es sólo una parte que afecta a estos parámetros. La lista se puede completar con muchas características más.

¿Y el CISM?

Pues si en todo lo anterior cambias CISA por CISM, y cambias Auditor Certificado por Gestor Certificado, más o menos es válido. Cambian los dominos, ya que no se trata de auditar: se trata de gestionar. CISA es adecuado para ser auditor, y CISM es la certificación adecuada para ser gerente o gestor de proyectos.

CISM es, por decirlo de alguna manera, el líder de un equipo de auditoría. El planificador y controlador del equipo.

Sobre CISM, tenéis mucho en la Web de ISACA.

Y para finalizar

Simplemente esperar que este artículo sirva para aclarar conceptos. Las erratas, disconformidades y comentarios, como siempre, son bienvenidos.

Un saludo :)

24 comentarios sobre “El examen CISA y CISM, y la diferencia con la certificación CISA y CISM

  1. Muy interesante. Yo añadiría un punto número 6 para convertirse en un CISA de pura raza :-) Se trata ni más ni menos de pagar religiosamente la cuota de renovación anual. No es por nada pero no me ha parecido leer nada referente al diploma oficial que te acredita como CISA, de hecho es la culminación o demostración de que eres CISA. En algunas entrevistas he he realizado me han solicitado llevar el diploma o certificado.

    Y por otro lado, alguien me podría explicar o clarificar si se puede ser CISA sin ser miembro de ISACA? Yo estoy en este caso pero nunca he tenido problemas PERO a veces me han hecho comentarios de que esto no es posible ?!?!?!

  2. Hola soy yo otra vez ;-)

    No se que ha pasado pero un fragmento de mi anterior comentario ha desparecido :-) y eso que todavía no tengo Windows Vista je je je ;-)

    Totalmente de acuerdo que CISA se puede calificar de todo excepto una certificación técnica, no obstante, es obvio que para auditar se debe tener un nivel técnico aceptable aunque sin llegar a ser un especialista. Como mínimo para que el técnico de sistemas, admin. de red, jefe de explotación, …. de turno no te meta ningún gol.

    Quien quiera una certificación en materia de seguridad más o menos técnica yo creo que CISSP es la única que trata un poco de todo. Efectivamente SANS Institute ofrece muchos y distintos certificados de índole puramente técnico.

    Para finalizar, lo desconozco por completo pero diria que la concepción, reconocimiento, valoración, etc.. de un CISA en nuestro país es totalmente distinta a ser un CISA en otro en el que este certificado sea más conocido y por ende mejor y más valorado.

  3. EAM,

    Los CISA están mucho más reconocidos en países como EEUU, Alemania, Australia o Inglaterra (por ponerte algunos ejemplos) que en España.

    No sólo por tener más solera, ya que ISACA lleva 40 años dando guerra (se fundó en 1967), sino porque allí la cantidad de chanchullos que se suelen dar en España es mucho menor. La gente es más honesta cuando habla de sus cualidades.

    Evidentemente, el auditor debe conocer aspectos técnicos. Por eso uno de los dominios es técnico, en eso estamos de acuerdo. Pero también debe manejar otras disciplinas, como el control interno, métodos de gestión y organizativos, la auditoría financiera o el cumplimiento regulatorio, y ahí es donde hacen aguas muchos.

    Y es que en las auditorías de sistemas no sólo tienes que entender al administrador de BBDD o al jefe de técnica de sistemas: las organizaciones son mucho más que un rack de servidores.

    No tengo claro si para conservar el CISA se exige afiliación a ISACA. Creo que sí, pero vamos, yo la vengo pagando desde 2003, con lo que tampoco sé muy bien si es algo obligado. Consúltalo con tu capítulo más cercano :)

    Saludos,

  4. Me ha parecido muy bueno el resumen sobre la certificacion CISA. Se han aclarado algunas cuestiones planteadas en el otro blog. Con respecto a la picaresca, SI, existe, pero ¿de que sirve? «al mentiroso le pillan antes que al cojo». Si vas a una entrevista y dices que eres CISA y te encargan una auditoria, no teniendo experiencia previa, entonces, te vas a enterar…. Si vas a una entrevista diciendo «soy CISM» y te dejan de responsable de la seguridad, entonces SI te vas a enterar… SI estoy de acuerdo con que en España la picaresca es MUY superior a otros paises, pero es a todos los niveles. El sector de las tecnologias de la informacion en este pais es un autentico CAOS: titulos de todos los tipos, de todas las universidades posibles, dobles titulaciones, TRIPLES, certificaciones academicas de todo tipo, master sin sentido, etc. No hay regulacion, y con los puestos de trabajo 3/4 de lo mismo. Asi que no hay mas que echar un vistazo a las ofertas de empleo para darse cuenta del CAOS existente. Por cierto, el otro dia vi una oferta que ponia: Sin experiencia. Prácticas. Se valorará CISA, CISM, CISSP, etc. INCREIBLE.

  5. Sergio, me gustaria que le echaras un ojo a los ultimos dos articulos que he puesto en mi blog y aportes tus ideas al respecto… te parece?

    gracias!
    Antonio

    PS:: No he encontrado forma de mandarte esto por mail! .-)

  6. ¿Como te piden demostrar la experiencia de 5 años en el caso del CISA?, para que sean tan facil de falsificarlo
    Saludos

  7. RJR,

    Básicamente, que alguien (tu jefe, tu primo, tu vecino) firme un papel y acredite que tienes esa experiencia.

    Eso sí, quien te firme el papelito, tiene que ser CISA :)

  8. hola, me llamo silvia y me gustaria preguntarte si sabes donde se realizan todos esos examenes de los que hablais en valencia y que precio tiene apuntarse, y tambien si es posible prepararselo uno mismo por cuenta propia, ya que los cursos son bastante caros.
    y una ultima cosa, pues te veo muy experto en la materia, q certificados serian mas adecuados para complementar unos estudios edexcel de hnd in software engineering (informatica de gestion y sistemas operativos, creo)?muchisimas gracias y un saludo

  9. Hola, me ha gustado mucho este tema.

    Desde que estuve en la Universidad me ha gustado mucho las funciones del Auditor, pero he tratado de buscar siempre el camino correcto para poder perfilarme en ello, pero no sé si lo he estado haciendo bien.

    Desde que sali de la universidad (hace dos años aprox) he estado trabajando como programadora, yo considero que el camino es el correcto porq todos empiezan asi, pero quisiera que me lo digan los expertos en la materia y si no es asi, por dónde debería empezar a trabajar para ganar la «experiencia» que se requiere para llegar a ser una Auditora.

    Espero me respondan, no me movere de este blog que esta muy bueno.

    Diana

  10. Saludos, quisiera saber si se puede acceder a la informacion de esta certificacion en espanol.

    En caso de que se pueda hacer en este idioma, donde lo consigo o donde tengo que incribirme?

    muchas gracias

  11. Hola, soy un recien licenciado en Ingenieria Informática y me gustaría dedicar mi vida profesional al mundo de las auditorias.
    Estoy pensando en apuntarme en el curso de preparacion para el examen CISA en abril de 2009 en Valencia o Barcelona para intentar aprobar y así conseguir que alguna empresa me pueda contratar porque supongo que teniendo el examen aprobado tendré más oportunidades ¿no?.
    Si no es así, alguien me puede decir empresas y el perfil de estudiante que buscan para auditor junior?.

    Muchas gracias de antemano.

    Atentamente,

    Agustín Jiménez.

  12. En respuesta a la duda de EAM del 14 de febrero del 2007
    «Y por otro lado, alguien me podría explicar o clarificar si se puede ser CISA sin ser miembro de ISACA? »
    Certificacion y menbresía (como se le dice a ser socio de ISACA) SON COSAS TOTALMENTE SEPARADAS Y DIFERENTES. Se puede ser uno sin ser el otro. Es decir, puedes ser CISA sin contar con menbresia en ISACA, y puedes tener ,membresia enb ISACA sin ser CISA, CISM, o CGEIT. Cada opcion tiene su costo separado. El hecho de ser miemrbo de ISACA te da mayores beneficio económicos al momento de desear asistir a congresos o adquirir material que ellos venden o descargar material que disponen en el sitio. No ocurre asi con quienen solo cuentan con las certificaciones, esos beneficios son menores.
    Soy CISA Certificado desde el año 1999 y solo el primer año opte por la membresía, luego deje de abonarla y continuo siendo CISA activo. Debiendo pagar año tras año la cuota de mantenimieno de la certificacion y presentando las horas de capacitacion contínua que anualmente requieren se justifiquen (120hs trianuales con un minimo de 20 anuales).

  13. Soy un apasionado del mundo de la tecnología y cada vez me desespero más al ver que solo se avanza con certificados y masters gastando dinero que además no me puedo permitir. El sector necesita un reajuste y unos limites para que no acabe uno cobrando menos que un trabajador en una cadena de montaje. Además de tener que utilizar el coche personal, cosa que pienso debiera estar prohibida. Los cursos, certificados y masters los veo para gente de clase media-alta y los que me ofrece la empresa gratuitos los realizo todos. Bueno siento el discursito.

    Saludos

  14. Quien podra decirme lo siguiente:
    Estoy queriendo hacer un contrato con un profesional
    con un certificado CISA(Certified Information Systems
    Auditor)y quiero saber si el grado corresponde o es
    igual al de un Magister , Especialista o Tecnico?

    a att. ricardo

  15. Tengo el título de Especialista en Auditoría de Sistemas, trabajo en esta función y me gustaría certificarme con CISA cuando cumpla la experiencia de 5 años(llevo 3). Ayer hablando con un amigo colega me dijo que en nuestro caso no es necesario los 5 años de experiencia, que por haber estudiado la especialización la experiencia se reduce o no es necesaria. Es cierto esto?

  16. Como se gana mas experiencia certificada en auditoria de sistemas, se puede uno apuntar en algun organizmo de certificación para que lo llamen como auditor observador o junior, me puede ayudar alguien con ese dato.
    SAludos

  17. Esta muy bueno el articulo, Felicidades por tan buena explicación, solo una observacion; CISM corresponde a Gestión de la Seguridad de la Información y no Gestión de Proyectos….para esta ultima requeririas PMP… saludos…

  18. Y que hay sobre las demas certificaciones que aora ofrece el ISACA?, son necesarios los mismos requisitos?, en terminos de dificultad, por cual seria mejor empezar?
    Saludos.

  19. El problema que existe con la certificacion CISA además del precio y la dificultad, es que hay que mantenerla en el tiempo a través del sistema de CPE.
    Además, coincido con el artículo que no tiene una naturaleza 100% técnica para eso hay otras muchas certificaciones que se meten de lleno con este tipo de campo.

    Enhorabuena por el artículo,
    Alberto

Comentarios cerrados.