Programa del Curso

Gol:

El objetivo final es aprobar su examen CISA la primera vez.

Proceso de Auditoría de Sistemas de Información (21%)

Proporcionar servicios de auditoría de acuerdo con las normas de auditoría de TI para ayudar a la organización a proteger y controlar los sistemas de información.

  • 1.1 Desarrollar e implementar una estrategia de auditoría de TI basada en el riesgo de conformidad con las normas de auditoría de TI para garantizar que se incluyan las áreas clave.
  • 1.2 Planificar auditorías específicas para determinar si los sistemas de información están protegidos, controlados y aportan valor a la organización.
  • 1.3 Realizar auditorías de acuerdo con las normas de auditoría de TI para alcanzar los objetivos de auditoría previstos.
  • 1.4 Informar de los resultados de la auditoría y formular recomendaciones a las principales partes interesadas para comunicar los resultados y efectuar cambios cuando sea necesario.
  • 1.5 Realizar seguimientos o preparar informes de situación para garantizar que la dirección haya tomado las medidas adecuadas de manera oportuna.

Gobernanza y Management de TI (17%) 

Proporcionar la seguridad de que el liderazgo y la estructura y los procesos necesarios de la organización están en su lugar para lograr los objetivos y apoyar la estrategia de la organización.

  • 2.1 Evaluar la eficacia de la estructura de gobierno de TI para determinar si las decisiones, las direcciones y el rendimiento de TI respaldan las estrategias y objetivos de la organización.
  • 2.2 Evaluar la estructura organizativa de TI y la gestión de recursos humanos (personal) para determinar si respaldan las estrategias y objetivos de la organización.
  • 2.3 Evaluar la estrategia de TI, incluyendo la dirección de TI, y los procesos para el desarrollo, aprobación, implementación y mantenimiento de la estrategia para alinearla con las estrategias y objetivos de la organización.
  • 2.4 Evaluar las políticas, estándares y procedimientos de TI de la organización, y los procesos para su desarrollo, aprobación, implementación, mantenimiento y monitoreo, para determinar si respaldan la estrategia de TI y cumplen con los requisitos regulatorios y legales.
  • 2.5 Evaluar la idoneidad del sistema de gestión de la calidad para determinar si apoya las estrategias y objetivos de la organización de manera rentable.
  • 2.6 Evaluar la gestión de TI y el monitoreo de los controles (por ejemplo, monitoreo continuo, control de calidad) para el cumplimiento de las políticas, estándares y procedimientos de la organización.
  • 2.7 Evaluar las prácticas de inversión, uso y asignación de recursos de TI, incluidos los criterios de priorización, para alinearlos con las estrategias y objetivos de la organización.
  • 2.8 Evaluar las estrategias y políticas de contratación de TI, y las prácticas de gestión de contratos para determinar si respaldan las estrategias y objetivos de la organización.
  • 2.9 Evaluar las prácticas de gestión de riesgos para determinar si los riesgos relacionados con TI de la organización se gestionan adecuadamente.
  • 2.10 Evaluar las prácticas de monitoreo y aseguramiento para determinar si la junta directiva y la gerencia ejecutiva reciben información suficiente y oportuna sobre el desempeño de TI.
  • 2.11 Evaluar el plan de continuidad del negocio de la organización para determinar la capacidad de la organización para continuar con las operaciones comerciales esenciales durante el período de una interrupción de TI.

Adquisición, desarrollo e implementación de sistemas de información (12%)

Asegurar que las prácticas para la adquisición, desarrollo, prueba e implementación de sistemas de información cumplen con las estrategias y objetivos de la organización.

  • 3.1 Evaluar el caso de negocio de las inversiones propuestas en la adquisición, desarrollo, mantenimiento y posterior retiro de sistemas de información para determinar si cumple con los objetivos de negocio.
  • 3.2 Evaluar las prácticas y controles de gestión de proyectos para determinar si los requisitos empresariales se cumplen de forma rentable mientras se gestionan los riesgos para la organización.
  • 3.3 Realizar revisiones para determinar si un proyecto está progresando de acuerdo con los planes del proyecto, si está adecuadamente respaldado por la documentación y si los informes de situación son precisos.
  • 3.4 Evaluar los controles de los sistemas de información durante las fases de requerimientos, adquisición, desarrollo y pruebas para el cumplimiento de las políticas, estándares, procedimientos y requisitos externos aplicables de la organización.
  • 3.5 Evaluar la preparación de los sistemas de información para su implementación y migración a producción a fin de determinar si se cumplen los entregables del proyecto, los controles y los requisitos de la organización.
  • 3.6 Llevar a cabo revisiones posteriores a la implementación de los sistemas para determinar si se cumplen los entregables del proyecto, los controles y los requisitos de la organización.

Operación de Sistemas de Información y Business Resiliencia (23%)

Asegurar que los procesos de operación, mantenimiento y soporte de los sistemas de información cumplen con las estrategias y objetivos de la organización.

  • 4.1 Realizar revisiones periódicas de los sistemas de información para determinar si continúan cumpliendo con los objetivos de la organización.
  • 4.2 Evaluar las prácticas de gestión del nivel de servicio para determinar si el nivel de servicio de los proveedores de servicios internos y externos está definido y gestionado.
  • 4.3 Evaluar las prácticas de gestión de terceros para determinar si el proveedor está cumpliendo con los niveles de controles esperados por la organización.
  • 4.4 Evalúe las operaciones y los procedimientos del usuario final para determinar si los procesos programados y no programados se gestionan hasta su finalización.
  • 4.5 Evaluar el proceso de mantenimiento de los sistemas de información para determinar si se controlan de manera efectiva y continúan apoyando los objetivos de la organización.
  • 4.6 Evaluar las prácticas de administración de datos para determinar la integridad y optimización de las bases de datos.
  • 4.7 Evaluar el uso de herramientas y técnicas de monitoreo de capacidad y desempeño para determinar si los servicios de TI cumplen con los objetivos de la organización.
  • 4.8 Evaluar las prácticas de gestión de problemas e incidentes para determinar si los incidentes, problemas o errores se registran, analizan y resuelven de manera oportuna.
  • 4.9 Evaluar las prácticas de gestión de cambios, configuraciones y lanzamientos para determinar si los cambios programados y no programados realizados en el entorno de producción de la organización están adecuadamente controlados y documentados.
  • 4.10 Evaluar la idoneidad de las disposiciones de copia de seguridad y restauración para determinar la disponibilidad de la información necesaria para reanudar el procesamiento.
  • 4.11 Evaluar el plan de recuperación ante desastres de la organización para determinar si permite la recuperación de las capacidades de procesamiento de TI en caso de desastre.

Protección de los activos de información (27%)

Garantizar que las políticas, normas, procedimientos y controles de seguridad de la organización garanticen la confidencialidad, integridad y disponibilidad de los activos de información.

  • 5.1 Evaluar las políticas, normas y procedimientos de seguridad de la información para verificar que estén completos y alineados con las prácticas generalmente aceptadas.
  • 5.2 Evaluar el diseño, implementación y monitoreo de los controles de seguridad del sistema y lógicos para verificar la confidencialidad, integridad y disponibilidad de la información.
  • 5.3 Evaluar el diseño, la implementación y el seguimiento de los procesos y procedimientos de clasificación de datos para alinearlos con las políticas, normas, procedimientos y requisitos externos aplicables de la organización.
  • 5.4 Evaluar el diseño, la implementación y el monitoreo del acceso físico y los controles ambientales para determinar si los activos de información están adecuadamente salvaguardados.
  • 5.5 Evaluar los procesos y procedimientos utilizados para almacenar, recuperar, transportar y eliminar los activos de información (por ejemplo, medios de copia de seguridad, almacenamiento externo, datos impresos/impresos y medios de copia electrónica) para determinar si los activos de información están adecuadamente protegidos.

Requerimientos

  • 5 años de experiencia profesional en auditoría informática o en el campo de la seguridad
  • Conocimientos básicos en el área de operación de tecnologías de la información, soporte empresarial por tecnologías de la información y control interno.

Es posible acortar la experiencia laboral requerida a 4 años si el candidato tiene una licenciatura o a 3 años si tiene una maestría.

Puede realizar el examen con requisitos de experiencia laboral no cumplidos. Sin embargo, esta es una condición que debe cumplirse dentro de los 5 años posteriores a la fecha de realización del examen. Si no lo haces en un plazo de 5 años, tu puntuación aprobatoria en el examen se considerará nula y sin efecto. 

Audiencia

  • Auditores
  • Auditores de sistemas informáticos
  • Gestores de infraestructuras de TI,
  • gestores de gestión de riesgos o de continuidad de las actividades,
  • personas responsables de todos los aspectos de la gestión de TI 
 28 horas

Número de participantes


Precio por participante

Próximos cursos