Cualquier persona interesada en una carrera en gobernanza de TI, evaluación de riesgos, auditoría de sistemas y gestión de seguridad debe consultar las certificaciones que ofrece ISACA. ISACA es una asociación global sin fines de lucro centrada en la gobernanza de TI. La organización se conocía anteriormente como Asociación de Control y Auditoría de Sistemas de Información, pero ahora se llama ISACA para reflejar la amplia gama de profesionales de gobierno de TI a los que sirve. Te contamos aquí qué es ISACA, su historia, sus funciones y su situación actual.
¿Qué es la asociación ISACA?
ISACA es una asociación global independiente sin fines de lucro que se dedica al desarrollo, adopción y uso de conocimientos y prácticas de sistemas de información aceptados a nivel mundial. Anteriormente conocida como la Asociación de Control y Auditoría de Sistemas de Información, ISACA ahora solo se conoce por sus siglas.
ISACA proporciona orientación, evaluaciones comparativas y herramientas de gobernanza para empresas que utilizan sistemas de información. ISACA también alberga una serie de conferencias internacionales que se centran en temas técnicos y de gestión relacionados con el aseguramiento, el control, la seguridad y el gobierno de TI de SI. También coordina varios programas de certificación, incluidos Auditor de sistemas de información certificado, Gerente de seguridad de la información certificado, Certificado en el gobierno de TI empresarial y Credenciales de control de sistemas de información y riesgo.
ISACA también desarrolló y actualiza continuamente COBIT, un marco comercial diseñado para ayudar a las empresas de todas las industrias a administrar su información y tecnología.
Actualmente, ISACA tiene más de 110.000 constituyentes en todo el mundo, en más de 180 países. Los integrantes de ISACA trabajan en una amplia variedad de puestos profesionales relacionados con la tecnología de la información.
Fundación e historia
Los inicios de ISACA se remontan a 1967 cuando un grupo de profesionales que trabajaban en el campo de la auditoría de controles en sistemas informáticos se dieron cuenta de la importancia de tener una organización que sirviera como la principal fuente de información para la industria. Posteriormente, en 1969, un grupo de auditores del sur de California incorporó la Asociación de Auditores de Procesamiento de Datos Electrónicos (EDPAA).
En 1973, la asociación celebró su primera conferencia y lanzó su primera publicación periódica, EDP Auditor. La Fundación EDPAA se estableció en 1976. En 1977, la fundación publicó una compilación de directrices, procedimientos, mejores prácticas y estándares para la realización de auditorías EDP titulada «Objetivos de control». Se actualizó cuatro veces entre 1980-1992. Se hicieron importantes revisiones al documento de 1992 a 1996 y el título se convirtió en CobiT (Objetivos de control para la información y tecnología relacionada).
En la actualidad, Cobit sirve como un estándar aceptado internacionalmente para el uso diario de los gerentes comerciales, usuarios de TI y auditores de SI para el objetivo de control de TI; está disponible en CD-ROM o en línea. En 1978, EDPAA estableció el Auditor Certificado de Sistemas de Información (CISA), un programa de certificación destinado a auditores internos y externos que estén interesados en adquirir una certificación separada en Tecnología de la Información. El primer examen CISA se realizó en 1981.
Con los años, la membresía de EDPAA aumentó no solo en Estados Unidos sino también en todo el mundo. El examen CISA y sus demás documentos se tradujeron a diferentes idiomas, incluidos holandés, francés, alemán, italiano, japonés, español, chino y coreano. En 1991, Deepak Sarup, se convirtió en el primer presidente internacional de EDPAA fuera de Norteamérica. El nombre de la asociación se cambió formalmente a Asociación de Control y Auditoría de Sistemas de Información (ISACA) en 1994. La Asociación ha decidido utilizar oficialmente sus siglas para representar su amplia gama de servicios.
Hoy en día, el distrito electoral de ISACA de más de 165,000 personas en todo el mundo se caracteriza por su diversidad. Estos profesionales viven y trabajan en más de 180 países y cubren una variedad de puestos profesionales relacionados con TI en las disciplinas de auditoría, riesgo, seguridad y gobernanza de SI / TI, así como educadores, consultores y reguladores. Algunos son nuevos en sus carreras, otros están en niveles gerenciales intermedios y otros están en los rangos más altos. Trabajan en casi todas las categorías de la industria, incluidas las financieras y bancarias, la contabilidad pública, el gobierno y el sector público, los servicios públicos y la fabricación. Esta diversidad permite a los miembros aprender unos de otros e intercambiar puntos de vista muy divergentes sobre una variedad de temas profesionales.
¿Cuáles son sus funciones?
ISACA proporciona orientación práctica, evaluaciones comparativas y herramientas para empresas que utilizan sistemas de información. A través de sus publicaciones y servicios integrales, ISACA define roles para los profesionales de gobierno, seguridad, auditoría y aseguramiento de sistemas de información en todo el mundo.
ISACA ofrece cuatro certificaciones profesionales dirigidas a auditores de sistemas de información, profesionales y gerentes de gestión de riesgos y gobierno de TI:
Certificación CISA
Si tienes experiencia como auditor de sistemas de información y deseas ascender, considera adquirir la certificación de Auditor de sistemas de información certificado (CISA). La credencial CISA reconoce a las personas que tienen habilidades en la auditoría, el control y el aseguramiento de los sistemas de TI de la empresa. El CISA es, con mucho, la certificación ISACA más popular, con más de 115,000 credenciales otorgadas desde que comenzó el programa.
Para obtener la certificación CISA, los candidatos deben aprobar un examen de 150 preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de auditoría, control o seguridad de sistemas de información a nivel profesional) y completar la solicitud.
ISACA permite que los candidatos sustituyan la educación por alguna experiencia laboral. Por ejemplo, un título de dos o cuatro años cuenta para uno o dos años, respectivamente, de experiencia laboral.
Certificación CISM
La Certified Information Security Manager (CISM) se ha convertido en una credencial líder para el lado de la gestión de la seguridad de la información, con más de 27.000 de estas credenciales otorgadas. El CISM reconoce a las personas que diseñan, desarrollan y supervisan la seguridad de la información de una empresa.
El examen se centra en temas como el gobierno de la seguridad de la información, la gestión y el cumplimiento de los riesgos de la información, la gestión de incidentes de seguridad de la información y el desarrollo y la gestión de programas de seguridad de la información.
Para lograr la certificación ISACA CISM, los candidatos deben aprobar un examen de 200 preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de seguridad de la información a nivel profesional; tres años deben ser gerente de seguridad en al menos tres de las áreas de práctica laboral) y completar la solicitud. La experiencia informada debe ser actual (dentro de los cinco años posteriores a la aprobación del examen o dentro de los 10 años anteriores a la fecha de solicitud).
Certificación CGEIT
Aunque no son muchas las personas que han obtenido la certificación Certified in the Governance of Enterprise IT (CGEIT) ocupan puestos de alto nivel en sus organizaciones. El CGEIT está diseñado para profesionales que están profundamente arraigados en la gobernanza y la garantía empresarial. Saben cómo alinear el negocio con TI, seguir las mejores prácticas y estándares para las operaciones y el gobierno de TI, administrar las inversiones en TI y fomentar entornos que mejoren continuamente los procesos y las políticas.
Para lograr la certificación CGEIT, los candidatos deben aprobar un examen de 150 preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de gestión empresarial a nivel profesional o desempeñarse en una función de asesoría o apoyo de gobierno) y completar la solicitud.
El requisito de experiencia laboral para el CGEIT es más específico que para otras certificaciones de ISACA. Un año de experiencia debe estar relacionado con los marcos de gobierno de TI de la empresa, y los otros años deben estar relacionados con la gestión estratégica, la realización de beneficios, la optimización de riesgos o la optimización de recursos.
Certificación CRISC
Más de 18.000 personas han obtenido la credencial de Certificado en Control de Sistemas de Información y Riesgos (CRISC). Esta certificación identifica a los profesionales de TI responsables de implementar programas de gestión de riesgos de la información en toda la empresa.
Para lograr la certificación CRISC, los candidatos deben aprobar un examen de 150 preguntas, proporcionar prueba de experiencia laboral (un mínimo de tres años de gestión y control de riesgos acumulados a nivel profesional, y realizar las tareas de al menos dos dominios CRISC) y completar la aplicación.
A diferencia de otras certificaciones de ISACA, no se puede sustituir la educación u otras certificaciones por el requisito de experiencia laboral. ISACA otorga hasta 10 años para adquirir experiencia después de solicitar la certificación o cinco años a partir de la fecha en que se aprobó el examen.
Certificación Cybersecurity Nexus y CSX-P
En 2015, ISACA lanzó una nueva empresa de certificación llamada Cybersecurity Nexus, abreviada como CSX. ISACA planea agregar credenciales de especialistas y expertos a su lista de ofertas; actualmente, la única credencial de CSX disponible es CSX Practitioner o CSX-P.
La credencial CSX-P reconoce a las personas que pueden actuar como primeros en responder ante incidentes de seguridad. Estos profesionales pueden seguir procedimientos establecidos y procesos definidos, y trabajar principalmente con problemas conocidos en un solo sistema. Los candidatos deben demostrar habilidades y conocimientos en el trabajo con firewalls, parches y respuestas antivirus, y ser capaces de implementar controles de seguridad comunes, realizar escaneos de vulnerabilidades y completar tareas básicas de análisis de amenazas e infracciones.
¿Cuál es su situación actual?
La integración del marco de ciberseguridad en los productos de ISACA ha contribuido directamente al éxito internacional de sus productos de ciberseguridad y se ha identificado específicamente como un elemento clave que fomenta la adopción de esos productos por parte de personas y empresas.
Los integrantes de ISACA también han identificado la integración del Marco de Ciberseguridad como algo relevante para todos los productos de certificación y capacitación en ciberseguridad, lo que los convierte en un punto de referencia predeterminado en la capacitación y el desarrollo profesional.
Al aprovechar el marco en el desarrollo de sus productos, ISACA ha aprendido que muchos en el campo de la ciberseguridad desean una capacitación que conecte las buenas prácticas de seguridad con los impulsores comerciales que las respaldan. Anteriormente, algunos proveedores de capacitación y certificación se basaban en una mezcolanza de políticas que conectaban de manera abstracta con ciertos elementos de capacitación. Sin embargo, el Marco ha mejorado la orientación para los aprendices y los candidatos a la certificación y ha actuado como la referencia de referencia para muchos en el campo de la ciberseguridad.
ISACA continuará integrando el marco de ciberseguridad en sus productos y servicios de ciberseguridad. Al implementar el Marco como su principal guía de ciberseguridad, ISACA continuará desarrollando y entregando productos de profesionalización relevantes.
Algunos hechos sobre esta institución
Para ayudar a fomentar el conocimiento y la mejora del Marco, ISACA ha presentado durante las sesiones de taller del Marco, ha proporcionado comentarios sobre el Marco y ha realizado encuestas sobre el uso del Marco. A través de una encuesta a numerosos CISO y a quienes tienen la certificación Certified in Information Security Management® (CISM®), ISACA descubrió que de los casi 800 encuestados, más del 75% conocía el Marco y creía que ayuda a elevar la importancia general de la seguridad cibernética.
ISACA también integró los Pasos del Marco de Ciberseguridad para Establecer o Mejorar un Programa de Ciberseguridad con su propio modelo COBIT para ayudar a las empresas a alcanzar los objetivos de gobernanza y gestión de la TI empresarial. La guía publicada y el curso asociado y el examen de certificación han tenido un gran éxito y han ayudado a miles de personas a obtener los beneficios de la aplicación del marco de ciberseguridad.
Aprovechar el marco de ciberseguridad ayuda a alinear los productos de certificación y capacitación internacional de ISACA con las políticas clave dentro del campo de la ciberseguridad. Las referencias informativas de la subcategoría apuntan a los aprendices y candidatos a la certificación a puntos importantes de la política que definen el campo de la ciberseguridad.
Los miembros de ISACA se han beneficiado de numerosas plantillas, herramientas y seminarios web que demuestran consejos y métodos efectivos para aplicar el marco de ciberseguridad. Varios de estos recursos están disponibles en las páginas de recursos del marco de seguridad cibernética del NIST..
ISACA ha utilizado las funciones de alto nivel del marco de ciberseguridad para organizar cómo se presentan los temas de ciberseguridad en los eventos. Por ejemplo, cada una de las sesiones en las conferencias de ISACA Cybersecurity Nexus (CSX) se organiza en las pistas Identificar, Proteger, Detectar, Responder y Recuperar.
En 1998, ISACA fundó el IT Governance Institute (ITGI) debido a la gran importancia de la tecnología de la información como uno de los factores clave de éxito para entidades o empresas. El principal objetivo del instituto es ayudar a los dueños de negocios a mejorar su gobierno de la tecnología de la información y desarrollar la TI de acuerdo con los estándares internacionales. ITGI también tiene como objetivo ayudar a las empresas a lograr sus objetivos comerciales, mejorar sus inversiones comerciales y administrar de manera adecuada y eficaz los riesgos y oportunidades asociados con la tecnología de la información. La principal actividad del instituto es la realización de investigaciones originales sobre gobernanza de TI.
ISACA en España
Actualmente ISACA está presente en más de países, entre los que está España. ISACA dispone de sedes en Barcelona y Madrid.
El marco de ciberseguridad ha ayudado a ISACA a proporcionar el «y qué» al transmitir la importancia de la ciberseguridad a sus componentes en España. El Marco refuerza la relevancia del campo y solidifica la comprensión de la importancia de la ciberseguridad para las misiones de las organizaciones.
Conectar la capacitación en ciberseguridad de ISACA con el marco de ciberseguridad ha proporcionado una guía para el desarrollo de la capacitación para las personas en todas las fases de su trayectoria profesional, desde el iniciado más nuevo hasta el respondedor de incidentes curtido en la batalla.
El Marco proporciona un terreno común en las discusiones sobre seguridad cibernética . El uso de la lengua vernácula compartida asegura que un entendimiento común sea la raíz de los programas y desarrollos de ciberseguridad de ISACA.
Escribe aquí tu comentario