Download - Isaca Final Impresion
ISACAINFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION
Índice
ISACA (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION)
QUE ES ISACA.........................................................................................................................1
HISTORIA.................................................................................................................................2
LAS CERTIFICACIONES.........................................................................................................2
•CISA.........................................................................................................................................3
•CISM.........................................................................................................................................3
•CGEIT.......................................................................................................................................3
•CRISC......................................................................................................................................3
CÓDIGO DE ÉTICA PROFESIONAL DE ISACA...................................................................4
A QUIENES SIRVE?................................................................................................................5
QUIENES SON SUS MIEMBROS?.........................................................................................5
ACTIVIDADES..........................................................................................................................6
LOS ESTÁNDARES ISACA....................................................................................................8
1. ESTÁNDARES:....................................................................................................................8
2. GUÍAS:..................................................................................................................................8
3. PROCEDIMIENTOS:............................................................................................................8
MAPA CONCEPTUAL...........................................................................................................10
CUESTIONARIO.....................................................................................................................11
BIBLIOGRAFÍA......................................................................................................................13
Contendido
ISACAINFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION
Que es ISACA
Es el proveedor líder mundial de conocimiento, certificaciones, comunidad, apoyo
y educación en seguridad y aseguramiento de sistemas de información, gobierno
empresarial de TI y riesgos y cumplimiento relacionados con la TI.
Además, es una organización que nació en 1967. A la fecha lo integran más de
65.000 personas en todo el mundo estas se caracterizan por su diversidad. Los
miembros viven y trabajan en más de 140 países y cubren una variedad de
puestos profesionales relacionados con TI – sólo para nombrar algunos ejemplos,
auditor de SI, consultor, educador, profesional de seguridad de SI, regulador,
director ejecutivo de información y auditor interno.
En las tres décadas transcurridas desde su creación, ISACA se ha convertido en
una organización global que establece las pautas para los profesionales de
gobernación, control, seguridad y auditoría de información. Sus normas de
auditoría y control de SI son respetados por profesionales de todo el mundo. Su
certificación Certified Information Systems Auditor (Auditor Certificado de Sistemas
de Información, o CISA) es reconocida en forma global y ha sido obtenida por más
de 50.000 profesionales. Su nueva certificación Certified Information Security
Manager (Gerente Certificado de Seguridad de Información, o CISM) se concentra
exclusivamente en el sector de gerencia de seguridad de la información.
La ISACA – Information Systems Audit and Control Association - es una
organización mundial sin fines de lucro cuya casa matriz está en Chicago, USA. La
misma está presente en más de 160 países con un número de asociados que
supera los 86.000 en todo el mundo, y su objetivo es la formación y
perfeccionamiento continuo en temas de Auditoria, Control y Seguridad en TI.
Asimismo da soporte profesional a una variedad de puestos relacionados con TI –
como por ejemplo entre otros, Auditores de SI, Consultores, Educadores,
Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de
Información y Auditores Internos.
1
Contendido
ISACA ha expandido su cobertura y se ha constituido en la entidad rectora y
unificadora de las normas y prácticas de seguridad y control informático en todo el
mundo. Los programas y servicios de ISACA han ganado su distinción al
establecer los mayores niveles de excelencia en las áreas de certificación
educación profesional, publicaciones, técnicas e investigación.
Historia
La Information Systems Audit and Control Association (ISACA) tuvo sus orígenes
en 1967, cuando un pequeño grupo de personas que realizaban trabajos afines
relacionados con auditoría y control consideraron que era necesario contar con
una misma fuente de información, directrices y metodologías para su área”
En efecto, los profesionales de la auditoría de controles en sistemas
computacionales comenzaron a volverse más críticos ante los avances de las
nuevas tecnologías que, según su parecer, dejaban áreas expuestas a riesgos.
Poco tiempo después, en 1969, el grupo se formalizó bajo el nombre de EDP
Auditors Association (Asociación de Auditores de Procesamiento Electrónico de
Datos) y en 1976 la asociación creó una fundación con fines educativos y de
capacitación, con el propósito de desarrollar proyectos de investigación de gran
escala y expandir los conocimientos de gobierno y control de Tecnologías de
Información (TI).
En la actualidad, ISACA cuenta con más de 95 mil miembros en todo el mundo,
localizados en más de 160 países, pertenecientes a una variedad de cargos
profesionales relacionados con TI, como auditores de Sistemas de Información
(SI), consultores, académicos, profesores, personal de seguridad de SI,
reguladores, directores ejecutivos de información y auditores internos.
Las Certificaciones
Otro de los pilares fundamentales de ISACA es el correspondiente a las
certificaciones internacionales en aquellos temas que pertenecen a su área de
especialización. Las mismas acreditan a los profesionales que las poseen, pues
2
Contendido
además de pasar un examen, que se toma el mismo día en todo el mundo, los
interesados deben demostrar su conocimiento y práctica en los diferentes
dominios cubiertos por cada certificación.
Todas las certificaciones de ISACA tienen un Código de Ética Profesional a la que
deben adherir todo individuo interesado en obtener cualquiera de las mismas, al
igual que deberán aprobar el examen correspondiente.
Posteriormente el interesado deberá presentar documentación que acredite
experiencia en varias de las áreas de práctica de la certificación solicitada.
Además, ofrece cuatro certificaciones profesionales:
•CISA (Certified Information Systems Auditor).
•CISM (Certified Information Security Manager).
•CGEIT (Certified in the Governance of Enterprise IT).
•CRISC (Certified in Risk and Information Systems Control).
La certificación CISA, “Auditor Certificado de Sistemas de Información”, es
reconocida de forma global y ha sido obtenida por más de 75 mil profesionales
desde su creación.
Esta designación responde a las necesidades que el avance de la tecnología ha
tenido en el actual mundo empresarial y de negocios, lo que obliga a las
compañías y organizaciones de todo tipo a proteger y controlar las TI y los
sistemas con que operan.
La designación como CISA acredita conocimientos especializados en las áreas de:
•Proceso de Auditoría de Sistemas de Información.
•Gobierno de TI.
•Ciclo de vida útil de la infraestructura y los sistemas.
•Soporte y cumplimiento de servicios de TI.
•Protección de los activos de información.
•Continuidad empresarial y recuperación ante desastres.
La certificación CISM, Gerente Certificado de Seguridad de Información, se
concentra en el sector de gerencia de seguridad de la información y ha sido
obtenida por más de 13 mil profesionales.
3
Contendido
La certificación CGEIT, Certificado en Gobierno de TI de la Empresa, promueve el
avance de profesionales que desean ser reconocidos por su experiencia y
conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por más
de 4 mil profesionales.
La nueva certificación CRISC, Certificado en Riesgos y Controles de los Sistemas
de Información, es para profesionales de TI que identifican y gestionan los riesgos
mediante el desarrollo, implementación y mantenimiento de controles de SI.
De igual modo, ISACA publica la revista ISACA Journal, orientada a la técnica de
control de la información, y organiza continuas conferencias internacionales y
seminarios locales que se concentran en tópicos técnicos y gerenciales
pertinentes a las profesiones de aseguramiento, control, seguridad y gobierno de
las TI y de SI.
En Latinoamérica, la ISACA organiza cada año la “Conferencia Latin CACS”
(Conferencia Latinoamericana de Auditoría, Control y Seguridad). De manera
conjunta, la ISACA y el Instituto de Gobierno de TI (IT Governance Institute, ITGI)
lideran la comunidad de control de tecnología de la información y sirven a sus
asociados brindando los elementos que necesitan los profesionales de TI en un
entorno mundial en cambio permanente.
Código de Ética Profesional de ISACA
La Asociación de Auditoría y Control de Sistemas de Información (ISACA)
establece este Código de Ética Profesional para guiar la conducta profesional y
personal de los miembros de la asociación y/o a los tenedores de su certificación.
Los Miembros y los tenedores de certificación de ISACA deberán:
•Soportar la implementación de, y fomentar el cumplimiento de, las normas, los
procedimientos y los controles apropiados para los sistemas de información.
•Ejecutar sus deberes con objetividad, debida diligencia y atención profesional, en
conformidad con las normas y mejores prácticas profesionales.
•Servir en el interés de los accionistas en una forma legal y honesta, y al mismo
tiempo mantener altos estándares de conducta y de carácter, y no dedicarse a
actos que puedan deshonrar la profesión.
4
Contendido
•Mantener la privacidad y la confidencialidad de la información obtenida en el
curso de sus funciones a menos que la autoridad legal requiera su revelación.
Dicha información no será usada para beneficio personal ni revelada a terceros
inapropiados.
•Mantener competencia en sus campos respectivos y acordar emprender
únicamente las actividades que ellos puedan razonablemente esperar realizar con
competencia profesional.
•Informar a las personas apropiadas sobre los resultados del trabajo realizado,
revelando todos los hechos significativos de los que ellos tengan conocimiento.
•Soportar la educación profesional de los accionistas para aumentar su
comprensión de la seguridad y el control de los sistemas de información.
A quienes sirve?
ISACA proporciona orientaciones prácticas, puntos de referencia y otros
instrumentos eficaces para todas las empresas que utilizan sistemas de
información. A través de su orientación y servicios integrales, ISACA se definen
las funciones de gobierno de la información de sistemas, seguridad, auditoría y
aseguramiento de los profesionales de todo el mundo. La COBIT y Val IT y riesgo
que los marcos de gobernanza y el CAAS, CISM y certificaciones CGEIT son
marcas ISACA respetados y utilizados por estos profesionales en beneficio de sus
empresas.
Quienes son sus miembros?
Con más de 86.000 miembros en 160 países, ISACA es reconocido
internacionalmente como una organización de alto rendimiento que aborda
problemas globales, los sistemas de informaciones nacionales y locales y de
negocio.
Los miembros viven y trabajan en más de 160 países y cubren una variedad de
posiciones profesionales relacionadas con la TI. Algunos están en las filas de más
alto rango, los demás se encuentran en niveles directivos medios y otros son
5
Contendido
nuevos en el campo. Trabajan en casi todas las categorías de la industria,
incluidos los financieros y la banca, contabilidad pública, el gobierno y el sector
público, servicios públicos y manufactura.
El ser miembro de ISACA vincula a las personas a una organización con una
fuerte reputación y prolongada historia de éxito y liderazgo y se tiene acceso a un
conjunto de conocimientos y beneficios, como también a la oportunidad de
contribuir directamente al avance de la profesión y el desarrollo de su cuerpo de
conocimientos.
El centro de ISACA esta ubicado en EE.UU., sin embargo, a lo largo del tiempo se
ha ido creando “capítulos” en diversos países, los que en la actualidad alcanzan
más de 185. La misión de los capítulos de ISACA es de promover la educación y
la mejora del conocimiento y las habilidades de sus miembros, ayudándolos a
lograr y mantener sus certificaciones que los acreditan como profesionales de
primer nivel y calidad, a través de diversas actividades que enriquecen
profesionalmente y brindan la oportunidad de ganar horas CPE (educación
profesional continua).
Actividades
Estas actividades son:
• Foros
Evento alrededor de una materia pre-determinada de actualidad y abierto a todos
los miembros, que puede ser presencial o virtual (vía Internet). Brinda la
oportunidad de conocer y reforzar marcos metodológicos, conceptos, tendencias y
temáticas que contribuyan con el capital de conocimientos de los asociados.
• Conferencias
Evento presencial alrededor de uno o más temas de actualidad, a cargo de
reconocidos expositores nacionales y extranjeros. Gratuitas para los asociados,
realizadas mensualmente, ofreciendo contenidos que permitan mantener
actualizados a los participantes.
• Cursos
6
Contendido
Programas de capacitación, entrenamiento o preparación en uno o en un conjunto
de dominios, bajo la orientación de uno o más instructores y que requiere la
asistencia de los participantes. Por ejemplo, los cursos de preparación para los
exámenes de certificación CISA, CISM y CGEIT.
Para la realización de estas actividades el capítulo convoca a la comunidad de
asociados a formar parte de los equipos que colaboran en el soporte a estas
actividades, son llamados voluntariado y garantizan el soporte y la realización de
dichas actividades del Capítulo, orientadas a asegurar que los programas de
certificación y de educación se difundan y entreguen satisfactoriamente a la base
de asociados.
ISACA establece este Código de Ética Profesional para guiar la conducta
profesional y personal de los miembros y/o poseedores de certificaciones de la
asociación. Los miembros y los poseedores de certificaciones de ISACA deberán:
1. Respaldar la implementación y promover el cumplimiento con estándares y
procedimientos apropiados del gobierno y gestión efectiva de los sistemas de
información y la tecnología de la empresa, incluyendo la gestión de auditoría,
control, seguridad y riesgos.
2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado
profesional, de acuerdo con estándares de la profesión. 3. Servir en beneficio de
las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener
altos niveles de conducta y carácter, y no involucrarse en actos que desacrediten
a la profesión o a la Asociación 4. Mantener la privacidad y confidencialidad de la
información obtenida en el curso de sus deberes a menos que la divulgación sea
requerida por una autoridad legal. Dicha información no debe ser utilizada para
beneficio personal ni revelada a partes inapropiadas. 5. Mantener la aptitud en sus
respectivos campos y asumir sólo aquellas actividades que razonablemente
esperen completar con las habilidades, conocimiento y competencias necesarias
6. Informar los resultados del trabajo realizado a las partes apropiadas, revelando
todos los hechos significativos sobre los cuales tengan conocimiento 7. Respaldar
la educación profesional de las partes interesadas para que tengan una mejor
comprensión del gobierno y la gestión de los sistemas de información y la
7
Contendido
tecnología de la empresa, incluyendo la gestión de la auditoría, control, seguridad
y riesgos. El incumplimiento de este Código de Ética Profesional puede acarrear
una investigación de la conducta de un miembro y/o titular de la certificación y, en
última instancia la expulsión.
Asociación de Auditoría y Control de Sistemas de Información (ISACA) ha
determinado que la naturaleza especializada de la auditoria de los sistemas de la
información y las habilidades necesarias para llevar a cabo este tipo de
auditorias, requieren de un desarrollo y la promulgación de normas generales para
la auditoria de los sistemas de información.
Los objetivos de estas normas son los de informar a los auditores del nivel mínimo
de rendimiento aceptable para satisfacer las responsabilidades profesionales
establecidas en el Código de Ética Profesional y de informar a la gerencia y a
otras partes interesadas de las expectativas de la profesión con respecto al trabajo
que ejercen.
El complejo mundo tecnológico y empresarial de la actualidad, continúa retando a
las empresas que buscan proteger y controlar la TI y los sistemas de las
empresas. Es por estos que existe una alta supervisión y un número cada vez
mayor de regulaciones gubernamentales que exigen procedimientos de control.
Los estándares ISACA
Los estándares de ISACA están divididos en múltiples guías y procedimientos:
1. Estándares: Definen los requerimientos obligatorios para la auditoria de
sistemas y la generación de informes.
2. Guías: Proveen una guía para la aplicación de los estándares de Auditoria de
Sistemas.
3. Procedimientos: Provee ejemplos de procedimientos que el Auditor de
Sistemas puede utilizar en una revisión. Los procedimientos ofrecen información
de cómo cumplir con los estándares al realizar una auditoria de sistemas pero no
especifican requerimientos.
Los estándares son:
010 Audit Charter
8
Contendido
020 Independence
030 Professional Ethics and Standard
040 Competences
050 Planning
060 Performance of Audit Work
070 Reporting
080 Follow-up Activities.
Los primeros capítulos de los estándares de ISACA (010 al 040) tienen una gran
similitud con las Normas sobre Atributos, definen la responsabilidad, la autoridad y
el rendimiento de cuentas abarcados por la función de auditoria, que deben estar
documentadas formalmente, la independencia, cumplimiento del código de ética
profesional para guiar la conducta profesional y personal de los miembros y la
idoneidad técnica por medio de la educación profesional continua correspondiente.
Los capítulos de los estándares de ISACA (050 al 080) son semejantes a las
Normas de Desempeño, donde el auditor deberá planificar el trabajo de auditoria
para satisfacer los objetivos, alcance, tiempo, estableciendo políticas,
procedimientos, evaluación de riesgos y recursos adecuados para guiar la
actividad de la auditoria, el cual están supervisadas para su cumplimiento y
calidad del trabajo. Además obtendrá evidencia suficiente, confiable, relevante
para emitir un informe con los hallazgos, las conclusiones y las recomendaciones,
estos se deberán apoyar por medio de un análisis e interpretación apropiada. Por
ultimo se realiza un seguimiento para determinar si se han implementado las
acciones apropiadas de manera oportuna.
Las normas de implantación y las guías, como su nombre lo indican, brindan una
guía para que el auditor deba tenerlos en consideración al implementar los
estándares, usar su criterio profesional para aplicarlos y estar preparado para
justificar cualquier diferencia.
9
Contendido
MAPA CONCEPTUAL
10
ISACAINFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION
HISTORIAQUE ES ISACA? LA CERTIFICACION
Tuvo sus orígenes en 1967, cuando un pequeño grupo de personas que realizaban trabajos afines relacionados con auditoría y control consideraron que era necesario contar con una misma fuente de información, directrices y metodologías para su área”
Las mismas acreditan a los profesionales que las poseen, pues además de pasar un examen, que se toma el mismo día en todo el mundo, los interesados deben demostrar su conocimiento y práctica en los diferentes dominios cubiertos por cada certificación.
Es el proveedor líder mundial de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con la TI.
•CISA (Certified Information Systems Auditor).•CISM (Certified Information Security Manager).•CGEIT (Certified in the Governance of Enterprise IT).•CRISC (Certified in Risk and Information Systems Control).
La ISACA – Information Systems Audit and Control Association - es una organización mundial sin fines de lucro cuya casa matriz está en Chicago, USA. La misma está presente en más de 160 países con un número de asociados que supera los 86.000 en todo el mundo,
Contendido
CUESTIONARIO
1.- ¿Qué es ISACA?
R.- Es el proveedor líder mundial de conocimiento, certificaciones, comunidad,
apoyo y educación en seguridad y aseguramiento de sistemas de información,
gobierno empresarial de TI y riesgos y cumplimiento relacionados con la TI.
2.- ¿Cómo se ha expandido ISACA?
R.- ISACA ha expandido su cobertura y se ha constituido en la entidad rectora y
unificadora de las normas y prácticas de seguridad y control informático en todo el
mundo.
3.- ¿Con cuantos miembros cuenta?
R.- En la actualidad, ISACA cuenta con más de 95 mil miembros en todo el
mundo, localizados en más de 160 países, pertenecientes a una variedad de
cargos profesionales
4.- ¿Qué tienen las certificaciones ISACA?
R.- Todas las certificaciones de ISACA tienen un Código de Ética Profesional a la
que deben adherir todo individuo interesado en obtener cualquiera de las mismas,
al igual que deberán aprobar el examen correspondiente.
5.- ¿Que revista pública ISACA?
R.- ISACA publica la revista ISACA Journal, orientada a la técnica de control de la
información
6.- ¿Los miembros que deben soportar y ejecutar?
R.- Los Miembros y los tenedores de certificación de ISACA deberán:
•Soportar la implementación de, y fomentar el cumplimiento de, las normas, los
procedimientos y los controles apropiados para los sistemas de información.
•Ejecutar sus deberes con objetividad, debida diligencia y atención profesional, en
conformidad con las normas y mejores prácticas profesionales
7.- ¿Qué proporciona ISACA?
R.- ISACA proporciona orientaciones prácticas, puntos de referencia y otros
instrumentos eficaces para todas las empresas que utilizan sistemas de
información.
11
Contendido
8.- ¿Dónde se ubica las instalaciones de ISACA?
R.- El centro de ISACA esta ubicado en EE.UU., sin embargo, a lo largo del tiempo
se han ido creando “capítulos” en diversos países, los que en la actualidad
alcanzan más de 185.
9.- ¿Qué actividades realiza?
R.- • Foros
• Conferencias
• Cursos
10.- ¿Qué objetivos tienen las normas de ISACA?
R.- Los objetivos de estas normas son los de informar a los auditores del nivel
mínimo de rendimiento aceptable para satisfacer las responsabilidades
profesionales establecidas en el Código de Ética Profesional y de informar a la
gerencia y a otras partes interesadas de las expectativas de la profesión con
respecto al trabajo que ejercen.
.
12
Contendido
Bibliografía
http://pumarino.blogspot.com/2008/09/qu-es-isaca.html
http://www.1024.com.uy/revista/index.php/nikola-tesla/124-isaca
http://www.auditool.org/index.php?
option=com_content&view=article&id=998:isaca&catid=57:auditoria-de-
ti&Itemid=112
http://www.isaca.org.ec/index.php?option=com_content&view=article&id=8&Itemid
13