0% encontró este documento útil (0 votos)
192 vistas472 páginasCISA2013
Cargado por
Francisco MercedesDerechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF o lee en línea desde Scribd
0% encontró este documento útil (0 votos)
192 vistas472 páginasCISA2013
Cargado por
Francisco MercedesDerechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF o lee en línea desde Scribd
+ Certified Information
CISA Systems Auditor®
Ss
‘An ISACA* Certification
(3) sg
Isacar
‘Con més de 100,000 miembros en 180 paises, ISACA (wwwwrisaca.org) es un lider mundialmente reconocido, proveedor de
conocimiento,certificaciones, comunidad, apoyo y educacién en seguridad y aseguramiento de sistemas de informacién (ST),
{gobierno empresarial, administracién de TI asi como riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA,
una asociacién independiente sin fines de Iucro, organiza conferencias intemacionales, publica el ISACA® Journal, y desarrolla
cestindares intemacionales de auditoria y control de sistemas de informacién que ayudan a sus miembros a garantizar la
confianza y el valor de los sistemas de informacién. Asimismo, promueve y avala las hablidades y conocimientos de TI a través
de las mundialmente respetadas certficaciones Certified Information Systems Aucitor® (Auditor Certificado en Sistemas de
Informacién) (CISA®), Certified Information Security Manager® (Administrador Certificado en Seguridad de la Informacién)
(CISM°), Certified in the Governance of Enterprise IT® (Certficado en Gobiemo de Teenologias de la Informacién
Empresarial) (CGEIT®) y el Certified Risk and Information Systems Control™ (Certficado en Riesgo y Control de Sistemas de
Informacién) (CRISC™9,
ISACA actualiza continuamente y extiende la orientacién précticay 1a familia de productos basaclos en el marco de trabajo
COBIT®, COBIT ayuda a los profesionales y lideres empresariales de TI a cumplir sus responsabitidades de gobiemo y gestién,
particularmente en las éreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.
Cliusula de exencién de responsabilidad
ISACA ha disefiado y creado el Manual de preparacién al examen CIS4® 2013 (el “documento”) principalmente como un
recurso educativo para ayudar @ las personas a prepararse para fomar el examen de certificacién CISA. Este documento se
produjo por separado del Examen CISA y del Comité de Certificacién CISA, quien no ha tenido responsebilidad por su
contenido. Las capias de los eximenes anteriores no estén a disposicién al puiblico y no fueron puestas a disposicién de ISACA.
‘para la preparacién de esta publicacién, ISACA no representa ni avala en absoluto, con respecto a estas u otras publicaciones de
ISACA, que se garantiza a los candidatos que aprobarén el examen CISA.
Reservaci6n de derechos
© 2012 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacién puede ser usada, copiada, reproducida,
modificada, distribuida, expuesta, almacenada en un sistema de recuperacién o transmitida en cualquier forma o por cualquier
‘medio (electrénico, mecéinico, fotocopia, grabacién w otros), sin la previa autorizacién por escrito de ISACA.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, [L 60008 USA
Teléfono: +1.847.253.1545
Fax: +1,847.253,1443
Correo electrénico: [email protected]
Pagina de Internet: wirw.isaca.org
Pasticipe en el Centro de Conocimiento de ISACA (ISACA Knowledge Center): wwe isaca.org/fonowledge-center
Siga a ISACA en Twitter: hitps:/twitter.com/ISACANews
Unase a ISACA en Linkedin: ISACA (Oficial), Attp://linkd.in/ISACAOfficial
Indique que le gusta ISACA en Facebook: wirn,facebook com/ISACAHO
ISBN 978-1-60420-305-9
Manual de Preparacién al Examen CISA 2013
‘Impreso en los Estados Unidos de América
CCRISC es una marca comercialnaca de servicio de ISACA, La mare sea uilizadoo regsradoen pales en todo el mundo.
‘Manual de Proparacién al Examen CISA 2013
ISACA, Todos los derechos reservados.
Manual de Preparaci6n al Examen CISA 2013
TSACA se complace en ofrecer la edicién 2013 (23 del Manual ce Preparacién al Examen CISA®. El propésito de este manual es
_proporcionar al candidato a la cetificacién CISA informacién técnica y referencias actualizadas para ayudarle a preparase y estudiar para
el examen CISA,
El Manual de Preparacién al Examen CISA se actualiza anualmente para mantenerse@ la par con los rpidos cambios en les profesiones
cde auditoria, control y seguridad de TI. Sus comentarios y sugerencias al respecto de este manual son apreciados, Est disponible un
ccuestionaro de retroalimentacién en linea en: wnnnisaca.o7g/studyaidsevaluation. Después de presentar el examen, tmese un tiempo
para completar la evaluacién en linea que corresponde a esta publicacin una vez haya realizado su examen, Sus observaciones son
cextremadamentevaliosas, puesto que nos preparamos para las ediciones futuras.
Los miembros de ISACA y otros expertos en el tema revisaron el contenido del Manual de preparaciéin al examen CISA® para su
adecuacién, Las preguntas de ejemplo contenidas en este manual estén disefiadas para ayudar a comprender el material en este
‘manual y para descrbir el formato del tipo de pregunta que generalmente se encuentra en el examen CISA.
La certficacién ha proporcionado un efecto positivo en muchas carreras, y el CISA es respetado y reconocido por organizaciones
alrededor del mundo. Le deseamos éxito en su examen CISA. Su compromiso en pos de la certificacién lider en auditoria,
aseguramiento, control y segurided de SI es ejemplar.
‘Manual de Proparacién al Examen CISA 2013
ISACA. Todos los derechos reservados.
eenceeeres @s=
RECONOCIMIENTOS
La edicién 2013 del Mama ce Preparacién al Examen CISA® es el resultado del esfuerzo colectivo de muchos votuntarios.
‘Se conté con la patticipacién de miembros de ISACA provenientes de todas las profesiones de auditora, control y seguridad de I,
{quienes offecieron generosamente sus talents y experiencis, Este equipo internacional mostré un espirtu y desprendimiento que se han.
convertion la marca distintiva de fos contribuyentes de este valioso manual. Su participacidn y sus opiniones son verdaderamente,
apreciadas,
‘Todos los miembros de ISACA que participaron en la revisin del Manual de Preparaciéin al Examen CISA® 2013 son merecedores de
nuestra més profunda gratitud.
Revisores expertos
‘Sunil Bakshi, CISA, CISM, CGEIT, CRISC, National Stock Exchange of India Ltd, India
‘Stephen Coates, CISA, CGAP, CIA, BDO, Australia
‘Thomas Cook, CISA, AES, CIA, Computer Aucit Specialist, Inc., USA
Gemma Deler-Castro, CISA, Spain
James T. Enstrom, CISA, CRISC, Chicago Board Options Exchange (CBOE), USA.
‘Arun Laxminarayanan, CISA, India
Femando Nikitin, CISA, CISM, CGEIT, CRISC, CBCP, CSA, CIA, CISSP, PMP, Inter-American Development Bank, USA/Unuguay
Derek J. Oliver, Ph. D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MinstISP, Ravenswood Consultants Ltd, UK
Manuel Palao, CISA, CISM, CGEIT, Personas & Teenicas: Soluciones (P&T:S), SLU, Spain.
Ravikumar Ramachandran, CISA, CISM, CGEIT, CRISC, CEH, CHFI, CIA, CIMA Adv Dip MA, CISSP-ISSAP, CRMA, ECSA,
FCMA, PMP, SSCP, India
Sree Krishna Reo, CISA, CA, Juniper Networks Inc., Bangalore
Markus Schiemer, CISA, CGEIT, CRISC, Unisys Ostereich GmbH, Austria
Hilary Shreter, CISA, USA
Katalin Szenes, CISA, CISM, CGEIT, CISSP, Obuda University, Hungary
‘Hui Zhu, CISA, CISM, CGEIT, CISSP, Bluelmpact, Canada
ISACA ha comenzado a planificarlaedicién 2014 del Manual de preparacién al examen CISA®. La paticipacién de los voluntarios
mpulsa el éxito del manual, Si est interesado en ser miembro del grupo selecto de profesionales que participan en este proyecto global,
queremos saber de usted, Por favor envienos un correo electronico a [email protected].
ISACA también desea agradecer a los siguientes profesionales por el trabajo voluntario en equipo, en la revisién & la calidad de la
‘raducci6n de este material:
‘Ana Toculescu Ot, CISA, Ecuador
‘Angeles Gallardo, CISA, Spain
Dany Romero Sanzonetty, CISA, CISM, Venezuela
Fabiola Paulina Moyén Constante, CISA, Ecuador
Katalina Coronel, CISA, Ecuador
wv ‘Manual de Proparacién al Examen CISA 2013
ISACA, Todos los derechos reservados.
Sime re
TABLA DE CONTENIDO
Acerca de este Lda ual
Generalidades
Formato de Este Manual.
Evaluacién de este Manual.
‘Acerca del Manual de Preguntas, Respucstas y Explicaciones de Preparacin al Examen CISA
‘Curso en Linea de Preparacién al Examen CIS. “ .
Capitulo 1.
Proceso de Auditoria de Sistemas de Informacién.
Seccién Uno: Generalidades.
Definieién. ns
Objetives.
‘Tareas y Conocimientos Relaclonades..
Tareas.
Conocimientos Relacionados
Recursos Sugeridos para Estudios Posteriores
Preguntas de Autoevalua
Respuestas a las preguntas de Autoevaluacin
Seccién Dos: Contenido
1.1 Referencia Ripida
12 Gestién de la Funeidn de Auditoria de SI.
1.2.1 Organizacién de la Funoién de Auditor‘a de SI
1.2.2 Gestion de los recursos de auditoria de SI...
1.2.3 Planificacién de Ia Auditori
Planificaci6n Anual
Asignaciones de Auditorfa Individual. : :
1.2.4 Efecto de las Leyes y Regulaciones en la Planificacién de Una Auditoria de SI.
1.3. Estindares y Direetrices de Aseguramiento y Auditoria de TI de ISACA..
1.3.1 Cédigo de Btica Profesional de ISACA.
1.3.2 Marco Genecal de Estindares de Aseguramiento y Auditora de I de ISACA
Esténdares de Auditoria,
1.3, Directrices de Aseguramiento y Audtoria de Tl de ISACA.
Indice de directrices de aseguramiento y auditorfa d@ Tanna
1.3.4 Herramientas y Ténicas de Aseguramiento y Auitoia de TI de ISACA -
indice de herramientas y técnicas de aseguramiento y auditoria de TT.
1.3.5 Relaciones Entre Estindares, Directrces, y Herramientas y Técnicas.
1.3.6 Information Technology Assurance Framework™ (ITAF™),
Seccién 2200—Estindares Generales.
Seccién 2400—Estindares de Desempetio
Seccién 2600—Estindares sobre Informes.
Seccién 3000—Directrices de Aseguramiento de TI.
‘Seccién 3200—Temas relacionados con la empresa
Seccién 3400—Procesos de gestién de TI.
Seccin 3600—Procesos de aseguramiento yauditoria de TI
Seccién 3800—Gestién de aseguramiento y auditoria de TL
14 Anilisis de Riesgos. : .
1S Controles Internos
Tabla de Contenido
‘Manual de Preparacién al Examen CISA 2013
ISACA. Todos los derechos reservador.
Siam er
Tabla de Contenido
1.5.1 Objetivos de control de SI.
15.2 COBIT 5 eon
1.5.3 Controles generales
1.5.4 Controles de SI
1.6 Realizacién de una Auditoria de ST.
1.6.1 Clasificacién de las auditorias
1.6.2 Programas de Auditoria
1.6.3 Metodologia de Auditoria.
1.6.4 Deteccién de fraudes. o
1.6.5 Aucitoria basada en el riesgo...
1.66 RIESGO DE AUDITORIA Y MATERIALIDAD
1.6.7 Bvaluacién y tratamiento de riesgos
Evaluacién de los riesgos de seguridad.
‘Tratamiento de riesgos
1.6.8 Técnicas de valoracién de riesgo:
1.6.9 Objetivos de la Auditor. .oor
1.6.10 Pruebas de cumplimiento vs. pruebas sustantivas
1.6.11 Biden
1.6.12 Entrevisa y observacion del personal durante la ejecuci6n de sus fanciones
1.6.13 MUBSEEO sn
1.6.14 Uso de los Servicios de Otros Auditores y Expertos
1.6.15 Técnicas de auditoria asistdas por computadora,
CAATs como Método de Auitoria Continua en Linea.
1.6.16 Bvaluacién de fortalezas y dobilidades
Determinacién de Ia Materialidad de los Hallazgos.
1.6.17 Comunicacién de los Resultados de la Auditoria.
Estructura y Contenido det Informe de Auditoria
1.6.18 implementacién de las Recomendaciones por Parte de In Gerenc
1.6.19 Documentavién de la auditora..
1.7 Autoevaluacién del Control (CSA),
1.7.1 Objetivos de CSA.
1.7.2 Beneficios de CSA.
1.7.3 Desventajas de CSA.
1.7.4 EI Rol del Auditor en CSA.
1.7.5 Impulsores de Teenologfa para el Programa de CSA.
1.7.6 Enfoque Tradicional vs. CSA...
1.8 Cambios Emergentes en el Proceso de Auditoria de SI
1.8.1 Augitoria Integrada,
1.8.2 Auditoria Continua
1.9 Casos de Estudio
1.9.1 Caso de Estudio A.
1.9.2 Caso de Estudio B
1.93 Caso de Estudio C.
1.10 Respuestas a Preguntas de Casos de Estudio
Respuestas a las preguntas de Caso de Estudio A...
Respuestas a las preguntas de Caso de Estudio B
Respuestas a las preguntas de Caso de Estudio C
az) ‘Manual de Preparacién al Examen CISA 2013
ISACA, Todos loe derachoe reservador
(ast Sito cr Tabla de Contenido
Capitulo 2:
Gobierno y Gesti6n de TI
Seccién Uno: Generalidades...
Definicién
Objetivos,
‘Tareas y Conocimientos Relacionadas...
‘Tareas,
CConovimientos relacionados
Recursos Sugeridos para Estudios Posteriores
Preguntas de Autoevaluacién
Respuestas a las preguntas de Autoevaluaei6n vo.
Seccién Dos: Contenido
2A Referencia Rapids
22 Gobierno Corporativo
23° Gobierno de TI.
2.3.1 Mejores précticas para el gobierno de TI.
‘Marcos de gobierno y gestion de TI...
Rol de la auditoria en el gobierno de TI
2.3.2 Comités de gobiemo de TL.
2.3.3 Cundro de mando de TI.
2.3.4 Gabiemo dela seguridad dela informacion a . =
Gobierno Efectivo de la Seguridad de la Informacién nn 100
2.3.5 Arquitectura empresaral.... 101
2.4 Estrategia de Sistemas de Informacién. 103
2.4.1 Planificacién Estratégica 103
2.4.2 Comité de direccién, 108
2.8 Modelos de madurez y mejoramiento de procesos . 108
2.6 Priietieas de inversién y asignacién de TI. : 7 105
‘Valor de TT. ot 105
Implementacién de la Gestién de Portafolio de TL 105
Gestién de Portafolio de TI vs. Cuadros de Mando. 105
2.7 Politieas y procedimientos 105
2.7.1 Politicas 105
Politica de seguridad de la informacién.. 106
2.7.2 Procedimientos, 108
28 Gestion de riesgos 108
2.8.1 Desarrollo de un programa de gestion de riesgos.... 109
2.8.2 Proceso de gestiin de riesgos.... 109
2.8.3 Métodos de anélisis de riesgos.. an
Métodos de anslisis cuaitativo 41
‘Métodos de anélisis semicuantitativo Il
‘Métodos de anélisis cunntitativo.. “ll
29 Priicticas de gestion de sistemas de informacién lL
2.9.1 Gestién de Recursos Humanos, 112
Contratacién.. 112
Manuel del empleado.. 112
Politicas de promocién l12
Capacitaciéa. = 112
Cronogramas yreportes de eanpo 12
Evaluaciones del desempetio de los empleados.. 13
‘Vacaciones legales... 113
Pottcas de terminacién de contato vol I3
‘Manual de Preparacién al Examen CISA 2013 3
ISACA, Todos lor derechos reservados.
Tabla de Contenido é 3} ee eran
2.9.2 Practices de sourcing.
Prictions y estrategias de externalizacién
Estindares de Ia Industria/Referencias
Prcticas y estrategias de globalizacion,
Computacién en la nube.
Extemalizacion e informes de auditoria de terceros..
Gobiemo en extemalizacién,
Cepacidad y planificacién del crecimiento...
Gestin de prestacién de servicios de terceros
Prestacién de servicios.
‘Monitoreo y revisién de los servicios de terceros,
Gobierno de la Nube....
Gestin de cambios a los servicios de terceros.
Mejoramiento del servicio y satisfaccién del usuatio..
2.9.3 Gestién de cambios organizacionales
2.9.4 Pricticas de gestién financiera
Presupuestos de SI.
Desarrollo de software.
2.9.5 Gestion de calidad...
2.9.6 Gestion de seguridad de Ia informacién..
2.9.7 Optimizacién del rendimiento
2.10 Estructura organizativa y responsabilidades de ST...
2.10.1 Roles y responsabilidades de ST.
Gestion de proveedores y contratistas de externalizacién
Operaciones y mantenimiento de infraestructura..
Gestion de medios
Ingreso de datos.
Administracién de sistemas...
‘Administracién de la seguridad...
Aseguramiento de la calidad.
Administracién de base de datos. 125
Analista de sistemas ns ov 125
Arquitecto de seguridad... tS
Desarrollo y mantenimiento de aplicaciones. 126
Desarrollo y mantenimiento de infraestructur. ss 126
Gestion de red, sw 126
124
sms 2A
125
2.102 Segregacin de funciones dentro de SI 126
2.10.3 Controles de segregacién de funciones. 127
Autorizacién de transacciones. 127
Custodia de activo... 127
Acceso a los datos. 128
Formularios de autorizacién. = 128
128
Tablas de autorizacién de usuario
Controles compensatorios por filta de segregacin de fumciones... ei 2e
2.11 Auditoria a a estructura e implementacién del gobierno de TI... 129
2.11.1 Revisién de documentacién. 129
2.11.2 Revisin de compromisos contractuales 129
2.12 Planificacién de continuidad del negocio. 130
2.12.1 Planificacién de continuidad del negocio de SI.. 130
2.12.2 Desastres y otros eventos que pueden causar interrupciones 132
Planificacién pandémice, Ee
Enftentardafos a imagen, reputacin o marc, ws 132
a ‘Manual de Preparacién al Examen CISA 2013
IGACA, Todos los derechos rovorvados.
( CISA Sessler Tabla de Contenido
2.123 Proceso de planificacién de continudad del negocio.
2.12.4 Politica de continuidad del negocio
2.125 Gestion de incidentes en Ia plnificacién de Ia continidad del negocio.
2.12.6 Anélisis de impacto en el negocio ..
Clasificacién de operaciones y andliss de criticide...
2.12.7 Desarrollo de planes de continuidad del negocio .
2.12.8 Otros problemas en el desarrollo de los planes.
2.12.9 Elementos de-un plan de continuidad del negocio.
Personal clave para la toma de decisiones.
Respaldo de los suministros requeridos..
Seguro
2.12.10 Pruebas del plan
Especificaciones
jecueién de la praabe oo mor
Documentacién de los resultados.
Anilisis de resultados
Mantenimiento del plan..
Mejores prcticas en la gestin de continuidad del negocio..
2.12.11 Resumen de continudad del negocio
2.13 Auditoria de continuidad del negocio.
2.13.1 Revisién del plan de continuidad dol negocio
Revisar el documento...
Reviser las Aplicaciones Cuberts por ol Plan,
Revisar los Equipos de Continuided del Negocio..
Pruebas del plan :
2.13.2 Bvaluscién de los resultados de prusbas anteriores
2.133 Evaluacién del almacenamiento externo.
2.13.4 Entrevistas al personal clave.
2.13.5 Evaluacion de seguridad en instalaciones externas
2.13.6 Revisién de contrato de procesamiento alternative
2.13.7 Revisién de Ia cobertura del seguro.
2.44 Casos de estudio
2.14.1 Caso de estudio A.
2.14.2 Caso de estudio B...
2.143 Caso de estudio C
2.14.4 Caso de estudio D.
2.14.5 Caso de estudio E
2.48 Respuestas a preguntas de casos de estudio
‘Respuestas« las preguntes del Caso de Estudio A.
Respuestas alas preguntas del Caso de Estudio B
Respuestas a las Preguntas del Caso de Estudio C
Respuestas a las Preguntas del Caso de Estudio D.
Respuestas alas preguntas del Caso de Estudio E,
Capitulo 3:
Adquisici6n, Desarrollo e Implementacién de Sistemas de Informaci6n. reves 149)
Seccién Uno: Generalidades.. 150
Definicién. = 150
Objetivs.. 150
‘Tareas y Conocimientos Relacionados 150
Tareas. 150
‘Manual de Preparacién al Examen CISA 2013 5
ISACA, Todos los derechos reservados
©} sass
1 150
158
159
Conocimientos relacionados...
Recursos Sugeridos para Estudios Posteriores
Preguntas de Autoevaluacién ..
Respuestas a las Preguntas de Autoovaluacién 160
Seccién Dos: Contenido .. 162
3.1 Referencia Répida.... 162
3.2 Realizacién de beneticios 162
3.2.1 Gestion de Carters (portfolios) Programas 163,
3.2.2 Desarrollo y Aprobacién del Caso de Negocio (Bains Case) 168
3.2.3 Téonicas de Realizacién de Beneficios. os 168
33. Estructura de In Gestion de Proyectos. 164
165
3.3.1 Aspectos Generales.
3.3.2 Contexto y Ambiente del Proyecto.. os
3.3.3 Tipos de Estructuras Organizacionales de los Proyectos.
3.3.4 Comunicacién y Cultura de Proyectos. a
165
165
vn 166
3.3.5 Objetivos del Proyecto... 166
3.3.6 Roles y Responsabilidades de Grupos y Personas. sone 167
34 Préctiens de Gestin de Proyectos. ve 169
170
3.4.1 Iniciacién de un Proyecto
170
3.4.2 Planificacion del Proyecto...
Estimacién de! Tamatio del Software. 170
Analisis de Punto de Funcién. 170
Puntos Caracteristicos del FPA. im
Presupuestos de costos: o wT
Estimacién de costos de software vw ATL
Programacién de Actividades y Esablecimiento del Perfodo de Tiempo... 1
Metodologia de Ia Ruta Critica. mm
Gritficas de Gant. : m
Téenicas de Revisin de Evaluacin de Programas. sw TD
Gestin de la Caja de Tiempe so AB
3.4.3 Control de Proyectos... soe TA
Gestién de cambios en el aleance sw ATA
Gestion del uso de recursos. 1%
Gestin det riesgo, 174
3.44 Cierre de un proyecto 175
175
35. Desarrollo de Aplicaciones de Negocios.
3.5.1 Enfoque Tradicional del SDLC..
3.5.2 Deseripcin de as etapas radcionales de SDLC ..
Fase 1—Estudio de factibiidad
Fase 2—Definicién de requerimientos
Fase 3A—Seleccién y adquisicién de software
Fase 3B—Disefio
Fase 4A Desarrollo
Fase 4B—Configuraci6n ror:
Fase 5—Implementacén y procba final
Fase 6—Revisién posterior a la implementacin
3.5.3 Sistemas integrados de gestin de recursos
7
178
soe 178
w= 179
180
182
1 183
188
188
1194
1194
43.54 Riesgos asociados con el desarrollo de software. 1 195
3.6 Sistemas de Aplicaciones de Negoci 195
3.6.1 Comercio Electrénico.. : 196
Los Modelos de Comercio Electrénico..... 196
Arquitecturas del Comercio Blectrénico.. 196
6 ‘Manual de Proparacién al Examen CISA 2013
ISACA. Todos los derechos reservados.
ISA Siena Tabla de Contenido
‘Riesgos del comercio electrénico (e-commerce)
Requerimientos del Comercio Electrnic0 nora
‘Aspects relacionados con la Auditor y el Control del Comercio Eletrénico (Mejores Précticas)
3.6.2 Intercambio Electrénico de Datos.
Requetimientos Generales.
EDI Tradicional.
EDI basedo en la web,
3.6.3 Riesgos y controles de EDI.
3.64 Controles en el Ambiente EDI
Recibo de las Transacciones Entrantes
‘Transacciones Salientes.
Auditoria de EDI
3.6.5 Correo Electrénico.
Problemas de seguridad del correo electrinico
‘Normas para la seguridad del correo electrénico
3.6.6 Sistemes de Punto de Venta.
3.6.7 Banca BlectrOni¢8 on
Desafos de a gestin de risgos en la bance electronic
Controles de gestién de riesgos para la banca electrénica..
3.6.8 Finanzas Blectrénicas,
3.6.9 Sistemas de Page
Elmodelo de dinero electrénico
El modelo de cheques electrénicos
El modelo de transferencia electrénica
3.6.10 Sistemas Integrados de Fabricecién
3.6.L1 Transferencia Electrénica De Fondos (EFT).
Controles en un entomo de EFT.
3.6.12 Cajeros Automiticos (ATM)
Auditoria de ATM nn
3.6.13 Respuesta de voz interactiva
3.6.14 Sistema de contabilidad de compras.
3.6.15 Procesamiento de imagenes.
3.6.16 Inteligencia atificial y sistemas expertos.
3.6.17 Inteligencia de negocio
Gobiemo de Inteligencia de Negocios..
3.6.18 Sistemas de apoyo a la decisin (DSS).
Eficiencia vs, Efectividaé...
Enfoque en la Decisién
Estructuras de un DSS.
Disetio y Desarrollo.
Implementacién y Uso
Factores de Riesgo ..
Eetrategias de Implemontaciin
Andlisis y Evaluacién....
Caractersticas Comunes de DSS...
‘Tendencias éel DSS..
3.6.19 Geatin de rlaciones con cients
3.6.20 Gestién de cadenas de suministro
3.7 Métodos de desarrollo
3.7.1 Uso de técnicas de diseto, desarrollo y andl
3.7.2 Desarrollo gil
3.73 Crest de prototipos-desarolo evelutivo
‘Manual de Preparacién al Examen CISA 2013 7
ISACA. Todos lor dorechos reservados.
Tabla de Contenido @ ISA Seng
3.7.4 Desarrollo rapido de aplicaciones . 219
3.7.5 Desarrollo de sistemas orientado a objetos... 220
3.7.6 Desarrollo basado en componentes 220
3.7.7 Deserrollo de aplicaciones basadas en la web 2a
3.7.8 Reingenieria de software 222
3.7.9 Ingenieria inversa 222
3.8 Desarrollo de infraestructura/pricticas de adquisicion 223
3.811 Fases del proyecto de andlisis de arquitectura fisica 223
Revisién de la Arquitectura Existente 223
Analisis y Disofo 224
Borrador de Requerimientos Funcionaes.. 24
Seleccién de Proveedores y de Productos. 224
Redaccién de los Requerimientos Funcionales. 224
Prueba de Concepto (POC) 224
3.8.2 Planificacién de implementacién de infraestructura se 225
Etapa de Adquisicién.. sm 225
‘Tiempo de Entrega om 226
lan de Instalacin. 226
lan de Prueba de Instalacién 1 226
3.8.3 Factores criticos de éxito 26
3.84 Adguisicién de hardware 226
Pasos para una Adquisicién..... 28
3.8.5 Adquisicion de software del sistema 29
3.8.6 Implementacién de software del sistema ws 29
3.9 Prcticas de mantenimiento de sistemas de informacién 29
3.9.1 Generalidades del proceso de gestién de cambios .... 229
Implementacién de cambios.. 230
Documentacién, 230
Pruebas de los cambios a programas.
Auitoria a cambios de programa.
Cambios de Emergencia.
‘Actuelizacion de Cambios en el Ambiente de Produce.
Riesgos de los cambios (cambios no autorizados)..
3.9.2 Gestion de configuracién
3.10 Herramientas de desarrollo de sistemas y ayudas de productividad
3.10.1 Generadores de eédigo
3.10.2 Ingenieria de software asstide por computador.
3.10.3 Lenguajes de cuarta generacién
3.11 Pricticas de mejoramiento de procesos
3.11.1 Reingenieria del proceso de negocio (BPR) y proyectos de cambios al proceso.. 236
Miétodos y Técnicas de BPR 237
Auditoria y evaluaciOn de BPR 238
3.11.2 180 9126. 238
3.113 integracin del modelo de madurez de capacidad 238
3.11.4 ISOMEC 15504 238
3.12 Controles de aplicacién .. . 239
3.12.1 Controles de entrada/origen... 240
Autorizacién de entrada de 48t08 non. 240
Coniroles de procesamiento por lots y de balance. e240
Reporte y Manejo de Errores : 241
a ‘Manual de Proparacién al Examen CISA 2013
ISACA, Todos los derechos reservados.
( Seas” Tabla de Contenido
3.12.2 Procedimientos y controles de procesamiento.... 241
Procedimientos de validacién y edicién de datos... 1242
242
Controtes de procesemiento,
Procedimientos de control de archivos de datos.
3.12.3 Controles de salida
3.12.4 Aseguramiento de control de pracesos de negocio
3.13 Auditorfa a los controles de aplieacién ...
3.13.1 Flujo de transacciones a través del sistema.
3.132 Modelo de evalucin deriesgos para anaizar controls de aplicaciones
3.13.3 Observar y probar los procedimientos reelizados por los usuarios.
3.13.4 Pruebas de integridad de datos
3.1135 Integrdad de los dats en los sistemas de procesamiento de trnsacciones en linea
3.13.6 Prueba de los sistemas de aplicaciones.
3.13.7 Auditorfa continua en
3.13.8 Técnicas de auditoria en
3.14 Auditoréa al desarrollo, adqui
3.14.1 Gestion de proyectos ..
3.142 Estudio de factbilida
3.143 Definicién de los requerimientos
3.14.4 Proceso de adquisicién de software
3.14.5 Diseflo y desarrollo detallados
3.14.6 Prucbas
3.147 Btapa de implementacion
3.14.8 Revisién posterior a la implementacién
3.149 Procedimientos de cambios al sistema y proceso de migracién de programas
3:18 Casos de estudio a
3.15.1 Caso de estudio A.
3.15.2 Caso de estudio B i
3.16 Respuestas a preguntas de las casos de estudio.
Respuestas a las preguntas del Caso de Estudio A.
Respuestas a las preguntas del Caso de Estudio B
242
Capitulo 4:
Operaciones, Mantenimiento y Soporte de Sistemas de Informacién 1.255
286
256
256
256
1256
256
264
265
266
Seccién Uno: Generalidades.
‘Tareas y Conocimientos Relacionados.
Tareas.
Conocimicntos relacionados.
Recursos Sugeridos para Estudios Posteriores
Proguntas de Autoovaluacté
Respuestas a las preguntas de Autoevaluacin
268
268
269
Seceién Dos: Contenido
4.1. Referencia Rapida
42 Operaciones de los Sistemas de Informacion
42.1 Gestion de Operaciones de SI... 269
Funciones de Control 269
4.2.2 Gestin de Servicios de’ 270
Nivel de servicio... 270
‘Manual de Preparacién al Examen CISA 2013 9
ISACA. Todos los derechos reservados.
Tabla de Contenido ¢ y tt ttn
4.2.3 Operaciones de infraestructura, am
Planificacién de trabajos (cronogramas).. m
4.2.4 Gestion de incidentes y problemas. 2m
Proceso de manejo de incidentes. 2m
Gestién de Problemas... : : 2B
Deteccién, documentacién, control, resolucién y reporte de condiciones anotmales.. 2
4.2.5 Centro de Soporte (Help Desk). 23
4.2.6 Proceso de Gestién de Cambio: 214
4.2.7 Gestién de versiones, 214
4.2.8 Aseguramiento de la calidsd .... 215
42.9 Gestién de seguridad dela informacién, 275
42.10 Sanitizacién de medios de almacenamiento. soe 215
43 Hardware de los Sistemas de Informacién. 276
43.1 Componentes y arquitecturas de hardware de computadora ss 276
Componentes de procesamiento, 276
Componentes de entrada/salida.. ses 216
Tipos de computadoras se 1276
Dispositvos de procesamiento comunes de la empresa 276
Bus Universal en Sere... 1 28
‘Tarjetas de memoria/Flash drives. 278
Identifcacién de Radio Frecuencia (RFID)... 279
43.2 Programa de Mantenimiento de Hardware 280
43.3 Procedimientos de Monitoreo de Hardware. 280
43.4 Gestion de la Capacidad 281
44 Arquitectura y Software de SI. 282
4.4.1 Sistemas Operatives. 283
Funciones o Parfmetros de Control de Software. 283
Problemas de Integridad del Software 1 283
Registro de Actividad y Opciones de Reporte 284
44.2 Software de Control de Acceso... 284
44.3 Software de Comunicaciones de Datos om 284
444 Gestion de Datos... 285,
Organizacién de Archivos... 285
44:5 Sistema de Gestién de Bases de Datos (DBMS) . 285
Arquitectura de DBMS. 285
“Arquitectura Detallad de los Metadatos del DBMS. 286
Diccionario de Datos/Sistema de Directorio... 286
Estructura de Base de Datos. 286
Controles sobre la Base de Datos. 288,
4.4.6 Sistemas de Gestion de Discos y Cintas 288,
4.4.7 Programas de utilidad (utility programs) 288,
4.48 Aspectos del Licenciamiento de Software. 289
4.49 Gestion de Derechos Digitales 290
45 Infraestructura de las Redes de SI... 290
45.1 Arquitoctura de Redes Empresariales. 290
45.2 Tipos do Redes... 291
45.3 Servicios de Red. 291
45.4 Baténdares y Protocolos de Red 292
292
4.5.5 Arquitectura OSL
‘Examen CISA 2013
2 derechos reservados.
10 ‘Manual de Preparacion
ISACA. Tod
fois ities Tabla de Contenido
4.56 Aplicacén del Modelo OST en las Arsuteturas de Red
Red de Area Local.
Red de Area Ampli.
Redes Inalémbricas.
Infesiructura de Internet “Global” Pablica,
Adiminisracién y Control de Red
Aplicaciones en un Ambiente en Red.
CComputacién por demands. -
4.6 Auaitoria dea Infraestructara y de las Operations.
44.6.1 Revsiones de Hardware. .
4.6.2 Revisiones del Sistema Operativo.
4463 Revisions de In Base de Dato.
464 Revisions de Infaesrutrae implementacion dela Red
4.65 Revisions de las Operations de SL.
4.6.6 Revisin de Plaifcacones (scheduling)
4.6.7 Revsiones de Reports Gerenciales de Problemas
47 Planificactn de Recuperacin en Caso de Desasire (DRP)
£24 sein epi erage (RPO) Ovo de emp expan)
4.12 Bxatgias de Reeuperecién, . . .
4073 Alteativas de reeuperacén.
Ctiusulas contractual.
‘Aduisiién de hardware altemativ.
“Métodos de recuperacién de aplicaciones en caso de desaste.
‘Métodos de recuperacion de almacenamiento de datos en caso de desastr..
Métodos de recuperacién de las redes de telecomunicaciones en caso de desastre
4.1.4 Desarrollo de Planes de Recuperacién Ante Desastes..
Contenido del DRP de TI
Bscenatios de DRP de TL.
Procedimientos de recuperacién,
47.5 Organiaacién y asignacién de responsabiliades.
4.1.6 Respaldo y restauracién..
Controles de bibliotecas fuera de la sede (oflsite).
Seguridad y control de las instalaciones externas.
Respaldo de medios de almacenamiento y documentacién,
Tipos de Dispositives y Medios de Almacenamiento..
Procedimientos de respaldo perisdico.
Frecuencia de rotacién, a
‘Tipos de medios y documentacién rotads.,
Esquemas de Respaldo.
Método de rotacién... =
Retencién de archivos para el almacenamiento extemo.
48. Casos de Estudio...
48.1 Caso de Estudio A.
48.2 Caso de Estudio B.
4.9 Respuestas a las Preguntas de los Casos de Estudio.
Respuestas a las preguntas del Caso de Estudio A.
Respuestas a las preguntas del Caso de Estudio B
‘Manual de Preparacién al Examen CISA 2013 1”
ISACA. Todos los dorechos reservados.
Tabla do Contenido
Capitulo 5:
Protecci6n de Los Activos de Informacion.
Seccién Uni
Definicién..
Objetivos.
‘Tareas y Conocimientos Relacionados.
Generalidades
TAPE enn
Conocimientos Relacionados.
Recursos Sugeridos para Estudios Posteriores
Preguntas de Autoevaluacién,
Respuestas a las preguntas de Autoevaluacion
Seccién Dos: Contenido ..
5.1 Reforencia Répida ..
52 Importancia de In Gestién de la Seguridad de la Informaci6 oo
5.2.1 Elementos Clave de la Gestion de la Seguridad de la Informacién,
5.2.2 Roles y Responssbilidades de la Gestion de la Seguridad de la Informacién..
5.2.3 Inventatio y Clasificacién de los Activos de Informacién.
5.24 Permisos de Acceso al Sistema. :
5.25 Controles de Acceso Obligatoros y Diserecionales
5.26 Aspecos relacionados con la Gestién de la Privacidad y el Rol de los Auditores.
5.2.7 Factores Criticos de Exito para la Gestion de Seguridad de Ia informacién..
5.2.8 Seguridad de la informacién y Terceros...
[dentificacién de los Riesgos Relacionados con Terceros
‘Tratamiento de le Seguridad Cuando se Trabaja con Clientes
‘Tratamiento de la Seguridad en los Contratos con Terceros.
5.2.9 Seguridad de los recursos humanos y terceros
Filtrado
‘Términos y Condiciones de Empleo.
Durante el Empleo...
‘Terminacién o Cambio de Empleo..
Retiro de los Derechos de Acceso... :
52.10 Problemas y Exposiciones del CrimenInformético.
Informétioe entre serejantes, mensajeriainstantnea, fuga de datos ytecnologias basadasen web (por ejemplo, redes
sociales, tableros de mensajes, blogs) 368
5.2.11 Tratamiento y Respuesta a Incidentes de te Sepia. 369
53 Acceso Légico, 370
5.3.1 Exposiiones de Acceso Légico.. 370
5.3.2 Familiizacidn Con el Eniomo de TI de la Empres. 370
5.3.3 Las Vias de Acceso Légico. 370
Puntos generales de entrada... 3m
5.34 Software de Control de Acceso Légico. am
5.3.5 [dentificacion y Autenticacién. ns 372
IDs de Inicio de Sesién (Logon) y coniraseiias (passwords). 312
Dispositivos Token, contrasetias (passwords) de un solo uso. 374
Biométricos. 374
Inicio Unico de Sesién 316
5.3.6 Aspects relacionados con la Autorizactén 317
Listas de Control de Aco®80...n. 37
‘Administracién de Seguridad de Acceso Légico 378
12 ‘Manual de Preparacién al Examen CISA 2013
TSACA. Todos los derechos reservados.
e& etn Tabla de Contenido
54
Seguridad de Acceso Remoto.
Acceso remoto usando dispositivos de mano
Problemas de Acceso con Tecnologia Movil.
Registos (logs) de Aueitora en el Monitoreo de los Accesos al Sistema,
‘Nomenclatura de Perfles para los Controles de Acceso Légico.
5.3.7 Almacenar, Recuperas, Transportar y Desechar Informacién Confidencial
Preservacién de Informacién Durante el Envio 0 Almacenamiento.
Precauciones de Almecenamiento especifico para medios de almacenamiento....
Seguridad de la Infraestructura de la Red.
5.4.1 Soguridad de la LAN.
Riesgos y Problemas de la LAN...
Virtualizacin,
Conirotes de Acceso a Llamadas TelefSnias (ial-up).
5.4.2 Seguridad ClientelServidor. ns
Riesgos y Problemas del ClinteServido
54.3 Amenazas de Seguridad Inalimbria y Mitigacin de Riesgos..
5.44 Amenazas y Seguridad de Intemet.
‘Amenazas @ la Seguridad de la Red...
‘Ataques Pasivos.
Ataques Activos.
Factores que causa los ataques en Internet
Controles de Seguridad para Internet.
Sistemas de Seguridad Cortafuegos (Firewall)
Caractersticas Generales de los Cortafuegos (Firewalls)
‘ipos de Cortafuegos (Firewalls).
‘Ejemplos de Implementaciones de Cortafuegos (Firewall)
Problemas del Cortafuegos (Firewall).
Plataformas de Cortafuegos (Firewall)
Sistemas de Deteccitn de Intrusos
Sistemas de prevencién de intrusos.
Honeypots y honeys.
5.4.5 Eneriptacin
lementos Claves de los Sistemas de Eneriptacin.
‘Sistemas ctiptogréficos con clave simétrica.
Sistemas criptograficos de clave publica (asimétrica..
CCriptosistema de Curva Bliptica.
Criptogratia Cudntica.
‘Esténdar de Encriptacién Avanzada
Firmas Digitales
Sobre Digital...
Tnffaestructura de Clave Piles
Aplicaciones de Sistemas Criptogréticos...
Riesgos de Encriptacién y Proteecién de contrasefias (passwords),
5.4.6 Virus.
CControtes para Virus y Gusanos (Worms).
Controles Gerenciales de Procedimiento.
Controles Técnicos.
‘Estrategias de Implementacién de Software Antivirus...
ISACA. Todos los derechos reserva
jual de Preparacién al Examen CISA 2013 13
ISA Sorted
Tabla de Contenido
5.4.7 Vor sobre IP.. 1 404
Problemas de Seguridad de VoIP 404
5.4.8 Central Telefénica (PBX). 405
Riesgos de la PBX. 405
Ausditoria de PBX son: 407
Fancionaidades dl Sistema PBX 407
Ataques al Sistema PBX... 407
Interceptacién de Linens Telefinicas de Hardware... 407
Conferencia de Hardware. 407
Acceso Remoto... 408
Mantenimiento... 408,
Funcionalidades Especiales del Fabricante.. 408
Funcionalidades de Desarrollo y Prueba del Fabricante.... 409
Carga de Software y Alteracién de las Actualizaciones. soo 409
‘Ataques de Crash -Restar... 409
Contrasetias (passwords)... 409
55 Auditoria del Marco General dela Gestion de Seguridad de Ia Informacion, 410
5.5.1 Auditoria al Marco de Gestin de Seguridad de Ia informacién 410
Revisién de las Politicas, ios Procedimientos y los Estindares Escrito... 410
Politicas de Seguridad de Acceso Légico 410
Concienciacién y Capacitacién Formal de Seguridad. 410
Propiedad de los Datos. 410
Los Propietarios de los Datos... 410
Los Custodios de los Datos. 410
El Administrador de la Seguridad. 410
Los Nuevos Usuarios de TI 410
‘Usuarios de Datos. 410
‘Autorizaciones Documentadas
‘Acceso de Empleado que terminan su contrato
‘Niveles minimos (baselines) de seguridad. 413
Esténdares de Acceso . 413
5.5.2 Auditoria de Acceso Légico.. 413
Familiarizarse con el Ambiente de TI so 413,
Valoracién y documentacién de las vias de acceso... 413
Entrevistar al Personal de Sistemas... a4
so M4
Revisar los Reportes Provenientes del Software de Control de Acceso...
Revisar el Manual de Operaciones de los Sistemas de Aplicacién 414
5.5.3 Téonices para Probar la Segurida 415
‘Tarjetas y Llaves de las Terminales.. 41s
Identificacién de Terminales 41s
IDs de Inicio de Sesién (Logon) y contraseis (passwords). 41s
Controles sobre los Recursos de Produccién. 416
Registro y Reporte de las Violacones de Acceso alas Computadoras. 416
Seguimiento de las Violaciones de Acceso o 416
Evasién de la Seguridad y Controles Compensatorios 416
Revisar los Contoles de Acceso y la Administracion de contaseias (passwords)... 416
5.5.4 Técnicas de Investigaci6n...om 417
Investigacién de Crimen por Computadora ... 417
Informatica forense... 417
Proteccién de Bvidencia y Cadena de Custodia.. 418
14 ‘Manual de Preparacion al Examen CISA 2013
SAGA. Todoe loz derechos reservados.
(cst Sites ae Tabla de Contenido
5.6 Auditoria a In Seguridad de Infraestructura de Red.
5.6.1 Auditoria al Acceso Remoto. :
Auitoria a 1os “Puntos de Presencia” de Internet...
Pruebas de Penetracin de la Red...
Rovisiones y Evaluacién de Toda la Red.
Desarrollo y Autorizacién de Cambios a la Red.
Cambios No Autorizads...
5.7 Exposiciones y Controles Ambientales,
5.1.1 Problemas y exposiciones ambientales
5.1.2 Controles para las exposiciones ambientales
Paneles de control de alarms...
Detectores de agus
Extintores manuales de incendio.
‘Alarmas manuales de incendios.
Detectores de humo.
Sistemas de supresin de incendios
Ubicacién estratégica de la sala de computadoras..
Inspeceién periédica del departamento de bomberos.
Paredes, pisos y techos alrededor del centro informtico a prusbe de incendis..
Protectores de voltaj.
Generador/ Sistema de aimentacion innterrampida (SAI, UPS),
‘Conmutador (switch) de energia de emergencia
LLineas de energia provenientes de dos subestaciones.
CCbleado colocado en paneles y conductos eéetricos.
‘Actividades inhibides dentro de la IPF
Materiales de oficine resistentes al fuego
Planes documentados y probados de evacuacién durante emergencias
5.7.3 Auditoria a los contoles ambientales
Detectores de agua y de humo .n
Extintores manuales de incendio.
Sistemas de supresién de incendios
Inspeccién periddica del departamento de bomberos
Paredes, pisos y techos a prucba de incendios alrededor dela sala de computador.
Protectores de volts... seen
Lineas de energia provenientes de dos subestaciones..
Plan de coninaidad del negocio totalmente documenta y probed.
Cableado colocado en paneles y conductos eléctricos.
‘UPS/Generedor.
Planes documentads y probedos de evacuacin durante emergence
Control de humedad/temperatura
58 Exposiciones y Controles de Acceso Fisico
5.8.1 Problemas y exposiciones de acceso fisico,
-Exposiciones de acceso fisico
Posibles perpetradore..
5.8.2 Controles de acceso fisico.
5.8.3 Aucitoria al acceso fisico
59. Dispositivos de Computacién Mévil.
‘Manual de Preparacién al Examen CISA 2013 15
ISACA. To derechos resorva
Tabla de Contenido ( ISA Sorc
ioe
430
430
430
5.10 Casos de Estudio.
5.10.1 Caso de Estudio.
5.10.2 Caso de Estudio B
5.10.3 Caso de Estudio
5.10.4 Caso de Estudio
SAL Respuesta a Preguntas
[Respuestas a las preguntas del Caso de Estudio A.
Respuestas a las preguntas del Caso de Estudio B
Respuestas @ las preguntas del Caso de Estudio C...
Respuestas a las preguntas del Caso de Estudio D...
432
re 32
432
432
432
433
‘Casos de Estudio.
Apéndice A: Estandares, Directrices, y Herramientas y Técnicas de Asegura-
miento y Auditoria de TI
‘Relacin de Estindares Con Direetrices y Herramientas y Téenicas
Apéndice B: Informacién general ae examen n CISA 2018.
‘Requerimientos Para Ia CertifieaeiOn
La Aprobacién del Examen CISA...
Experiencia en Auditoria, Control y Seguridad de SI.
Descripeién del Examen. .
Registro Para el Examen de CISA
Programa CISA Acreditado Conforme a Iso/lec 17024:2003
Preparacién para el Examen CISA...
‘Administracién del Examen...
Durante el Examen
Planificando su Tiempo
Reglas y Procedimientos.
Califieacién del Examer
Glosario....
Acr6nimos....
Referencias... 467
Preparese para los examenes CISA 2013 470
16 ‘Manual de Preparacién al Examen CISA 2013
SAGA. Todos los derechos reservados.
( CISA Sion fae”
Acerca de este Manual
GENERALIDADES
El Mamual de preparacién al examen CISA® 2013 tiene por
‘objetivo ayudar a los candidatos a prepararse para el examen de
certificacidn CISA. E1 manual es una fuente de preparacién
para el examen y no debe considerarse como Ia tinica fuente
rj como una recopilacién global de toda In informacién
yy la experiencia que se requiere para aprobar el examen,
‘Ninguna publicacién individual ofrece tal cobertura y detalle.
Armedida que los candidatos leen el manual y encuentran un
tema que es nuevo para ellos 0 alguno con respecto al cusl
sientan que tienen un conocimiento y experiencia limitados,
deberén cansultar referencias adicionales. El examen es una
ccombinacién de preguntas que ponen a prueba el conocimiento
‘éenico y préctico de los eandidatos, asi como su capacidad
para apiicar dichos conocimientos (con base en experiencia)
‘en determinadas situaciones.
El Manual de Preperacién al Examen CISA® 2013 provee
cobertura de 1s conocimientos y las actividades relacionados
com las diversas funciones asociadas con la eas de contenido
como son detalladas en la préctca labora de CISA y en la Guia
‘para los candidatos al examen y certifcacién CISA®:
‘Dominio 1 | Proceso de Auditoria de Sistemas de | 14 por ciento
Informacién
Dominio? | Gobiemo y Gestién de TT 14 por cient
Dominio3 | Adquisicién, Desarrlloe 19 por cieato
Implementacién de Sistemas de
Informacién
Dominio 4 | Operaciones, Mantenimiento y | 23 por ciento
Soporte de Sistemas de Informacién
Dominio 5 | Proteccién de los Actives de 30 por ciento
Informacién
Este manual ha sido desarrollado y organizado para ayudar
‘os candidatos en su esfuerzo de estudio. Los candidatos al
‘examen deben evaluar sus fortalezas, con base en conocimiento
yy experiencia, en cada una de estas dreas.
FORMATO DE ESTE MANUAL
‘Cada uno de tos cinco capitulos del Manual de preparacién al
examen CISA® 2013 se divide en dos secciones para un estudio
‘mis detallado. La primera seccién contiene las definiciones
{los objetivos para los cinco dominios, con las tareas y los
‘conocimientos relacionados que son objeto del examen,
‘La Seceién Uno presenta una visién general que proporciona:
+ Definiciones para fos cinco dominios
+ Objetivos para cada dominio
+ Descripciones de las tareas
+ Un mapa de Ia relacién que existe entre ead tare y los
conocimientos relacionados
+ Una guia de referencia para los conocimientos relacionados,
que incluye los conceptos y las explicaciones relevantes
+ Referencias a érens especificas del contenido de la seccién para
‘cada conocimiento relacionado
+ Ejemplos de preguntas de préctica y explicaciones de las respuestas
+ Recursos sugeridos para estudios posteriores
‘La Seccién Dos consta de material y contenido de referencia que
respaldan los conocimientos relacionados. El material incluido
corresponde al conocimiento y/o entendimiento de importancia
para los candidatos a CISA, cuando se preparan para tomar el
examen de certficacién de CISA.
Laestructura del contenido incluye numeracién para identificar
en primer lugar, el capitulo en el que se localiza el tema
+, después, los encabezados de los niveles subsecuentes de temas
{que se tratan en el capitulo (es decir, 2.8.3 Métodos de Andlisis de
Riesgos, es un subéema de la Gestion de riesgos en el capitulo 2)
El contenido importante dentro de un subtema se ha resaltado en.
negritas para su atenci6n espectfica,
Elentendimiento que cada persona obtiene del material de este
‘manual es una medida de conocimiento, fortalezas y debilidades
‘yes una sefial de as reas donde se necesita mas estudio. Sin
embargo, el material eserito no es un sustituto dela experiencia
Las preguntas del examen CISA probarén la apli
practiea que el candidato hace de este conocimiento. Los
casos de estudio al final de cada capitulo presentan situaciones
cn la profesién asi como en éreas especificas de estudio. Los
scenarios incluyen temas presentados en los capitulo y también
preguntas de préctica las cuales facilitarn el entendimiento de
‘cémo la pregunta puede ser presentaa en el examen CISA.
Las preguntas de autoevaluacién en la primera seecién de
‘cada capitulo también persiguen este propésito y no se deben.
utilizar independientemente como una fuente de conocimientos,
Las preguntas de autoevaluacién no deben considerarse una
‘medicién de la capacidad de cada persona para responder a las
‘preguntas correctamente en la evaluacién de CISA de cada érea,
Las preguntas tienen por objetivo que los candidatos se
{amiliaricen con Ia estructura de ls preguntas y con el
contenido general, y pueden sero no similares a aquellas que
parecerin en el examen real. El material de consulta que se
incluye en la primera secciin de cada capitulo desoribe las.
ppublicaciones que se utilizaron en lacreacién de este manus
Al final de la publieacién, el candidato encontraré un glosario,
el cual incluye tanto los términos que se discuten en el texto
como los términos que se aplican al érea, pero que pueden no
hhaber sido discutidos especificamente. El glosario puede ser otra
herramienta para identificar éreas sobre las cuales los candidatos
podrian necesitar buscar fuentes de consulta adicionales.
A través de todo el manual, la palabra “asociacién” se refiere
a ISACA. Ademés, tenga en cuenta que el manual se escribié
utilizando el inglés estindar de los Estados Unidos.
‘Manual do Preparacién al Examen CISA 2013
ISACA. Todos lox derechos reservar
7
ea
‘Nota: El Manual de Preparacin al Beamien CISA® 2013
un documento vivo, A medida que la teenologia avance,
el manual se actualizara para que reflee tales adelantos. Las
‘nuevas actualizacioes de este documento antes dela fecha del
examen se pueden ver en wwnisacaorgAtudbaiupdates.
EVALUACION DE ESTE MANUAL
TSACA monitorea constantemente los répidos y profiundos
vances profesionales, tecnolégicos y de entorno que afectan a las
profesiones de auditoria, aseguramiento, control y seguridad de
SI. En reconocimiento a estos ripidos avances, el Manual de
_preparacién al examen CISA® se actualiza todos los afios.
‘A fin de ayudar a que ISACA se mantenga al dia con estos
vances, sirvase dedicar unos mimutos para evaluat el Manual
de preparacién al examen CISA® 2013.
‘Tales opiniones son valiosas para prestar un completo servicio a
la profesién y a los futuros candidatos para el examen CISA.
Para completar Ia evaluacién por Internet, vaya a
wonnisaca.org/studyaidsevaluation, Gracias por su apoyo
colaboracién.
ACERCA DEL MANUAL DE PREGUNTAS,
RESPUESTAS Y EXPLICACIONES DE
PREPARACION AL EXAMEN CISA
Es probable que los candidatos también deseen hacer uso
del Manual de Preguntas, Respuestas y Explicaciones de
Preparacién al Examen CISA® 2013 y del Suplemento 2013.
| Manual de Preguntas, Respuestas y Explicaciones de
Preparacién al Examen CISA® 2013 consta de 950 preguntas
de estudio de opcién mille, respuestas y explicaciones
clasificadas segin las dreas de précticas de trabajo actuales del
CISA. Muchas de estas preguntas aparecieron en los Manuales
de Preguntas, Respuestas y Explicaciones de Preparacién
al Examen CISA® publicados anteriormente, pero han sido
redactadas nuevamente para que correspondan con Ia préctica
actual y/o sean més representtivas de las preguntas reales de
examen CISA.
El Suplemento del Manual de Preguntas, Respuestasy Explicaciones
die Preparacién al Examen CISA® 2013 es resultado de la dedicaciin
aque ha puesto ISACA cada alo para elaborar 100 preguntas nuevas
de ejemplo, con sus respctivasrespuestas yexplicaciones que los
candidatos puedan utilizar en su preparacién para el examen CISA.
Cada ao, ISACA desarolla 10 nuevas preguntas de revision,
utlizando un proceso estrcto de rvisién que es similar al que aplica
el Comité de Certifcacén de CISA para seleccionar las preguntas
aque se inchuirén en el examen CISA. En el Suplemento 2013, les
‘preguntas se encuentran ordenadas en la misma proporcién que las
‘reas de préctca de trabajo mas recientes del CISA.
Ciro material de estudio que estécisponibie ese! CD-ROM.
Preguntas, Respuestas y Explicaciones de Preparacién al Examen
CISA2013 y la base de datos, Esta Base de Datos consta de 1050
‘regunias, respuestas y explicaciones incuidas en ef Manual de
Preguntas, Respuestas y Explicaciones de Preparacién al Examen
CISA® 20131 el Suplemento 2013. Con est producto, ls candidatos
CISA pueden identificar sus fortalezas y debilidades al contesar
ejemplos de exémenesalestorios de divetsalongitad y clasificar los
resultados por dominio. Los ejemplos de exmenes también pueden
clegirse por dominio, facilitando un estudio concentrado, un dominio
ala vez, y se ofzeoen ots tipos de clasificacién, tales como omitr
_pregunias que se respondieron correctamente con anteriordad,
Las preguntas contnidas en estas publicaciones son reprsenttvas
de os tipos de pregunta que podelanaparecerenel examen eincluyen
‘una explicacién de ls respusis tanto coretas como incoretas.
Las pegunts se clasifian por dominios de CISA y como un ejemplo
de prueba, Estas publicaciones son ideales para usarse junto con
“Marl ce Preparacién al Bxamen CISA® 20/3. Estos manvales
pueden ulizarse como fuentes de esti ao argo del proceso
de preperacin o como parte de una revisin inl para deteminar
undo un candiato podria necesitr un esto aticiona. Ce hacer
notr una ver mds, que esis preguntas yrespuesias sugerdas se
proporcionan a manera de ejemplo; no pretenden ser preguntas reales
contenidas en el examen, por To que pueden dfx en contenido de
aguelas que en realidad se ineluyen en el examen.
‘Nota: Cuando utilice los materiales de preparacion para
ppresentar el examen CISA considere que éstos abarcan un
‘amplio espectro de temas relacionados con la aualtoria, el
‘control y la seguridad de los sistemas de informacién. No
dé por hecho que leer estos manuales y responder las
preguntas précticas lo preparariin completamente para
‘el examen. Dado que las preguntas reales del examen suclen
‘estar relacionadas con experiencias précticas, el candidato
