Ayer recibí la noticia de que aprobé el examen CISA, lo cual es alentador y motivante, aprobar un examen siempre eleva el autoestima personal y enorgullece a uno profesionalmente.

Lo que puedo decir del examen como opinión personal, es que me parece un buen paso intermedio para lograr certificaciones que profundizan mas en el campo de la seguridad, como el CISSP, si bien el CISA es para Auditoria de Sistemas, toca algunos puntos de seguridad generales y básicos al igual que el CISM, incluso algo de Ethical Hacking (a nivel superficial y hasta a veces con errores), pero es una buena certificación para abrir nuestra mente a los controles relacionados con TI, es bastante amplia, luego depende de nosotros adicionarle nuestra experiencia y sentido común al trabajo de auditor.

Sobre el estudio puedo comentar que la pasé mejor que con el examen CEH, en el CISA el material de preparación es entretenido y uno puede elegir el idioma, quizá algunas cosas están desactualizadas, y existan casos no se adecuan a la realidad, al menos boliviana, pero la mayor parte de contenido es aplicable, nos apoya y refuerza bastante al momento de realizar evaluaciones de control a los miles de controles que ya existen en la empresa, pero de los cuales no estamos seguros de su nivel de eficacia.

Sin duda es una certificación que recomiendo a los auditores de sistemas que no les interesa ver el tema de seguridad en profundidad, vale la pena estudiarla y puede servir de referente en nuestro curriculum para aquellas personas que no nos conocen, creo q ahí esta el verdadero valor de las certificaciones, ya que no siempre son una garantía de la preparación o nivel de conocimientos de una persona, pero por lo menos dan un indicio o aproximacion de que la pesona se preocupo y se dedica a los temas relacionados.

Si tu interés son los objetivos de control relacionados a TI y los criterios de estos que afectan al negocio, CISA es la certificación. Si tu perfil es de seguridad, te recomiendo otro tipo certificación, tipo CISSP o las de GIAC.

Si tu perfil es de Hacking o seguridad informática, las de EC-council e ISECOM son las más reconocidas.

Una vez que te decidas por el CISA ten en cuenta prepararte con unos 4 meses de anticipación, yo no recomendaría mas ni menos, sin importar que tengas 30 anos de experiencia o 5 meses en el campo de la auditoria de sistemas, ya que en este tipo de exámenes juega muy poco la experiencia, es mas, el exceso de confianza puede jugarte en contra, CISA es bastante cerrado en su teoría. Tampoco recomiendo prepararse mas tiempo, porque uno termina olvidando o confundiendo cosas que estudio al principio y las preguntas tienen opciones con respuesta muy similares entre si que es complicado recordar con precisión la acertada. Con una a dos horas diarias suficiente y los fines de semana 3 horas.

En cuanto al material, lo mejor es que leas la mas reciente guía oficial de preparación CISA (las preguntas salen todas de ahí) luego debes practicar con la base de datos de preguntas y respuestas, para familiarizarte con las mismas, todo en ese orden, ojo que en el examen no entran las mismas preguntas ni parecidas, difieren con mucho y si no leiste la guía a conciencia es muy difícil que te ubiques y apruebes. Aun asi, en las practicas de preguntas debes obtener notas mayores a 90 y controlar tus tiempos, sino mejor ni te animes a ir al examen, es muy arriesgado.

La traducción a idioma español no es muy buena, pero mantiene la idea principal, yo me sentí mas comodo dándolo en español.

Con respecto a los cursos de preparación, creo q todos son buenos, siempre se aprenden cosas nuevas y queda algo bueno, pero no es suficiente para aprobar, se debe leer la guía.

Para entender CISA uno debe ponerse en el lugar de alta gerencia y mirar desde ahí lo bonito que seria un mundo ideal para la organizacion, no sirve pensar como personal de sistemas o de seguridad, ahí solo hay problemas, sudor y lagrimas (o sea; la realidad del planeta tierra).

Un dia antes del examen fui a reconocer el lugar donde seria la prueba (también lo hice para el CEH), te recomiendo hacerlo, es bueno para eliminar los nervios escénicos que uno tiene cuando llega directo al examen, es lo que hizo Rocky antes de su primera pelea con Apolo Creed (Rocky I). Tambien es bueno q ese dia previo estes concentrado dentro un lugar tranquilo, sin ruido y relajado, pese a las recomendaciones en contra de  estudiar un dia antes segui repasando la guía.

Debes tener tus propias motivaciones, porque nadie mas lo va hacer por ti (Rocky II)

Por fin el dia esperado, llevate varios lápices, es mejor q estar tajando puntas, hacer tantos redonditos al estilo antiguo te quita tiempo valioso porq los circulos deben estar bien rellenados y luego de unos minutos el lápiz se desgasta, esa IRONIA es algo que critico de CISA, al ser una certificación relacionada a la tecnología debería usar métodos tecnológicos (como las demás certificaciones) con toda la seguridad que recomiendan y ser auditados con toda la rigurosidad que pregonan, pero sigue siendo el mismo estilo que de los 80, donde no había internet con VPNs y demás controles. No chupes dulce ni mastiques chicles, el primero te eleva el nivel azúcar y te da energía solo de manera temporal, se lo recomienda mas para exámenes cortos, pero el CISA toma 4 horas, los chicles por su parte te relajaran el estomago y te pondrá mas nervioso, el sistema digestivo esta muy relacionado con los nervios. Tickea en el libro de preguntas aquellas q tienes dudas para resolverlas luego, no te detengas a perder tiempo con las primeras, además te pondrá mas nervioso, veras q las preguntas posteriores te ayudaran en aclarar las primeras.

Si te va mal en el examen aplicas “Ojo de tigre” (mas conocido como Rocky III), revancha contra Clover Lang.