Máster en Ciberseguridad:

Auditoría de Sistemas
Actividad 3
Competencias del Auditor de Sistemas. La certificación CISA

Alumno: Marco Antonio Baca Calderón.

La presente actividad toma como referencia los cinco (5) dominios y las treinta y
nueve (39) tareas de soporte para la certificación CISA, buscando expresar de
manera razonada cómo se relacionan las diversas tareas referenciadas en la
lista con cada uno de los dominios o subdominios.

Cuestiones preliminares:
- El Dominio 1 cubre los conceptos básicos de la auditoría de tecnología de
la información (TI) y cómo proporcionar servicios de auditoría que se
alineen con las mejores prácticas recomendadas para proteger y controlar
los sistemas de información (SI). Prueba la capacidad del auditor para
evaluar qué tan segura es la infraestructura de TI y de SI de una
organización y si existe algún riesgo potencial. Incluye temas como
estándares de auditoría de SI, planificación de auditorías basadas en
riesgos, análisis de datos, metodología de muestreo y otras habilidades
relacionadas con la planificación y ejecución de una auditoría de TI o SI.
- El Dominio 2 se centra en el gobierno de TI y la gestión de TI, validando
la capacidad para identificar problemas críticos y ofrecer
recomendaciones para proteger la información y las tecnologías
relacionadas. Incluye arquitectura empresarial, modelos de madurez,

Página 1 de 6
 gestión de recursos de TI, garantía de calidad y gestión de TI, entre otros
temas.
- El Dominio 3 implica la adquisición, desarrollo, prueba e implementación
de sistemas de TI para cumplir con los objetivos de la organización.
Prueba el conocimiento de temas tales como gobernanza de proyectos,
metodologías de desarrollo de sistemas, identificación y diseño de
controles, metodologías de prueba, configuración y gestión de versiones.
- El Dominio 4 evalúa el conocimiento de las operaciones de SI y la
resiliencia empresarial, validando el conocimiento de cómo se relaciona
la TI con el negocio en general. Incluye temas como gestión de activos de
TI, interfaces de sistemas, gobernanza de datos, gestión del rendimiento
de sistemas, gestión de problemas e incidentes, análisis de impacto
empresarial, planificación de la continuidad empresarial, planificación de
la recuperación ante desastres, entre otros temas relacionados.
- El Dominio 5 cubre los principios, las mejores prácticas y los peligros de
la ciberseguridad. Incluye temas relacionados con la seguridad y el control
de los activos de información, así como la gestión de eventos de
seguridad. También incluye los principios de privacidad, seguridad de red
y punto final, infraestructura de clave pública (PKI), entornos virtualizados,
herramientas y técnicas de prueba de seguridad y gestión de respuesta a
incidentes, entre otros temas relacionados.

Matriz de tareas, dominios y subdominios:

TAREAS DOMINIOS SUBDOMINIOS

1. Evaluar si la Dominio 1: El proceso de Subdominio A:
estrategia de TI está auditoría a los sistemas Planificación.
alineada con las de información.
estrategias y objetivos Dominio 2: Gobierno y Subdominio A: Gobierno
de la organización. gestión de TI. de TI.
Subdominio B: gestión
de TI.

Página 2 de 6
 TAREAS DOMINIOS SUBDOMINIOS
2. Planificar auditorías Dominio 1: El proceso de Subdominio A:
para determinar si los auditoría a los sistemas Planificación.
sistemas de de información.
información están Dominio 2: Gobierno y Subdominio A: Gobierno
protegidos, gestión de TI. de TI.
controlados y si Subdominio B: gestión
proveen valor a la de TI.
organización.
3. Realizar auditorías Dominio 1: El proceso de Subdominio A:
de conformidad con auditoría a los sistemas Planificación.
los estándares de de información.
auditoría de SI y una
Dominio 2: Gobierno y Subdominio A: Gobierno
estrategia de auditoría
gestión de TI. de TI.
de SI basada en
riesgos.
4. Evaluar la Dominio 2: Gobierno y Subdominio A: Gobierno
supervisión y la gestión de TI. de TI.
presentación de Subdominio B: gestión
informes de los de TI.
principales
indicadores de
desempeño de TI
(KPIs).
5. Evaluar la capacidad Dominio 2: Gobierno y Subdominio A: Gobierno
de la organización gestión de TI. de TI.
para continuar con las Subdominio B: gestión
operaciones del de TI.
negocio. Dominio 4: Operaciones Subdominio B:
de los Sistemas de resiliencia del negocio.
Información y resiliencia
del negocio.

Página 3 de 6
 TAREAS DOMINIOS SUBDOMINIOS
6. Evaluar si las Dominio 2: Gobierno y Subdominio A: Gobierno
políticas y prácticas de gestión de TI. de TI.
TI de la organización Subdominio B: gestión
cumplen con los de TI.
requerimientos legales
y regulatorios.
7. Evaluar la Dominio 3: Adquisición, Subdominio A:
preparación de los desarrollo e Adquisición y desarrollo
sistemas de implementación de de sistemas de
información para su sistemas de información.
implementación y información. Subdominio B:
migración a Implementación de
producción. sistemas de
información.
8. Realizar revisiones Dominio 3: Adquisición, Subdominio A:
posteriores a la desarrollo e Adquisición y desarrollo
implementación de los implementación de de sistemas de
sistemas para sistemas de información.
determinar si se información. Subdominio B:
cumplen con los Implementación de
entregables, los sistemas de
controles y los información.
requerimientos del
proyecto.
9. Realizar revisiones Dominio 4: Operaciones Subdominio A:
periódicas de los de los Sistemas de Operaciones de los
sistemas de Información y resiliencia sistemas de
información y la del negocio. información.
arquitectura de la Subdominio B:
empresa. Resiliencia del negocio.
10. Evaluar las Dominio 4: Operaciones Subdominio A:
políticas y prácticas de de los Sistemas de Operaciones de los

Página 4 de 6
 TAREAS DOMINIOS SUBDOMINIOS
gestión de incidentes y Información y resiliencia sistemas de
problemas. del negocio. información.
Subdominio B:
Resiliencia del negocio.
11. Evaluar las Dominio 4: Operaciones Subdominio A:
políticas y prácticas de de los Sistemas de Operaciones de los
gestión de cambios, Información y resiliencia sistemas de
configuración, del negocio. información.
versiones y parches. Subdominio B:
Resiliencia del negocio.
12. Evaluar la Dominio 4: Operaciones Subdominio A:
computación de de los Sistemas de Operaciones de los
usuario final para Información y resiliencia sistemas de
determinar si los del negocio. información.
procesos están siendo Subdominio B:
controlados de manera Resiliencia del negocio.
eficaz.
13. Evaluar las Dominio 5: Protección Subdominio A:
políticas y prácticas de de los activos de Seguridad y control de
seguridad y privacidad información. los activos de
de la información de la información.
organización. Subdominio B: Gestión
de eventos de
seguridad.
14. Evaluar los Dominio 5: Protección Subdominio A:
controles físicos y de los activos de Seguridad y control de
ambientales para información. los activos de
determinar si los información.
activos de información Subdominio B: Gestión
están protegidos de eventos de
adecuadamente. seguridad.

Página 5 de 6
 TAREAS DOMINIOS SUBDOMINIOS
15. Evaluar los Dominio 5: Protección Subdominio A:
controles de seguridad de los activos de Seguridad y control de
lógica para verificar la información. los activos de
confidencialidad, información.
integridad y Subdominio B: Gestión
disponibilidad de la de eventos de
información. seguridad.
16. Evaluar si las Dominio 5: Protección Subdominio A:
prácticas de de los activos de Seguridad y control de
clasificación de datos información. los activos de
están alineadas con información.
las políticas de la Subdominio B: Gestión
organización y con los de eventos de
requerimientos seguridad.
externos aplicables.

Lima, 30 de septiembre de 2021.

Página 6 de 6