Si trabajas en auditoría de sistemas, gobernanza de TI o cumplimiento normativo y quieres demostrar que sabes lo que haces, la CISA es probablemente la credencial más reconocida de tu sector. Veredicto rápido: la CISA (Certified Information Systems Auditor) es la certificación de referencia para auditores de sistemas de información y profesionales de GRC (gobernanza, riesgo y cumplimiento). Exige cinco años de experiencia real, pero abre las puertas a roles senior en consultoría, banca, organismos públicos y cualquier empresa que someta sus sistemas a auditoría regulatoria. Si todavía estás empezando, consulta primero nuestro mapa de certificaciones de seguridad para orientarte sobre el camino más adecuado a tu perfil.
¿Qué es la CISA y quién la emite?
La CISA (Certified Information Systems Auditor) es una certificación profesional emitida por ISACA (Information Systems Audit and Control Association), una organización sin ánimo de lucro fundada en 1967 con sede en Schaumburg, Illinois. ISACA es la referencia mundial en gobernanza y auditoría de TI, y emite también otras credenciales reconocidas como la CISM o la CRISC.
La CISA existe desde 1978 y es una de las certificaciones de TI más antiguas y consolidadas del mundo. Está acreditada bajo la norma ISO/IEC 17024, lo que garantiza que el proceso cumple con estándares internacionales de certificación de personas. Es una de las credenciales de auditoría de TI más extendidas y reconocidas internacionalmente, presente en empresas, consultoras y organismos reguladores de todo el mundo.
Su enfoque no es técnico-ofensivo ni puramente defensivo: la CISA certifica la capacidad de auditar, controlar y asegurar sistemas de información. En la práctica, el profesional CISA evalúa si los controles tecnológicos de una organización son adecuados, identifica riesgos y vulnerabilidades en procesos de TI, y verifica el cumplimiento de políticas, regulaciones y estándares.
¿Para quién es la CISA?
La CISA está diseñada para profesionales que ya tienen trayectoria en el sector y quieren especializarse en roles de auditoría, aseguramiento y control. Los perfiles más habituales son:
- Auditores internos y externos de TI
- Consultores de GRC (gobernanza, riesgo y cumplimiento)
- Analistas de ciberseguridad con responsabilidades de cumplimiento
- Responsables de control interno en entidades financieras o aseguradoras
- Profesionales que trabajan con marcos como ISO 27001, COBIT, SOX o GDPR
- Auditores de organismos públicos o entidades reguladas
No es una certificación de iniciación: requiere experiencia laboral previa y un conocimiento sólido de los procesos de TI. Si estás en las primeras fases de tu carrera, las reseñas de certificaciones de nuestro sitio te ayudarán a encontrar el punto de partida adecuado.
El examen CISA: formato, duración y preguntas
El examen CISA es una prueba informatizada de opción múltiple administrada en centros autorizados PSI a nivel mundial o como examen con supervisión remota (remote proctoring).
| Característica | Detalle |
|---|---|
| Número de preguntas | 150 preguntas de opción múltiple |
| Duración | 4 horas (240 minutos) |
| Puntuación de aprobado | 450 sobre una escala de 200–800 |
| Idiomas disponibles | Inglés, español, chino simplificado, francés, alemán, japonés y coreano |
| Modalidad | Presencial (centros PSI) o supervisión remota |
| Disponibilidad de registro | Continua (sin ventanas fijas); cita disponible 48 h tras el pago |
| Ventana de elegibilidad | 6 meses desde el registro para realizar el examen |
Las puntuaciones se convierten a escala mediante métodos psicométricos para garantizar la comparabilidad entre distintas versiones del examen. El resultado se comunica al candidato al finalizar la prueba en el centro de testing, o en el plazo indicado en las guías de supervisión remota.
La versión actualizada del examen lleva en vigor desde el 1 de agosto de 2024 e incorpora contenido sobre tecnologías disruptivas y prácticas emergentes de auditoría de TI, como inteligencia artificial y automatización de controles.
Precio del examen CISA
El coste de registro al examen varía según la membresía en ISACA:
| Tipo de candidato | Tasa de examen |
|---|---|
| Miembro de ISACA | 575 USD |
| No miembro | 760 USD |
A esto hay que sumar una tasa única de tramitación de la solicitud de certificación de 50 USD (se paga una sola vez al obtener la credencial, no en cada renovación). La membresía anual en ISACA ronda los 135 USD, de modo que si vas a presentarte al examen, puede compensar hacerse miembro: el ahorro en la tasa (185 USD menos) suele superar el coste de la membresía.
Los 5 dominios del examen CISA y sus pesos
El temario del examen CISA se organiza en cinco dominios del Job Practice, que representan las áreas de conocimiento y las tareas reales del auditor de sistemas. Los pesos vigentes desde el 1 de agosto de 2024, según el CISA Exam Content Outline publicado por ISACA, son los siguientes:
| Dominio | Nombre | Peso (%) |
|---|---|---|
| 1 | Proceso de auditoría de sistemas de información | 18 % |
| 2 | Gobernanza y gestión de TI | 18 % |
| 3 | Adquisición, desarrollo e implantación de sistemas de información | 12 % |
| 4 | Operaciones de sistemas de información y resiliencia empresarial | 26 % |
| 5 | Protección de activos de información | 26 % |
Los dominios 4 y 5 concentran el 52 % del examen, lo que refleja el énfasis actual del sector en resiliencia operacional y protección de datos. A continuación, un repaso de cada área:
Dominio 1 — Proceso de auditoría de sistemas de información (18 %)
Cubre los estándares y marcos de auditoría, la planificación y ejecución de trabajos de auditoría, la recopilación de evidencias, las técnicas de muestreo y la comunicación de resultados. Es la base metodológica del trabajo del auditor CISA.
Dominio 2 — Gobernanza y gestión de TI (18 %)
Abarca los marcos de gobernanza de TI (COBIT, ISO 38500), las estrategias, políticas y procedimientos de gestión, la gestión del rendimiento de TI y el cumplimiento de requisitos legales y regulatorios. Aquí se evalúa si el auditor entiende cómo se alinea TI con los objetivos de negocio.
Dominio 3 — Adquisición, desarrollo e implantación de sistemas de información (12 %)
Examina el ciclo de vida del desarrollo de sistemas (SDLC), los controles en proyectos de TI, las pruebas y aceptación de sistemas, y la gestión de cambios. Es el dominio con menor peso, pero crítico para auditores que trabajan con proyectos tecnológicos.
Dominio 4 — Operaciones de sistemas de información y resiliencia empresarial (26 %)
Incluye la gestión de incidentes y problemas, la continuidad del negocio, la recuperación ante desastres (BCP/DRP), la gestión de la infraestructura tecnológica y el control de los servicios de TI. Su peso elevado refleja la importancia que las organizaciones dan a la disponibilidad y la resiliencia.
Dominio 5 — Protección de activos de información (26 %)
Trata la confidencialidad, integridad y disponibilidad de la información; los controles de acceso lógico y físico; la gestión de identidades; el cifrado; y la seguridad en redes y sistemas. Junto con el dominio 4, es el bloque más exigente del examen.
Requisitos de experiencia para obtener la CISA
Aprobar el examen no es suficiente: para obtener la credencial CISA hay que cumplir también con requisitos de experiencia laboral. ISACA exige un mínimo de cinco años de experiencia profesional en auditoría de sistemas de información, control o seguridad. Esta experiencia debe haberse obtenido en los diez años anteriores a la fecha de solicitud de la certificación.
Opciones de reducción (waivers)
ISACA permite reducir el requisito de experiencia mediante dispensas, hasta un máximo de tres años en total, lo que significa que el mínimo exigible con dispensas es de dos años de experiencia real. Las principales opciones de reducción son:
- Un año de dispensa por experiencia en TI general o auditoría general no relacionada directamente con sistemas de información.
- Un año de dispensa por poseer un grado universitario (diplomatura o licenciatura de dos años) en un campo relacionado con TI o sistemas de información.
- Dos años de dispensa por poseer una titulación universitaria de cuatro años (grado, licenciatura) o un máster en informática, seguridad de la información u otras disciplinas relacionadas.
Si superas el examen antes de completar los años de experiencia requeridos, dispones de cinco años para presentar la solicitud de certificación y acreditar la experiencia. Mientras tanto, el resultado del examen queda válido pero no se activa la credencial.
Mantenimiento: CPE y cuota anual
Una vez obtenida, la CISA requiere mantenimiento activo para conservar la credencial. Los requisitos son:
- Mínimo 20 horas CPE (Continuing Professional Education) al año, directamente relacionadas con los dominios CISA.
- Mínimo 120 horas CPE en un ciclo de tres años.
- Cuota anual de mantenimiento: 45 USD para miembros de ISACA / 85 USD para no miembros. Se paga antes del 1 de enero de cada año.
Las actividades que cuentan como CPE incluyen formación en línea, publicaciones técnicas, conferencias, participación en grupos de trabajo de ISACA o impartición de formación. ISACA realiza auditorías aleatorias y puede revocar la certificación a quienes no aporten la documentación requerida.
Salidas profesionales y salario
La CISA es especialmente valorada en sectores donde la auditoría y el cumplimiento normativo son críticos: banca, seguros, consultoría de riesgos, administración pública, telecomunicaciones y sanidad. Los roles más habituales para un profesional CISA incluyen:
- Auditor interno o externo de TI
- Responsable de cumplimiento (Compliance Officer)
- Analista de GRC (Governance, Risk, Compliance)
- Consultor de seguridad y control de TI
- Responsable de riesgos tecnológicos
- Director de Auditoría Interna (en organizaciones con departamentos TI)
En cuanto al salario, los datos varían significativamente según la geografía. En Estados Unidos, según datos de ISACA, el salario medio de un profesional CISA supera los 149.000 USD anuales. En el Reino Unido, la mediana para posiciones CISA se sitúa en torno a las 70.000 libras anuales (datos de IT Jobs Watch para el periodo hasta mayo de 2025). En España, según PayScale, el salario medio de un auditor de TI ronda los 39.000 euros anuales, con rangos que van desde los 26.000 hasta los 50.000 euros dependiendo de la experiencia y el sector. Las cifras de salario de EE. UU. y UK no son comparables directamente con el mercado español, donde la banda salarial del sector es estructuralmente más baja.
CISA vs CISM vs CRISC: ¿cuál es la adecuada para ti?
Las tres certificaciones flagship de ISACA son complementarias pero tienen enfoques distintos. Si no tienes claro cuál es la más adecuada para tu perfil, esta comparativa te ayudará:
| Característica | CISA | CISM | CRISC |
|---|---|---|---|
| Enfoque principal | Auditoría y control de TI | Gestión de seguridad de la información | Riesgo y control de TI |
| Perfil objetivo | Auditor, analista de cumplimiento, GRC | Gestor / responsable de seguridad, futuro CISO | Gestor de riesgos, analista GRC |
| Experiencia requerida | 5 años en auditoría/control/seguridad de SI | 5 años en gestión de seguridad de la información | 3 años en gestión de riesgos de TI (al menos 1 en el dominio de riesgo) |
| Nº de preguntas / duración | 150 preguntas / 4 h | 150 preguntas / 4 h | 150 preguntas / 4 h |
| Demanda de mercado | Alta en banca, consultoría y sector público | Alta en empresas con CISO o con equipos de seguridad propios | Alta en grandes corporaciones y entidades financieras |
| ¿Se pueden combinar? | Sí: muchos profesionales de GRC tienen CISA + CISM o CISA + CRISC | ||
Puedes ampliar la comparativa entre las otras dos certificaciones de ISACA en nuestras reseñas de la CISM y la CRISC. En líneas generales:
- Elige la CISA si tu trabajo gira en torno a la auditoría de sistemas, el cumplimiento o la revisión independiente de controles de TI.
- Elige la CISM si tu trayectoria apunta a la dirección de un equipo de seguridad o quieres convertirte en CISO.
- Elige la CRISC si tu rol está centrado en la identificación, evaluación y gestión del riesgo tecnológico dentro de una organización.
Cómo preparar la CISA
La CISA no es un examen de conocimiento técnico puro: evalúa criterio auditor, comprensión de controles y capacidad para identificar riesgos en contextos empresariales. Las preguntas están orientadas a situaciones reales, no a memorizar definiciones.
Materiales oficiales de ISACA
- CISA Review Manual (28.ª edición): el manual de referencia oficial, estructurado por los cinco dominios. Disponible en formato impreso y digital en la tienda de ISACA.
- CISA Online Review Course: más de 40 módulos con vídeos y elementos interactivos, con acceso durante un año. Disponible en isaca.org.
- CISA Questions, Answers & Explanations (QAE) Database: banco de 1.070 preguntas con explicaciones detalladas. Imprescindible para practicar el tipo de razonamiento que pide el examen.
- Quiz de práctica gratuito: ISACA ofrece un quiz de muestra en su web para familiarizarse con el estilo de las preguntas.
Estrategia de preparación
- Dedica entre 3 y 6 meses de preparación según tu experiencia previa en auditoría y TI.
- Comienza por el manual de revisión para construir el marco conceptual de cada dominio.
- Practica con la base de preguntas QAE hasta interiorizar el razonamiento del examen: la mayoría de las preguntas tienen respuestas «todas correctas» donde hay que elegir la más adecuada en el contexto dado.
- Presta atención especial a los dominios 4 y 5, que acumulan el 52 % del peso.
- Únete al capítulo local de ISACA: muchos capítulos ofrecen cursos de preparación a precios reducidos para miembros.
Veredicto: ¿merece la pena la CISA?
La CISA merece la pena si tu carrera está orientada a la auditoría de TI, el cumplimiento normativo o los roles de GRC. Es una de las certificaciones con más décadas de historial demostrado y una de las pocas reconocidas específicamente por organismos reguladores en sectores como la banca o las telecomunicaciones.
Sus puntos fuertes son claros: reconocimiento global, respaldo de ISACA como organización con décadas de trayectoria, contenido alineado con marcos estándar del sector (COBIT, ISO, NIST) y una comunidad activa de profesionales. El lado menos favorable es el coste (examen + solicitud + mantenimiento anual) y la exigencia de experiencia previa, que la hace inaccesible para perfiles junior sin dispensas.
Si todavía no tienes los cinco años de experiencia, una estrategia razonable es presentarse al examen cuando llevas dos o tres años en el sector (con dispensa por título universitario) para aprovechar que el resultado válido durante cinco años para completar los requisitos. Así no pierdes el momento de preparación.
Para situar la CISA en el contexto más amplio de las certificaciones de seguridad, visita nuestro mapa de certificaciones de seguridad.
Preguntas frecuentes (FAQ)
¿Se puede obtener la CISA sin experiencia previa?
No directamente. ISACA exige cinco años de experiencia en auditoría, control o seguridad de sistemas de información para emitir la credencial. Sin embargo, puedes aprobar el examen antes de tener esa experiencia y dispones de cinco años para completar los requisitos. Con dispensas por formación académica, el mínimo real de experiencia puede reducirse a dos años.
¿El examen CISA está disponible en español?
Sí. El examen está disponible en español, entre otros idiomas (inglés, chino simplificado, francés, alemán, japonés y coreano). Sin embargo, la comunicación con el supervisor en caso de examen remoto se realiza solo en inglés.
¿Cuánto tiempo es válido el resultado del examen si no solicito la certificación?
El resultado del examen es válido durante cinco años. Durante ese plazo puedes acumular y acreditar la experiencia requerida y enviar tu solicitud de certificación.
¿La CISA caduca si no la mantengo?
Sí. Si no cumples con el mínimo de 20 horas CPE anuales o no abonas la cuota de mantenimiento, ISACA puede suspender o revocar la certificación. Una vez revocada, recuperarla implica volver a superar el examen.
¿Cuánto tiempo se tarda en preparar la CISA?
Depende de tu experiencia en auditoría de TI. Los candidatos con base en el sector suelen necesitar entre 3 y 5 meses de preparación seria; quienes vienen de otros perfiles más técnicos pueden necesitar 6 meses o más para familiarizarse con el enfoque auditor del examen.
¿La CISA tiene relación con la ISO 27001?
Son complementarias pero distintas. La ISO 27001 es una norma de gestión de seguridad de la información para organizaciones; la CISA es una certificación personal que acredita la capacidad de auditar y controlar sistemas de información. Los auditores que evalúan el cumplimiento de la ISO 27001 suelen tener perfiles similares al del auditor CISA, y muchos profesionales tienen ambas credenciales (la ISO 27001 Lead Auditor y la CISA).
¿Qué diferencia hay entre CISA y CISM?
La CISA certifica la capacidad de auditar y controlar sistemas de información desde una perspectiva independiente (el auditor revisa lo que otros hacen). La CISM certifica la capacidad de gestionar y dirigir programas de seguridad de la información. Si quieres auditar y hacer cumplimiento, elige CISA; si quieres liderar equipos de seguridad, elige CISM.
