Certificações ISACA CISA, CISM, CGEIT, CRISC. Fórum Nacional de Governança, Tecnologia e Inovação Lavras - MG Março/2013

Transcrição

1 Certificações ISACA CISA, CISM, CGEIT, CRISC Fórum Nacional de Governança, Tecnologia e Inovação Lavras - MG Março/ ISACA. All rights reserved.

2 Quem sou eu? Fernando César Campos Andrade Fernando é gerente de Advisory da Ernst & Young Terco, Bacharel em Ciências da Computação pela PUC Minas e finalizando MBA em Gerenciamento de Projetos em TI na FGV. Possui mais de 10 anos de experiência profissional em projetos de gestão de serviços de TI, governança de TI, segurança da informação, auditoria de sistemas, arquitetura e desenvolvimento de software. Em sua carteira, possui clientes como Vale, Braskem, ONS, CEMIG, Light, SEPLAG-MG, Polícia Civil de MG, VMB, VSB, Supervia, Arcelor Mittal, Brasil Telecom e Samarco.. Membro da ISACA há 4 anos e do PMI-MG há 3 anos. Certificações: CISA, CISM, CGEIT, COBIT, ITIL, SCEA, SCBCD, SCWCD, SCJP, ISO e ISO

3 Ernst & Young Terco $24.4b USD de receita 162 países profissionais Global Assessoria Auditoria Impostos Transações profissionais profissionais profissionais profissionais Escritório de BH Goiânia Brasília Fortaleza Recife Salvador 185 profissionais Atuação nas quatro linhas de serviço Belo Horizonte São Paulo 12 escritórios Rio de Janeiro Campinas Curitiba Blumenau Porto Alegre Auditoria: 3 Sócios 3 Diretores 11 Gerentes 15 Seniors 41 Auditores Total: 73 Impostos: 1 Sócio 4 Diretores 9 Gerentes 21 Seniors 23 Assistentes Total: 58 Consultoria e Transações: 3 Diretores 7 Gerentes 12 Seniors 16 Consultores Total: 38

4 Agenda Introdução Motivações Certificações ISACA Como conseguir a Certificação? Consideração finais 4

5 Motivações 2009 ISACA. All rights reserved.

6 Motivações Reconhecimentos Pressão do mercado para profissionais mais qualificados em Auditoria, Segurança, Governança e Riscos em TI Aceita e reconhecida mundialmente Fator de decisão em contratações (pessoa física e jurídica) Entre as três mais bem pagas certificações do mundo em TI e SI Abre portas! 6

7 Motivações Reconhecimentos Eleva sua credibilidade profissional e empregabilidade Aumento de conhecimento Aplicações em seus projetos 7

8 Motivações Reconhecimentos U.S. Federal Reserve System requires IT Examiners to obtain a CISA Canadian Institute of Chartered Accountants (CICA) recognizes CISA as a IT assurance specialty The Payment Card Industry (PCI) Data Security Standard (DSS) has named CISA and CISM certifications as validation requirements for qualified security assessors (QSAs) organizations that validate an entity s adherence to PCI DSS requirements. Law in Korea requires that highly skilled professionals, such as CISAs, perform information system audit and security services Microsoft recognizes CISA as a part of its Infrastructure Security and Security Management specializations CGEITs get a bypass for references (experience) for the Disaster Recovery Institute International s (DRII) CBCA (Certified Business Continuity Auditor) certification. In addition, all CISMs are offered a 10% discount on DRII courses. The State of West Virginia Office of Information Security and Controls is using the five CRISC domains and task statements to develop a checklist for use in risk assessments for HIPAA compliance. The task statements will be mapped to NIST standards. 8

9 Motivações Fatos 9

10 Motivações Fatos 10

11 Motivações Fatos Fonte: EDITAL DE LICITAÇÃO MPDFT 11

12 Motivações Fatos 12

13 Motivações Fatos 13

14 Motivações Fatos Fonte: Certification Magazine 2008 e

15 Motivações Fatos Fonte: SimplyHired Set/

16 Motivações Fatos Fonte: ISACA website 16

17 Certificações ISACA CISA, CISM, CGEIT, CRISC 2009 ISACA. All rights reserved.

18 CISA O que é? Certified Information Systems Auditor > , desde 1978 Certificado para profissionais com experiência em Auditoria, Controle e Segurança 18

19 CISA Áreas de Domínio 1. IS Audit Process (14%) 2. Governance and Management of IT (14%) 3. Information Systems Acquisition, Development and Implementation (19%) 4. Information Systems Operations, Maintenance and Support (23%) 5. Protection of Information Assets (30%) Detalhes em 19

20 CISA Requisitos para o Certificado Ser aprovado no exame Submeter aplicação com evidência de 5 anos de experiência em: Auditoria de SI Controle Assurance Segurança Há como substituir 2 anos por: -Projetos de SI -Semestre de universidade -Aulas como instrutor -Títulos de Mestre -Certificados Concordar com o código de ética, padrões de auditoria e política de educação (CPE) 20

21 CISM O que é? Certified Information Security Manager > , desde 2003 Certificado para profissionais que modelam, definem e gerenciam segurança da informação Experiência em Governança, Riscos, Programa de Segurança e Gerenciamento de Resposta a Incidentes 21

22 CISM Áreas de Domínio 1. Information Security Governance (24%) 2. Information Risk Management and Compliance (33%) 3. Information Security Program Development and Management (25%) 4. Information Security Incident Management (18%) Detalhes em 22

23 CISM Requisitos para o Certificado Ser aprovado no exame Submeter aplicação com evidência de 5 anos de experiência em: Segurança da Informação Há como substituir 2 anos por: -Aulas como instrutor na área -Títulos de Mestre -Pós-gradução em Segurança ou Negócios -Certificados em Segurança Concordar com o código de ética e política de educação continuada (CPE) 23

24 CGEIT O que é? Certified in the Governance of Enterprise IT > 4.000, desde 2007 Certificado para profissionais com experiência em Gerência, Assessoria ou Assurance relacionado a Governança de TI 24

25 CGEIT Áreas de Domínio 1. Framework for the Governance of Enterprise IT (25%) 2. Strategic Management (20%) 3. Benefits Realization (16%) 4. Risk Optimization (24%) 5. Resource Optimization (15%) Detalhes em 25

26 CGEIT Requisitos para o Certificado Ser aprovado no exame Submeter aplicação com evidência de 5 anos de experiência em: Assessoria em Governança Domínios do CGEIT Há como substituir 2 anos por: -Aulas como instrutor univesitário -Gerência em TI -Títulos de Mestre -Pós-gradução em Segurança ou Negócios -Certificados em Segurança Concordar com o código de ética e política de educação continuada (CPE) 26

27 CRISC O que é? Certified in Risk and Information Systems Control > 1.000, desde 2010 Certificado para profissionais com experiência no Desenvolvimento e Gerenciamento de SI para Mitigação de Riscos 27

28 CRISC Áreas de Domínio 1. Risk Identification, Assessment and Evaluation (31%) 2. Risk Response (17%) 3. Risk Monitoring (17%) 4. Information Systems Control Design and Implementation (17%) 5. Information Systems Control Monitoring and Maintenance (18%) Detalhes em 28

29 Como conseguir a Certificação? 2009 ISACA. All rights reserved.

30 Como certificar? Registrar no exame Em 2013 terão 3 datas: 8 de Junho 7 de Setembro (apenas CISA, CISM) 14 de Dezembro U$ 465 (até 12/04) MEMBRO U$ 635 (até 12/04) NÃO MEMBRO Online ou Correio Preparar para o exame Cronograma e Mapa mental Review Manual Question Database Download de Mock ExamS Grupos Discussão Google Rotina de Estudo (2 meses, ~100 horas) Aplicar para certificação Levantar (ou acumular) experiência Solicitar recomendação Traduzir documentação Enviar documentação correio e Fazer o exame 4 horas de prova 200 questões (CISA, CISM) 120 (CGEIT) Parecido com vestibular Entre 6 a 8 semanas para resultado 30

31 Como mantê-la? Reportar anualmente o mínimo de 20 horas CPE Concordar com o Código de Ética ISACA Reportar o mínimo de 120 horas CPE, a cada 3 anos Envio de documentação que comprove as atividades (caso selecionado) Pagar taxa de manutenção ISACA 31

32 Como conseguir CPEs? Conferências, Seminários, Workshops Participação nos capítulo ISACA Desenvolvimento e revisão de questões Certificações na área Cursos na área Apresentações Publicação de artigos Mentorado Cálculo: 1 hora CPE = 50 min 32

33 Considerações finais 2009 ISACA. All rights reserved.

34 Perguntas Frequentes Data final para registro no exame? 2 meses antes da prova (12 de abril) O resultado é na hora? Não. De 6 a 8 semanas, recebendo por . Posso fazer CISA, CISM, CGEIT ao mesmo tempo? Não Posso mudar o lugar e a língua da prova? Sim, pagando taxa. Quais são os requisitos? Ver Como o exame é pontuado? Escala de 200 a 800, e 450 é o ponto de corte. Como comunico com a ISACA? certification@isaca.org ou exam@isaca.org Posso conseguir horas CPE online? Sim, através de seminários virtuais na área. 34

35 Recomendações Finais Certificação é Investimento (p/ você, p/ empresa) Tenham um Plano de Carreira Elaborem um Plano de Estudos Conscientizem a importância das Certificações Ter conhecimento é diferenciador Acessem aspx 35

36 Recomendações Finais 36

37 Obrigado! fernando@andrade.com 2009 ISACA. All rights reserved.

38 Código de Ética ISACA 1. Support the implementation of, and encourage compliance with, appropriate standards, procedures and controls for information systems. 2. Perform their duties with objectivity, due diligence and professional care, in accordance with professional standards and best practices. 3. Serve in the interest of stakeholders in a lawful and honest manner, while maintaining high standards of conduct and character, and not engage in acts discreditable to the profession. 4. Maintain the privacy and confidentiality of information obtained in the course of their duties unless disclosure is required by legal authority. Such information shall not be used for personal benefit or released to inappropriate parties. 5. Maintain competency in their respective fields and agree to undertake only those activities, which they can reasonably expect to complete with professional competence. 6. Inform appropriate parties of the results of work performed; revealing all significant facts known to them. 7. Support the professional education of stakeholders in enhancing their understanding of information systems security and control. 38

39 Exemplos de Questões CISA 39

40 Exemplos de Questões CISM 40

41 O Certificado CISA 41

42 O Certificado CISM 42

43 O Certificado CGEIT 43

44 O Certificado CRISC 44