Cum şi de ce să devii auditor de sisteme informaţionale

Dacă voi spune chiar de la început că, începînd cu 1978 programul Certified Information Systems Auditor (CISA)  susţinut de Information Systems Audit and Control Association – ISACA® este acceptat la nivel internaţional ca standard profesional pentru domeniul auditului şi controlului sistemelor informaţionale, probabil vei înţelege importanţa profesiei.

Mai adăug că în acest moment, conform datelor ISACA, la nivel mondial sînt 75000 de CISA. Iar creşterea este constantă. Şi dacă ai răbdare să citeşti şi rîndurile următoare vei înţelege şi de ce CISA este una din cele mai rîvnite certificări ale momentului: credibilitate. Deşi pe piaţă există profesionişti ce îşi spun „auditori IT”, la acest moment, singurul profesionist recunoscut în peste 140 de ţări ca fiind auditor de sisteme informaţionale, este CISA! Fac precizarea astea doar pentru “rigoarea ştiinţifică”

Care sunt cunoştinţele necesare?

Pe situl www.isaca.org sunt prezentate în detaliu toate cerinţele.

Astfel, primul pas este promovarea examenului ce constă din 200 de întrebări tip grilă la care se răspunde într-un interval de 4 ore (de obicei examenul începe la ora 9).

Întrebările sunt concepute astfel încît să cuantifice şi testeze cunoştinţele cu privire la aplicarea conceptelor şi standardelor din domeniul auditului sistemelor informaţionale. Toate întrebările conţin patru variante de răspuns dintre care trebuie să se identifice cea mai corectă, acoperind următoarele domenii:

• Procesul de audit al sistemelor informaţionale (10%). Se verifică nivelul de cunoştinţe cu privire la oferirea de servicii de audit în respectul standardelor şi ghidurilor ISACA
• Guvernarea IT[1] (15%). O companie trebuie să deţină structura organizaţională, politicile, procedurile, mecanismele de monitorizare prin care să asigure controlul IT.
• Ciclul de viaţă a sistemelor (16%). Oferirea de asigurări cu privire la dezvoltarea/achiziţia, testarea, implementarea, întreţinerea şi utilizarea sistemelor informaţionale şi a infrastructurii acestora în conformitate cu obiectivele companiei
• Furnizarea serviciilor IT (14%). Oferirea de asigurări cu privire la practicile din domeniul managementului serviciilor IT astfel încît aceste servicii să atingă obiectivele companiei.
• Protecţia activelor informaţionale (31%).Oferirea de asigurări cu privire la arhitectura securităţii (politici, standarde, proceduri şi controale) şi asigurarea confidenţialităţii, integrităţii şi disponibilităţii activelor.
• Continuitatea afacerii şi refacerea în caz de dezastru (14%). Oferirea de asigurări cu privire la procesul de recuperare a afacerii în cazul întreruperii proceselor considerate critice sau a unui dezastru.

UPDATE:

1. The Process of Auditing Information Systems (14%)

2. Governance and Management of IT (14%)

3. Information Systems Acquisition, Development and Implementation (19%)

4. Information Systems Operations, Maintenance and Support (23%)

5. Protection of Information Assets (30%) 
Întrebările trebuie citite cu atenţie (de cele mai multe ori, cele 4 ore nu sunt suficiente pentru a parcurge întrebările de două ori!) deoarece cerinţa întrebării va fi ca alegerea răspunsului să fie de tipul „MOST likely”, “LEAST likely”, “BEST” sau “NOT”.

Candidaţi sînt sfătuiţi în ghidul oficial de pregătire a examenului ca în cazul în care nu cunosc răspunsul corect să elimine răspunsurile incorecte şi să încerce să intuiască, prin eliminare logică, răspunsul corect. Există o probabilitate de a răspunde corect, chiar dacă nu se cunoaşte răspunsul la întrebare. Este indicat să se răspundă la toate întrebările!

O întrebare poate fi de tip enunţ incomplet, întrebare sau chiar scenariu/descrierea unei probleme. În cazul în care foloseşti alte materiale de studiu decît cele proprietare ISACA şi întîlneşti întrebări cu mai mult de un răspuns corect trebuie să ştii că la examenul oficial aşa ceva nu se aplică.

Deşi nu am ajuns încă la vîrsta şi experienţa care să îmi permită să dau sfaturi cu valoare absolută, voi risca cîteva propuneri cu privire la modul în care se poate învăţa pentru un astfel de examen:

• Citeşte cu atenţie domeniile din care vor fi adresate întrebările. Dacă eşti de formare şi cu experienţă pur tehnice trebuie să îţi schimbi modul de gîndire: „risk based” (este paradigma cheie!). Cunoştinţele tehnice ajută dar nu garantează promovarea examenului (nu vei fi întrebaţi cum se configurează un firewall sau ce este greşit într-o interogare SQL…).
• Citeşte o dată materialul de pregătire în limba engleză şi noteză, în limba română ceea ce ai înţeles. Mai citeşte o dată suportul de curs din limba engleză căutînd cuvinte cheie. Apoi încearcă să mapezi notiţele din limba română pe conceptele din limba engleză. Este foarte important să înţelegi cerinţa întrebării!
• Este foarte important să stăpîneşti definiţiile şi semnificaţia termenilor (de exemplu, „hardware resilience”). Dacă materialul de studiu are la final un rezumat, citeşte-l!
• Măsura în care ai resurse financiare poţi participa la cursurile on line furnizate de ISACA, la cele cu trainer oferite de filiala din România (ISACA Romanian Chapter – www.isaca.ro), sau alţii.
• Dacă nu avi resurse financiare calculează- ţi cu atenţie timpul necesar studiului individual. De multe ori apare sentimentul de „asta ştiu”.
• În cazul în care achiziţionezi CD-ul cu întrebări pregătitoare pentru examen nu te lăsa înşelat dacă obţii un scor acceptabil la testările individuale! Spre deosebire de alte certificări, probabilitatea de a primi la examenul final o întrebare din cele lucrate tinde spre ZERO. CISA nu este o certificare „paper based”!
• Întrebările de pregătire te ajută foarte mult să îţi schimbi modul de gîndire şi să aplici judecata unui CISA.
• Răspunsul la întrebări trebuie dat din perspectiva auditorului!

Rezultatul testului va fi primit de candidat într-un interval cuprins între 6-8 săptămîni ca urmare a faptului că data examenului este aceeaşi pentru toate ţările unde acesta se desfăşoară (de obicei de două ori pe an, la sfîrşitul lunii iunie şi sfîrşitul lunii decembrie) iar corectarea se realizează în SUA.

După promovarea examenului, viitorul CISA trebuie să facă dovada a cel puţin 5 ani de experienţă practică în domeniul auditului, securităţii sau controlului IT. Această experienţă trebuie să cuprindă perioada de 3 ani după promovarea examenului sau 10 ani pînă la data promovării examenului de certificare[2]. Probele, aderarea la codul de conduită etică şi declaraţiile a 3 persoane care pot susţine afirmaţiile dumneavoastră se vor trimite în USA pentru validare.

Certification Board va analiza toate probele şi va decide acordarea sau nu a titulaturii.

După obţinerea certificării, auditorul va trebui să obţină anual minim 20 ore CPE/an (Continuing Professional Education) şi 120 de ore în interval de 3 ani. Asociaţia doreşte prin această cerinţă să asigure nivelul de competenţă necesar îndeplinirii misiunilor de audit în conformitate cu evoluţia tehnologiilor şi practicilor manageriale.

Pentru orice CISA, standardele emise de ISACA sunt mandatare, cu excepţia cazului în care nu există acte normative naţionale care să reglementeze de o manieră diferită domeniul. Pe lîngă standardele profesiei trebuie cunoscute însă şi celelalte practici aplicate domeniului ITC (ITIL, COBIT, ISO27001, CMMI…).

Am rămas dator cu răspunsul la întrebarea de ce să devii CISA?

Pentru că asta îţi doreşti! Pentru că trebuie să fii mereu cu mintea deschisă şi la curent cu ce se întîmplă în branşa IT.

---

[1] În original IT Governance. Nu voi brutaliza limba română cu traducerea „guvernanţă” atît timp cît dicţionarul Webster oferă cuvîntului governance semnificaţia de guvernămînt, stăpînire, purtare, conduită. Iar dacă a guverna înseamnă a conduce este destul de clar ce s-a dorit a spune prin această sintagmă.

[2] Există un sistem de compensare/echivalare a unui număr de ani de experinţă. Pentru informaţii actualizate vizitaţi Requirements for CISA Certification