`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрий Гудзь

ІТ-аудитор wanted

+33
голоса

16 січня цього року «Національний банк України» прийняв постанову №4 «Про затвердження Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг» (PDF, UA), якою формалізується підхід Нацбанку до перевірки банків щодо дотримання вимог із забезпечення інформаційної безпеки банків та кібербезпеки із відповідними потенційними наслідками для банків. І почалося.

Всім банкам в Україні, консалтинговим та аудиторським компаніям терміново знадобились ІТ-аудитори. Одночасно. І виявилось, що їх в Україні обмаль. Згідно інформації від «Київського відділення ISACA» американської «Асоціації аудиту і контролю інформаційних систем» в Україні на поточний момент сертифіковано 39 ІТ-аудиторів CISA (Certified Information Systems Auditor). Ще є ІТ-аудитори, які здавали екзамен, отримували сертифікацію, але наразі вона не є активною. В українському сегменті LinkedIn таких спеціалістів наявно більше 100. Згідно інформації від PECB Ukraine, з 2013 р. було сертифіковано 83 ISO 27001 Lead Auditor. Дехто із ІТ-аудиторів має обидві сертифікації, CISA та ISO 27001 Lead Auditor. Тому загальна кількість сертифікованих ІТ-аудиторів в країні звісно не 183, а дещо інша. Але в цілому загальний порядок кількості сертифікованих спеціалістів є таким.

Але ж де ж взятися великій кількості ІТ-аудиторів, якщо донедавна освітні установи в Україні не готували ІТ-аудиторів взагалі? В українських інститутах та університетах були відсутні навчальні програми щодо аудиту інформаційних технологій. Добра новина, часи змінились, і вже в деяких вузах України є окремі факультети, де викладають цю дисципліну, наприклад в КНЕУ. Але чи вистачить випускників українських вишів на всіх бажаючих і чи прийнятно для українського банку взяти на роботу випускника та очікувати від нього якісного аудиту вже в перший рік роботи? Риторичне запитання. Як і в будь-якій іншій професії, саме навчання – це лише підґрунтя для подальшого розвитку професіонала.

Власне курс з підготовки до здачі сертифікаційного екзамену ІТ-аудитора CISA від ISACA займає 5 повних днів навчання (PDF, RU). Тренінг по програмі ISO 27001 Lead Auditor від європейської PECB (Professional Evaluation and Certification Board) триває 4 дні. Після цього навчання кожен може здати сертифікаційний екзамен і отримати офіційне підтвердження, що він має достатні знання для проведення аудиту інформаційних систем. Це добрий початок. Здається, що 5 днів це зовсім небагато. Але для якісного аудиту ІТ-систем та ІТ-процесів, зваженої оцінки ризиків потрібні знання не тільки щодо того, як правильно проводити аудиторські процедури та робити статистичні вибірки. Аби зрозуміти, що не так в ІТ-системі чи в ІТ-процесі потрібно мати знання, а як саме правильно має бути. Відповідно ІТ-аудитору потрібно накопичувати також технічні знання щодо різних ІТ-систем, мережі, хмарних технологій. І якщо системні адміністратори мають привілей досконально вивчати тільки ті системи, які вони адмініструють, то ІТ-аудитор змушений вивчати всі види і типи ІТ-систем, які йому доводиться аудиювати. Звісно, ІТ-аудитор не буде знати краще певну ІТ-систему чи технологію ніж системний адміністратор, який займається цим постійно. Але для якісного аналізу певної системи потрібно розуміти як вона влаштована, які має налаштування, де вона зберігає логи і як їх потрібно читати. Без такого розуміння, аудит може звестися до діалогу:

  • Ви маєте проблеми в системі?
  • Ні
  • Добре, так і запишемо.

Для того, аби виявити відхилення у функціонуванні ІТ-процесів ІТ-аудитору потрібно вивчати ITIL та COBIT, аби мати можливість співвідносити найкращі світові практики, підтверджені досвідом сотень і тисяч компаній у світі із тим, як ці процеси налагоджені і функціонують в компанії.

Для аудиту процесів інформаційної безпеки варто вивчити стандарти серії ISO 27001 Information Security Management, та їх українську адаптацію ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту cистеми управління інформаційною безпекою та ДСТУ ISO/IEC 27002:2015 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки.

Для якісного аналізу оцінки ризиків, які проводяться в компанії важливо розуміти процес оцінки ризиків згідно стандарту ISO 3100 Risk Management.

Для адекватної оцінки процесів, документів та процедур щодо забезпечення відмовостійкості в роботі ІТ-систем та забезпечення неперервності бізнесу варто знати стандарт ISO 22301 Security and resilience – Business continuity management systems.

Для ефективної оцінки системи внутрішніх контролів компанії добре б розуміти COSO frameworks, з управління ризиками та по внутрішнім контролям.

Для компаній, які торгують своїм акціями на американських фондових біржах будуть актуальними також вимоги The Sarbanes-Oxley Act of 2002, і ІТ-аудитори цих компаній також будуть стикатись із цими вимогами і проводити свої процедури для аналізу того, як вони виконуються в компанії.

Для українських компаній, які працюють на іноземних ринках Європи та Америки будуть актуальними вимоги, прописані в нових стандартах American Institute of Certified Public Accountants (AICPA) щодо побудови внутрішніх контролів в сервісних організаціях SSAE, ISAE3402 та ISAE3000 та проходження зовнішнього аудиту згідно цих стандартів.

І це ми говоримо тільки про hard skills, а ще ж ефективний аудитор має мати добре розвинені soft skills – для ефективного проведення інтерв’ю, аналізу інформації, підготовки звітів, аби подати керівництву проаналізовану інформацію добре структуровану, не перевантажену зайвими деталями та у зрозумілій для вищого керівництва формі.

Накопичення всіх цих знань та skills, займає набагато більше часу, ніж 4-5 днів тренінгу. Та й за 5-6 років навчання в інституті чи університеті, всіх цих знань студенту отримати буде непросто. Тому найефективнішим методом підготовки ІТ-аудиторів, яким користуються вже багато років аудиторські компанії «великої четвірки», це підготовка власних кадрів. Випускники, які приходять в аудиторську компанію, мають можливість в інтенсивному форматі проходити навчання як методології проведення аудиторських процедур, так і практичному застосуванню отриманих знань, і за 3-4 роки мати достатню кваліфікацію, аби виконувати задачі з аудиту ІТ-систем та процесів самостійно. І зазвичай, це найбільш жаданий ресурс для бізнесу, який регулярно вимивається із аудиторських компаній, відкриваючи можливість отримати знання і досвід для нового покоління випускників.

Щодо заробітної плати, на яку може розраховувати ІТ-аудитор, то відкритої інформації щодо цього мало. Державна служба пропонує 5500 грн для аудитора і 11 тис. грн для начальника відділу аудиту. Комерційні компанії та банки не публікують рівень компенсації, які вони пропонують, але згідно проведених співбесід, молодші аудитори можуть претендувати на заробіток від 10 тис. грн на місяць. Досвідчені ІТ-аудитори із досвідом в декілька років можуть претендувати на заробітну плату в 60 тис. грн, а у певних випадках і до 100 тис. грн. Цей рівень компенсації зрівняний із заробітними платами в індустрії розробки ПЗ, де бізнес-аналітик з досвідом також може розраховувати на аналогічну компенсацію, згідно останнього дослідження DOU, так і з ринком спеціалістів з інформаційної безпеки та кібербезпеки.

Ринок все відрегулює. Термінова потреба в певних спеціалістах тимчасово збільшить рівень оплати, яку компанії змушені будуть платити за умови дефіциту кадрів. Збільшений рівень компенсації збільшить попит на навчання по дефіцитній професії, що призведе до збільшення пропозиції щодо навчання. А з появою достатньої кількості відповідних спеціалістів компанії знову зможуть вибирати, кому і скільки платити. Єдине що може вплинути на цей процес, це попит на ІТ-аудиторів в інших країнах. Так як ця професія є міжнародною, то дефіцит аудиторів ІТ є не тільки в Україні, але й в інших країнах світу. І з поступовим розвитком ІТ в інших країнах, які ще не досягли того рівня розвитку, які мають США, Європа та інші розвинуті країни, попит на ІТ-аудиторів буде тільки збільшуватись. Тому українським компаніям прийдеться конкурувати за цей ресурс не тільки з іншими українськими компаніями, але і з компаніями зі всього світу, як це вже відбувається на ринку розробки ПЗ та ІТ-аутсорсингу.

Замовлення хмари в декілька кліків. UCloud запустив хмарний чат бот!

+33
голоса

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT