Rolul organizațiilor internaționale în elaborarea standardelor de audit al securității cibernetice

1. Standardele de securitate cibernetică și Standardele de audit al securității cibernetice

Având în vedere complexitatea sistemelor informatice, legătura acestora cu eficiența și deci cu succesul entității utilizatoare, anticipând extinderea utilizării sistemelor informatice și prejudiciile care ar putea fi produse de carențele în exploatarea acestora, de timpuriu s-a pus problema necesității unor standarde, atât pentru securitatea cibernetică, cât și pentru auditul securității cibernetice.

Cybersecurity sau securitatea cibernetică se referă la activitățile necesare pentru a proteja sistemele informaționale, utilizatorii acestora și alte persoane afectate de amenințările cibernetice și implică prevenirea, detectarea, răspunsul și recuperarea în urma incidentelor cibernetice. Aceste incidente pot fi intenționate sau neintenționate și pot consta în dezvăluirea accidentală de informații, atacuri cibernetice (Malware, Ransomware, Distributed Denial-of-Service, Web-based Attacks, Social Engineering, Cyberspionage), furt de date și chiar imixtiune în procesele democratice, precum interferențe în procesele electorale și campanii de dezinformare^[1]. Având în vedere potențialul impact negativ al acestor activități asupra economiei, păcii sociale, stabilității politice și chiar asupra democrației însăși, adoptarea unor măsuri menite să crească nivelul securității cibernetice reprezintă o cerință imperios necesară la nivel guvernamental, dar și la nivelul fiecărei entități care operează cu sisteme informatice.

Instrumente cheie în acest sens sunt standardele de securitate cibernetică prin a căror aplicare, instituția se asigură că strategia și politicile sale sunt implementate eficient. Implementarea standardelor de securitate cibernetică presupune costuri, dar acestea sunt infinit mai mici în comparație cu prejudiciile pe care le poate provoca un incident de securitate cibernetică. Cu cât datele, numărul partenerilor și amplitudinea activității sunt mai mari, cu atât mai mare este și nevoia de implementare a unor măsuri de sporire a securității sistemelor informaționale. Cu toate acestea, standardele de securitate cibernetică odată implementate nu sunt o garanție infailibilă pentru securitatea cibernetică. Trebuie realizată o supraveghere continuă a succesului implementării, a conformării la standarde, în caz contrar eficiența lor poate fi erodată în timp. Standardele implementate într-o instituție sunt adesea sintetizate într-o matrice care constituie oglinda standardelor utilizate și a controalelor asociate acestora, având un rol important pentru managementul securității sistemelor informatice și pentru activitatea de audit al securității cibernetice^[2].

Standardele de securitate cibernetică reprezintă un instrument de gestionare și limitare a riscului la un nivel acceptabil și trebuie să fie în concordanță cu guvernanța IT a instituției – cu activitatea de conducere și coordonare a activității IT din instituția respectivă și cu strategia de securitate cibernetică^[3]. Am putea defini standardele de securitate cibernetică un set de bune practici care au ca scop protecție în fața amenințărilor cibernetice și creșterea gradului de securitate cibernetică.

Din rapoartele instituțiilor supreme de audit ale statelor membre ale UE rezultă că, până în anul 2018, jumătate dintre acestea nu au efectuat un audit al securității sistemelor informatice, fapt care a determinat preocuparea pentru o nouă viziune cu privire la acest tip de audit în spațiul Uniunii^[4]. De altfel, la nivel global există preocupare sporită pentru auditul intern și extern de securitate cibernetică, atât la nivelul instituțiilor private, cât și la nivelul celor publice. Autoritățile publice cu atribuții în domeniul securității cibernetice au în vedere documentele ISACA potrivit cărora există trei linii de apărare a securității cibernetice: managementul organizației, managementul riscului și auditul intern^[5].

Dacă auditul intern urmărește cât de eficient este sistemul implementat, auditul extern verifică prin teste eficiența procedurilor de control încorporate în sistemul informatic, proceduri care trebuie să concretizeze exigențele standardelor specifice pentru a asigura folosirea eficientă a resurselor informaționale, securitatea cibernetică și, nu în ultimul rând, atingerea obiectivelor entității auditate^[6]. Având în vedere independența auditorului, el este cel care va stabili in concreto procedurile de control pe care le va aplica, folosindu-se în acest scop de cunoștințele, experiența, dar și de intuiția sau, altfel spus, vocația sa profesională. Desigur, și el trebuie să se raporteze de normele care reglementează auditul, inclusiv la standardele privind auditul de securitate cibernetică, iar în raportul de audit pe care-l întocmește la finalul misiunii de audit precizează la ce standarde s-a raportat. Standardele conferă rigoare misiunii de audit, fiind o premisă a abordării profesionale, responsabile a auditului, sporind încrederea în rezultatele acestuia.

Organizaţiile cu activitate semnificativă în domeniul liniilor directoare în materie de audit al sistemelor informaționale sunt, în acest moment, următoarele:

• ISACA (Information Systems Audit and Control Association) prin Standardele COBIT
• IIA (Institute of Internal Auditors) prin Standardele IIA
• IFAC (International Federation of Accountants) prin Standardele ISA
• INTOSAI (International Organization of Supreme Audit Institutions) prin Standardele ISSAI

La standardele adoptate în cadrul acestor organizații se adaugă anumite standarde naționale care s-au impus în practica internațională, precum și cele adoptate în cadrul unor grupuri de lucru^[7].

În cele ce urmează vom trece în revistă principalele standarde privitoare la tehnologia informației, inclusiv cele privitoare la auditul sistemelor informaționale.

2. ISACA ‒ Information Systems Audit and Control Association. Standardele COBIT

Information Systems Audit and Control Association – ISACA. Istoria ISACA începe în anul 1967 când un grup de specialiști în contabilitate și audit, pornind de la problemele punctuale cu care se confruntau în activitatea lor curentă, au avut inițiativa constituirii unei organizații profesionale care să furnizeze informații și îndrumări în domeniul auditului sistemelor informatice. Conceptul de audit al sistemelor de procesare automată a datelor (Electonic Data processing – EDP Audit) a fost lansat în 1968 de Institutul American al Contabililor Autorizați (American Institute of Certified Public Accountants – AICPA), moment urmat de constituirea Asociația Auditorilor EDP (EDP Auditors Association – EDPAA). Un rol important în dezvoltarea acestui tip de audit l-au avut marile firme de contabilitate, cunoscute ca The Big Eight^[8], care au conștientizat impactul domeniului IT asupra activității lor. Acest grup-leader în materie de contabilitate și audit a devenit astăzi The Big Four ca urmare a fuziunii ori dispariției de pe piață a unora dintre ele. The Big Four este format din companiile Deloitte, Ernst&Young, KPMG și PwC și acordă consultanță în contabilitate, finanțe, fiscalitate, asigurări, actuariat, management și domeniul juridic, având un portofoliu important de clienți din toată lumea, atât din sectorul privat, cât și din cel public.

În 1994 EDPAA devine Information Systems Audit and Control Association (Asociația pentru Auditul și Controlul Sistemelor Informaționale), cunoscută sub acronimul ISACA, fiind cea mai cunoscută organizație profesională pe plan internațional în domeniul auditului de securitate cibernetică. ISACA este organizație neguvernamentală cu sediul la Schaumburg, Illinois, SUA, care reunește peste 165.000 de specialiști în domeniul auditului sistemelor informatice și care activează în diferite domenii de activitate, în sectorul public și privat, în peste 180 de state. Această diversitate le permite să facă schimb de puncte de vedere pe o varietate largă de subiecte profesionale^[9], contribuind astfel la diseminarea bunelor practici în materie de audit IT. ISACA este prezentă și în țara noastră prin filiala ISACA România^[10].

Standardele COBIT. Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care include următoarele niveluri şi componente: standarde, ghiduri de aplicare, proceduri şi resursele COBIT.

Standardele – definesc cerinţele obligatorii pentru auditarea şi raportarea auditării sistemelor informatice. Potrivit Comitetului de Contact al Instituțiilor Supreme de Audit din UE, Standardele COBIT elaborate de ISACA reprezintă un cadru de bune practici și proceduri recunoscute pentru managementul IT, care ajută entitatea auditată să-și îndeplinească obiectivele strategice prin utilizarea eficientă a resurselor și minimizarea riscurilor IT. COBIT interconectează guvernanța întreprinderii și guvernanța IT, această conexiune realizându-se prin legarea obiectivelor de business de cele de IT, definirea unor metrici și modele pentru a măsura atingerea obiectivelor și definirea responsabilităților managementului organizației și managementului IT^[11].

Ghidurile de aplicare – sunt ghiduri practice pentru aplicarea standardelor de auditare a sistemelor informatice.

Procedurile – cuprind exemple de proceduri pe care un auditor de sisteme informatice le-ar putea utiliza în cadrul unei misiuni de audit.

Resursele COBIT – sunt apreciate ca fiind cele mai bune practici în materie şi reprezintă un model general, detaliat, de controale şi tehnici de control, destinat unui mediu informatizat. Ele au un rol diriguitor în materie.

COBIT, acronim de la Control Objectives for Information and related Technology, prezintă activităţile de o manieră logică, uşor de gestionat. COBIT se concentrează în special pe controlul proceselor din cadrul organizaţiei, oferind bune practici care vor ajuta la optimizarea investiţiilor IT, funcționarea sistemului IT și repere pentru corecția disfuncțiilor, slăbiciunilor sistemului. În acest context, COBIT constituie un instrument deosebit de util pentru auditori.

Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI (Organizația Internațională a Instituțiilor Supreme de Audit) și EUROSAI (Organizația Europeană a Instituțiilor Supreme de Audit) drept cadru de referinţă pentru auditurile desfăşurate de Instituțiile Supreme de Audit membre ale acestor organizații.

COBIT a fost aliniat şi armonizat cu următoarele standarde detaliate şi bune practici IT: COSO, ISO 27000, ITIL, Sarbanes-Oxley Act, BASEL II şi acţionează ca un integrator al acestor standarde, sintetizând obiectivele principale sub un singur cadru de referinţă general acceptat.

Pentru a se ajunge la acest ansamblu^[12], considerat de referință în materie, un prim demers a fost acela de a elabora un Cod de etică profesională a auditorilor sistemelor informatice care cuprinde un set de reguli de comportament ce ghidează conduita etică și profesională a auditorilor certificați. Exercitarea acestei profesii supune următoarelor principii:

• implementarea standardelor și procedurilor specifice de audit SI,
• seriozitate și loialitate față de client,
• abținere de la activități ilegale,
• confidențialitatea informațiilor obținute în timpul misiunii de audit, cu excepția situației în care acestea sunt solicitate de autorități legale,
• independența auditorului ca premisă a corectitudinii și lipsei de prejudecăți,
• profesionalism,
• informarea clientului cu privire la rezultatele auditului,
• susținerea informării asociaților/acționarilor/membrilor entității auditate pentru a crește gradul de înțelegere a aspectelor referitoare la securitatea și controlul sistemelor informatice, precum și a încrederii în cadrul grupului.

După Codul de etică au fost elaborate Standardele internaționale de audit al sistemelor informatice care au permis uniformizarea internațională a practicilor de audit. Standardele oferă auditorului sistemelor informatice un set de reguli și principii la care acesta se poate raporta în timpul misiunii de audit, pe de o parte, precum și norme privitoare la obligația de a informa conducerea entității auditate și alte persoane interesate despre desfășurarea activităților și practicile specifice acestui domeniu, pe de altă parte.

Pentru implementarea Standardelor au fost elaborate o serie de Ghiduri metodologice care oferă auditorului instrumente de aplicare a standardelor, proceduri de urmat în misiunile de audit.

Standardele internaționale de audit al sistemelor informatice privesc elementele specifice acestui tip de audit, elemente pe care le enumerăm în cele ce urmează.

Contractul de audit (Audit Charter) – misiunea de audit presupune încheierea prealabilă a contractului de audit, cunoscut și sub denumirea de scrisoare de angajament. Independența (Independence) – este cheia de boltă a profesiei de auditor și are două laturi: independența profesională prin care înțelegem independența față de unitatea auditată și independența organizațională înțeleasă ca independență față de aria auditată.

Etica și standardele profesionale (Professional Ethics and Standards) care se referă la faptul că auditorul trebuie să respecte Codul etic elaborat de ISACA și Standardele de audit în vigoare la data efectuării misiunii de audit.

Competența profesională (Professional Competence) – auditorul trebuie să fie competent din punct de vedere profesional pentru a efectua misiunea de audit, să aibă aptitudinea și cunoștințele necesare pentru aceasta; totodată, având în vedere că domeniul este caracterizat printr-o dinamică accentuată, auditorul trebuie să-și mențină competența prin educație și formare continuă, urmând cursuri de pregătire, participând la conferințe, workshop-uri, etc.

Planificarea (Planning) – auditorul trebuie să-și planifice misiunea de audit în funcție de obiectivele acesteia, cu respectarea standardelor de audit și a legislației în vigoare. Auditorul trebuie să stabilească o strategie de audit bazată pe riscuri, precum și un plan de audit care să stabilească obiectivele auditului, întinderea misiunii de audit, durata acesteia, precum și resursele necesare.

Evaluarea riscului în planificarea auditului (Use of Risk Assesment in Audit Planning) – planificarea misiunii de audit se face ținând cont riscurile sistemului auditat, dar și de riscurile care planează asupra misiunii de audit.

Pragul de semnificație în audit (Audit Materiality) – există o relație invers proporțională între pragul de semnificație^[13] și riscul de audit, cu cât pragul de semnificație este mai scăzut riscul este mai mare și invers.

Performanța activității de audit (Performance of Audit Work) – presupune:

• supervizare – șeful misiunii de audit va supraveghea echipa sa de specialiști pentru atingerea obiectivelor, respectarea standardelor și legislației
• documentare – auditorul descrie în foile de lucru activitatea desfășurată și probele obținute
• probele de audit – tehnicile și procedurile utilizate de auditor trebuie să conducă la obținerea de probe suficiente, relevante și de încredere pentru atingerea obiectivelor auditului; concluziile se vor baza pe analiza și interpretarea acestor probe.

Raportarea (Reporting) – la finalul misiunii, auditorul va întocmi Raportul de audit în care menționează, printre altele, entitatea auditată, destinatarii raportului și eventualele restricții de circulație a acestuia, concluziile și recomandările pentru remedierea deficiențelor constatate. Raportul se semnează de auditor și trebuie realizat în termenul stabilit prin contractul de audit sau scrisoarea de angajament. Raportul cuprinde opinia auditorului cu privire la obiectivele misiunii de audit.

Urmărirea recomandărilor din Raportul de audit (Follow up Activities) – presupune revenirea auditorului la entitatea auditată pentru a evalua măsurile luate de conducere pentru punerea în practică a recomandărilor.

Frauda și eroarea (Irregularities and Illegal Acts) – pentru a reduce riscul de audit la un nivel acceptabil, auditorul trebuie să evalueze riscul apariției unor fraude sau erori. Auditorul trebuie să fie rezervat, să manifeste o atitudine de scepticism pe durata misiunii sale, ținând cont de posibilitatea existenței unor acte ilegale.

Guvernanța IT (IT Governance) – presupune următoarele aspecte:

• evaluarea de către auditor a sistemului IT al entității auditate și dacă acesta susține obiectivele și strategia entității,
• evaluarea eficienței utilizării resursele sistemului informațional al entității și performanța managementului IT,
• analiza managementului riscurilor asociate sistemelor IT.

Utilizarea informațiilor obținute de la alți experți (Using the Work of Other Experts) – pentru obținerea probelor de audit auditorul trebuie să folosească dacă este cazul experiența și competența altor experți, precum consultant managerial, expert IT, expert fiscal, expert contabil, etc., să-i consulte, să le ceară părerea, dar opiniile acestora vor fi evaluate ținând cont de pregătirea și experiența lor profesională, precum și de independența lor.

Probele de audit (Audit Evidence) – auditorul trebuie să obțină probe suficiente pentru fundamentarea concluziilor din raportul de audit.

3. IIA ‒ Institute of Internal Auditors/Standardele IIA

Institute of Internal Auditors – IIA. Fondată în anul 1941, The IIA este o organizație neguvernamentală, o asociaţie profesională cu sediul în Lake Mary, Florida, SUA, având un număr de peste 200.000 de membri şi reprezentanţe în mai mult de 170 de ţări. Este o autoritate recunoscută ca important formator, leader în certificare, instruire, cercetare ştiinţifică şi ghidare tehnologică pentru profesia de auditor pe plan mondial. În domeniul auditului IT, IIA promovează cunoştinţe specializate şi suport modern, în concordanţă cu tendinţele şi evoluţiile pe plan mondial, contribuind la accelerarea extinderii şi adaptării misiunilor de audit la cerinţele impuse de existenţa unui mediu de audit informatizat pe scară largă^[14].

Standardele IIA. IIA furnizează standarde, dar şi numeroase resurse suplimentare pentru a sprijini activitatea de audit: ghiduri de implementare a celor mai bune practici, studii de caz şi alte instrumente integrate în cadrul de lucru IPPF (International Professional Practices Framework).

În domeniul auditului IT, liniile directoare de audit GTAG (Global Technology Audit Guidelines) abordează probleme legate de managementul tehnologiei informaţiei, controlul şi securitatea informaţiei. Seria GTAG constituie o resursă pentru auditori, tratează riscurile asociate diferitelor tehnologii şi recomandă practicile pentru reducerea impactului acestora.

Liniile directoare sunt structurate pe următoarele categorii de probleme:

GTAG PG-15: Securitatea informaţiei

GTAG PG-14: Auditul aplicaţiilor dezvoltate de utilizatori

GTAG PG-13: Prevenirea şi detectarea fraudei într-un mediu informatizat

GTAG PG-12: Auditul proiectelor IT

GTAG PG-11: Elaborarea Planului de Audit IT

GTAG PG-10: Managementul continuităţii

PG GTAG-9: Managementul identităţii şi al accesului

PG GTAG-8: Auditarea controalelor de aplicaţie

PG GTAG-7: Externalizarea tehnologiei informaţiei

PG GTAG-6: Managementul şi auditul vulnerabilităţilor IT

GTAG PG-5: Managementul şi auditul riscurilor privind confidenţialitatea

GTAG-4: Managementul auditului IT

PG GTAG-3: Audit continuu: Implicaţii pentru asigurare, monitorizare şi evaluare a riscurilor

PG GTAG-2: Controale privind managementul schimbării

PG GTAG-1: Controale IT