Reglementarea exercitării profesiei de auditor de securitate cibernetică în România

1. Considerații introductive privind exercitarea profesiei de auditor de securitate cibernetică

Profesia de auditor al sistemelor informatice, pentru care se folosesc și denumiri precum cea de auditor informatic, auditor IT sau auditor de securitate cibernetică, face parte din categoria profesiilor liberale.

Auditorul sistemelor informatice este un specialist cu cunoștințe solide de informatică, care cunoaște legislația specifică și care are diplome, certificări și autorizări recunoscute în domeniul auditului sistemelor informatice, documente care atestă că poate soluționa probleme specifice sistemului informatic, poate parcurge etapele auditului informatic și poate elabora raportul de audit^[1].

Auditul sistemului informatic este o activitate complexă, care presupune verificarea, testarea, controlul specificațiilor, aplicațiilor, programelor, bazelor de date, dar și a proceselor specifice ciclului de viață^[2] ale unui program, aplicații, sistem informatic sau portal complex aparținând entității auditate^[3]. Obiectivul fundamental al acestui tip de audit îl constituie stabilirea gradului de credibilitate al soluțiilor de management al sistemului informatizat, scop în care auditorul va compara sistemul informatic auditat cu un sistem ideal.

Pentru a obține o imagine cât mai exactă asupra activității entității auditate, auditorul va întreprinde o activitate de documentare cu privire la entitatea auditată, activitatea acesteia, domeniul în care-și desfășoară activitatea și problemele specifice domeniului, legislația și standardele aplicabile, aspecte legate de managementul organizației și managementul sistemului informatic, soluții tehnice implementate, aspecte contractuale, activitatea de control și audit informatic intern, auditurile IT anterioare și concluziile acestora, activitățile de follow up desfășurate și, în general, orice aspecte care consideră auditorul că servesc îndeplinirii scopului auditului. Obținând aceste informații, auditorul va putea evalua corect riscurile și vulnerabilitățile sistemului informatic auditat, riscul de eroare și/sau de fraudă, și va fi în măsură să realizeze în mod adecvat planul și programul de audit, va putea stabili corect strategia de audit, dar și metoda de auditare.

Activitatea de audit se finalizează cu încheierea Raportului de audit, care cuprinde concluziile și opinia auditorului, fundamentate pe probe. Orice afirmație a auditorului va trebui confirmată, susținută de probele de audit. Acestea sunt obținute pe parcursul misiunii de audit, auditorul folosind în acest sens toată experiența și cunoștințele sale tehnice, în domeniul legislației, standardelor, abilitățile organizatorice, dar și abilități și cunoștințe care țin de domeniul psihologiei dacă avem în vedere efortul de obținere a informațiilor relevante pentru audit. Astfel, pe lângă activitățile tehnice specifice auditului sistemelor informatice, auditorul va verifica toate documentele considerate utile pentru atingerea obiectivelor misiunii de audit, va cere, dacă este cazul, părerea unor specialiști din afara instituției auditate, va intervieva persoane din interiorul instituției care ar putea furniza informații utile, precum membrii echipei de management, auditori interni, managerii IT și persoanele cu atribuții în administrarea, monitorizarea, întreținerea și utilizarea sistemului informatic, utilizatori, alți angajați.

Literatura de specialitate, dar și standardele recomandă ca auditorul să fie rezervat pe parcursul misiunii de audit, în relațiile cu personalul entității auditate, dar din practică rezultă că pentru succesul misiunii de audit comunicarea este vitală. Elemente ale comunicării, precum cuvintele (7%), timbrul vocii (38%), mimica, gestica, ținuta, contactul cu privirea (55%) sunt foarte importante^[4]. Auditorul trebuie să fie rezervat, dar nu trebuie să construiască un zid între el și personalul entității auditate, să se comporte și să fie perceput ca un inamic, ci dimpotrivă trebuie să poarte discuții, să manifeste empatie, să creeze cadrul și atmosfera propice pentru destăinuiri, să conducă dialogul cu persoanele din instituție de așa manieră încât să obțină informații privitoare la activitatea entității auditate. Este vorba despre tehnica ascultării active pe care ar trebui să o stăpânească toți auditorii, apreciată de practicieni și teoreticieni deopotrivă ca fiind cheia comunicării eficiente.

Comunicarea este una dintre cele mai importante aptitudini ale omului. Ea constă în vorbire, scriere și ascultare. Ascultarea, ignorată de multe ori, nu este un demers facil, așa cum ar părea la prima vedere. Ea necesită concentrare, o anumită atitudine, este un proces intelectual și emoțional. Potrivit doctrinei^[5] există patru categorii de persoane: non-ascultători, ascultători marginali, ascultători evaluatori și ascultători activi, ascultarea activă fiind cea mai complexă formă de ascultare. Pentru desfășurarea ascultării active trebuie luați în considerare trei factori: (1) aptitudinile de ascultare, (2) atitudinea ascultătorului și (3) oportunitatea oferită de conversație^[6].

Ascultarea activă presupune atenție completă la ceea ce spune interlocutorul, răbdare pentru a-l asculta fără a-l întrerupe, manifestarea interesului pentru cele relatate de vorbitor și stimularea acestuia să se simtă important și să vorbească, folosind în acest sens indicii verbale^[7] ori non-verbale^[8]. Ascultarea activă înseamnă a auzi mai mult decât spune interlocutorul, presupune deslușirea sensului ascuns al afirmațiilor acestuia sau, altfel spus, ce se află dincolo de cuvinte. De aceea, auditorul va analiza nu numai ceea ce afirmă în mod expres interlocutorul, ci și intenția și sentimentele acestuia.

Ascultarea activă este importantă pentru o serie de categorii profesionale, precum persoane cu funcții de conducere, polițiști, magistrați, angajați ai serviciilor secrete, funcționari ai serviciilor sociale, medici și, nu în ultimul rând, auditori, inclusiv auditori de securitate cibernetică.

Așa cum pe bună dreptate s-a afirmat în literatura de specialitate^[9], auditorii nu sunt nici prieteni, nici dușmani, ci profesioniști care trebuie să identifice punctele slabe ale ariei auditate, astfel că prin remedierea acestora să se reducă riscurile la un nivel acceptabil, să crească securitatea și credibilitatea sistemului informatic utilizat, cu efecte pozitive asupra activității entității auditate.

Succesul misiunii de audit este asigurat de întrunirea cumulativă a unor condiții care privesc pregătirea profesională a auditorilor, certificarea și atestarea lor, dar și folosirea pe parcursul activității de audit a unor instrumente care să asigure precizie, rigoare și rapiditate, după cum urmează:

• auditorii să fie persoane calificate în domeniul informatic,
• să existe organisme recunoscute de certificare/atestare a auditorilor,
• pentru efectuarea auditului să fie folosite tehnicile de audit asistate de calculator^[10] (Computer Assisted Audit Techniques – CAATs).

2. Reglementarea profesiei de auditor de securitate cibernetică

Digitizarea și digitalizarea^[11] accentuată a unui număr din ce în ce mai mare de domenii de activitate, în sectorul privat, dar și în cel public, tendința de generalizare a utilizării sistemelor de prelucrare automată a datelor, au determinat preocuparea pentru creșterea securității sistemelor informatice, inclusiv apariția unui nou tip de audit: auditul sistemelor informatice. Necesitatea reducerii riscurilor inerente folosirii sistemelor informatice a impus pe lângă găsirea unor soluții tehnice și adoptarea unor norme juridice noi, adecvate noilor realități, care să incrimineze fraudele informatice și să combată criminalitatea cibernetică^[12], să stabilească strategii naționale privind securitatea cibernetică și obligațiile instituțiilor digitalizate privind creșterea gradului de securitate cibernetică, să reglementeze exercitarea profesiei de auditor de securitate cibernetică, inclusiv coduri etice aplicabile acestora.

România nu putea rămâne în afara acestui proces și, chiar dacă pașii în sensul digitalizării pot fi considerați timizi în comparație cu stadiul la care au ajuns alte state, țara noastră urmează tendința prevalentă la nivel mondial. Pe de altă parte, calitatea României de stat membru al Uniunii Europene presupune obligații în privința digitalizării^[13] și asigurării securității cibernetice^[14]. În consecință, au fost adoptate o serie de acte normative menite să armonizeze legislația românească cu cea europeană și să creeze cadrul juridic necesar folosirii în condiții de siguranță a sistemelor informatice^[15].

Cadrul legal pentru exercitarea profesiei de auditor de securitate cibernetică este Regulamentul din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică, aprobat prin Ordinul nr. 559/2021, adoptat de Secretariatul general al Guvernului și publicat în Monitorul Oficial al României nr. 387 din 14 aprilie 2021, Partea I, pentru care vom folosi în continuare denumirea de Regulament, act normativ care reglementează atestarea, suspendarea și revocarea atestatului de auditor de securitate cibernetică, desfășurarea activității auditorilor și a misiunii de audit, verificarea activității auditorilor de securitate cibernetică și aplicarea sancțiunilor, evidența auditorilor prin Registrul Național al Auditorilor de Securitate Cibernetică.

Regulamentul se aplică pentru atestarea și verificarea auditorilor de securitate cibernetică care asigură auditarea rețelelor și sistemelor informatice ce susțin servicii esențiale ori furnizează servicii digitale, în condițiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, denumită și Legea NIS [art. 1 alin. (1) din Regulament]. Potrivit art. 6 alin. (1) din Legea NIS, un serviciu este considerat esențial dacă furnizarea lui îndeplinește cumulativ următoarele condiții: serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță; furnizarea sa depinde de o rețea sau de un sistem informatic; furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident. De asemenea, potrivit art. 3 lit. o) din Legea NIS, furnizorul de servicii digitale este orice entitate care furnizează servicii care se încadrează într-una din următoarele categorii: piață online, motor de căutare online, serviciu de cloud computing.

Potrivit Directoratului Național de Securitate Cibernetică (DNSC), sunt furnizori de servicii esențiale operatorii din domeniul energiei (electricitate, petrol, gaze naturale), transport (aerian, feroviar, rutier, naval), bancar, piață financiară, sănătate, apă potabilă și infrastructură digitală^[16].

Sursa: Directoratul Național de Securitate Cibernetică, https://dnsc.ro/pagini/operatori-de-servicii-esentiale

Pentru celelalte domenii de activitate, auditorul de securitate cibernetică nu trebuie să fie atestat de DNSC, fiind suficientă existența unei certificări a acestei specializări, emisă de un formator din sectorul public sau privat^[17].

Auditorul de securitate cibernetică este, potrivit art. 2 alin. (2) lit. a) din Regulament, persoana fizică atestată sau persoana juridică cu personal atestat „care realizează activități de auditare a rețelelor și sistemelor informatice ce susțin servicii esențiale sau furnizează servicii digitale, conform reglementărilor și bunelor practici în domeniu”. Așadar, profesia de auditor de securitate cibernetică poate fi exercitată de persoane fizice atestate să exercite activități specifice auditului de securitate cibernetică, respectiv activități „prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, în vederea identificării disfuncțiilor și vulnerabilităților și a furnizării unor soluții de remediere a acestora [art. 2 alin. (2) lit. b) din Regulament], activități pe care le exercită în mod independent sau ca angajați ai unor persoane juridice atestate, la rândul lor, să desfășoare atare activități.
DOWNLOAD FULL ARTICLE