Reglementarea exercitării profesiei de auditor de securitate cibernetică în România

1. Considerații introductive privind exercitarea profesiei de auditor de securitate cibernetică

Profesia de auditor al sistemelor informatice, pentru care se folosesc și denumiri precum cea de auditor informatic, auditor IT sau auditor de securitate cibernetică, face parte din categoria profesiilor liberale.

Auditorul sistemelor informatice este un specialist cu cunoștințe solide de informatică, care cunoaște legislația specifică și care are diplome, certificări și autorizări recunoscute în domeniul auditului sistemelor informatice, documente care atestă că poate soluționa probleme specifice sistemului informatic, poate parcurge etapele auditului informatic și poate elabora raportul de audit[1].

Auditul sistemului informatic este o activitate complexă, care presupune verificarea, testarea, controlul specificațiilor, aplicațiilor, programelor, bazelor de date, dar și a proceselor specifice ciclului de viață[2] ale unui program, aplicații, sistem informatic sau portal complex aparținând entității auditate[3]. Obiectivul fundamental al acestui tip de audit îl constituie stabilirea gradului de credibilitate al soluțiilor de management al sistemului informatizat, scop în care auditorul va compara sistemul informatic auditat cu un sistem ideal.

Pentru a obține o imagine cât mai exactă asupra activității entității auditate, auditorul va întreprinde o activitate de documentare cu privire la entitatea auditată, activitatea acesteia, domeniul în care-și desfășoară activitatea și problemele specifice domeniului, legislația și standardele aplicabile, aspecte legate de managementul organizației și managementul sistemului informatic, soluții tehnice implementate, aspecte contractuale, activitatea de control și audit informatic intern, auditurile IT anterioare și concluziile acestora, activitățile de follow up desfășurate și, în general, orice aspecte care consideră auditorul că servesc îndeplinirii scopului auditului. Obținând aceste informații, auditorul va putea evalua corect riscurile și vulnerabilitățile sistemului informatic auditat, riscul de eroare și/sau de fraudă, și va fi în măsură să realizeze în mod adecvat planul și programul de audit, va putea stabili corect strategia de audit, dar și metoda de auditare.

Activitatea de audit se finalizează cu încheierea Raportului de audit, care cuprinde concluziile și opinia auditorului, fundamentate pe probe. Orice afirmație a auditorului va trebui confirmată, susținută de probele de audit. Acestea sunt obținute pe parcursul misiunii de audit, auditorul folosind în acest sens toată experiența și cunoștințele sale tehnice, în domeniul legislației, standardelor, abilitățile organizatorice, dar și abilități și cunoștințe care țin de domeniul psihologiei dacă avem în vedere efortul de obținere a informațiilor relevante pentru audit. Astfel, pe lângă activitățile tehnice specifice auditului sistemelor informatice, auditorul va verifica toate documentele considerate utile pentru atingerea obiectivelor misiunii de audit, va cere, dacă este cazul, părerea unor specialiști din afara instituției auditate, va intervieva persoane din interiorul instituției care ar putea furniza informații utile, precum membrii echipei de management, auditori interni, managerii IT și persoanele cu atribuții în administrarea, monitorizarea, întreținerea și utilizarea sistemului informatic, utilizatori, alți angajați.

Literatura de specialitate, dar și standardele recomandă ca auditorul să fie rezervat pe parcursul misiunii de audit, în relațiile cu personalul entității auditate, dar din practică rezultă că pentru succesul misiunii de audit comunicarea este vitală. Elemente ale comunicării, precum cuvintele (7%), timbrul vocii (38%), mimica, gestica, ținuta, contactul cu privirea (55%) sunt foarte importante[4]. Auditorul trebuie să fie rezervat, dar nu trebuie să construiască un zid între el și personalul entității auditate, să se comporte și să fie perceput ca un inamic, ci dimpotrivă trebuie să poarte discuții, să manifeste empatie, să creeze cadrul și atmosfera propice pentru destăinuiri, să conducă dialogul cu persoanele din instituție de așa manieră încât să obțină informații privitoare la activitatea entității auditate. Este vorba despre tehnica ascultării active pe care ar trebui să o stăpânească toți auditorii, apreciată de practicieni și teoreticieni deopotrivă ca fiind cheia comunicării eficiente.

Comunicarea este una dintre cele mai importante aptitudini ale omului. Ea constă în vorbire, scriere și ascultare. Ascultarea, ignorată de multe ori, nu este un demers facil, așa cum ar părea la prima vedere. Ea necesită concentrare, o anumită atitudine, este un proces intelectual și emoțional. Potrivit doctrinei[5] există patru categorii de persoane: non-ascultători, ascultători marginali, ascultători evaluatori și ascultători activi, ascultarea activă fiind cea mai complexă formă de ascultare. Pentru desfășurarea ascultării active trebuie luați în considerare trei factori: (1) aptitudinile de ascultare, (2) atitudinea ascultătorului și (3) oportunitatea oferită de conversație[6].

Ascultarea activă presupune atenție completă la ceea ce spune interlocutorul, răbdare pentru a-l asculta fără a-l întrerupe, manifestarea interesului pentru cele relatate de vorbitor și stimularea acestuia să se simtă important și să vorbească, folosind în acest sens indicii verbale[7] ori non-verbale[8]. Ascultarea activă înseamnă a auzi mai mult decât spune interlocutorul, presupune deslușirea sensului ascuns al afirmațiilor acestuia sau, altfel spus, ce se află dincolo de cuvinte. De aceea, auditorul va analiza nu numai ceea ce afirmă în mod expres interlocutorul, ci și intenția și sentimentele acestuia.

Ascultarea activă este importantă pentru o serie de categorii profesionale, precum persoane cu funcții de conducere, polițiști, magistrați, angajați ai serviciilor secrete, funcționari ai serviciilor sociale, medici și, nu în ultimul rând, auditori, inclusiv auditori de securitate cibernetică.

Așa cum pe bună dreptate s-a afirmat în literatura de specialitate[9], auditorii nu sunt nici prieteni, nici dușmani, ci profesioniști care trebuie să identifice punctele slabe ale ariei auditate, astfel că prin remedierea acestora să se reducă riscurile la un nivel acceptabil, să crească securitatea și credibilitatea sistemului informatic utilizat, cu efecte pozitive asupra activității entității auditate.

Succesul misiunii de audit este asigurat de întrunirea cumulativă a unor condiții care privesc pregătirea profesională a auditorilor, certificarea și atestarea lor, dar și folosirea pe parcursul activității de audit a unor instrumente care să asigure precizie, rigoare și rapiditate, după cum urmează:

  • auditorii să fie persoane calificate în domeniul informatic,
  • să existe organisme recunoscute de certificare/atestare a auditorilor,
  • pentru efectuarea auditului să fie folosite tehnicile de audit asistate de calculator[10] (Computer Assisted Audit Techniques – CAATs).

 

2. Reglementarea profesiei de auditor de securitate cibernetică

Digitizarea și digitalizarea[11] accentuată a unui număr din ce în ce mai mare de domenii de activitate, în sectorul privat, dar și în cel public, tendința de generalizare a utilizării sistemelor de prelucrare automată a datelor, au determinat preocuparea pentru creșterea securității sistemelor informatice, inclusiv apariția unui nou tip de audit: auditul sistemelor informatice. Necesitatea reducerii riscurilor inerente folosirii sistemelor informatice a impus pe lângă găsirea unor soluții tehnice și adoptarea unor norme juridice noi, adecvate noilor realități, care să incrimineze fraudele informatice și să combată criminalitatea cibernetică[12], să stabilească strategii naționale privind securitatea cibernetică și obligațiile instituțiilor digitalizate privind creșterea gradului de securitate cibernetică, să reglementeze exercitarea profesiei de auditor de securitate cibernetică, inclusiv coduri etice aplicabile acestora.

România nu putea rămâne în afara acestui proces și, chiar dacă pașii în sensul digitalizării pot fi considerați timizi în comparație cu stadiul la care au ajuns alte state, țara noastră urmează tendința prevalentă la nivel mondial. Pe de altă parte, calitatea României de stat membru al Uniunii Europene presupune obligații în privința digitalizării[13] și asigurării securității cibernetice[14]. În consecință, au fost adoptate o serie de acte normative menite să armonizeze legislația românească cu cea europeană și să creeze cadrul juridic necesar folosirii în condiții de siguranță a sistemelor informatice[15].

Cadrul legal pentru exercitarea profesiei de auditor de securitate cibernetică este Regulamentul din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică, aprobat prin Ordinul nr. 559/2021, adoptat de Secretariatul general al Guvernului și publicat în Monitorul Oficial al României nr. 387 din 14 aprilie 2021, Partea I, pentru care vom folosi în continuare denumirea de Regulament, act normativ care reglementează atestarea, suspendarea și revocarea atestatului de auditor de securitate cibernetică, desfășurarea activității auditorilor și a misiunii de audit, verificarea activității auditorilor de securitate cibernetică și aplicarea sancțiunilor, evidența auditorilor prin Registrul Național al Auditorilor de Securitate Cibernetică.

Regulamentul se aplică pentru atestarea și verificarea auditorilor de securitate cibernetică care asigură auditarea rețelelor și sistemelor informatice ce susțin servicii esențiale ori furnizează servicii digitale, în condițiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, denumită și Legea NIS [art. 1 alin. (1) din Regulament]. Potrivit art. 6 alin. (1) din Legea NIS, un serviciu este considerat esențial dacă furnizarea lui îndeplinește cumulativ următoarele condiții: serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță; furnizarea sa depinde de o rețea sau de un sistem informatic; furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident. De asemenea, potrivit art. 3 lit. o) din Legea NIS, furnizorul de servicii digitale este orice entitate care furnizează servicii care se încadrează într-una din următoarele categorii: piață online, motor de căutare online, serviciu de cloud computing.

Potrivit Directoratului Național de Securitate Cibernetică (DNSC), sunt furnizori de servicii esențiale operatorii din domeniul energiei (electricitate, petrol, gaze naturale), transport (aerian, feroviar, rutier, naval), bancar, piață financiară, sănătate, apă potabilă și infrastructură digitală[16].

Sursa: Directoratul Național de Securitate Cibernetică, https://dnsc.ro/pagini/operatori-de-servicii-esentiale

 

Pentru celelalte domenii de activitate, auditorul de securitate cibernetică nu trebuie să fie atestat de DNSC, fiind suficientă existența unei certificări a acestei specializări, emisă de un formator din sectorul public sau privat[17].

Auditorul de securitate cibernetică este, potrivit art. 2 alin. (2) lit. a) din Regulament, persoana fizică atestată sau persoana juridică cu personal atestat „care realizează activități de auditare a rețelelor și sistemelor informatice ce susțin servicii esențiale sau furnizează servicii digitale, conform reglementărilor și bunelor practici în domeniu”. Așadar, profesia de auditor de securitate cibernetică poate fi exercitată de persoane fizice atestate să exercite activități specifice auditului de securitate cibernetică, respectiv activități „prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, în vederea identificării disfuncțiilor și vulnerabilităților și a furnizării unor soluții de remediere a acestora [art. 2 alin. (2) lit. b) din Regulament], activități pe care le exercită în mod independent sau ca angajați ai unor persoane juridice atestate, la rândul lor, să desfășoare atare activități.


[1] Ion Ivan, Alecu Felician, Sergiu Capisizu, Auditul informatic, în Revista Economistul, 1887/2005, p. 2, http://alecu.ase.ro/articles/economistul_2005.pdf.

[2] A întregului ciclu de viață sau numai a unei secvențe a acestuia.

[3] Pentru detalii privind auditul sistemelor informatice, a se vedea Ramona Ciobanu, Tendințe actuale în activitatea de audit. Auditul sistemelor informatice, în Revista Universul Juridic nr. 2/2022, pp. 90-101, https://www.universuljuridic.ro/tendinte-actuale-in-activitatea-de-audit-auditul-sistemelor-informatice/.

[4] Ion Ivan, Alecu Felician, Sergiu Capisizu, op. cit., p. 4.

[5] Pentru detalii, a se vedea Phillip L. Hunsaker, Anthony J. Alessandra, The new art of managing people: person-to-person skills, guidelines, and techniques every manager needs to guide, direct, and motivate the team, New York: Free Press, 2008.

[6] Vahid Kohpeima Jahromi ș. a., Active listening: The key of successful communication in hospital managers, în Electronic Phisician, March 2016, Volume: 8, Issue: 3, p. 2124, https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4844478/

[7] Spre exemplu, încurajarea verbală minimă (Da?, Chiar?, Interesant!, Ei, bine?) ori reflectarea conținutului și a sentimentelor vorbitorului prin folosirea unor expresii verbale (Spune-mi mai multe despre… Mă bucur să ascult dacă vrei să vorbești despre…).

[8] Putem menționa în acest sens: postura atentă, expresia facială încurajatoare/empatică, menținerea contactului vizual, tăcere atentă.

[9] Ion Ivan, Alecu Felician, Sergiu Capisizu, op. cit., p. 4.

[10] Digitalizarea accentuată, volumul mare de date stocate la nivelul la nivelul instituțiilor, concurența economică acerbă impun necesitatea unor instrumente de audit care să corespundă cerințelor utilizatorilor, precum acces și procesare rapidă, siguranța operațiunilor, securitatea datelor, protecție împotriva dezastrelor. Tehnicile clasice de audit trebuie dublate de tehnici noi, corespunzătoare noilor tendințe și nevoi, acesta fiind cadrul în care s-a impus utilizarea tehnicilor de audit asistate de calculator sau, pe scurt, CAATs. Potrivit Standardelor internaționale de audit, CAATs reprezintă tehnici folosite de auditorii care utilizează calculatorul ca instrument pentru culegerea și analiza datelor necesare auditului. De altfel, având în vedere caracteristicile noii economii, din ce în ce mai digitalizată, este aproape imposibil ca auditorii să colecteze probe de audit fără un instrument software de analiză a datelor. Se folosește software-ul generalizat de audit (Generalized Audit Software – GAS) și software-uri specializate, precum testul de date, testul integrat, tehnici pentru analiza fluxurilor de date și sisteme expert. Pentru detalii, a se vedea P. Năstase (coordinator) ș.a., Auditul și controlul sistemelor informaționale, Ed. Economică, București, 2007, pp. 40-44.

[11] Pentru explicații privind noțiunile de digitizare, digitalizare, revoluție digitală și economie digitală, a se vedea Ramona Ciobanu, Revoluția digitală și impozitarea, în Curierul judiciar nr. 3/2021, pp.127-132.

[12] Potrivit notei finale nr. 5 din Comunicarea comună către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor. Strategia de securitate cibernetică a Uniunii Europene: un spațiu cibernetic deschis, sigur și securizat /* JOIN/2013/01 final */,criminalitatea cibernetică se referă în general la o gamă largă de activități infracționale, care au ca instrument principal ori ca țintă principală calculatoarele și sistemele informatice. Criminalitatea cibernetică include infracțiunile tradiționale (de exemplu frauda, falsificarea și furtul de identitate), infracțiunile legate de conținut (de exemplu, distribuirea de pornografie infantilă sau instigarea la ură rasială online) și infracțiunile asociate exclusiv calculatoarelor și sistemelor informatice (de exemplu, atacurile împotriva sistemelor informatice, blocarea accesului și malware-ul)”, https://eur-lex.europa.eu/legal-content/ro/TXT/?uri=CELEX:52013JC0001.

[13] A se vedea, în acest sens, European Commision, Europe’s Digital Decade: Digital targets for 2030, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en.

[14] A se vedea, în acest sens, Rezoluția Parlamentului European din 10 iunie 2021 referitoare la Strategia de securitate cibernetică a UE pentru deceniul digital (2021/2568(RSP)), publicată în Jurnalul Oficial al Uniunii Europene nr. C-67 din 8 februarie 2022, https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=uriserv%3AOJ.C_.2022.067.01.0081.01.RON&toc=OJ%3AC%3A2022%3A067%3ATOC; Directoratul Național de Securitate Cibernetică, Noua strategie de securitate cibernetică a UE pentru Deceniul Digital și impactul său pentru România, https://dnsc.ro/citeste/noua-strategie-de-securitate-cibernetica-a-ue-pentru-deceniul-digital-si-impactul-sau-pentru-romania.

[15] Menționăm, în acest sens, H.G. nr. 271/2013 pentru aprobarea Strategiei de Securitate Cibernetică a României (SNSC) și a Planului de acțiune la nivel național privind implementarea SNSC; Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, denumită și Legea NIS, lege care transpune în legislația internă Directiva UE 2016/1148 (NIS – Network and Information Security) a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în UE; O.U.G. nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică.

[16] Evidența operatorilor de servicii esențiale este asigurată de DNSC, respectiv Autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale ori furnizează serviciile digitale (ANSRSI), în Registrul Operatorilor de Servicii Esențiale (OSE), registru care face parte din categoria documentelor clasificate, din clasa Secrete de Serviciu, https://dnsc.ro/pagini/operatori-de-servicii-esentiale.

[17] Un auditor de securitate cibernetică poate deține și alte atestate și certificări, inclusiv de audit de securitate cibernetică, și care nu fac obiectul Regulamentului.

Reglementarea exercitării profesiei de auditor de securitate cibernetică în România was last modified: august 4th, 2022 by Ramona Ciobanu

Numai utilizatorii autentificați pot scrie comentarii

Arhiva Revista