25 de ani și ceva mărunțiș

Retrospectiv privind lucrurile și cu detașarea vîrstei, spun că tot ce am făcut și încă fac se hrănește cu pasiune și responsabilitate.

În octombrie 1996 începeam studiile doctorale fără să am nici cea mai mică idee despre ce presupunea acest drum și nici că nu voi mai părăsi amfiteatrele facultății. Abia terminasem facultate și apăruseră ”bursele doctorale”. În vara lui 1996, în cîteva ore, am renunțat la proaspătul post de la o bancă și am pornit să descopăr ”auditul sistemelor de prelucrare automată a datelor financiar contabile”.….La îndemnul profesorului coordonator de la licență am mers pe drumul ”auditului”……sintagme precum ”IT systems”, ”IT audit” erau aproape necunoscute.

Deși fusesem martor la ”decesul COBOL” iar un mouse văzusem abia la finalul anului 1994, cei 4 ani dedicați aprofundării subiectului au fost entuziasmanți. Printre examene și referate științifice, am descoperit atunci ISACA (și pentru că nu exista Chapter în RO și pentru că taxa de membru era de vreo 5 ori bursa de doctorand de 36 USD, am fost acceptat ”member at large”), COBIT, ”piramida COSO” care a devenit între timp ”cub”, ISO 17799…..Avusesem tentative în zona programării, baze de date, dar ”drumul” m-a dus fără să mă gîndesc spre networking și … Windows. Subiectul principal al tezei a fost auditarea ”tehnică” a unei aplicații financiar contabile.

Sufletul meu tînjea însă după obținerea certificării CISA pentru că asta am considerat a fi ”confirmarea profesională”. Costurile examenului însă erau prohibitive pentru un tînăr lector universitar. Abia în 2006 reușesc să plătesc cei 600 USD și să susțin examenul. Cu această ocazie, din ”member at large” mă afiliez chapterului național al ISACA (înființat în 2003).

Însă legislația și piața/practica locală nu erau nici pe departe așa după cum era scris prin cărțile de peste ocean. Apăruse Ordinului 1077/6 august 2003 (facturarea într-un singur exemplar), OMCSI nr 16/2003 (Internet banking)…ambele făceau referire la ”audit asupra planului de securitate”…. Îmi aduc aminte cum am participat (nu am fost singurul participant) la revizuirea OMCSI 16…Am plecat cu un autobuz din Iași, încărcat cu COBIT, ISO, NIST-uri și 2 manuale….S-au scos atunci în evidență lispurile Ordinului, s-au făcut propuneri susținute cu dovezi din practica internațională…..Ordinul ”revizuit” nu a inclus nimic din ce s-a propus la acele discuții.

În 2007 cu o echipă de studenți la master, 4 colegi de breaslă și suportul lui Yugo Neumorni (președintele ISACA Ro de atunci) am tradus COBIT 4.1. Visam că va fi îmbrățișat de practica noastră. Visul a continuat și în 2013-2014 cînd, cam în aceeași formulă, am tradus și adaptat 4 manuale de COBIT 5. Am fost și l-am prezentat/susținut pe la cîteva instituții ale statului…fără succes.

Însă în toți anii aceștia, prin majoritatea discuțiilor mai mult sau mai puțin profesionale, spuneam același lucru: indiferent cît de bine sau de rău va fi reglementat ”auditul IT”, atît timp cît nu există profesia de ”auditor IT/IS” nu va exista responsabilitatea asociată.

A venit însă 2021. CERT.Ro s-a transformat în DNSC. În COR a apărut și ocupația de ”auditor de securitate cibernetică”. Chiar dacă nu este întocmai cu ce am visat eu, este un pas important.

Astăzi am primit atestatul de auditor de securitate cibernetică.

25 de ani, 2 luni și 27 de zile în care am udat o sămînță.

4 gânduri despre “25 de ani și ceva mărunțiș

  1. Drum bun și lung în continuare !

    Întradevăr odată cu NIS și DNSC am intrat într-o altă eră.

    Mă întreb în ce măsură serviciul intern de audit dintr-o organizație ar putea livra cu succes beneficiile așteptate de la auditul de securitate cibernetică. Poate va fi cândva un subiect.

    Apreciază

    • Bună Andrei,
      Serviciul de audit intern poate avea un rol determinant.
      Cerința A151 din Ordinul 1323: ”[A151]. Evaluarea conformității. În baza ARNIS, OSE stabilește și actualizează periodic procedura privind evaluarea conformității SNIS și efectuarea auditului de securitate a rețelelor și sistemelor informatice.
      1. Activitatea se efectuează anual la nivelul OSE de către structura de securitate sau de o echipă complexă stabilită de managementul de cel mai înalt nivel. Ea se finalizează cu un raport de evaluare a conformității.”. OSE nu este limitată în a considera ca echipa de audit intern să realizeze această evaluare. În opinia mea asta ar fi și calea cea mai bună pe care ar trebui să se meargă: acolo unde există structura de audit intern și competențe, ”evaluarea anuală” să fie realizată de această structură.
      Din punct de vedere al auditului, deocamdată nu. Poate într-o ediție viitoare a Ordinului.

      Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.