BIS Journal №3(18)/2015

3 сентября, 2015

Социальный лифт для профессионалов


Работодателя на рынке труда интересуют не любые специалисты с дипломом, а нацеленные на развитие своих профессиональных компетенций мастера своего дела. Которые, к тому же, глубоко вникают в тонкости профиля деятельности и особенности бизнес-­процессов организации. Особым «опознавательным знаком» высокой квалификации специалиста в области ИТ и информационной безопасности служат сертификаты ISACA (CISA, CISM, CGEIT и CRISC).


ОБЪЕДИНЕНИЕ НАСТОЯЩИХ ПРОФЕССИОНАЛОВ

В настоящее время аббревиатура ISACA (Information System Audit and Control Association — Ассоциации аудита и контроля информационных систем) используется без расшифровки, поскольку спектр решаемых ею вопросов с 1969 года, когда она была первоначально создана в США, заметно вырос. Поэтому более верен вольный перевод: ассоциация, объединяющая профессионалов в области руководства и управления ИТ, включая информационную безопасность. Целями ассоциации являются продвижение методологий, передовых практик, образования, содействие в повышении квалификации и получении профессиональных сертификаций в областях корпоративного управления ИТ, аудита ИТ и информационной безопасности.

Ассоциация насчитывает более 140 000 профессионалов в 180 странах, в том числе и в России, где уже более десяти лет можно также сдавать экзамены на получение профессиональных сертификаций и посещать подготовительные курсы. Членство в ISACA дает ряд преимуществ, в частности, — получение бесплатного (или со значительной скидкой) доступа к мировым методологиям и передовым практикам в области ИТ и ИБ (в том числе Cobit 5), а также возможность со значительной скидкой регистрироваться на квалификационные экзамены, подготовительные курсы, конференции и семинары, организуемые ISACA по всему миру.

Программы сертификации специалистов ISACA считаются своеобразным эталоном подтверждения высшей квалификации в ИТ-отрасли и, в частности, в сфере информационной безопасности. В последние годы наибольшей популярностью пользуются четыре ключевых сертификата ISACA:
 
  • CISA (Certified Information Systems Auditor) — сертифицированный аудитор информационных систем;
  • CISM (Certified Information Security Manager) — сертифицированный менеджер информационной безопасности;
  • CGEIT (Certified in the Governance of Enterprise IT) — сертифицированный специалист в области корпоративного управления ИТ;
  • CRISC (Certified in Risk and Information Systems Control) — сертифицированный специалист в области управления рисками информационных систем.
Пройти сертификацию ISACA по всем четырем статусам смогли считанные единицы специалистов.

СТАТУС CISA — САМЫЙ ХОДОВОЙ

Самая известная из сертификаций ISACA — CISA, аудитора в области ИТ и ИБ. Такой статус в отрасли является безусловным преимуществом, зачастую сопровождается повышением заработной платы, способствует карьерному росту. В ряде стран и отраслей наличие действующего сертификата CISA обязательно для назначения на должность внутреннего IT-аудитора.

Понимание важности статуса CISA пришло в нашу страну во второй половине 1990-х годов, когда крупнейшие российские компании стали выходить на международные фондовые биржи. Для этого, как правило, требовалось подтверждение достоверности финансовой отчетности, сделанное одной из международных аудиторских компаний, входящих в «Большую четверку» — в настоящее время: КPMG, Ernst & Young, PricewaterhouseCoopers и Deloitte. Среди их специалистов, проводивших аудит финансовой отчетности, обязательно присутствовали и обладатели статуса CISA, которые в соответствии с международными аудиторскими стандартами оценивали контрольную среду информационных систем.

Поначалу сертификация CISA пользовалась спросом, в основном, у сотрудников этой «большой четвёрки», которые занимались внешним ИТ-­аудитом. Но потом и крупные предприятия стали организовывать у себя службы внутреннего ИТ-аудита, чтобы оптимизировать и контролировать бизнес-процессы, а также снизить возможности мошенничества. Таким образом, CISA-сотрудники появились в банках, у телекоммуникационных провайдеров, на промышленных предприятиях. Со временем специалисты с сертификатом CISA стали встречаться на постах руководителей ИТ-аудита, финансовых директоров, вице-президентов крупных компании.

Теперь российские кадровые агентства хорошо знакомы со значением статуса CISA, который придаёт соискателю вакансии ИТ-аудитора неоспоримое преимущество. Наличие таких специалистов в консалтинговой компании существенно повышает шансы выиграть тендер на ИТ-аудит, и часто служит непременным условием допуска к торгам. Компании-интеграторы и консалтинговые фирмы открыто декларируют, что в их штате такое-то количество специалистов со статусом CISA.

CISM, CGEIT, CRISC

Сертификация CISM  — менеджера информационной безопасности в первую очередь подтверждает компетенции специалиста-организатора и руководителя, решающего вопросы защиты информации в соответствии с интересами бизнеса. Соискателям сертификата, кроме сдачи экзаменов, необходимо подтвердить 5-летний стаж работы в области информационной безопасности (из них 3 года на руководящей позиции) и представить рекомендации, подтверждающие опыт.

Третья сертификация, CGEIT, свидетельствует об экспертном уровне управления в сфере корпоративного ИТ. Для получения этого статуса необходимо умение выстраивать ИТ-инфраструктуру для оптимизации бизнеса. Владение подходами к оценке и минимизации ИТ-рисков — среди ключевых навыков такого руководителя.

Тот, кто хочет получить этот статус, должен хорошо разбираться в классификации рисков бизнеса, хорошо понимать внешние и внутренние среды, выстраивать в соответствии с целями бизнеса IT-компоненты и процессы. Сертификат CGEIT свидетельствует о том, чем его обладатель владеет современными методологиями управления корпоративными ИТ, особенно COBIT. Требуется не менее пяти лет практического опыта руководства ИТ.

И, наконец, четвертая сертификация, самая молодая, но уже очень популярная — CRISC, специалиста в области управления ИТ-рисками. Это достаточно специализированная сертификация имеющегося у профессионала опыта идентификации и оценки ИТ-рисков, выработки мер их мониторинга и контроля. Часто такую сертификацию проходят специалисты, работающие в банковских подразделениях управления рисками.

Общими требованиями для получения каждой из перечисленных сертификаций (CISA, CISM, CGEIT, CRISC), кроме успешной сдачи экзамена, является подтверждение релевантного практического опыта (как правило, 5 лет) и принятие Кодекса профессиональной этики ISACA; кроме того, необходимо ежегодно подтверждать постоянное повышение квалификации.

COBIT 5: FOUNDATION, CYBERSECURITY FUNDAMENTALS

Недавно ISACA внедрила новые сертификаты COBIT 5 Foundation (свидетельствует об усвоении теоретического материала методологии руководства и управления ИТ Cobit 5) и Cybersecurity Fundamentals (указывает на базовое знание технических аспектов ИБ, ориентирован на вчерашних студентов).

Для получения этих сертификатов возможна сдача в режиме онлайн (в отличие от CISA/CISM/CGEIT/CRISC). При этом не обязательно иметь стаж работы по профилю и не нужно ежегодно поддерживать их действие. Единственный недостаток в том, что этот статус подтверждает только успешное прохождение экзаменационных испытаний, а не профессиональную сертификацию специалиста. Но и такой документ даёт его обладателю серьезные преимущества на рынке труда.

КОДЕКС ЭТИКИ ISACA

Кроме необходимых знаний, практических умений и опыта работы, обладатели сертификатов ISACA принимают профессиональный «моральный кодекс», знание которого приравнивается к экзаменационному испытанию. В кодексе каждое требование детально поясняется, даются рекомендации к их практическому выполнению. Считается, что кодекс профессиональной этики — концентрированное выражение «идеологии» ISACA, которая помогает ИТ-аудитору избегать возможных обвинений в «продвижении» продуктов тех или иных производителей.

Например, ИТ-аудитор обнаружил, что в компании плохо работает или вообще отсутствует антивирусное программное обеспечение. Следуя профессиональному кодексу, он в своих рекомендациях должен написать, что «требуется установить антивирус» — вообще, а не какого-то конкретного производителя. Иначе возникнут сомнения в его беспристрастности. Кодекс профессиональной этики соотносится с положениями стандартов аудита — все действия пошагово планировать и документировать.

Случаи нарушения кодекса редки, но случаются: например, когда сотрудник подразделения информационной безопасности несанкционированно копирует при переходе на другое место работы конфиденциальные данные. Такие случаи противоречат Кодексу этики и несовместимы со статусом члена ISACA и обладателя профессиональной сертификации.

ЭКЗАМЕНАЦИОННЫЕ ПРОЦЕДУРЫ

Подготовка к экзаменам для получения сертификата ISACA, и их сдача для соискателя — испытание, которое позволяет проверить серьёзность своего отношения к избранной профессии. Кандидаты, в основном, уже работающие специалисты, обретают новый взгляд не только на ИТ-инфраструктуру организации, но и на свою роль, отношения с руководством. Как правило, руководству импонирует, что специалисты по ИТ и информационной безопасности начинают воспринимать свою деятельность не как самоцель, а как средство реализации целей бизнеса. Новый взгляд на профессиональные задачи привносит свежую струю и в сообщество специалистов ИТ и ИБ.

Следует отметить, что подготовка и сдача экзамена на получение сертификата будут для соискателя не бесплатны: придётся потратить и время, и усилия, и деньги. Разумно рассматривать эти затраты как инвестиции в собственную будущую карьеру. Например, базовая стоимость сдачи четырехчасового экзамена, в ходе которого надо ответить на 200 вопросов, на любую из сертификаций составляет $ 650, хотя при ранней регистрации и для членов ISACA существуют скидки.

Кроме того, ежегодная поддержка действия одного сертификата составляет $ 85, но если сертификатов несколько и/или его обладатель является членом ISACA — также действуют скидки. Кстати, сертификаты COBIT 5 Foundation и Cybersecurity Fundamentals обходится всего в $150, поскольку содержат меньше вопросов и могут проводиться в режиме онлайн (50 вопросов за 40 минут и 75 вопросов за 120 минут соответственно).

Сертификационные экзамены ISACA проводятся в Москве, с различной периодичностью для разных статусов: для CISA и CISM — 3 раза в год, для CRISC и CGЕIT — 2 раза. В России, как и в других странах, дата проведения экзаменов одна и та же: вторая суббота июня, вторая суббота сентября и вторая суббота декабря. Во время декабрьского экзамена 2014 года в России больше всего сдавали на сертификат CISA — 22 человека, на CISM — 12 человек, на CRISC — 7 и CGЕIT — 9 человек.

Универсальные экзаменационные процедуры ISACA действуют во всех странах. Перед началом экзаменационного испытания кандидатам выдают запечатанные листы с вопросами, которые можно открыть только по команде. Экзамен из 200 тематически сгруппированных вопросов (которые каждый раз обновляются), проводится на английском языке и длится четыре часа. Формат: из четырёх предлагаемых вариантов требуется выбрать правильный ответ. Чтобы пройти экзамен, надо набрать 450 баллов.

Наблюдатели не только организационно и технически обеспечивают проведение испытания, но и следят, чтобы экзаменуемые не нарушали порядок, — не пользовались шпаргалками и мобильными устройствами. Парадокс: экзаменационные работы по ИТ-аудиту и информационной безопасности проводятся только… на бумаге, а помечать ответы разрешается исключительно простым карандашом (в случае неправильного ответа можно стереть ластиком и откорректировать в пределах отведенного времени). Старая добрая бумага позволяет обеспечить равные условия по всему миру независимо от уровня технической оснащенности тестовых центров и качества каналов связи.

ЛУЧШЕ ПОДГОТОВИТЬСЯ… И ПЕРЕПОДГОТОВИТЬСЯ

Отдавая должное навыкам самообразования кандидатов на получение сертификатов, ISACA, со своей стороны, создаёт условия для полноценной подготовки к экзаменам. Организуются 3–6-дневные подготовительные курсы для каждого из ключевых статусов — CISA, CISM, CRISC и CGEIT. Московское отделение ISACA проводит подготовку кандидатов к сертификации совместно с партнёрскими образовательными центрами, например, в Москве — с Академией информационных систем (АИС).

Прошедшие обучение высоко оценивают пользу предэкзаменационной подготовки: в её ходе даются знания не только о предметах, но и о методике самостоятельной подготовки и собственно сдачи экзамена. Важно, что вносится ясность в интерпретацию профильной терминологии, что необходимо для правильного понимания экзаменационных вопросов и формулировок ответов.

Кроме подготовительных курсов, ISACA для лучшей подготовки к экзаменам рекомендует максимально использовать общение в профильных сообществах. Они представлены на сайте ассоциации: это CISA Exam Study Community, CISM Exam Study Community, CGEIT Exam Study Community и CRISC Exam Study Community. В сообществах можно найти единомышленников, вместе с ними осваивать учебные программы. Обсуждение в сообществах различных тем и экзаменационных вопросов ведётся на английском языке, предоставляя возможность для дополнительной языковой практики и развития профессиональных коммуникативных навыков.

Главное достоинство ключевых сертификаций ISACA, которое ценят в отрасли, заключается в том, что уже полученный статус нуждается в регулярной актуализации. Сертификаты выдаются не на пожизненный срок, как и финансовым аудиторам. Хотя экзамены опять сдавать не придется, ключевые сертификации ISACA придётся снова и снова подтверждать. Нужно ежегодно представлять в ISACA свидетельства повышения своего профессионального уровня — посещение профильных тематических мероприятий: отраслевых форумов, конференций, семинаров, вебинаров.

В отчётности, направляемой через личный кабинет на сайте ISACA, обладатели сертификатов указывают полную информацию о посещённом мероприятии: дату, название, рассматриваемые темы, продолжительность в часах. ISACA проводит выборочные проверки, запрашивая документальные подтверждения участия в таких мероприятиях, способствующих повышению профессионального уровня «статусного» специалиста. Таким образом профессионала мотивируют постоянно держать руку на пульсе отрасли, делиться собственным опытом и узнавать последние достижения коллег.
 

Разработанные ISACA профессиональные требования, процедуры сертификации и подтверждения статуса, образовательные программы на протяжении десятков лет доказывают свою высокую эффективность при подготовке специалистов мирового класса в сфере управления ИТ, ИТ-аудита и информационной безопасности. Не секрет, обладатели сертификатов CISA, CISM, CRISC и CGEIT на рынке труда ценятся на вес золота.

 


 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных