“Auditul sistemelor informatice este văzut ca un lucru obligatoriu, ce trebuie făcut cu bani cât mai puţini şi să se încheie cu un raport favorabil.”
Domnule Florin Iliescu, cum a apărut necesitatea auditului sistemelor informatice în România?
În anul 2003, Ministerul Comunicaţiilor şi Tehnologiei Informaţiei a emis un ordin prin care solicita instituţiilor financiare care oferă servicii bancare la distanţă un audit la planului de securitate. Tot în anul 2003, Ministerul Finanţelor Publice a emis un ordin prin care solicita furnizorilor de utilităţi publice, care doresc să emită facturi într-un singur exemplar, auditarea anuală a sistemului informatic de către personal certificat ca auditor de sisteme informatice (CISA) de către ISACA.
De ce este necesară auditarea sistemelor informatice?
Se tot vorbeşte de securitatea informaţiei şi, cu toate acestea, puţine firme au o abordare corectă şi serioasă în acest sens. Organizaţiile nu înţeleg exact riscurile la care se expun ca urmare a utilizării tehnologiei informaţiei. Aici este şi vina consultanţilor, puţine sunt firmele de consultanţă cu adevărat independente şi capabile să formuleze un mesaj clar şi obiectiv susţinut de un set de recomandări raţionale pentru conducerea unei companii. Numai un audit bine făcut poate tranşa cu adevărat problemele reale pe care o companie le are sau le poate avea, ca urmare a utilizării tehnologiei informaţiei.
Care sunt cerinţele legale pentru auditarea sistemelor informatice?
Orice sistem de plată la distanţă trebuie avizat de MCTI în conformitate cu Ordinul 218/2004. Acest lucru presupune realizarea unui plan de securitate şi a unui audit care să certifice că măsurile tehnice şi organizatorice declarate sunt corect implementate. Cerinţe similare sunt şi pentru sistemele de facturare care trebuie auditate în conformitate cu cerinţele OMF 1077/2004. În cazul participanţilor la sistemul electronic de plăţi, Transfond solicită instituţiilor financiare un audit al planului de securitate. În cazul furnizorilor de certificate calificate este necesară auditarea sistemului informatic în conformitate cu HG 1259/2001.
Avem în România o piaţă pentru astfel de servicii?
Companiile cu sisteme informatice dezvoltate ar trebui să efectueze periodic o auditare independentă. Fraudele sau erorile sunt mult mai greu de depistat la nivel digital, iar amploarea lor nu mai este dependentă de timp sau de locaţie. Un leu se fură la fel de repede ca un milion prin mecanisme informatice, iar, în contextul interconectării sistemelor şi a accesului la Internet, locul crimei poate fi oriunde în lume. Oare câţi dintre utilizatori pot spune cu certitudine dacă cineva neautorizat le-a accesat datele personale? Complexitatea aplicaţiilor software a crescut atât de mult încât nici chiar producătorii lor nu pot garanta acest lucru. Numeroase patch-uri de securitate sunt publicate periodic, unele dintre ele menite să rezolve vulnerabilităţi ce ar permite preluarea controlului total asupra calculatorului de către o persoană neautorizată. Piaţa nu reflectă, după părerea mea, aceste imperative de control şi securitate ale sistemelor informatice. O piaţă s-a format abia după ce s-au cerut unele lucruri prin legi sau norme specifice. Cred însă că această piaţă este artificială, auditul sistemelor informatice este văzut ca un lucru obligatoriu, ce trebuie făcut cu bani cât mai puţini şi să se încheie cu un raport favorabil.
Domnule Florin Iliescu, de ce trebuie să fii certificat de o autoritate din SUA pentru a efectua audit în România?
La început nu a fost aşa. Efectul însă a fost că raportul de audit risca să se transforme într-o hârtie fără nici un fundament pe care scria că totul este OK şi care se livra eventual ca un bonus la un lot de echipamente cumpărate de la un anumit furnizor. După o dezbatere la care au participat o serie de specialişti în domeniu, convocată de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei, s-a preferat introducerea cerinţei ca auditul să fie efectuat de personal certificat ISACA. ISACA, Asociaţia de Audit şi Control a Sistemelor Informatice, are peste 50.000 de membri, este cea mai mare organizaţie de acest tip din lume, începutul său datând din 1967. CISA implică respectarea unui cod etic şi profesional şi reprezintă cea mai bună garanţie al unui audit bine făcut. Asta nu înseamnă că nu pot exista şi exemple negative, dar nu s-a putut găşi un alt mecanism mai bun.
Cum se implică ISACA România în activitatea de audit?
ISACA România a reuşit să organizeze susţinerea examenului CISA la noi în ţară. În 2003 când am susţinut eu examenul, a trebuit să mă deplasez la Budapesta. Organizarea examenului în România este un câştig, facilitând obţinerea certificatului CISA. Pe lângă promovarea cu succes a examenului, obţinerea unui punctaj minim de 75%, este necesară şi dovada a 5 ani de experienţă în domeniu, în baza unei declaraţii pe proprie răspundere. Cred că aici ar fi unul din punctele unde ISACA România s-ar putea implica pentru protejarea practicii de audit, verificând că într-adevăr persoanele care au promovat examenul şi aplică pentru certificare CISA au într-adevăr suficientă experienţă.
De ce aţi ales domeniul acesta de activitate şi ce satisfacţii vă oferă?
Am început cariera în domeniul serviciilor profesionale în calitate de consultant în cadrul departamentului de Business Consulting din cadrul Arthur Andersen. După fuziunea dintre Ernst & Young şi Andersen care a avut loc în 2002, am trecut pe partea de audit al sistemelor informatice, noua firmă din care făceam parte nemaidesfăşurând şi activitate de consultanţă. Am lucrat o perioadă ca auditor, fără prea mari satisfacţii, după care am hotărât să continuu pe postul de consultant şi am onorat solicitarea celei mai mari firme de consultanţă din lume, Accenture, de a lucra pentru dânşii. Am fost însă obligat să lucrez pe proiecte în străinătate, în Praga, unde era necesară experienţa mea în domeniul sistemelor bancare, a arhitecturilor de calcul cu înaltă fiabilitate şi securitatea informaţiei. Am avut şansa să lucrez pe proiecte complexe, care mi-au permis să mă dezvolt profesional foarte mult, şi, deşi obţinusem într-un final poziţia dorită, am ales după o perioadă de aproximativ un an să mă întorc în ţară. Alternativa care s-a dovedit a fi cea mai bună atât professional, cât şi financiar a fost aceea de a porni propria companie. Satisfacţiile ca auditor de sisteme informatice le-am avut abia după ce am reuşit să conving o parte din clienţi de valoarea care poate fi adusă prin aceste servicii în ciuda formalismului cu care sunt în general percepute auditurile cerute prin lege. Acest lucru a necesitat o investiţie în multe ore suplimentare prestate pe care nici o companie care gândeşte strict din punct de vedere al profitului nu e dispusă să o facă. Rezultatul a constat în contractarea unor proiecte de audit neimpuse de lege, ceea ce m-a determinat să investesc încontinuu în propria firmă, Infologica.
La acestea, se adaugă recunoaşterea implicării mele în dezvoltarea practicii de audit de către ISACA cu „Certificate of Appreciation” în 2005 şi în 2006.
Florin Iliescu, CISA, este director general Info-Logica Silverline SRL (Infologica), companie specializată în auditul sistemelor informatice, pe care a înfiinţat-o în 2004. Florin Iliescu este absolvent al Facultăţii de Automatică şi Calculatoare din cadrul Universităţii Politehnica Bucureşti, are masterul în Arhitectura Sistemelor de Calcul şi o experienţă de peste 15 ani în tehnologia informaţiei.
Interviu realizat de Virginia MIRCEA