vineri, 2 iunie 2023

Cum devii auditor cyber-security

M-am intersectat de curând cu o reclamă cu potențial de a genera reacții fals-pozitive cititorului, așa am ajuns la concluzia că ar fi utilă o recapitulare a sistemului actual de atestare profesională pentru activitatea de securitate cibernetică.

Undeva prin 2008 apare primul standard ocupațional pentru „Specialist în proceduri și instrumente de securitate a sistemelor informatice”, astăzi având corespondență în COR 251402. În acesta regăsim o hartă a activităților și responsabilităților, nu și condiții de calificare profesională. Există astăzi cursuri aferente, de formare profesională, acreditate A.N.C. și finalizate printr-o examinare organizată de furnizorul cursului.


Începând cu 2016, Directiva NIS și numeroasele norme asociate acesteia încep să forțeze o abordare calitativă, pe toate palierele. DNSC, în discuțiile publice prilejuite de adoptarea acestor norme, și-a manifestat permanent intenția de a construi un sistem stimulant al creșterii IMM-urilor românești și a reușit acest lucru prin mici detalii precum obligativitatea existenței unui curs care nu poate fi susținut decât în limba română. Cum nu sunt proprietar de multinațională obișnuită să aibă un singur furnizor la nivel european, nu am a mă plânge.


Cele ce le voi prezenta în continuare se aplică doar activităților care cad sub incidența NIS (respectiv NIS2 după 2024) conform anexei L362/2018. NIS2 are o anexă mult extinsă, până la administrație publică și chiar gestionarea deșeurilor.


Pentru cei care activează în aceste domenii există trei cariere distincte:

  1. membru echipă CSIRT (echipă de răspuns la incidente de securitate cibernetică)
  2. auditor de securitate cibernetică
  3. responsabil NIS (responsabil cu securitatea rețelelor și sistemelor informatice însărcinat cu monitorizarea canalelor de contact cu autoritatea națională competentă, desemnat/stabilit la nivelul operatorului economic care furnizează servicii esențiale și/sau digitale)

Toți aceștia vor avea înregistrată mapa profesională de certificate în „Registrul național de evidență a certificatelor pentru securitate cibernetică”.


Astăzi există norme complete pentru activitățile de responsabil NIS și auditor, le așteptăm cu interes pe cele pentru echipa/membru CSIRT.


Ca responsabil NIS ești un manager orientat mai degrabă spre legislație și comunicare, îți este util un curs de formare dar, în opinia mea, la fel ca în cazul DPO introdus de GDPR, probabil va fi, pentru ceva vreme, doar o responsabilitate suplimentară pentru cineva deja angajat în organizație.

Însă auditorul de securitate cibernetică este un rol esențial, de prestigiu și cu multă responsabilitate legală. Acest rol este acordat printr-un atestat cu o valabilitate de 3 ani.

 

Cum ajungi auditor de securitate cibernetică ?

Totul este reglementat.

În primul rând trebuie înțeles că sunt diferențiate mai multe tipuri de audit:

  1. activități speciale:

  • auditul codului sursă [AS3]
  • auditul de penetrare sau testarea de penetrare [AS4]

2. activități comune:

  • auditul arhitecturii [AS1]
  • auditul de configurare [AS2]
  • auditul securității organizației [AS5]

3. activități mixte:

  • auditul sistemelor de control industrial [AS6] (+ celelalte activități)


Condiții:

Experiență anterioară în una dintre următoarele trei variante:

  1. 2 ani de experiență în domeniul administrării sau implementării rețelelor și sistemelor informatice;
  2. 2 ani de experiență în domeniul securității rețelelor și sistemelor informatice;
  3. un an de experiență în domeniul investigațiilor, testării sau al auditului de securitate a tehnologiei informației și comunicațiilor sau a rețelelor și sistemelor informatice ori a sistemelor de control industrial;


Existența a una sau două certificări internaționale dintre următoarele:




În cazul în care nu aveți certificările de mai sus, acestea pot fi înlocuite ( conf. Art.25 1 ) de un examen organizat de DNSC, cu o comisie compusă dintr-un reprezentant DNSC, unul al altor instituții din zona de securitate, apărare și ordine publică și un reprezentant al mediului academic. Va exista un test grilă și o probă practică axată pe  identificarea unor vulnerabilități și stabilirea de recomandări pentru limitarea riscurilor de securitate; implementarea și evaluarea cerințelor minime de securitate cibernetică.

Una dintre problemele reclamei care mi-a atras atenția este că lasă să se înțeleagă că acel curs este îndeajuns pentru obținerea atestatului în timp ce, în dezbaterea publică de la momentul emiterii normei s-a sugerat că acest examen este, mai degrabă, dedicat profesioniștilor guvernamentali cărora reglementările de serviciu nu le-au permis urmarea căii publice a certificărilor internaționale. Varianta obținerii de certificări internaționale cred că este o cale mai sigură pentru publicul larg.


Oricare dintre căi, este necesar și un curs de formare cu o durată minimă de 30 de ore în care se îmbracă fibra profesională, anterior existentă, cu haina de auditor, așa cum este ea văzută de DNSC. La finalizarea acestui curs va exista un examen organizat de formator, posibil cu participarea DNSC, care poate duce la obținerea unui „certificat de specializare”.

Aceste certificate de specializare au valoare doar in contextul depunerii dosarului pentru atestare.


Pentru atestare se adaugă în dosar ori dovada certificărilor internaționale ori „certificatul de evaluare a expertizei” obținut în urma examinării de la DNSC ; dovada vechimii și studiilor superioare.


După depunere, dosarul întră într-o procedură pretențioasă, de evaluare și atestare, ce presupune parcurgerea a cinci etape procedurale (Art.9 – 13), respectiv:

  1. evaluarea documentației solicitantului (EEDS) - se colaborează cu instituții și autorități din domeniul/sectorul învățământ, sănătate și aplicării legii în vederea evaluării înscrisurilor trimise de către solicitant
  2. evaluarea riscurilor de securitate cu privire la solicitant (EERS) – DNSC cooperează cu instituțiile din COSC și solicită efectuarea de verificări ale riscurilor de securitate, inclusiv din perspectiva securității naționale, cu privire la solicitantul de atestat de auditor de securitate cibernetică.
  3. evaluarea expertizei solicitantului (EEES) – DNSC  cooperează cu instituțiile din COSC, mediul academic și centre de formare și furnizare de servicii de formare pentru auditorii de securitate cibernetică în vederea evaluării expertizei solicitantului.
  4. evidența auditorului de securitate cibernetică (EEAS) – DNSC emite atestatul de auditor de securitate cibernetică, ia în evidență auditorul de securitate cibernetică și actualizează lista auditorilor de securitate cibernetică.
  5. finalizarea procedurii de atestare (EFPA) – emitere atestat, plată taxe


Pe scurt, nu pot fi folosite documente neclare, cu atât mai puțin false.


Urmează 3 ani de activitate ai auditorului de securitate. Acesta va fi monitorizat, poate fi chiar și amendat sau suspendat.

La finalul perioadei va urma reautorizarea, cu diferența că poți înlocui cursul cu dovada participării la diverse evenimente de specialitate însă trebuie să declari toate auditurile efectuate.


Astăzi există 115 auditori atestați, care activează individual sau ca angajați în 52 de companii specializate.


Furnizori de servicii de formare care oferă cursul de 30 de ore




deși acesta pare a avea mai puțin de 30 de ore


sunt doar 3, cu prețuri cuprinse între 2400 și 3400 lei.


În concluzie, o activitate pretențioasă, bănoasă, cu mulți clienți obligați să cumpere serviciile de audit după anul 2024. Să sperăm că până atunci DNSC va crește această ofertă a pieței prin noi atestări și astfel vom avea o confirmare concretă a expertizei de specialitate des menționată ca existând în ITC-ul românesc.

Niciun comentariu:

Trimiteți un comentariu