- CISA (Certified Information Systems Auditor) — сертифицированный аудитор информационных систем;
- CISM (Certified Information Security Manager) — сертифицированный менеджер информационной безопасности;
- CGEIT (Certified in the Governance of Enterprise IT) — сертифицированный специалист в области корпоративного управления ИТ;
- CRISC (Certified in Risk and Information Systems Control) — сертифицированный специалист в области управления рисками информационных систем.
Пройти сертификацию ISACA по всем четырем статусам смогли считанные единицы специалистов.
СТАТУС CISA — САМЫЙ ХОДОВОЙ
Самая известная из сертификаций ISACA — CISA, аудитора в области ИТ и ИБ. Такой статус в отрасли является безусловным преимуществом, зачастую сопровождается повышением заработной платы, способствует карьерному росту. В ряде стран и отраслей наличие действующего сертификата CISA обязательно для назначения на должность внутреннего IT-аудитора.
Понимание важности статуса CISA пришло в нашу страну во второй половине 1990-х годов, когда крупнейшие российские компании стали выходить на международные фондовые биржи. Для этого, как правило, требовалось подтверждение достоверности финансовой отчетности, сделанное одной из международных аудиторских компаний, входящих в «Большую четверку» — в настоящее время: КPMG, Ernst & Young, PricewaterhouseCoopers и Deloitte. Среди их специалистов, проводивших аудит финансовой отчетности, обязательно присутствовали и обладатели статуса CISA, которые в соответствии с международными аудиторскими стандартами оценивали контрольную среду информационных систем.
Поначалу сертификация CISA пользовалась спросом, в основном, у сотрудников этой «большой четвёрки», которые занимались внешним ИТ-аудитом. Но потом и крупные предприятия стали организовывать у себя службы внутреннего ИТ-аудита, чтобы оптимизировать и контролировать бизнес-процессы, а также снизить возможности мошенничества. Таким образом, CISA-сотрудники появились в банках, у телекоммуникационных провайдеров, на промышленных предприятиях. Со временем специалисты с сертификатом CISA стали встречаться на постах руководителей ИТ-аудита, финансовых директоров, вице-президентов крупных компании.
Теперь российские кадровые агентства хорошо знакомы со значением статуса CISA, который придаёт соискателю вакансии ИТ-аудитора неоспоримое преимущество. Наличие таких специалистов в консалтинговой компании существенно повышает шансы выиграть тендер на ИТ-аудит, и часто служит непременным условием допуска к торгам. Компании-интеграторы и консалтинговые фирмы открыто декларируют, что в их штате такое-то количество специалистов со статусом CISA.
CISM, CGEIT, CRISC
Сертификация CISM — менеджера информационной безопасности в первую очередь подтверждает компетенции специалиста-организатора и руководителя, решающего вопросы защиты информации в соответствии с интересами бизнеса. Соискателям сертификата, кроме сдачи экзаменов, необходимо подтвердить 5-летний стаж работы в области информационной безопасности (из них 3 года на руководящей позиции) и представить рекомендации, подтверждающие опыт.
Третья сертификация, CGEIT, свидетельствует об экспертном уровне управления в сфере корпоративного ИТ. Для получения этого статуса необходимо умение выстраивать ИТ-инфраструктуру для оптимизации бизнеса. Владение подходами к оценке и минимизации ИТ-рисков — среди ключевых навыков такого руководителя.
Тот, кто хочет получить этот статус, должен хорошо разбираться в классификации рисков бизнеса, хорошо понимать внешние и внутренние среды, выстраивать в соответствии с целями бизнеса IT-компоненты и процессы. Сертификат CGEIT свидетельствует о том, чем его обладатель владеет современными методологиями управления корпоративными ИТ, особенно COBIT. Требуется не менее пяти лет практического опыта руководства ИТ.
И, наконец, четвертая сертификация, самая молодая, но уже очень популярная — CRISC, специалиста в области управления ИТ-рисками. Это достаточно специализированная сертификация имеющегося у профессионала опыта идентификации и оценки ИТ-рисков, выработки мер их мониторинга и контроля. Часто такую сертификацию проходят специалисты, работающие в банковских подразделениях управления рисками.
Общими требованиями для получения каждой из перечисленных сертификаций (CISA, CISM, CGEIT, CRISC), кроме успешной сдачи экзамена, является подтверждение релевантного практического опыта (как правило, 5 лет) и принятие Кодекса профессиональной этики ISACA; кроме того, необходимо ежегодно подтверждать постоянное повышение квалификации.
COBIT 5: FOUNDATION, CYBERSECURITY FUNDAMENTALS
Недавно ISACA внедрила новые сертификаты COBIT 5 Foundation (свидетельствует об усвоении теоретического материала методологии руководства и управления ИТ Cobit 5) и Cybersecurity Fundamentals (указывает на базовое знание технических аспектов ИБ, ориентирован на вчерашних студентов).
Для получения этих сертификатов возможна сдача в режиме онлайн (в отличие от CISA/CISM/CGEIT/CRISC). При этом не обязательно иметь стаж работы по профилю и не нужно ежегодно поддерживать их действие. Единственный недостаток в том, что этот статус подтверждает только успешное прохождение экзаменационных испытаний, а не профессиональную сертификацию специалиста. Но и такой документ даёт его обладателю серьезные преимущества на рынке труда.
КОДЕКС ЭТИКИ ISACA
Кроме необходимых знаний, практических умений и опыта работы, обладатели сертификатов ISACA принимают профессиональный «моральный кодекс», знание которого приравнивается к экзаменационному испытанию. В кодексе каждое требование детально поясняется, даются рекомендации к их практическому выполнению. Считается, что кодекс профессиональной этики — концентрированное выражение «идеологии» ISACA, которая помогает ИТ-аудитору избегать возможных обвинений в «продвижении» продуктов тех или иных производителей.
Например, ИТ-аудитор обнаружил, что в компании плохо работает или вообще отсутствует антивирусное программное обеспечение. Следуя профессиональному кодексу, он в своих рекомендациях должен написать, что «требуется установить антивирус» — вообще, а не какого-то конкретного производителя. Иначе возникнут сомнения в его беспристрастности. Кодекс профессиональной этики соотносится с положениями стандартов аудита — все действия пошагово планировать и документировать.
Случаи нарушения кодекса редки, но случаются: например, когда сотрудник подразделения информационной безопасности несанкционированно копирует при переходе на другое место работы конфиденциальные данные. Такие случаи противоречат Кодексу этики и несовместимы со статусом члена ISACA и обладателя профессиональной сертификации.
ЭКЗАМЕНАЦИОННЫЕ ПРОЦЕДУРЫ
Подготовка к экзаменам для получения сертификата ISACA, и их сдача для соискателя — испытание, которое позволяет проверить серьёзность своего отношения к избранной профессии. Кандидаты, в основном, уже работающие специалисты, обретают новый взгляд не только на ИТ-инфраструктуру организации, но и на свою роль, отношения с руководством. Как правило, руководству импонирует, что специалисты по ИТ и информационной безопасности начинают воспринимать свою деятельность не как самоцель, а как средство реализации целей бизнеса. Новый взгляд на профессиональные задачи привносит свежую струю и в сообщество специалистов ИТ и ИБ.
Следует отметить, что подготовка и сдача экзамена на получение сертификата будут для соискателя не бесплатны: придётся потратить и время, и усилия, и деньги. Разумно рассматривать эти затраты как инвестиции в собственную будущую карьеру. Например, базовая стоимость сдачи четырехчасового экзамена, в ходе которого надо ответить на 200 вопросов, на любую из сертификаций составляет $ 650, хотя при ранней регистрации и для членов ISACA существуют скидки.
Кроме того, ежегодная поддержка действия одного сертификата составляет $ 85, но если сертификатов несколько и/или его обладатель является членом ISACA — также действуют скидки. Кстати, сертификаты COBIT 5 Foundation и Cybersecurity Fundamentals обходится всего в $150, поскольку содержат меньше вопросов и могут проводиться в режиме онлайн (50 вопросов за 40 минут и 75 вопросов за 120 минут соответственно).
Сертификационные экзамены ISACA проводятся в Москве, с различной периодичностью для разных статусов: для CISA и CISM — 3 раза в год, для CRISC и CGЕIT — 2 раза. В России, как и в других странах, дата проведения экзаменов одна и та же: вторая суббота июня, вторая суббота сентября и вторая суббота декабря. Во время декабрьского экзамена 2014 года в России больше всего сдавали на сертификат CISA — 22 человека, на CISM — 12 человек, на CRISC — 7 и CGЕIT — 9 человек.
Универсальные экзаменационные процедуры ISACA действуют во всех странах. Перед началом экзаменационного испытания кандидатам выдают запечатанные листы с вопросами, которые можно открыть только по команде. Экзамен из 200 тематически сгруппированных вопросов (которые каждый раз обновляются), проводится на английском языке и длится четыре часа. Формат: из четырёх предлагаемых вариантов требуется выбрать правильный ответ. Чтобы пройти экзамен, надо набрать 450 баллов.
Наблюдатели не только организационно и технически обеспечивают проведение испытания, но и следят, чтобы экзаменуемые не нарушали порядок, — не пользовались шпаргалками и мобильными устройствами. Парадокс: экзаменационные работы по ИТ-аудиту и информационной безопасности проводятся только… на бумаге, а помечать ответы разрешается исключительно простым карандашом (в случае неправильного ответа можно стереть ластиком и откорректировать в пределах отведенного времени). Старая добрая бумага позволяет обеспечить равные условия по всему миру независимо от уровня технической оснащенности тестовых центров и качества каналов связи.
ЛУЧШЕ ПОДГОТОВИТЬСЯ… И ПЕРЕПОДГОТОВИТЬСЯ
Отдавая должное навыкам самообразования кандидатов на получение сертификатов, ISACA, со своей стороны, создаёт условия для полноценной подготовки к экзаменам. Организуются 3–6-дневные подготовительные курсы для каждого из ключевых статусов — CISA, CISM, CRISC и CGEIT. Московское отделение ISACA проводит подготовку кандидатов к сертификации совместно с партнёрскими образовательными центрами, например, в Москве — с Академией информационных систем (АИС).
Прошедшие обучение высоко оценивают пользу предэкзаменационной подготовки: в её ходе даются знания не только о предметах, но и о методике самостоятельной подготовки и собственно сдачи экзамена. Важно, что вносится ясность в интерпретацию профильной терминологии, что необходимо для правильного понимания экзаменационных вопросов и формулировок ответов.
Кроме подготовительных курсов, ISACA для лучшей подготовки к экзаменам рекомендует максимально использовать общение в профильных сообществах. Они представлены на сайте ассоциации: это CISA Exam Study Community, CISM Exam Study Community, CGEIT Exam Study Community и CRISC Exam Study Community. В сообществах можно найти единомышленников, вместе с ними осваивать учебные программы. Обсуждение в сообществах различных тем и экзаменационных вопросов ведётся на английском языке, предоставляя возможность для дополнительной языковой практики и развития профессиональных коммуникативных навыков.
Главное достоинство ключевых сертификаций ISACA, которое ценят в отрасли, заключается в том, что уже полученный статус нуждается в регулярной актуализации. Сертификаты выдаются не на пожизненный срок, как и финансовым аудиторам. Хотя экзамены опять сдавать не придется, ключевые сертификации ISACA придётся снова и снова подтверждать. Нужно ежегодно представлять в ISACA свидетельства повышения своего профессионального уровня — посещение профильных тематических мероприятий: отраслевых форумов, конференций, семинаров, вебинаров.
В отчётности, направляемой через личный кабинет на сайте ISACA, обладатели сертификатов указывают полную информацию о посещённом мероприятии: дату, название, рассматриваемые темы, продолжительность в часах. ISACA проводит выборочные проверки, запрашивая документальные подтверждения участия в таких мероприятиях, способствующих повышению профессионального уровня «статусного» специалиста. Таким образом профессионала мотивируют постоянно держать руку на пульсе отрасли, делиться собственным опытом и узнавать последние достижения коллег.
