Então você quer ser um auditor de TI?

Um título de notícias recente perguntou: “A falha de sistema do Grupo Knight, de $ 440 milhões, é o erro de computador mais caro já gerado?” De acordo com o artigo do CNN Money (http://money.cnn.com/2012/08/09/technology/knight-expensive-computer-bug/index.html) em menos de uma hora um defeito no software do Knight Capital Group fez com que seus computadores executem uma série de pedidos que deveriam ser espalhados por vários dias. “Os computadores fazem o que lhes dizem”, diz Lawrence Pingree, analista do Gartner. “Se lhes disserem para que façam a coisa errada, eles vão fazer isso, e eles vão fazer isso realmente muito bem.” Por causa da falha do computador, a empresa quase faliu.

Tais eventos potencialmente catastróficos representam uma séria ameaça para as organizações que estão investindo bilhões de dólares em seus sistemas, bancos de dados e cadeias de suprimentos para competir e alavancar as relações com os clientes. Esta dependência de computação complexa e esquemas de dados em grande escala levou as organizações de todo o mundo a reconhecer como os auditores de TI podem ajudá-los a entender os riscos em constante mudança. Os auditores de TI seguem os mesmos parâmetros de ética e independência que os auditores financeiros, mas o foco deles é a governança dos sistemas e processos de TI. Com auditorias e projetos que vão desde a continuidade dos negócios aos processos de desenvolvimento até a segurança da informação, esses profissionais auxiliam suas organizações com uma ampla gama de tópicos. Para ser eficaz, os auditores de TI devem adquirir as famosas Hard e Soft Skills, obter a educação adequada e construir uma base sólida de experiência.

Hard Skills

As Hard Skills são habilidades que podem ser aprendidas e facilmente quantificadas. Em outras palavras, elas são tangíveis. Você aprende hard skills na sala de aula, com livros e apostilas, ou até mesmo no trabalho. Elas são avaliadas durante os processos seletivos e comparadas com as dos outros candidatos.

Auditores de TI precisam ter uma forte compreensão dos controles gerais de computadores (ITGC), análise de dados, infra-estrutura básica do sistema e avaliação de riscos. Um dos locais para começar a aprender sobre ITGCs é o Committee of Sponsoring Organizations of the Treadway Commission’s (COSO’s). De acordo com a estrutura do COSO, os ITGC’s são um subconjunto dos controles internos de uma organização e são usados para mitigar ameaças e obter vários tipos de conformidade. A análise de dados é um processo de inspeção, limpeza, transformação e modelagem para destacar informações úteis, sugerir conclusões e apoiar a tomada de decisões. Os auditores de TI usam ferramentas de análise de dados especializados CAATS ou bases de dados e planilhas para detectar fraude, encontrar erros de dados e ajudar a organização a eliminar o desperdício.

Uma compreensão básica da infra-estrutura do sistema também é essencial para um auditor de TI. Os praticantes devem ser conhecedor de redes, hardware, sistemas operacionais, bancos de dados e aplicativos, que para a maioria das organizações são um alvo de ameaças em constante mudança. Muitas faculdades e universidades oferecem programas para aprender os conceitos básicos de computadores, redes e bancos de dados. Por exemplo, o programa Open Courseware do Instituto de Tecnologia de Massachusetts oferece todas as suas aulas gratuitamente on-line, embora sem crédito. Além disso, os auditores de TI devem poder analisar uma situação e avaliar seus riscos. Quer se trate de uma nova iniciativa de empresa, expansão internacional, computação em nuvem ou qualquer outro desenvolvimento, os riscos de TI estão presentes e podem ser prejudiciais se não forem avaliados e abordados adequadamente pela organização.

Finalmente, para demonstrar a sua competência para futuros empregadores, uma pessoa que se esforça para ser um auditor de TI deve obter certificações, incluindo o Auditor de Sistemas de Informação da ISACA (CISA) e o de Auditor Interno Certificado da IIA (CIA). A obtenção dessas certificações proporcionará o candidato à auditoria de TI uma sólida estrutura de sistemas e fundamentos de auditoria. Além disso, a maioria das posições de auditoria de TI exige que uma pessoa tenha ou obtenha pelo menos uma delas. Além dessas certificações, muitos programas de graduação universitária, como a Ciência da Computação ou Sistemas de Informação, fornecem uma base sólida para uma carreira de auditoria de TI.

Soft Skills

São competências subjetivas, muito mais difíceis de avaliar. Também são conhecidas como people skills (habilidades com pessoas) ou interpersonal skills (habilidades interpessoais), porque elas estão relacionadas à sua forma de se relacionar e interagir com as pessoas.

Além das hard skills, o auditor de TI deve ter um forte repertório de soft skills que incluem traduzir “geek speak” para “business speak”. Os profissionais que querem ser auditores de TI devem entender isso em muitas situações, as pessoas que precisam saber como lidar com os riscos de TI, não tem conhecimento técnico para entender o impacto desses riscos. Uma das habilidades mais importantes que um auditor de TI pode ter é a capacidade de transmitir as questões de TI de forma a que os gerentes de negócios não técnicos possam compreender a gravidade da situação e as recomendações para mitigar o risco. Por exemplo, se uma empresa arriscasse uma violação de dados, o auditor de TI precisaria quantificar o impacto que a violação de dados teria sobre o negócio em termos de imagem de marca, perda de clientes e multas regulatórias. Desta forma, os executivos da empresa poderiam entender o risco geral e tomar uma decisão informada sobre as medidas de segurança de TI que a empresa levaria.

Por outro lado, o auditor de TI também deve poder falar de tópicos altamente técnicos ao entrevistar administradores de sistemas, arquitetos de sistemas e outros funcionários de TI. O desenvolvimento de relacionamentos com o pessoal de TI da organização e a criação de confiança permitem aos profissionais obter a informação de que precisam. Finalmente, ter a capacidade de entender conceitos rapidamente e encontrar a causa raiz de um problema é essencial. Muitas habilidades de auditoria de TI só vêm com experiência. Se uma pessoa estiver na faculdade, existem aulas, estágios e oportunidades de voluntariado para obter a experiência necessária.

Fontes:
https://na.theiia.org/Pages/IIAHome.aspx
http://money.cnn.com/2012/08/09/technology/knight-expensive-computer-bug/index.html
Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s