公認情報システム監査人(CISA) の合格/認定を受けた感想【その後】

こんばんは
公認情報システム監査人(CISA)の受験のノウハウはたくさん書いている方がいらっしゃいますが、
取得後に何が起こったかという点を記載されている方はあまりいないようでしたので簡単にまとめていこうと思います

よかったこと/起こったことのまとめ

①特定のソフトウェアの挙動やネットワークのコンフィグなど、具体的な実装方法はよくわからないが、
ベンダーから話を聞きながら、導入予定のシステムの全体を俯瞰したときに、
直感的に
ⅰやってはいけないこと
ⅱこれから起こる不幸なこと
だけはわかる"気がする"

→この"気がする"がミソで、気になる点は会議中メモ書きして、会議後などに書籍で調べ直すと、悪い勘はだいたい当たっていたりします。
(ベストプラクティスが頭に入っているだけなので、その場ですぐにダメとは確証は得られず…。)

②セキュリティについて説得力が増す(当社比)
技術面よりもガバナンス方面だけど…

→CISAの勉強をすると"プロセスに人が介在すればリスクになる"という認識が増すと考えてます。
会社では、とにかくガバナンス(規程)を強めてセキュリティ(物理)を確保するという論点に持ち込むと、
アイツが言ってるんだからそうなんだろうなと思ってくれているようです。
(具体的な技術的セキュリティについては、情報処理安全確保支援士とかCISSPの人に聞いてほしいとぼやいてます)

③リスクベースの真の意味が理解できる
→サンプル問題を解いていると、
もし自分が(公認)情報システム監査人なら、システムを見た時に、まず何から始めるが常々考えさせられます。
リスクアセスメント(リスク評価)をまず行うクセがつくようになります。
これ結構大事です。リスクないところにとりあえず突っ込んでいくとプロジェクトが破綻します

④システムとかセキュリティとか名前がついた会議は片っ端から呼ばれるようになる
→エンジニアと他部門との通訳として呼ばれるようになります。
正直これが一番大きくて、意思疎通がうまく出来てなくて頓挫or放置されてる諸々に改善の兆しが見えてしました。

一般の人がOSI参照モデル書きながら、どこのレイヤーのトラブルかなんて話したりとか難しいですし、
一般の人の理解を得るには、例え話のプロになるほかないです。それが通訳としての役割です。

まとめると
MCカードを回しまくって身についた知識は、実務においても"野生の勘"としてトラブルシュートを行うときに役に立ちます
取得して劇的に社内で評価が上がったりすることはないです
「まぁアイツCISA持ってるし参考までに聞いてみっか」くらいの感覚でしょうか。
結構この野生の勘に助けられてるので、IT監査をする人たちにはおすすめです。

この記事が気に入ったらサポートをしてみませんか?