Follow up eveniment ‘Securitate cibernetica in mediu industrial’

/0 Comments/in /by

Follow up eveniment “Securitate cibernetica in mediu industrial”

În 4 aprilie, 2017, la Palatul Cesianu-Racoviță, ISACA România, a inițiat o dezbatere pe problema digitalizarii proceselor industriale și securitatea acestora susținută de Hidroelectrica, Transelectrica, Servicul Român de Informații (SRI), PwC, EY și Enevo Group.

Cu o prezență de peste 60 de participanți, evenimentul a reunit reprezentanți ai managementului din principalele companii de utilități și energie din România precum Hidroelectrica, Arcelor Mittal, Transelectrica sau Conpet, dar și reprezentați a unor instituții importante precum SRI, Ministerul de Interne, Guvernul României sau Ambasada Statelor Unite la București.

Întâlnirea a venit întru-un context în care sistemele industriale fizice și digitale devin din ce în ce mai interconectate, iar complexitatea acestora creste exponențial. Fiecare investiție în tehnologie, pe care o companie industrială sau de utilități o efectuează pentru a spori gradul de automatizare, conduce la creșterea gradului de expunere al sistemului informatic la atacuri cibernetice. Toate acestea realizându-se într-un context în care frecvența atacurilor cibernetice este in continuă creștere iar țintele devin din ce în ce mai diverse.

Sistemele de control industrial – Între performanță tehnologică și siguranță cibernetică

Conferința a fost deschisă de Gratiela Magdalinoiu, Președinte al ISACA România, urmată de o prezentare a cadrului actual legislativ susținută de domnul Dragos Ichim, Expert în comunicare pe zona securității cibernetice, Serviciul Român de Informații și de o scurtă prezentare a raportului EY privind statistica atacurilor cibernetice și a tendințelor din industrie. Acestea au precedat o sesiune de  discuții sub  formă  de  panel  abordând contextul  legislativ local și european privind protejarea infrastructurilor industriale, a riscurilor asociate  din perspectiva guvernantei, a măsurilor de control,  dar  și a soluțiilor tehnice în raport cu amenințările curente.

Panelul a fost moderat de Yugo Neumorni (fost Președinte ISACA România), având ca invitați pe Carmen Adamescu (Partner IT Advisory EY), Dragos Ichim (Expert în comunicare pe zona securității cibernetice SRI), Marian Raducu (Director IT&C al Transelectrica), Robert Stoicescu ( Senior Manager Risk Assurance PwC).

Materiale prezentate in cadrul conferintei, precum si un sumar al evenimentului pot fi descarcate accesand linkurile de mai jos:

Prezentare Serviciul Roman de Informatii

Prezentare E&Y

Prezentare Enevo Group

Rezumat conferinta

 

 

Noul Board ISACA Romania

/0 Comments/in , , /by

Alegerile s-au incheiat si noul board ISACA Romania si-a intrat in atributii incepand cu 8 iunie 2016.

A existat o contestatie cu privire la alegeri care a fost analizata in board-ul anterior si pentru care s-a comunicat catre contestatar rezultatul evaluarii.

Multumesc tuturor membrilor board-ului anterior si urez succes noului board.

Componenta acestuia este deja actualizata pe site-ul isaca.ro si isaca.org.

 

Informații despre candidați și alegerile pentru Board ISACA.

/0 Comments/in , , , /by
Alegerile se vor desfasura prin vot electronic, in mai putin de o saptamana, in intervalul 3-5 iunie 2016.
Mai jos lista candidaților, cu link pe nunele fiecăruia către informațiile trimise împreună cu înscrierea candidaturii

Presedinte:

Vice-presedinte
​Secretary
Va invit sa trimiteti pe adresa de email contact@isaca.ro orice intrebari aveti pentru unul sau mai multi candidati, urmand ca aceste intrebari sa fie transmise candidatilor iar raspunsurile lor (daca vor exista) sa fie publicate in urmatorul email pe subiectul alegerilor, ce va fi transmit impreuna cu ultimul reminder pentru alegeri, joi 2 iunie.
Alegerile se vor desfășura prin intermediul unui sistem de vot cu token individual.
Pentru a avea acces la sistem si pentru a trimite voturile veți avea nevoie de token-ul generat de sistem, token ce va fi trimis printr-un email separat, individual,  înainte de activarea votării.
Asigurati-va deci ca primiti emailurile de la isaca.ro, eventual prin configurarea unei reguli de tip whitelist la emailul cu care sunteti inregistrat la isaca international.
Votarea va incepe in ziua de vineri 3 iunie si se va incheia pe 5 iunie la ora 23.59.59.
Va rugam sa va contactati cunoscutii care sunt membri ISACA si sa va asigurati ca sunt in tema cu aceasta sesiune de votare, fiindca pentru validarea rezultatelor este necesar ca prezenta la vot sa fie de 50% + 1 din numarul membrilor ISACA Romania.
Candidatul cu cele mai multe voturi (pentru fiecare pozitie) este declarat castigator, cu conditia ca voturile in favoarea acestuia sa depaseasca numarul de voturi cu “abtinere” pentru acea pozitie.
Succes!

Board ISACA, candidati inscrisi si update alegeri.

/0 Comments/in , , /by

Datorita unor intarzieri cauzate de motive subiective, calendarul alegerilor va fi amanat cu 2 saptamani.

Toate candidaturile au fost validate, iata si lista candidatilor, in ordinea inscrierilor:
Presedinte:
  • Vlad Gheorghe
  • Gheorghe Hriscu
  • Yugo Neumorni
  • Razvan Balaban
  • Grațiela Măgdălinoiu
Vice-presedinte
  • Dragoș Dincă
  • Mihaela Vasiliu
  •  Bogdan Petre
​Secretary
  • Dana Dorina Deaconu
  • Georgel Gheorghe
Treasurer
– niciun candidat
Voi trimite cat mai curand posibil si un newsletter cu toate detaliile si informatii despre candidati, urmand ca perioada alegerilor sa fie cel mai probabil 3-6 iunie.

Program de asistenta pentru chapter pentru efectuarea de traduceri – 2014-2015

/0 Comments/in , , /by

♣ Conținut accesibil exclusiv membrilor ISACA, în funcție de nivelul de acces. Autentificaţi-vă pentru a avea acces, cu aceleași credențiale de la isaca.org.

To view the contents of this post, you must be an ISACA member, authenticated and have the required access level.

Government and Regulatory Advocacy

/0 Comments/in , , /by

In anii trecuti au existat mai multe interpelari catre ISACA International, inclusiv din partea ISACA Romania, cu privire la o posibila formalizare a actiunilor ISACA fata de autoritatile de stat si de reglementare.

In 2013 a fost infiintat la ISACA International un Comitet pentru “Government and Regulatory Advocacy” (GRA) cu misiunea de a coordona eforturile de conectare a ISACA la actiunile de reglementare conexe zonelor de interes acoperite de certificarile, standardele si zonele de actiune ale ISACA.

De cateva luni, subcomitetul 3 GRA care acopera si Romania a inceput sa deruleze actiuni concrete, inclusiv conf-call-uri si dezvoltarea unor materiale utilizabile la nivel local pentru actiuni in directia GRA. Aceste materiale vor fi disponibile “in curand” pentru board-urile locale, putand fi utilizate pentru a construi o strategie si a coordona actiuni concrete de lobby la nivelul autoritatilor guvernamentale si de reglementare locale.

Avand in vedere ca in Romania avem un context favorabil unor actiuni de advocacy (ma refer la expunerea pe care certificarea CISA o are deja la nivel de autoritati de reglementare, si la faptul ca exista COBIT 5 in limba romana, tradus deja de echipa coordonata de Adrian Munteanu) trebuie sa pastram un contact bun pe acest subiect cu ISACA International si sa incercam sa preluam initiativele si uneltele oferite de ISACA pentru a le aplica local.

In ultimii ani, membri ai board-ului ISACA Romania (si ai ISACA Romania in general) au luat parte (de cele mai multe ori ca parte din daily-jobs) la actiuni de advocacy in diverse contexte, dar acum aceste eforturi pot primi sustinerea concreta si formala a ISACA International, inclusiv unelte de lucru si exemple de abordari de succes ale altor chaptere.

Daca in trecut au mai existat demersuri timide, nereusite, de a infiinta comitete de lucru in cadrul ISACA Romania, cred ca este posibil ca acum, pe acest subiect, sa avem ceva mai mult succes. Cei care sunt interesati sa participe voluntar in aceasta initiativa sunt invitati sa isi exprime intentia si disponibiltatea.

Actualizare chapter compliance status

/0 Comments/in , /by

Astăzi a fost actualizat status-ul de compliance pentru Romanian Chapter pe isaca.org in “Chapter Compliant” si status “green”.

În perioada următoare vom reveni cu mai multe informaţii despre progresul in administrarea chapter-ului si informatii despre initiativele in curs.

COBIT 5 oferă sprijin organizaţiilor pentru guvernarea IT

/1 Comment/in , , /by

Noua ediţie a cadrului de referinţă COBIT 5 oferă sprijin organizaţiilor pentru guvernarea informaţiilor şi tehnologiei

Rolling Meadows, Illinois, USA (4 octombrie 2013)—ISACA a lansat ediţia în limba română a COBIT 5, singurul cadru de referinţă dedicat guvernării şi managementului IT în cadrul organizaţiilor.

Ajutând organizaţiile să îşi atingă obiectivele economice prin utilizarea inovatoare și eficientă a informaţiilor și tehnologiei, COBIT 5 reprezintă o evoluție majoră a cadrului de referinţă acceptat şi utilizat la scară globală de mai mult de 15 ani. Versiunea în limba română a cadrului este disponibilă pentru descărcare gratuită la adresa www.isaca.org/cobitproductfamily.

COBIT 5 oferă  principii acceptate la nivel mondial, practici, instrumente analitice și modele pentru a-i ajuta pe manageri să-şi maximizeze încrederea în şi valoarea obţinută cu ajutorul informaţiilor şi tehnologiei. El a fost dezvoltat de către ISACA, o asociație non-profit globală, ce numără mai mult de 110.000 profesionişti din domeniile serviciilor de asigurare,  securitate, management al riscului și guvernare IT.

„Organizaţiile din întreaga lume au nevoie de îndrumări cu privire la maniera de gestionare, guvernare și asigurare a valorii rezultată din cantitatea mare de informaţii şi evoluția rapidă a tehnologiilor” a declarat Rob Stroud, CGEIT, CRISC, membru al COBIT Task Force ISACA,  al  Consiliului consultativ strategic și vice-preşedinte al CA Technologies. “COBIT 5 oferă o orientare. El ajută organizaţiile să ia decizii eficiente prin menținerea nevoile beneficiarilor în prim-plan.”

COBIT 5 poate fi adaptat oricărui model de afacere, mediu tehnologic, industrie, localizare şi cultură corporatistă. Poate fi aplicat:

  • Securităţii informaţiilor

  • Managementului riscului

  • Guvernării şi managementului IT din cadrul organizaţiei

  • Activităţilor de asigurare

  • Conformităţii legislative şi reglementărilor

  • Procesării informaţiilor financiare şi raportărilor RSC

“Noua versiune a cadrului de referinţă COBIT 5 sprijină atingerea obiectivelor IT şi economice, asigură alinierea IT cu cerinţele economice şi îmbunătăţeşte eficienţa şi eficacitatea IT” a declarat Adrian B. Munteanu, Ph.D, CISA, CRISC, membru şi academic advocate al filialei ISACA din România, coordonatorul traducerii şi adaptării în limba română a cadrului de referinţă. “Având la bază experienţele practice dovedite ale profesioniştilor IT de pretutindeni, COBIT 5 ajută organizaţiile în luarea unor decizii corecte prin reducerea costurilor şi îmbunătăţirea consistenţei cu care sunt furnizate serviciile IT.”

Cadrul de referinţă COBIT 5 simplifică provocările pe care le aduce guvernarea IT prin intermediul a cinci principii şi şapte catalizatori. El integrează alte abordări şi standarde cum ar fi,  TOGAF, PMBOK, Prince2, COSO, ITIL, PCI DSS, Sarbanes-Oxley Act şi Basel III.

Pentru mai multe resurse COBIT, incluzând articole, studii de caz, infografice şi o listă cu toate publicaţiile COBIT, vizitaţi www.isaca.org/cobit.

 

Despre ISACA

Cu mai mult de 110.000 de membri în 180 de țări, ISACA® (www.isaca.org) îi ajuta pe manageri să-şi maximizeze valoarea şi să gestioneze riscurile asociate tehnologiilor informaţionale şi conexe. Fondată în 1969 ca organizație independentă, non-profit ISACA este un susţinător al profesioniştilor implicaţi în securitatea informaţiilor, servicii de asigurare, managementul riscurilor şi guvernare. Aceşti profesionişti se bazează pe ISACA ca pe o sursă de încredere pentru cunoaştere, comunitate, standarde şi certificări. Asociaţia, care are 200 de filiale la nivel mondial, promovează şi validează abilităţile şi cunoaşterea fundamentale pentru afaceri prin intermediul certificărilor apreciate la nivel global Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) și Certified in  Risk and Information Systems ControlTM (CRISCTM). De asemenea, ISACA dezvoltă şi actualizează continuu COBIT®, cadrul de referinţă orientat către afaceri ce ajută organizaţiile, indiferent de industrie şi localizare geografică, să-şi  guverneze şi administreze informaţiile şi tehnologiile.

Participare în ISACA Knowledge Center: www.isaca.org/knowledge-center

Urmăreşte ISACA pe Twitter:  https://twitter.com/ISACANews

Înscriere ISACA pe LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial

Apreciază ISACA pe Facebook: www.facebook.com/ISACAHQ

 

Contact

Rachel Acevedo, +1.847.660.5617, news@isaca.org

Joanne Duffer, +1.847.660.5564, news@isaca.org

Kristen Kessinger, +1.847.660.5512, news@isaca.org

Îmbunătățirea modului de raportare a timpului dedicat activităților de tipul CPE

/0 Comments/in /by

ISACA a modificat modul de înregistrare a creditului pentru timpul dedicat activităților de tipul “Continuous Professional Education” (CPE). Acestea se pot raporta acum în orice moment pe parcursul unui ciclu de 3 ani.

Vă reamintim că raportarea CPE-urile pentru persoanele certificate este un pas obligatoriu pentru reînnoirea unei certificări, din portofoliul ISACA, la expirarea fiecărui ciclu de 3 ani de la data dobăndirii acesteia.

Un tutorial detaliat este disponibil prin intermediul ISACA International și se prezinta noul mod de raportare împreună cu un set de întrebări frecvente asociate procesului de raportare al CPE-urilor.

UPDATE – Cursuri de pregătire pentru examenele de certificare ISACA – sesiunea decembrie 2012

/0 Comments/in , , /by

Pe acestă cale mulţumim tuturor celor care s-au aratat interesaţi de participarea la cursurile de revizuire pentru certificările ISACA.

În urma centralizării datelor, Boardul ISACA România a hotărât origanizarea cursului dedicat examenului CISA din decembrie 2012.

ISACA România nu va organiza cursuri de revizuire pentru certificările CRISC, CGEIT, CISM din cauza numărului limitat de posibili participanţi.

Curs CISA Review

Perioada: 26-28 noiembrie, 9:00 – 17:00

Lectori: Cătalin Ţigănilă, Gabriel Tănase şi George Draguşin

Cost: 400 Euro pentru membri, 600 Euro pentru non-membri – plătiţi integral până în ziua cursului

Înscriere: Pentru o bună organizare a cursului îi rugam pe cei interesați să participe sa ne contacteze până pe 14 noimebrie 2012 (termenul limită pentru înscrieri).

Termenul limită de plată este 16 noiembrie.

Persoana de contact pentru facturare și plată este:

Viorel Crudu, Treasurer

Adresa de contact

Fax:  (+40) 213 236 570

Persoanele de contact pentru detalii suplimentare sunt:

George Dragușin, Program Officer

Mircea Costache, Education Officer

Adresa de contact

Locaţia: Va fi anunţată ulterior

Facilităţi incluse: cafea, ceai, apă, masa de prânz.

Detalii despre curs:

Cursul  are structura unui curs de aprofundare si necesită cel puţin un nivel de bază în înţelegerea ariilor examinate.

  • Procesul de Audit al Sistemelor Informatice;
  • Guvernanţă şi Management IT;
  • Procesele de Achiziţie, Dezvoltare şi Implementare ale Sistemelor Informatice;
  • Procesele Operaţionale, de Întreținere şi Suport ale Sistemelor Informatice;
  • Protejarea resurselor Informatice.

Cursul este prezentat în limba româ, materialele de studiu vor fi disponibile în limba engleză.

Pregatire pentru curs: este necesară parcurgerea completă a manualului CISA  și înţelegerea terminologiei folosite.

Cursul de review pune accent pe pregatirea examenului (inclusiv prin teste), iar teoria prezentată în manual va fi parcursă într-un ritm mai rapid.

Notă: În masura în care numarul celor înscrisi este insuficient pentru sustinerea cursurilor, ISACA România își rezervă dreptul să anuleze cursul, cu informarea participanților înscriși, respectiv stornarea plății dacă a fost efectuată.

ANULAT – Cursul de aprofundare pentru examenul CISA

/0 Comments/in /by

Mulţumim încă o dată tuturor celor care s-au arătat interesaţi de participarea la cursurile de aprofundare pentru certificările ISACA, totuşi numărul celor înscrisi efectiv a fost foarte restrâns.

Boardul ISACA România a hotărât anularea origanizării cursului dedicat examenului CISA din iunie 2012.

Curs CISA Review

Perioada: ANULAT

Motivaţie: Număr scazut de participanţi

Lectori: Cătalin ŢigănilăGabriel Tănase  şi George Draguşin

Cost: 400 Euro pentru membri, 700 Euro pentru non-membri


ISACA România le urează mult succes tuturor celor care vor susţine examene în sesiunea din iunie!

 


Draft pentru consultări: Statutul Asociaţiei ISACA România

/3 Comments/in , , , /by

♣ Conținut accesibil exclusiv membrilor ISACA, în funcție de nivelul de acces. Autentificaţi-vă pentru a avea acces, cu aceleași credențiale de la isaca.org.

To view the contents of this post, you must be an ISACA member, authenticated and have the required access level.

Actualizare situatie plăţi taxe ISACA

/0 Comments/in /by

Încep prin a-mi cere scuze pentru o situaţie care nu a fost  în totalitate sub controlul nostru. ISACA Romania Chapter figurează cu 280 membri. Unii dintre dvs. aţi plătit taxele local, alţii aţi plătit direct la ISACA Internaţional. Din păcate, în evidenţele ISACA Internaţional cu privire la situaţia plăţilor figurau doar 241 membri. Diferenţa era pierdută prin neantul interogărilor SQL şi Reporting Services. Mai mult, cei care deţin certificarea CRISC şi au plătit pentru aceasta chiar la ISACA International, încă nu figurau cu această taxă plătită chiar dacă au extrasul cu plata efectuată (mă înscriu în această categorie). Mai exact, în raportul privind situaţia plăţilor efectuate de către membri, certificarea CRISC lipseşte cu desăvârşire.

Am informat ISACA Internaţional despre aceste probleme şi parte dintre ele au fost rezolvate.

La această dată, 78.60% din membrii ISACA Romania Chapter sunt la zi cu plata taxelor. Remintesc că participarea la Adunarea Anuală a Chapterului precum şi votarea deciziilor impune membrilor ca o condiţie mandatară,  statusul “in good standing”.

Valoarea unei certificări

/0 Comments/in , /by

“Certificarea” este un subiect controversat și incitant. Literatura de specialitate, scepticii sau zeloşii prezintă argumentele de pe fiecare parte a baricadei. Cochetând destul de mult cu domeniul riscurilor, îmi permit să spun că adevărul este undeva la mijloc. Ca de obicei, veţi spune. Aveţi dreptate. Aş adăuga însă, că o certificare este pe atât de valoroasă pe cât de mult o preţuim noi şi comunitatea. Prețuire ce nu vine din acronimele pe care le adăugăm numelor noastre pe cărțile de vizită sau pe diplome atârnate pe pereții companiei.

Avem companii “certificate” în varii sisteme/domenii, avem şi oameni “certificaţi”. Cu certificare sau fără, ştim/cunoaştem întotdeauna despre un subiect ceea ce credem că ştim/cunoaştem?

Vă întreb: care este beneficiul real al unei certificări? Bacalaureatul este o “certificare”? Dar licenţa? Există o diferenţă fundamentală între “certificări”? Dar o carte citită şi înţeleasă poate fi o “certificare”?

Ce am învăţat din prima experienţă legată de o certificare? În primul rând, ca la orice curs, am fost obligat să urmez o structură. Să învăţ după o abordare structurată şi nu după nevoile mele de moment. În al doilea rând am descoperit că “nu ştiam”. Prin urmare mi-am umplut “goluri” de cunoaştere. Nu mi-a plăcut însă prea mult. Cea mai mare parte a întrebărilor a făcut apel la memorie. E firesc dacă mă gândesc că era vorba de sarcini exacte, bine definite, pe care trebuie să le execuţi. Prima mea certificare a fost “tehnică”.

Mai important mai “valoros” decât examenul de certificare consider însă a fi “procesul de pregătire”: cum înveţi şi mai ales ce înveţi. Există însă certificări în care apar trei elemente noi pe lângă promovarea examenului de testare a cunoștințelor: aderarea la un Cod de etică profesională; dovedirea unui număr de ani de experiență practică; un proces de educare profesională continuă după obținerea certificării.

 Certificările ISACA sunt certificări profesionale. Sunt instrumente prin care fiecare dintre noi își îmbunătățește “profesionalismul”. Şi ţine doar de resorturile noastre interne dacă dorim să respectăm “profesia”.

ENISA – Rapoartele de ţară 2011 Securitatea Reţelelor şi a Datelor

/0 Comments/in /by

Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (en. ENISA) este o agenţie Europeană, un centru de excelenţă, pentru statele membre şi instituţiile europene, ce activează în domeniul securităţii rețelelor și a datelor. Agenţia facilitează contacte între instituțiile europene, statele membre precum si actori din zona privată, şi industrie.

În cursul acestui an ENISA a lansat o ediţie on-line actualizată a “Rapoartelor de ţara” cu privire la securitatea reţelelor şi a datelor (en. NIS – Network and Information Security). “Rapoartele de ţară” oferă o privire de ansamblu unică a peisajului actual al securităţii reţelelor şi datelor, în cele 27 de state membre ale UE şi cele trei ţări din Spaţiul Economic European (SEE: Islanda, Liechtenstein şi Norvegia).

Publicaţia constată că ţările europene prezintă o structura foarte variată în modul în care acestea sunt pregătite să răspundă criminalităţii informatice şi atacurilor informatice. Actualizate şi extinse pentru această a treia ediţie, “Rapoartele de ţară” oferă o imagine de ansamblu şi rapoarte detaliate, separat privind cele 30 de ţări menţionate mai sus.

Aceste rapoarte oferă o prezentare generală a principalelor activităţi cu privire la securitatea reţelelor şi a datelor, interacţiunile părţilor interesate, mecanisme de schimb de informaţii, platforme de cooperare, tendinţe, bune practici, studii de caz şi date specifice pentru fiecare ţară în parte. Fiecare raport naţional evidenţiază arii ca: strategia de ţară privind securitatea reţelelor şi a datelor,  cadrul legal de reglementare şi politicile importante, principalele părţi interesate şi a mandatului lor precum şi roluri şi responsabilităţi pe plan naţional cu privire la securitatea reţelelor şi a datelor.

O constatare generală sugerează că majoritatea ţărilor fac eforturi majore în realizarea de progrese în acest domeniu. Cazurile de succes cu privire la securitatea reţelelor şi a datelor – în domenii precum gestionarea incidentelor de securitate şi raportarea lor, managementul riscului,  rezilienţa reţelei, confidenţialitate şi încredere, creşterea gradului de conştientizare – sunt prezentate ca sursă de inspiraţie pentru alţii.

Mai multe detalii pe site-ul ENISA.

 

ISACA.RO – distincția de bronz 2010

/0 Comments/in /by

„Website-ului ISACA România i-a fost acordată distincția de bronz”

În cursul acestui an, ISACA International Chapter Support Committee a felicitat ISACA România pentru pagina de internet şi a oferit filialei noastre distincția de bronz pentru anul 2010 în clasamentul internațional.

Distincțiile sunt acordate site-urilor exemplare care urmăresc “cele mai bune practici” ISACA, conformitate, comunicarea informaţiei, serviciile pentru membri, noutăţi, cât şi alte prezentări.

În fiecare an ISACA International Chapter Support Committee revizuiește toate paginile web care sunt legate de website-ul ISACA International.

Pe parcursul evaluării website-ul ISACA Romania a obținut un punctaj maxim la prezentarea beneficiilor pe care le au membrii organizației şi prezentarea evenimentelor organizate de Filiala locală. Ariile care necesită îmbunătățire sunt cele care fac referire la serviciile oferite: articole, facilităţile de download, newsletter, etc.

Pentru acest an, ISACA Romania a pregătit noua versiune a paginii web locale isaca.ro pentru a răspunde mai bine nevoilor membrilor, cerinţelor ISACA și care să aducă mai aproape, informații și date de interes tuturor vizitatorilor website-ului.

Riscul auditării

/0 Comments/in , /by

Conform definiţiei, auditul sistemelor informaţionale are drept obiective protecţia activelor, integritatea datelor eficacitatea şi eficienţa sistemului.

De exemplu, atât auditorii interni cât şi cei externi caută să identifice care sunt pierderile materiale sau erorile din cadrul raportărilor financiare ca urmare a neregulilor descoperite în cadrul sistemului auditat. Orice afirmaţie făcută de auditor trebuie însă susţinută de probe sau dovezi. Datorită naturii testelor la care se face apel, există riscul ca CISA să eşueze în încercarea de a identifica erorile reale sau potenţiale din cadrul sistemului. Acesta este riscul auditării.

AICPA, organizaţia ce grupează auditorii externi din SUA, a elaborat în 1988 un model de calcul al riscului auditării[1]:

RA = RI * RC * RD, unde

RA= riscul auditării/de audit;

RI= riscul inenrent;

RC=riscul controlului;

RD=riscul detectării.

Acest model rămîne valabil şi în cazul auditului sistemelor informaţionale[2]. În manual de pregătire pentru examenul CISA se menţionează că auditorul de sisteme informaţionale trebuie să estimeze riscul de audit pentru a aloca în mod corespunzător resursele în timpul misiunii.

Riscul inerent reprezintă disponibilitatea unei zone supusă auditării de a conţine erori pornind de la ipoteza că nu există controale interne. Erorile pot fi materiale, individuale sau orice altă combinaţie posibilă.

De exemplu, riscul inerent asociat securităţii sistemului de operare de pe un server de baze de date este mare atît timp cît modificarea sau divulgarea datelor ca urmare a speculării eventualelor bug-uri/configurări greşite pot să aibă ca efect pierderea avatajului deţinut de organizaţie pe piaţă. Dacă în schimb discutăm de o staţie de lucru, acest risc poate fi considerat redus atît timp cît respectiva staţie nu rulează aplicaţii considerate critice pentru organizaţie.

Atât timp cât erorile potenţiale din cadrul unei singure componente a sistemului informaţional se pot propaga în întreaga organizaţie şi asupra tuturor utilizatorilor, în majoritatea sistemelor informaţionale acest risc este considerat ridicat.

În evaluarea riscului inerent, auditorul trebuie să aibă în vedere atât controalele considerate dominante[3] în zona supusă auditării cât şi pe cele de detaliu/fond[4]. Excepţie de la această abordare face situaţia în care evaluarea auditorului vizează în exclusivitate controalele dominante din cadrul sistemului. În ceea ce priveşte controalele dominate ce acţionează în zona supusă evaluării, auditorul trebuie să aibă în vedere :

  • integritatea, experienţa şi cunoştinţele conducătorilor compartimentului de specialitate;
  • schimbările intervenite la nivelul conducerii compartimentului;
  • presiunile la care sunt supuşi managerii acestui compartiment (termenele “strânse” ale proiectelor în derulare etc.);
  • domeniul de activitate al organizaţiei şi natura sistemului informaţional (planuri privind trecerea la comerţul electronic, soluţii ERP sau lipsa acestora etc);
  • factori care afectează domeniul tehnologiilor informaţionale la scară mondială (apariţia unor tehnologii noi, lipsa specialiştilor care să deţină noile cunoştinţe);
  • gradul de influenţă al terţilor asupra controalelor (outsourcing, accesarea directă a sistemului de către clienţi/terţi);
  • disponibilitatea informaţiilor din auditările precedente.

La nivelul controalelor detaliate/de fond, auditorul trebuie să ţină cont de :

  • complexitatea sistemului;
  • nivelul intervenţiilor manuale în sistem;
  • disponibilitatea la pierderi sau furt a componentelor controlate de către sistem (evidenţa stocurilor, salarizarea);
  • apariţia perioadelor de vârf în timpul auditării (închiderile de lună).

Riscul controlului reprezintă riscul ca o eroare care poate să apară în zona supusă auditării să nu fie prevenită sau detectată şi corectată de către sistemul de control intern într-o perioadă rezonabilă de timp.

De exemplu, riscul pe care îl implică revizia manuală a jurnalelor sau a tabelelor de audit realizate de un server Oracle va fi considerat mare datorită volumului mare de informaţii înmagazinate în aceste jurnale şi a uşurinţei cu care se greşeşte în aceste situaţii. Pe de altă parte riscul controlului asociat procedurilor formalizate de validare a datelor este considerat redus datorită continuităţii acestui control şi a testelor efectuate anterior dării în exploatare a aplicaţiei.

Auditorul va atribui cel mai mare nivel riscului controlului cu excepţia situaţiilor în care:

  • au fost identificate controale interne relevante;
  • aceste controale au fost evaluate ca fiind în funcţiune;
  • controalele au fost testate şi s-a dovedit că funcţionează în mod corespunzător.

 Riscul detecţiei reprezintă riscul ca un test independent/de fond efectuat de către auditor să nu detecteze o eroare care există în zona supusă auditării.

De exemplu, riscul detecţiei asociat identificării punctelor slabe ale securităţii unei aplicaţii va fi mare atât timp cât logurile/jurnalele pentru întreaga perioadă supusă auditării nu vor fi disponibile în totalitate în momentul efectuării verificării. Pe de altă parte, riscul detecţiei asociat identificării existenţei unui plan de refacere în caz de dezastre, va fi considerat redus atât timp cât existenţa acestui document este uşor de verificat.

Pentru a determina numărul testelor independente/de fond care trebuie efectuate, auditorul trebuie să ţină cont de:

  • nivelul la care a fost evaluat riscul inerent;
  • concluziile la care a ajuns în urma efectuării testelor de conformitate.

Aici mai intervine şi riscul eşantionării/noneşantionării. Riscul auditului este invers proporţional cu ceea ce statistica definişte ca fiind gradul de încredere. Un risc de acceptare incorectă de 5% este echivalent cu a spune că a fost asociat un grad de încredere de 95%. Altfel spus, ca auditor pot afirma că sunt 95% sigur că eşantionul analizat reprezintă populaţia sau că există o şansă de 5% ca eşantionul să nu reprezinte populaţia.

În concluzie, putem spune că, dacă riscul inerent şi riscul controlului au fost evaluate la un nivel mare, atunci auditorul trebuie să obţină cât mai multe probe prin efectuarea testelor independente/de fond!

[1] Accounting Principles and Auditing Standards

[2] IS Audit Guidelines – www.isaca.org/ Standards & Guidelines

[3] Controalele dominate sunt controalele generale, proiectate cu scopul de a administra şi a monitoriza sistemul informaţional şi care afectează toate activităţile acestuia

[4 ]Controalele detaliate sunt controalele efectuate asupra achiziţiei/dezvoltării, implementării şi întreţinerii sistemului informaţional. În componenţa lor intră controalele aplicaţiilor şi controalele generale care nu sunt considerate dominante.

Noutăţi CISA Review Manual 2011

/0 Comments/in , /by

 La fiecare 5 ani ISACA revizuiește “job practice” definite ca cerinţe pentru obţinerea certificării CISA cu scopul de a reflecta cât mai bine modificările şi tendiţele domeniului. Versiunea din acest an a manualului CISA vine cu cîteva modificări în ceea ce privește structurarea materiei. Chiar dacă este principala sursă bibliografică din care se învață, nu trebuie considerată şi singura!

Ultimele actualizări se găsesc aici.

Nu trebuie omis că întrebările din timpul examenului testează cunoașterea practică a aplicării teroriei din manual!

CRM 2010

CRM 2011

1. The IS Audit Process (10%)

1. The Process of Auditing Information Systems (14%) 

2. IT Governance (15%)

2. Governance and Management of IT (14%)
……
2.13 Business Continuity Planning
2.14 Auditing Business Continuity

3. Systems and Infrastructure Life Cycle Management (16%)

3. Information Systems Acquisition, Development and Implementation (19%)

4. IT Service Delivery and Support (14%)

4. Information Systems Operations, Maintenance and Support (23%)
….
4.7 Disaster Recovery Planning

5. Protection of Information Assets (31%)

5. Protection of Information Assets (30%)

6. Business Continuity and Disaster Recovery  (14%)

  Eliminat

Succes!

 

 

Cum ajută COBIT la atingerea conformităţii: exemplu Regulamentul 18 BNR

/0 Comments/in , /by

Art.2 al Regulamentul 18/2009 consolidat defineşte noţiuni comune practicii guvernării IT:

d) control intern – proces continuu, destinat să furnizeze o asigurare rezonabilă pentru îndeplinirea obiectivelor de performanţă – eficacitatea şi eficienţa activităţilor desfăşurate -, de informare – credibilitatea, integritatea şi furnizarea la timp a informaţiilor financiare şi ale celor necesare conducerii –  şi de conformitate – conformarea cu legile  şi  reglementările aplicabile, precum şi cu politicile şi procedurile interne – şi care, pentru a fi eficace, necesită implementarea următoarelor 3 funcţii: funcţia de administrare a  riscurilor, funcţia de conformitate şi funcţia de audit intern. Controlul intern include, de  asemenea, organizarea contabilităţii, tratamentul informaţiilor, evaluarea riscurilor  şi  sistemele de măsurare a acestora;”

“o)  risc aferent tehnologiei informaţiei (IT) – subcategorie a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă a profiturilor  şi capitalului,  determinat de inadecvarea strategiei  şi politicii IT, a tehnologiei informaţiei  şi a  procesării informaţiei, cu referire la capacitatea de gestionare, integritatea,
controlabilitatea  şi continuitatea acesteia, sau de utilizarea necorespunzătoare a tehnologiei informaţiei; ”

Art. 28.   este cel care face referire la sistemele informaţionale, controlul intern şi riscuri

 (5) În contextul alin. (2), instituţiile de credit trebuie să respecte cerinţele organizaţionale şi de control intern legate de procesarea electronică a informaţiilor şi să asigure existenţa unei piste de audit adecvate

 (6) Sistemele informaţionale ale instituţiilor de credit, inclusiv cele care păstrează şi utilizează date în format electronic, trebuie să fie sigure, monitorizate independent şi susţinute de planuri alternative corespunzătoare, care să le permită continuarea activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor informatice critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie a instituţiei de credit – centru de back-up -, fie prin intermediul unui furnizor extern de servicii.

(7) Funcţionarea planurilor alternative prevăzute la alin. (6) trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă.

(8) Instituţiile de credit trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop, se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia.

(9) Controalele generale trebuie efectuate asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice – sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale utilizatorilor finali, precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora.

(10) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic. 

(11) Controalele efectuate la nivelul aplicaţiilor informatice reprezintă proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor.

Ce suport oferă COBIT?

În primul rând este dezvoltat conform COSO (Committee of Sponsoring Organizations). În al doilea rând oferă ghiduri pentru management şi responsabilii de procese economice. În al treilea rând oferă un set generic de procese IT aliniate proceselor economice. În al patrulea rând oferă cerinţele pe care managementul trebuie să le aibă în vedere pentru controlarea proceselor IT – obiectivele controlului. Responsabilii de la nivel operaţional ştiu astfel ce set de controale este necesar unui anumit proces din organizaţie.

COBIT ofera exemple de intrări şi ieşiri pentru fiecare proces în parte. Este flexibil şi nu este prescriptiv. Oferă în plus o descriere a responsabilităţilor celor care sunt sau pot fi implicati într-un proces. Responsabilitatea pentru controalele implementate la nivelul aplicaţiilor este o responsabilitate comună atît domeniului economic cât şi IT-ului. Managementul proceselor economice răspunde de definirea corespunzătoare a cerinţelor funcţionale şi de control, de utilizarea serviciilor automatizate în mod potrivit . Managementul IT este responsabil pentru automatizarea şi implementarea cerinţelor funcţionale şi de control, de stabilirea elementelor de gestiune pentru a menţine integritatea, aplicabilitatea şi eficienţa controalelor implementate la nivelul aplicaţiilor.

Pragul de semnificaţie în auditul sistemelor informaţionale

/0 Comments/in , , /by

Atunci cînd planifică o misiune, auditorul trebuie să aibă în vedere trei perspective: conformitatea, operaţionalul şi strategicul. Un concept oarecum ambiguu pentru auditorii de sisteme informaţionale este “materialitatea/pragul de semnificaţie”.

Conform LISTEI TERMENILOR CHEIE ISA 2008, materiality înseamnă (prag de) semnificaţie. În cazul auditului financiar (ne place ori nu, pragul de semnificaţie trebuie înţeles pornind de aici), se spune:

 Informaţiile sînt semnificative dacă omisiunea sau declararea lor eronată ar putea influenţa deciziile economice ale utilizatorilor, luate pe baza situaţiilor financiare. Pragul de semnificaţie depinde de mărimea elementului sau a erorii, judecate în împrejurările specifice ale omisiunii sau declarării eronate. Astfel, pragul de semnificaţie oferă mai degrabă o limită, decît să reprezinte o caracteristică calitativă primară pe care informaţia trebuie să o aibă pentru a fi utilă. – ISA 320 Audit Materiality

În cazul auditului sistemelor informaţonale, situaţia este puţin mai complicată. Aceasta deoarece auditul financiar exprimă pragul de semnificaţie în termeni monetari. Standardul de audit financiar menţionat anterior spune:

Pragul de semnificaţie trebuie luat în considerare de auditor atunci cînd:

a) se determină natura, durata şi întinderea procedurilor de audit

b) se evaluează efectele informaţiilor eronate

Materiality Concepts for Auditing Information Systems Document G6 spune:

În evaluarea pragului de semnificaţie, auditorul de SI trebuie să ia în considerare:

– nivelul agregat al erorilor acceptabile de către management, auditorul, agenţiile cu atribuţii de reglementare şi celelalte părţi interesate

– potenţialul ca efectul cumulat al unor erori nesemnificative sau puncte slabe să devină semnificativ

Ghidul din care am tradus şi adaptat lămureşte şi ce înseamnă “control semnificativ” – un control sau un grup de controale în lipsa căruia procedurile de control nu oferă asigurări rezonabile că obiectivul controlului va fi atins.

Ghidul prezintă şi aspectele ce trebuie avute în vedere de către un CISA atunci când evaluează pragul de semnificaţie:

  • Cât sunt de critice sunt procesele economice realizate cu ajutorul sistemului informaţional
  • Cât este de critică baza de date folosită
  • Numărul şi tipul aplicaţiilor dezvoltate
  • Numărul utilizatorilor sistemului informaţional
  • Numărul managerilor sau directorilor ce lucrează cu sistemul informaţional, clasificaţi în funcţie de privilegiile avute
  • Cât de critice sunt comunicaţiile/reţeaua
  • Costul sistemului sau al operării acestuia (hardware, software, staff, servicii third-party etc)
  • Costul potenţial al erorilor (pe cât posibil exprimat în termeni de pierdere a vânzărilor, garanţii, costuri de dezvoltare neacoperite, costuri de rectificare etc.)
  • Costul pierderii informaţiilor vitale
  • Eficienţa măsurilor de securitate
  • Numărul tranzacţiilor/interogărilor pe o perioadă de timp
  • Natura, dimensiunea, data rapoartelor şi fişierelor întreţinute
  • Natura şi cantitatea materialelor manipulate
  • SLA şi costul penalităţilor
  • Penalităţile nerespectării cerinţelor legale, statutare sau contractuale

Aderarea, reînnoirea calităţii de membru şi plata cotizaţiilor

/0 Comments/in /by

Membri noi

Calitatea de membru ISACA implică completarea formularului standard (nici un alt tip de document nu este valabil) şi plata taxelor stabilite de către Asociaţie şi de filiala locală.

Cotizaţiile pentru anul în curs trebuie plătite înainte de 1 ianuarie, calitatea de membru expirând la data de 31 decembrie. Dacă o persoană  întârzie plata taxei mai multe de 60 de zile faţă de această dată îşi pierde calitatea de membru ISACA.

Filiala locală poate modifica formularul astfel încât:

  • Să includă sumele datorate local;
  • Să adauge adresa locală pentru efectuarea plăţilor
  • Să includă echivalentul taxelor în monedă naţională atunci când se încurajează plata locală sau când procedurile contabile impun o astfel de abordare

Ultima versiune de formular de aplicaţie poate fi descărcată de aici: www.isaca.org/join.

În conformitate cu statutul ISACA International, membrii ISACA trebuie să fie afiliaţi unui Chapter (filială) local.

Chapterul ISACA România este identificat prin numărul 172.

Statutul ISACA nu permite unei persoane să fie membru al unei filiale locale fără a fi membru ISACA International.

Membrii noi sunt încurajaţi să transmită formularul de aplicaţie direct la ISACA International!

Cotizaţii şi modalităţi de plată

Chapter Dues Rate (all amounts in US Dollars)

New Member

$50.00

Renewing Member

$50.00

New Student Member

$0.00

Renewing Student Member

$0.00

Retired Member

$0.00

University Advocate

$20.00

International Dues Rate (all amounts in US Dollars)

New Member Online

$145.00

New Member Fax/Mail

$165.00

Renewing Member

$135.00

Student Member

$25.00

Retired Member

$67.50

University Advocate

$0.00

ISACA International pune la dispoziţie 3 modalităţi de plată a cotizaţilor:

  • Plata prin cec în USD şi transmiterea aplicaţiei prin fax sau poştă către departamentul Membership al ISACA International
  • Plata prin transfer bancar şi transmiterea aplicaţiei şi a unei copii după documentul de transfer prin email (membership@isaca.org), fax sau poştă către departamentul Membership al ISACA International
  • Plata on line

ATENŢIONARE:

Niciodată nu se transmit detalii despre cardul bancar prin email. În cazul în care plata se face anterior transmiterii formularului de aplicaţie, analiza aplicaţiei va întârzia până la primirea tuturor documentelor doveditoare.

Dacă plata cotizaţiilor nu a inclus şi suma datorată filialei locale, prelucrarea aplicaţiei va fi întârziată până la efectuarea tuturor plăţilor.

ISACA România analizează în prezent posibilitatea ca toate taxele, cotizaţiile şi orice alte costuri care pot fi facturate de ISACA, să fie facturate local, în România. Până la definitivarea acestor proceduri ne puteţi contact pentru mai multe informaţii la adresa noastră de contact@

ISACA eLibrary – o resursă excepțională gratuită

/0 Comments/in , /by

ISACA eLibrary reprezintă o biblioteca on line personalizată!

ISACA eLibrary este o colecție a cărților și publicațiilor ISACA/ITGI precum și  425 cărți pentru care accesul este gratuit ca un beneficiu acordat membrilor ISACA.

Beneficii:

  • Acces la toate titlurile și navigare on line prin conținut, personalizat în funcție de nevoi
  • Descărcare gratuită a maximum 5 capitole/lună din cărțile disponibile on line
  • Mecanism robust de căutare a conținutului
  • Păstrarea cărților accesate în mod frecvent într-un “raft” personal
  • Posibiltate de cumpărare a cărţilor
  • Semne de carte pentru conţinutl consultat
  • Posibilitatea de creare de citări

Acces membri la ISACA eLibrary

 

 

 

Revizuirea Statutului asociaţiei ISACA România

/0 Comments/in /by

♣ Conținut accesibil exclusiv membrilor ISACA, în funcție de nivelul de acces. Autentificaţi-vă pentru a avea acces, cu aceleași credențiale de la isaca.org.

To view the contents of this post, you must be an ISACA member, authenticated and have the required access level.

♣ – Consultare cu privire la cerințele de certificare tehnică ale Transfond pentru SEP

/0 Comments/in , , /by

♣ Conținut accesibil exclusiv membrilor ISACA, în funcție de nivelul de acces. Autentificaţi-vă pentru a avea acces, cu aceleași credențiale de la isaca.org.

To view the contents of this post, you must be an ISACA member, authenticated and have the required access level.