Pe situl Ministerului Comunicaţiilor şi Societăţii Informaţionale este publicat în vederea consultării publice, proiectul de ORDIN pentru aprobarea Normelor de securitate pentru serviciile publice on-line.
” Scopul prezentelor Norme este de a stabili cerinţele minime de securitate, aplicabile serviciilor publice on-line din România.”
Membrii ISACA Romania Chapter sunt invitaţi la dezbatere.
“Certificarea” este un subiect controversat și incitant. Literatura de specialitate, scepticii sau zeloşii prezintă argumentele de pe fiecare parte a baricadei. Cochetând destul de mult cu domeniul riscurilor, îmi permit să spun că adevărul este undeva la mijloc. Ca de obicei, veţi spune. Aveţi dreptate. Aş adăuga însă, că o certificare este pe atât de valoroasă pe cât de mult o preţuim noi şi comunitatea. Prețuire ce nu vine din acronimele pe care le adăugăm numelor noastre pe cărțile de vizită sau pe diplome atârnate pe pereții companiei.
Avem companii “certificate” în varii sisteme/domenii, avem şi oameni “certificaţi”. Cu certificare sau fără, ştim/cunoaştem întotdeauna despre un subiect ceea ce credem că ştim/cunoaştem?
Vă întreb: care este beneficiul real al unei certificări? Bacalaureatul este o “certificare”? Dar licenţa? Există o diferenţă fundamentală între “certificări”? Dar o carte citită şi înţeleasă poate fi o “certificare”?
Ce am învăţat din prima experienţă legată de o certificare? În primul rând, ca la orice curs, am fost obligat să urmez o structură. Să învăţ după o abordare structurată şi nu după nevoile mele de moment. În al doilea rând am descoperit că “nu ştiam”. Prin urmare mi-am umplut “goluri” de cunoaştere. Nu mi-a plăcut însă prea mult. Cea mai mare parte a întrebărilor a făcut apel la memorie. E firesc dacă mă gândesc că era vorba de sarcini exacte, bine definite, pe care trebuie să le execuţi. Prima mea certificare a fost “tehnică”.
Mai important mai “valoros” decât examenul de certificare consider însă a fi “procesul de pregătire”: cum înveţi şi mai ales ce înveţi. Există însă certificări în care apar trei elemente noi pe lângă promovarea examenului de testare a cunoștințelor: aderarea la un Cod de etică profesională; dovedirea unui număr de ani de experiență practică; un proces de educare profesională continuă după obținerea certificării.
Certificările ISACA sunt certificări profesionale. Sunt instrumente prin care fiecare dintre noi își îmbunătățește “profesionalismul”. Şi ţine doar de resorturile noastre interne dacă dorim să respectăm “profesia”.
Atunci cînd planifică o misiune, auditorul trebuie să aibă în vedere trei perspective: conformitatea, operaţionalul şi strategicul. Un concept oarecum ambiguu pentru auditorii de sisteme informaţionale este “materialitatea/pragul de semnificaţie”.
Conform LISTEI TERMENILOR CHEIE ISA 2008, materiality înseamnă (prag de) semnificaţie. În cazul auditului financiar (ne place ori nu, pragul de semnificaţie trebuie înţeles pornind de aici), se spune:
Informaţiile sînt semnificative dacă omisiunea sau declararea lor eronată ar putea influenţa deciziile economice ale utilizatorilor, luate pe baza situaţiilor financiare. Pragul de semnificaţie depinde de mărimea elementului sau a erorii, judecate în împrejurările specifice ale omisiunii sau declarării eronate. Astfel, pragul de semnificaţie oferă mai degrabă o limită, decît să reprezinte o caracteristică calitativă primară pe care informaţia trebuie să o aibă pentru a fi utilă. – ISA 320 Audit Materiality
În cazul auditului sistemelor informaţonale, situaţia este puţin mai complicată. Aceasta deoarece auditul financiar exprimă pragul de semnificaţie în termeni monetari. Standardul de audit financiar menţionat anterior spune:
Pragul de semnificaţie trebuie luat în considerare de auditor atunci cînd:
a) se determină natura, durata şi întinderea procedurilor de audit
b) se evaluează efectele informaţiilor eronate
Materiality Concepts for Auditing Information Systems Document G6 spune:
În evaluarea pragului de semnificaţie, auditorul de SI trebuie să ia în considerare:
– nivelul agregat al erorilor acceptabile de către management, auditorul, agenţiile cu atribuţii de reglementare şi celelalte părţi interesate
– potenţialul ca efectul cumulat al unor erori nesemnificative sau puncte slabe să devină semnificativ
Ghidul din care am tradus şi adaptat lămureşte şi ce înseamnă “control semnificativ” – un control sau un grup de controale în lipsa căruia procedurile de control nu oferă asigurări rezonabile că obiectivul controlului va fi atins.
Ghidul prezintă şi aspectele ce trebuie avute în vedere de către un CISA atunci când evaluează pragul de semnificaţie:
- Cât sunt de critice sunt procesele economice realizate cu ajutorul sistemului informaţional
- Cât este de critică baza de date folosită
- Numărul şi tipul aplicaţiilor dezvoltate
- Numărul utilizatorilor sistemului informaţional
- Numărul managerilor sau directorilor ce lucrează cu sistemul informaţional, clasificaţi în funcţie de privilegiile avute
- Cât de critice sunt comunicaţiile/reţeaua
- Costul sistemului sau al operării acestuia (hardware, software, staff, servicii third-party etc)
- Costul potenţial al erorilor (pe cât posibil exprimat în termeni de pierdere a vânzărilor, garanţii, costuri de dezvoltare neacoperite, costuri de rectificare etc.)
- Costul pierderii informaţiilor vitale
- Eficienţa măsurilor de securitate
- Numărul tranzacţiilor/interogărilor pe o perioadă de timp
- Natura, dimensiunea, data rapoartelor şi fişierelor întreţinute
- Natura şi cantitatea materialelor manipulate
- SLA şi costul penalităţilor
- Penalităţile nerespectării cerinţelor legale, statutare sau contractuale
Pentru cei care nu sunt familiari cu acest framework, trebuie menționat în primul rând că ITAF este o colecţie de bune pratici care:
ITAF include toate standardele, procedurile şi ghidurile elaboarate de ISACA (nu sub formă de colecţie de texte ci ca referinţe). Orice ghid nou apărut este încorporat în ITAF. Punerea în practică a cerinţelor ITAF este o condiţie prealabilă a oricărei misiuni de asigurare. Serviciile de consultanţă pe care le poate oferi un profesionist nu intră sub incidenţa ITAF.
Se ştie că standardele sunt mandatare în timp ce ghidurile, tehnicile şi instrumentele menţionate au rol de suport în realizarea misiunilor. Cele trei categorii de standarde ce apar în ITAF sunt structurate altfel:
În secţiunea 1700—Use of the IT Assurance Framework se spune că standardele sunt mandatare pentru orice speţă, abaterea de le ele fiind obligatoriu de avut în vedere înainte de demararea oricărei misiuni. În ceea ce priveşte ghidurile, chiar dacă nu au caracter mandatar, profesionistul implicat într-o misiune trebuie să fie capabil să justifice abaterile sau omiterea acestora în cadrul unei misiuni.
În situaţia în care este parte a unei echipe implicată într-o misiune ce trebuie să folosească alte standarde, profesionistul trebuie să:
În caz de conflict între standardele ISACA şi alte standarde, prevalează standardele ISACA!
Pentru cei care doresc mai multe informații, inclusiv câteva descărcabile, recomandăm spre lectură pagina dedicată ITAF de pe site-ul ISACA International
