Posts

Cursuri ISACA în România – mai 2017

/0 Comments/in , , /by
Curs de pregătire CISA în perioada 23-26 mai 2017

In perioada 23-26 mai 2017, ISACA Romania va organiza un curs în vederea pregătirii pentru examenul CISA.

Acest curs vă va oferi informaţiile şi resursele necesare pentru a vă pregăti în vederea certificării CISA. Cursul va include studii de caz şi discuţii orientate pe informaţiile necesare pentru pregătirea candidaţilor pentru examenul de certificare CISA.

Structura cursului urmează metodologia ISACA International şi include următoarele secţiuni:

  1. “The Process of Auditing Information Systems”
  2. “IT Governance and Management of IT”
  3. “Information Systems Acquisition, Development and Implementation”
  4. “Information Systems Operations, Maintenance and Service Management”
  5. “Protection of Information Assets”
  6. “Overview of the requirements for taking the CISA exam”
  7. “Questions, by domain, for review” – discuţii si explicaţii.

Dacă sunteţi interesaţi sa participaţi, vă rugăm să ne transmiteţi prin e-mail intenţia de participare la adresa contact@isaca.ro, până la data de 30 aprilie 2017.

Costul acestui curs este de 530 Euro pentru membri, 730 Euro pentru non-membri – plătiţi integral până în ziua cursului.

Vă rugăm să includeţi în cererea dumneavoastră: numele, membership ID (dacă sunteți membru), funcția/compania, adresa de contact şi numărul de telefon.

Pentru întrebări sau alte detalii legate de acest curs ne puteţi contacta la adresa contact@isaca.ro.

Locaţia desfaşurării cursului va fi hotărâtă şi comunicată după primirea intenţiilor de participare.

NOTĂ:  În măsura în care numarul participanţiolor înscrişi este insuficient pentru susţinerea acestui curs, ISACA România își rezervă dreptul să anuleze cursul, cu informarea participanților înscriși, respectiv stornarea plății dacă a fost efectuată.

 

 

Extindere termen limită de înregistrare pentru examenele CISA, CISM, CGEIT și CRISC

/0 Comments/in /by

Termenul de înregistrare la examenele din sesiunea – decembrie 2012 a fost extins.

ISACA International acceptă înscrierile pentru examenele  CISA, CISM, *CGEIT și CRISC până vineri, 12 octombrie orele 23:00 UTC/GMT.

Pentru a vă înregistra la examenele din sesiunea decembrie 2012 vă rugam să accesați www.isaca.org/examreg.

Vă reamintim detaliile cursurilor de aprofundare organizate de ISACA Romania și pagina în care găsiți informații suplimentare despre certificările aflate in portofoliul ISACA www.isaca.org/certification.

Următoarea sesiune de examinare este programată pentru 8 iunie 2013.

*: Sesiunea din 2012 este ultima sesiune care este bazată pe actuala versiunea a examenului CGEIT

ANULAT – Cursul de aprofundare pentru examenul CISA

/0 Comments/in /by

Mulţumim încă o dată tuturor celor care s-au arătat interesaţi de participarea la cursurile de aprofundare pentru certificările ISACA, totuşi numărul celor înscrisi efectiv a fost foarte restrâns.

Boardul ISACA România a hotărât anularea origanizării cursului dedicat examenului CISA din iunie 2012.

Curs CISA Review

Perioada: ANULAT

Motivaţie: Număr scazut de participanţi

Lectori: Cătalin ŢigănilăGabriel Tănase  şi George Draguşin

Cost: 400 Euro pentru membri, 700 Euro pentru non-membri


ISACA România le urează mult succes tuturor celor care vor susţine examene în sesiunea din iunie!

 


Cursuri ISACA în România – Noiembrie 2011

/0 Comments/in /by

ISACA România vă invită să participaţi la cursurile de pregătire în vederea obţinerii certificărilor CISA (“Certified Information Systems Auditor”), CISM (“Certified Information Security Manager”) şi CRISC (“Certified in Risk and Information Systems Control”) ce vor fi organizate în luna Noiembrie 2011.

Aceste cursuri interactive vă vor oferi informaţiile şi resursele necesare pentru a vă pregăti în vederea certificărilor de mai sus. Cursurile vor include studii de caz, discuţii interactive orientate pe informaţiile necesare pentru pregătirea candidaţilor pentru examenele de certificare CISA, CISM şi CRISC şi vor dura 3-4 zile.

Dacă doriţi să participaţi la unul din aceste cursuri, vă rugăm să ne transmiteţi prin e-mail intenţia de participare la adresa cont@isaca.ro până la data de 31 octombrie 2011.

Vă rugăm să includeţi în cererea dumneavoastră: numele, membership ID (daca sunteți membru), funcția/compania, adresa de contact şi numărul de telefon.

Pentru mai multe detalii legate de cursurile de mai sus îi puteţi contacta direct pe membrii din conducerea ISACA RO responsabili cu organizarea acestor cursuri:

CISA – Andrei Ionescu, CISA Coordinator andr@isaca.ro

CISM – Catalin Ţigănilă, CISM Coordinator cata@isaca.ro

CRISC – Mircea Costache, Education Chair mirc@isaca.ro

NOTĂ:  În cazul în care nu vor fi suficiente cereri de înscriere pentru un anumit curs, există posibilitatea de a renunţa la organizarea cursului respectiv.

Riscul auditării

/0 Comments/in , /by

Conform definiţiei, auditul sistemelor informaţionale are drept obiective protecţia activelor, integritatea datelor eficacitatea şi eficienţa sistemului.

De exemplu, atât auditorii interni cât şi cei externi caută să identifice care sunt pierderile materiale sau erorile din cadrul raportărilor financiare ca urmare a neregulilor descoperite în cadrul sistemului auditat. Orice afirmaţie făcută de auditor trebuie însă susţinută de probe sau dovezi. Datorită naturii testelor la care se face apel, există riscul ca CISA să eşueze în încercarea de a identifica erorile reale sau potenţiale din cadrul sistemului. Acesta este riscul auditării.

AICPA, organizaţia ce grupează auditorii externi din SUA, a elaborat în 1988 un model de calcul al riscului auditării[1]:

RA = RI * RC * RD, unde

RA= riscul auditării/de audit;

RI= riscul inenrent;

RC=riscul controlului;

RD=riscul detectării.

Acest model rămîne valabil şi în cazul auditului sistemelor informaţionale[2]. În manual de pregătire pentru examenul CISA se menţionează că auditorul de sisteme informaţionale trebuie să estimeze riscul de audit pentru a aloca în mod corespunzător resursele în timpul misiunii.

Riscul inerent reprezintă disponibilitatea unei zone supusă auditării de a conţine erori pornind de la ipoteza că nu există controale interne. Erorile pot fi materiale, individuale sau orice altă combinaţie posibilă.

De exemplu, riscul inerent asociat securităţii sistemului de operare de pe un server de baze de date este mare atît timp cît modificarea sau divulgarea datelor ca urmare a speculării eventualelor bug-uri/configurări greşite pot să aibă ca efect pierderea avatajului deţinut de organizaţie pe piaţă. Dacă în schimb discutăm de o staţie de lucru, acest risc poate fi considerat redus atît timp cît respectiva staţie nu rulează aplicaţii considerate critice pentru organizaţie.

Atât timp cât erorile potenţiale din cadrul unei singure componente a sistemului informaţional se pot propaga în întreaga organizaţie şi asupra tuturor utilizatorilor, în majoritatea sistemelor informaţionale acest risc este considerat ridicat.

În evaluarea riscului inerent, auditorul trebuie să aibă în vedere atât controalele considerate dominante[3] în zona supusă auditării cât şi pe cele de detaliu/fond[4]. Excepţie de la această abordare face situaţia în care evaluarea auditorului vizează în exclusivitate controalele dominante din cadrul sistemului. În ceea ce priveşte controalele dominate ce acţionează în zona supusă evaluării, auditorul trebuie să aibă în vedere :

  • integritatea, experienţa şi cunoştinţele conducătorilor compartimentului de specialitate;
  • schimbările intervenite la nivelul conducerii compartimentului;
  • presiunile la care sunt supuşi managerii acestui compartiment (termenele “strânse” ale proiectelor în derulare etc.);
  • domeniul de activitate al organizaţiei şi natura sistemului informaţional (planuri privind trecerea la comerţul electronic, soluţii ERP sau lipsa acestora etc);
  • factori care afectează domeniul tehnologiilor informaţionale la scară mondială (apariţia unor tehnologii noi, lipsa specialiştilor care să deţină noile cunoştinţe);
  • gradul de influenţă al terţilor asupra controalelor (outsourcing, accesarea directă a sistemului de către clienţi/terţi);
  • disponibilitatea informaţiilor din auditările precedente.

La nivelul controalelor detaliate/de fond, auditorul trebuie să ţină cont de :

  • complexitatea sistemului;
  • nivelul intervenţiilor manuale în sistem;
  • disponibilitatea la pierderi sau furt a componentelor controlate de către sistem (evidenţa stocurilor, salarizarea);
  • apariţia perioadelor de vârf în timpul auditării (închiderile de lună).

Riscul controlului reprezintă riscul ca o eroare care poate să apară în zona supusă auditării să nu fie prevenită sau detectată şi corectată de către sistemul de control intern într-o perioadă rezonabilă de timp.

De exemplu, riscul pe care îl implică revizia manuală a jurnalelor sau a tabelelor de audit realizate de un server Oracle va fi considerat mare datorită volumului mare de informaţii înmagazinate în aceste jurnale şi a uşurinţei cu care se greşeşte în aceste situaţii. Pe de altă parte riscul controlului asociat procedurilor formalizate de validare a datelor este considerat redus datorită continuităţii acestui control şi a testelor efectuate anterior dării în exploatare a aplicaţiei.

Auditorul va atribui cel mai mare nivel riscului controlului cu excepţia situaţiilor în care:

  • au fost identificate controale interne relevante;
  • aceste controale au fost evaluate ca fiind în funcţiune;
  • controalele au fost testate şi s-a dovedit că funcţionează în mod corespunzător.

 Riscul detecţiei reprezintă riscul ca un test independent/de fond efectuat de către auditor să nu detecteze o eroare care există în zona supusă auditării.

De exemplu, riscul detecţiei asociat identificării punctelor slabe ale securităţii unei aplicaţii va fi mare atât timp cât logurile/jurnalele pentru întreaga perioadă supusă auditării nu vor fi disponibile în totalitate în momentul efectuării verificării. Pe de altă parte, riscul detecţiei asociat identificării existenţei unui plan de refacere în caz de dezastre, va fi considerat redus atât timp cât existenţa acestui document este uşor de verificat.

Pentru a determina numărul testelor independente/de fond care trebuie efectuate, auditorul trebuie să ţină cont de:

  • nivelul la care a fost evaluat riscul inerent;
  • concluziile la care a ajuns în urma efectuării testelor de conformitate.

Aici mai intervine şi riscul eşantionării/noneşantionării. Riscul auditului este invers proporţional cu ceea ce statistica definişte ca fiind gradul de încredere. Un risc de acceptare incorectă de 5% este echivalent cu a spune că a fost asociat un grad de încredere de 95%. Altfel spus, ca auditor pot afirma că sunt 95% sigur că eşantionul analizat reprezintă populaţia sau că există o şansă de 5% ca eşantionul să nu reprezinte populaţia.

În concluzie, putem spune că, dacă riscul inerent şi riscul controlului au fost evaluate la un nivel mare, atunci auditorul trebuie să obţină cât mai multe probe prin efectuarea testelor independente/de fond!

[1] Accounting Principles and Auditing Standards

[2] IS Audit Guidelines – www.isaca.org/ Standards & Guidelines

[3] Controalele dominate sunt controalele generale, proiectate cu scopul de a administra şi a monitoriza sistemul informaţional şi care afectează toate activităţile acestuia

[4 ]Controalele detaliate sunt controalele efectuate asupra achiziţiei/dezvoltării, implementării şi întreţinerii sistemului informaţional. În componenţa lor intră controalele aplicaţiilor şi controalele generale care nu sunt considerate dominante.

Noutăţi CISA Review Manual 2011

/0 Comments/in , /by

 La fiecare 5 ani ISACA revizuiește “job practice” definite ca cerinţe pentru obţinerea certificării CISA cu scopul de a reflecta cât mai bine modificările şi tendiţele domeniului. Versiunea din acest an a manualului CISA vine cu cîteva modificări în ceea ce privește structurarea materiei. Chiar dacă este principala sursă bibliografică din care se învață, nu trebuie considerată şi singura!

Ultimele actualizări se găsesc aici.

Nu trebuie omis că întrebările din timpul examenului testează cunoașterea practică a aplicării teroriei din manual!

CRM 2010

CRM 2011

1. The IS Audit Process (10%)

1. The Process of Auditing Information Systems (14%) 

2. IT Governance (15%)

2. Governance and Management of IT (14%)
……
2.13 Business Continuity Planning
2.14 Auditing Business Continuity

3. Systems and Infrastructure Life Cycle Management (16%)

3. Information Systems Acquisition, Development and Implementation (19%)

4. IT Service Delivery and Support (14%)

4. Information Systems Operations, Maintenance and Support (23%)
….
4.7 Disaster Recovery Planning

5. Protection of Information Assets (31%)

5. Protection of Information Assets (30%)

6. Business Continuity and Disaster Recovery  (14%)

  Eliminat

Succes!

 

 

Pragul de semnificaţie în auditul sistemelor informaţionale

/0 Comments/in , , /by

Atunci cînd planifică o misiune, auditorul trebuie să aibă în vedere trei perspective: conformitatea, operaţionalul şi strategicul. Un concept oarecum ambiguu pentru auditorii de sisteme informaţionale este “materialitatea/pragul de semnificaţie”.

Conform LISTEI TERMENILOR CHEIE ISA 2008, materiality înseamnă (prag de) semnificaţie. În cazul auditului financiar (ne place ori nu, pragul de semnificaţie trebuie înţeles pornind de aici), se spune:

 Informaţiile sînt semnificative dacă omisiunea sau declararea lor eronată ar putea influenţa deciziile economice ale utilizatorilor, luate pe baza situaţiilor financiare. Pragul de semnificaţie depinde de mărimea elementului sau a erorii, judecate în împrejurările specifice ale omisiunii sau declarării eronate. Astfel, pragul de semnificaţie oferă mai degrabă o limită, decît să reprezinte o caracteristică calitativă primară pe care informaţia trebuie să o aibă pentru a fi utilă. – ISA 320 Audit Materiality

În cazul auditului sistemelor informaţonale, situaţia este puţin mai complicată. Aceasta deoarece auditul financiar exprimă pragul de semnificaţie în termeni monetari. Standardul de audit financiar menţionat anterior spune:

Pragul de semnificaţie trebuie luat în considerare de auditor atunci cînd:

a) se determină natura, durata şi întinderea procedurilor de audit

b) se evaluează efectele informaţiilor eronate

Materiality Concepts for Auditing Information Systems Document G6 spune:

În evaluarea pragului de semnificaţie, auditorul de SI trebuie să ia în considerare:

– nivelul agregat al erorilor acceptabile de către management, auditorul, agenţiile cu atribuţii de reglementare şi celelalte părţi interesate

– potenţialul ca efectul cumulat al unor erori nesemnificative sau puncte slabe să devină semnificativ

Ghidul din care am tradus şi adaptat lămureşte şi ce înseamnă “control semnificativ” – un control sau un grup de controale în lipsa căruia procedurile de control nu oferă asigurări rezonabile că obiectivul controlului va fi atins.

Ghidul prezintă şi aspectele ce trebuie avute în vedere de către un CISA atunci când evaluează pragul de semnificaţie:

  • Cât sunt de critice sunt procesele economice realizate cu ajutorul sistemului informaţional
  • Cât este de critică baza de date folosită
  • Numărul şi tipul aplicaţiilor dezvoltate
  • Numărul utilizatorilor sistemului informaţional
  • Numărul managerilor sau directorilor ce lucrează cu sistemul informaţional, clasificaţi în funcţie de privilegiile avute
  • Cât de critice sunt comunicaţiile/reţeaua
  • Costul sistemului sau al operării acestuia (hardware, software, staff, servicii third-party etc)
  • Costul potenţial al erorilor (pe cât posibil exprimat în termeni de pierdere a vânzărilor, garanţii, costuri de dezvoltare neacoperite, costuri de rectificare etc.)
  • Costul pierderii informaţiilor vitale
  • Eficienţa măsurilor de securitate
  • Numărul tranzacţiilor/interogărilor pe o perioadă de timp
  • Natura, dimensiunea, data rapoartelor şi fişierelor întreţinute
  • Natura şi cantitatea materialelor manipulate
  • SLA şi costul penalităţilor
  • Penalităţile nerespectării cerinţelor legale, statutare sau contractuale

Menținerea certificărilor ISACA

/0 Comments/in , , /by

Printre cerinţele ISACA se află şi prevederi ca certificările să fie menţinute şi prin activităţi specifice profilului acestor certificări. Scopul acestor politici de pregătire profesională continuă este de a se asigura că toate persoanele ce dețin o certificare ISACA își mențin un nivel adecvat de cunoștințe, actualizate.

Activități profesionale care se califică pentru obținerea de CPE sunt:

  • Activități educaționale și întâlniri organizate de ISACA (nu există limite)
  • Activități educaționale și întâniri non-ISACA (nu există limite)
  • Cursuri tip “self study” (nu există limite)
  • Prezentări ale furnizorilor (maxim 10 ore/an)
  • Predare/prezentări (nu există limite).
  • Publicarea de articole, monografii, cărți (nu există limite)
  • Dezvoltarea de întrebări pentru examenele ISACA sau revizia unor astfel de materiale.
  • Promovarea altor examene de certificare ce au legătură cu domeniul (nu există limite)
  • Implicarea în organisme de conducere ISACA (20 ore/an/certificare)
  • Contribuții la dezvoltarea profesiei.
  • Mentoring (10 ore/an)

Informații suplimentare despre modul de raportare și obținere a CPE – Detalii.

Formular pentru verificare CPE – Download

Despre ISACA

/0 Comments/in , , /by

Cu mai mult de 95,000 membri în mai mult de 160 de ţări, ISACA ® – Information Systems Audit and Control Association (www.isaca.org) este un important furnizor mondial de cunoştinţe, certificări, comunitate profesională, suport pentru formare profesională în domeniul securităţii, guvernării şi serviciilor de asigurare IT şi tratare a riscurilor asociate sistemelor informaţionale.

Viziune:

Lider recunoscut la nivel mondial în domeniul guvernării, controlului şi asigurării IT.

Misiune:

Sprijinirea obiectivelor companiilor prin dezvoltarea, furnizarea şi promovarea cercetării, a standardelor, competenţelor şi practicilor eficiente de guvernare, control şi asigurare a sistemelor informaţionale şi tehnologiilor.

Fondată în 1969, ISACA sponsorizează conferinţe internaţionale, publică ISACA ® Journal şi dezvoltă standardele internaţionale pentru controlul şi auditul sistemelor informaţionale. De asemenea administrează renumitele certificări internaţionale Certified Information Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) şi Certified in Risk and Information Systems Control™ (CRISC™).

Certificările ISACA sunt acceptate şi recunoscute la nivel mondial. Ele combină realizarea trecerii unui examen cu recunoaşterea experienţei profesionale şi educaţionale, oferind credibilitate pentru a progresa în carieră. Certificările dovedesc că un angajat deţine ceea ce este necesar pentru a adăuga valoare organizaţiei. În fapt, multe organizaţii şi agenţii guvernamentale din întreaga lume recunosc sau solicită ca primă cerinţă de angajare certificări ISACA.

Studii independente evidenţiază în mod constant certificările ISACA printre cele mai utile si de impact certificări pe care un profesionist IT le poate deţine. ISACA oferă Business Model for Information Security (BMIS) şi IT Assurance Framework (ITAF). De asemenea dezvoltă şi actualizează în mod continuu cadrele de referinţă COBIT®, Val IT™ şi Risk IT, cadre ce îi ajută pe profesioniştii din domeniul IT şi pe liderii organizaţiilor să îşi îndeplinească responsabilităţile cu privire la guvernarea IT şi să aducă valoare organizaţiei.

Calitatea de membru ISACA oferă beneficii importante:

  • ISACA eLibrary — o colecţie completă a cărţilor publicate de ISACA /ITGI şi peste 350 de titluri suplimentare;
  • Reduceri de tarif pentru membri ce aplică pentru certificările CISA, CISM, CGEIT şi CRISC;
  • Reduceri de tarif la conferinţele şi sesiunile de instruire ISACA;
  • Webcasts şi e-Symposia;
  • Evenimente educaţionale şi prezentări ale Chapterului local;
  • Acces gratuit la ISACA Journal — revista bilunară a Asociaţiei;
  • @ISACA — acces la newsletter-ul bilunar al Asociaţiei;
  • COBIT Online — acces gratuit la funcţionalităţile de bază;
  • COBIT Quickstart — descărcare gratuită;
  • Download Center— acces gratuit doar pentru membri la materialele ISACA/ITGI;
  • Knowledge Center— acces exclusiv în comunitatea profesioniştilor domeniului;
  • Standarde — acces la standardele, procedurile şi ghidurile de audit ISACA;
  • Programe de audit şi chestionare pentru control intern;
  • Oportunităţi de cercetare.

ISACA ROMÂNIA a fost recunoscută încă din anul 2001, numărând în prezent peste 260 de membri, dintre care peste 130 certificați CISA, CISM, CGEIT sau CRISC.

ISACA ROMÂNIA doreşte să contribuie la creșterea gradului de conștientizare cu privire la necesitatea controlului și guvernării tehnologiilor informaționale în cadrul organizațiilor, prin promovarea educaţiei în rândul membrilor și non-membrilor. Scopul filialei din România a asociației este de a îmbunătăţi şi dezvolta abilităţile referitoare la audit, securitate și controlul sistemelor informaționale.

 

 

Despre site

/0 Comments/in , /by

După ce isaca.ro a fost găzduit vreme îndelungată pe un CMS open-source denumit Xaraya, am decis să renunţăm la acest framework, care aducea foarte multă flexibilitate dar crea în acelaşi timp un efort prea mare în  dezvoltare şi utilizare.

Începând din Iunie 2011, www.isaca.ro funcţionează pe o platformă WordPress, un Content Management System gândit iniţial ca sistem de blogging care a evoluat datorită unei comunităţi foarte mari de utilizatori şi dezvoltatori şi care prin intermediul plugin-urilor poate fi utilizat astăzi ca un CMS cu facilităţi complete.

Printre cele mai interesante facilităţi pe care le oferim pe acest nou site se află şi autentificarea directă, online, cu site-ul isaca.org, astfel încât acum vă puteţi loga pe isaca.ro folosind credenţialele de pe isaca.org.

Nu ezitaţi să ne oferiţi părerile voastre şi pe acest aspect şi nu ezitaţi să ne contactaţi dacă doriţi să contribuiţi la dezvoltarea promovarea şi popularea site-ului www.isaca.ro