După cum putem observa, sîntem un popor talentat. Cred însă că cel mai mare talent este să complicăm lucrurile simple, invîrtindu-ne în jurul cozii și să simplificăm lucrurile complicate, bagatelizîndu-le.

M-am tot întrebat în săptămînile astea cui vor folosi sumedenia de indicatori calculați fără a avea obiective în față? Ce vor face organizațiile  intrate sub incidența instrucțiunii ASF (Săptămîna viitoare este o dezbatere publică la ASF pe acest subiect…Sînt conștient că nu este deloc facil să organizezi o dezbatere publică, totuși: „Timpul alocat luării cuvântului va fi de maximum 5 minute/participant, iar ordinea de exprimare  a  observaţiilor  şi  punctelor  de  vedere  fiind  cea  consemnată cu  ocazia transmiterii la adresa de e-mail instructiuniit@asfromania.ro a intenţiei de participare.”).

Dacă pînă nu cu mult timp în urmă ni se spunea că securitatea informațiilor trebuie să fie proactivă, am descoperit în scurt timp că nu poți fi deloc proactiv dacă nu faci monitorizare. Cum altfel poți anticipa ce s-ar putea întîmpla cînd habar nu ai ce este în prăvălia proprie, cum trăiește exact organizația ta? Managementul riscurilor? Da, dar nu pe hîrtie! Nu se mai poate face risk management doar pe hîrtie! Așa cum există behavioral economics, în IT discutăm despre behavior based security: monitorizez comportamentul utilizatorului în sistem, învățare euristică și anticipare! (RSA Silver Tail, de exemplu pentru situri web de comerț/IB)

Pe scurt, ar trebui plecat de la obiective. Obiectivele aparțin proceselor. Procesele pot fi împărțite pe domenii/zone de interes și au nevoie de controale. Atît procesele economice cît și cele IT. De exemplu:

• politici
• managementul riscurilor
• asigurarea conformității
• continuitatea afacerii
• managementul vulnerabilităților și amenințărilor
• mangement furnizori

Lista este deschisă, nu am pretenția de completitudine. La nivel operațional nu putem face securitate doar pe/cu hîrtii. A nu se înțelege că diminuez rolul și rostul procedurilor. Avem însă nevoie de tehnologie mai mult ca acum 5 ani! Ca auditor, care risc va fi mai mare: existența controlului tehnic, dar lipsa unui formalism sau viceversa?

Cine răspunde de controlul intern în orice organizație? MANAGEMENTUL! Cu toate acestea, mai puține referiri la management în propunerea de Instrucțiune ASF, de exemplu. Referiri directe.

Cum s-a responsabilizat managementul prin alte țări? În SUA a apărut SoX:

As directed by Section 404 of the Sarbanes-Oxley Act of 2002, we are adopting rules requiring companies subject to the reporting requirements of the Securities Exchange Act of 1934, other than registered investment companies, to include in their annual reports a report of management on the company’s internal control over financial reporting. The internal control report must include: a statement of management’s responsibility for establishing and maintaining adequate internal control over financial reporting for the company; management’s assessment of the effectiveness of the company’s internal control over financial reporting as of the end of the company’s most recent fiscal year; a statement identifying the framework used by management to evaluate the effectiveness of the company’s internal control over financial reporting; (…).

Așa cum securitatea IT este un proces și nu poate fi absolută, la fel și auditul: oferă asigurări rezonabile și nu absolute!