Am citit un articol în care se dă următorul exemplu:

Aplicarea modelelor, in general, se refera la cerintele de capital, de adecvare a capitalului, deci de a pune deoparte niste bani in cazul riscurilor operationale. Dar nu este suficient. Am putea face o comparatie cu asigurarea obligatorie la o masina: costa niste bani care te pot scoate din necaz daca apelezi la polita de asigurare, dar asta nu insemna ca nu trebuie sa aplici si codul rutier, detaliat, de conducere a masinii. La fel si cu riscurile operationale. Fara o detaliere a masurilor minimale care trebuie luate de catre entitati si de  aplicare efectiva a acestora, directivele raman la cadrul general, de supraveghere bazata pe reguli.

Din ultima frază se înțelege că Directivele sînt un fel de frecție cu Carmol la piciorul patului din lemn….

Paralela nu cred că este deloc bună. Da, dacă ai asigurare obligatorie nu înseamnă că nu trebuie să respecți și prevederile Codului Rutier. Dar acest Cod nu impune ”măsuri minimale” ci REGULI! Nu minimale, ci OBLIGATORII. Minimală este asigurarea obligatorie ca mecanism de protecție a celorlalți. Responsabilitatea respectării regulilor nu este a emitentului actului normativ ci a șoferului :). Șoferul nu întocmește, după fiecare cursă sau anual, un raport în care declară ce a respectat și ce nu. Este rolul supraveghetorului să vegheze la respectarea regulii jocului și să aplice sancțiuni, atunci cînd se impune. Nici polițstul nu înmînează un certificat de bună purtare șoferilor care respectă regulile de circulație.

Măsurile de securitate sînt CONTROALE. Iar controlul este responsabilitatea managementului! SOX merge chiar foarte departe: realitatea raportărilor finaciare este RESPONSABILITATE INDIVIDUALĂ. Știu că SOX nu are legătură directă cu piața de capital. Îl folosesc doar pentru a ilustra că, deși nu are prevederi explicite/măsuri minimale, pune ordine în zona controlului intern. Iar sancțiunile maxime depășesc cu mult echivalentul a 30.000 USD…..Se mai vorbește pe acolo și de white collar crime….

Și că să termin într-o notă caustică: dacă tot trebuie numărate atacurile DoS, brute force, phishing, APT-urile de ce au scăpat din listă? Lista vulnerabilităților/amenințărilor este mult mai mare și pe deasupra nici nu-i statică…