Am început acest blog în urmă cu peste 15 ani scriind despre domeniul auditului și guvernării IT (”guvernanță” este o traducere greșită a lui ”governance”). Timpul mi-a demonstrat că, la nivel de decizie, auditul a rămas în bună măsură tot neînțeles.

Auditul, așa cum am mai scris, oferă asigurări iar acestea sînt rezonabile și nu absolute. Acum, în pragul termenului limită pentru înregistrarea organizațiilor pentru aplicarea NIS2, vin și spun că asigurarea securității cibernetice are două perspective:

• funcția propriuzisă de asigurare a securității, adică ce este necesar pentru organizație pentru a atinge securitatea cerută de NIS2;
• evaluarea propriuzisă, adică auditul subiectului asupra căruia se oferă asigurări.

Dacă detaliem ”funcția de asigurare” este ușor să vedem că sînt de fapt…mai multe funcții. Dacă facem un apel la DORA, acolo regăsim conceptul clasic al celor ”3 linii de apărare”: managementul unităților funcționale; managementul riscurilor (acel rol care raportează direct managementului); auditul intern.

Perspectiva evaluării oferă asigurări că organizația este capabilă să obțină informații independente și imparțiale despre controalele sale de securitate cibernetică.

Dacă vremurile nu ar fi făcut ca și subiectul ”audit” să fie unul cu o abordarea originală pur românescă, situați ar fi pornit cam așa:

O organizație are o strategie de afaceri. Strategia include bineînețeles obiective. Acum intervine managementul riscurilor care se gîndește care sînt acele deficiențe/scenarii de business care o pot împiedica să își atingă obiectivele. Dar cum astăzi business fără IT nu prea mai există, pentru ”scenariile de business” se identifică ”coșmaruri IT” pentru care, la nivel operațional, se implementează controale. În final, managementul (sau…Statul) dorește asigurări că lucrurile rele nu se vor întîmpla, în mod rezonabil. Pentru treaba asta vine un auditor.

Dar cum ”governance” a devenit ”guvernanță” și ”auditul” a devenit altceva…