Politica de securitate: un simplu document sau un control?

Pînă la ordinul 1323/2020 emis de DNSC, în legislația noastră nu putea fi identificată nici o definiție cu privire la ce este și care este conținutul unei politici de securitate. Putem constata că, de multe ori, termenii politică, plan, program (de securitate) sînt folosiți chiar incorect.( Și ”economia politică” probabil este o traducere a ”economic…

CE NU ESTE AUDITUL IMPUS DE DNSC?

Răspunsul cel mai scurt: nu înseamnă bife puse în diferite liste de verificare și documente/raport pentru a trece de controlul (formalismul) DNSC, raport în care se scrie că dacă ”X nu există” atunci ”copy-paste din Ordinul 1323”. Auditul impus de DNSC (audit de conformitate) este o cerință legală dar este și instrumentul prin care OSE…

Scurtă istorie a auditului sistemelor informaționale (1)

Englezescul to audit, cunoscut astăzi ca “a examina, a verifica, a revizui conturi şi înregistrări contabile”, îşi are rădăcinile în latinescul auditus care înseamnă a asculta, a audia. Când vorbim de contabilitatea modernă, trebuie să ne întoarcem privirea asupra Scoţiei, pentru că aici îşi au originea contabilii autorizaţi. În timpul revoluţiei industriale, în Marea Britanie, funcţia de verificare s-a generalizat şi a devenit…

Identificarea rețelelor și sistemelor informatice

Art. 29 (4) din REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică impune auditorului să verifice dacă operatorul economic a identificat corect rețelele și sistemele informatice de auditat, precum și interdependențele externe ale rețelelor și sistemelor informatice. Această cerință ridică o întrebare: ce criterii/referințe va folosi auditorul pentru a realiza…

Cît de mult este suficient?

Sînt sigur, în proporție de 95 %, că în cazul ”auditului IT” foarte puțin profesioniști au folosit eșantionarea atunci cînd au testat conformitatea controalelor. Există suficiente explicații pentru a descrie ”drumul” pe care s-a ajuns aici, dar deși nu este rolul meu să scriu despre asta, voi menționa ”root cause”: nu se învață așa ceva…