Cultura securității

  Pe măsură ce timpul trece toți mai mulți încep să accepte că securitatea tehnică, de una singură, nu te apară de pericole. Altfel spus, securitatea unui sistem informațional este în primul rînd o problemă umană și abia apoi una tehnică. ISACA pune la dispoziția membrilor săi două lucrări ce tratează securitatea informațiilor din această perspectivă: BMIS – Business Model for Information Security, respectiv titlul din imaginea alăturată. Cînd am lecturat prima dată volumul acesta, zîmbeam amar pentru că prin minte îmi fugeau amintiri despre ISO 27001, audituri de securitate și altele de pe plaiurile mioritice. Cît de departe sîntem…. În BMIS cultura securității este definită ca un model de comportamente, convingeri, ipoteze, atitudini şi moduri în care lucrurile ar trebui făcute. Cultura aceasta evoluează ca un tip de istorie comună prin care…

Schimbare: între emoții și rațiune

  Anul trecut, cam pe vremea asta, eram la EUROCACS și aflam despre intenția ISACA de a integra SPICE în COBIT 5. O știre de astăzi dimineața confirmă încă o dată această intenție. Pornind de aici am ajuns să meditez din nou despre standarde, metodologii, procese și schimbare. Pînă într-un anumit punct consider standardele ca…

Vorbim aceeaşi limbă

La “assurance” mă refer prin titlu. În postul precedent am încercat să prezint cît se poate de concis ce cuprinde “assurance” şi am menţionat ITAF – IT Assurance Framework. Dacă tot l-am menţionat m-am gîndit să prezint cîteva detalii despre acest subiect. Documentul conţine în titlu cuvîntul “framework” – cadru de referinţă. Prin urmare este…

Audit sau asigurare?

O misiune de audit este un angajament tip asigurare, dar nu orice angajament tip asigurare poate fi misiune de audit. Cam aceasta ar fi concluzia pe care încercă să o dezvolt în rîndurile următoare. Tot recitind reglementările existente la noi în ţară am realizat că de fapt marea problemă nu ţine de folosirea incorectă a…

“Declarație de aplicabilitate – declaraţie care definește politica de securitate a sistemului informatic al entității….”

  În postul precedent făceam vorbire de standarde şi tipuri de rapoarte. Iată acum două definiţii din INSTRUCŢIUNEA Nr.2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare “6. date – orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem…