Într-o discuție sinceră despre ”riscuri IT” ar trebui să recunoaștem următoarea situație: dacă nu ar exista cerințe de conformitate, o mare parte din ”riscurile IT” nu vor fi luate în calcul de responsabilii cu ”guvernarea”. Acest lucru se întîmplă din cauza percepției: riscurile IT nu sînt percepute ca riscuri operaționale. Dacă lucrurile ar sta diferit…
Deși nu avem încă forma legii naționale de transpunere a directivei NIS2, îndrăznesc să scriu despre „alinierea„ termenilor și cerințelor dintre NIS2 și ISO27001/27002:2022 În standardul ISO 27001 regăsim termenul „control„ iar în NIS2 „măsură„. Controalele sînt împărție în: În NIS2 ”controalele” devin ”măsuri” și pot fi „tehnice, operaționale și organizatorice„ În NIS2 Art. 20:…
Ca organizație, să externalizezi serviciile IT&C poate fi rentabil din punct de vedere financiar. Dacă ești decident fără un minim de cunoștințe tehnice, probabil decizia ta se va baza strict pe buget: costuri interne versus costuri externe…CAPEX vs OPEX…… …Nimic greșit…Doar că există o multitudine de factori, nu doar restricțiile bugetare, care ar trebui să…
Uneori mergem la medici. Preventiv (mai puțini) sau reactiv (cei mai mulți). Ne facem analize, teste, controale etc. în urma cărora primim sfaturi, diagnostice, rețete sau chiar avem parte de intervenții medicale. Bănuiesc că nu își caută nimeni un medic care să îi spună că este sănătos deși în realitate nu este. Și să se…
Acum aproape 10 ani scriam ”O pledoarie pentru o abordare corectă a auditului”. Ce s-a schimbat de atunci? Nu prea multe. Încă se pasează resonsabilitatea asigurării securității informațiilor către auditor și nu către management. Încă percepția este că auditorul este fie un ”procuror” („taie și spînzură„) fie ”Papa” (”vinde indulgențe). Încă nu s-a înțeles că…
ADRIAN B. MUNTEANU 