Metodele cantitative de evaluare a riscurilor: Fata Morgana (sau de ce cred eu că aceste modele NU SÎNT VALIDE)

  Într-o postare anterioară aveam următoarea imagine: Din cărți sau metodologii mai mult sau mai puțin cunoscute sîntem sfătuiți să folosim probabilități pe baza datelor actuariale/statistice din istoria firmei. Reformulînd: sîntem în PREZENT și analizăm TRECUTUL. Din logurile sistemului observăm că am avut un număr X de evenimente negative cu impactul Y1, Y2…pe parcursul unui an. Calculăm probabilitatea. Atunci, în trecut, acel eveniment a fost afectat de anumite variabile și s-a petrecut într-un anumit context. Ne concentrăm de fapt pe ceea ce ȘTIM deja. Cu siguranță însă au fost evenimente care s-au întîmplat altora dar nouă nu. Altfel spus, am fost de partea cealaltă a eșantionului. Despre aceste evenimente NU ȘTIM NIMIC și drept urmare le omitem inconștient din analiza noastră. Nu facem nici o analiză cu privire la ceea ce…

Ce ar mai trebui să știe un CISA ? (… înainte de a…)

Cele 5 posturi anterioare au fost foarte concise. Am evitat poveștile și opiniile personale. Consider că fiecare trebuie să citească şi să înţeleagă. Nu e bine să gîndim cu toţii la fel. În percepția mea COBIT este “diamantul coroanei”. Nu doar în jurul său ci şi folosindu-l drept fundament, ISACA construieşte intens (exemple): Există însă…

Ce trebuie să știe un CISA? (Partea a V a – Protecția activelor informaționale)

  Tehnici cu privire la proiectarea, implementarea și monitorizarea controalelor de securitate, inclusiv programele de conștientizare a securității informațiilor Procesul de monitorizare și răspuns la incidentele de securitate (proceduri de escalare, reacșie rapidă….) Controlul accesului logic cu privire la identificare și autentificare și restricționarea utilizatorilor la funcțiile și datele autorizate de management controale de securitate…

Ce trebuie să știe un CISA? (Partea a IV a – Furnizare și suport servicii IT)

  Cunoașterea practicilor din domeniul managementului servicilor IT (ITIL e startul. Vin în completare COBIT și MOF. În același timp merg însă și alte cărți ce tratează “IT service management” sau “IT management”) Cele mai bune practici pentru managmentul operaţional (managementul serviciilor reţelei, întreţinere, programarea muncii etc) procesele, tehnicile şi instrumentele prin care se poate…

Ce trebuie să știe un CISA? (Partea a III a –Achiziția, dezvoltarea/proiectarea, implementarea sistemelor informaționale [Ciclul de viață al sistemelor])

  Cunoașterea și înțelegerea: studiu de fezabilitate, studiu de caz, TCO, ROI, management de proiect: organizarea unui proiect management de proiect: practici și instrumente (PMBOK, PRINCE2) managementul riscurilor proiectelor arhitectura datelor în diferite tipuri de aplicații (distribuite, web based, web services, etc) practici privind achiziția serviciilor analiza sistemelor informaționale obiectivele controlului pentru asigurarea completitudinii, acurateții, validității datelor în aplicații metodologii și instrumente pentru dezvoltarea sistemelor (structurată, OO, RAD etc) metodologii și practici de testare managementul configurațiilor și distribuțiilor sistemelor practici, tehnici și proceduri  de migrare a sistemelor, conversia datelor obiectivele reviziei postimplementare   (N.B. Fără linkuri. Trebuie citit cît mai mult din cărți. Și muncit concret în proiecte!)