Am început acest blog în urmă cu peste 15 ani scriind despre domeniul auditului și guvernării IT (”guvernanță” este o traducere greșită a lui ”governance”). Timpul mi-a demonstrat că, la nivel de decizie, auditul a rămas în bună măsură tot neînțeles. Auditul, așa cum am mai scris, oferă asigurări iar acestea sînt rezonabile și nu…
Pe 17.10.2024 era publicat în Jurnalul Oficial al Uniunii Europene , cu intrare în vigoare la 20 de zile de la publicare REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2024/2690 AL COMISIEI de stabilire a normelor de aplicare a Directivei (UE) 2022/2555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în…
Încep prin a repeta lucruri scrise sau spuse de multe ori pînă acum și binecunoscute de majoritatea actorilor: auditul sistemelor informaționale inclusiv auditul securității acestor sisteme nu se referă la completarea unor liste de verificare sau generarea de documente pentru a trece inspecțiile statului sau auditurile de la terți. Auditul securității informațiilor este vehiculul principal…
Într-o discuție sinceră despre ”riscuri IT” ar trebui să recunoaștem următoarea situație: dacă nu ar exista cerințe de conformitate, o mare parte din ”riscurile IT” nu vor fi luate în calcul de responsabilii cu ”guvernarea”. Acest lucru se întîmplă din cauza percepției: riscurile IT nu sînt percepute ca riscuri operaționale. Dacă lucrurile ar sta diferit…
Întîmplarea cu ransomware-ul de la furnizorul de aplicație pentru o parte din spitalele din România este un ”exemplu-școală” în orice curs de management al securității informațiilor: responsabilitatea comună, furnizor-client! Cu riscul de a fi etichetat drept cinic: dacă după această întîmplare se învață și altceva decît ”contracte de externalizare/consultanță” atunci este foarte bine că s-a…
ADRIAN B. MUNTEANU 