Evaluarea riscurilor: un formalism consumator de timp? (Continuare)

În Regulamentul din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică, în Anexa 7 există o cerință: Se va verifica și opina cu privire la plauzibilitatea metodologiei/tehnicilor utilizate, precum și asupra măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate. În general, o ”metodologie de management al riscurilor” include: un proces…

Evaluarea riscurilor: un formalism consumator de timp?

În prezentarea de la Eset Security Days am pornit de la opinia mea: multe din cele ce se fac sau ar trebui făcute în practică în domeniul securității cibernetice își au rădăcina în zona militară. De ce? Pentru că ”armata” înseamnă rigoare (regulamente/proceduri), ierarhie și disciplină (RACI), management de risc și chiar ”zero trust”, iar…

CE NU ESTE AUDITUL IMPUS DE DNSC?

Răspunsul cel mai scurt: nu înseamnă bife puse în diferite liste de verificare și documente/raport pentru a trece de controlul (formalismul) DNSC, raport în care se scrie că dacă ”X nu există” atunci ”copy-paste din Ordinul 1323”. Auditul impus de DNSC (audit de conformitate) este o cerință legală dar este și instrumentul prin care OSE…

Scurtă istorie a auditului sistemelor informaționale (1)

Englezescul to audit, cunoscut astăzi ca “a examina, a verifica, a revizui conturi şi înregistrări contabile”, îşi are rădăcinile în latinescul auditus care înseamnă a asculta, a audia. Când vorbim de contabilitatea modernă, trebuie să ne întoarcem privirea asupra Scoţiei, pentru că aici îşi au originea contabilii autorizaţi. În timpul revoluţiei industriale, în Marea Britanie, funcţia de verificare s-a generalizat şi a devenit…

Identificarea rețelelor și sistemelor informatice

Art. 29 (4) din REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică impune auditorului să verifice dacă operatorul economic a identificat corect rețelele și sistemele informatice de auditat, precum și interdependențele externe ale rețelelor și sistemelor informatice. Această cerință ridică o întrebare: ce criterii/referințe va folosi auditorul pentru a realiza…