Root cause analysis şi auditul….

Un CISA, la vremea cînd a citit CISA Review Manual, a descoperit încă de la început că trebuie să înţeleagă “IS Audit Process”.

Şi tot pe la început, a aflat despre “Effect of Laws and Regulation on IS Audit Planning”. Iar aici sînt două aspecte: legi ce reglementează activitatea auditatului şi legi ce reglementează auditul (n.b în RO nu multe acte normative în domeniu dar, atîtea cîte sînt, reglementează ambele domenii!). CISA s-a făcut băiat mare şi a ajuns să pună în practică, corect, cele învăţate. Sau măcar să încerce.

Se trage la sorţi prima provocare şi iese…… ORDINUL nr. 389, privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor internet-banking, home-banking sau mobile-banking. Trebuie să înţeleagă mai multe referinţe cu privire la “cerinţe minime de securitate”.

1. “plan de securitate – documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt luate de către emitent pentru utilizarea în condiţii de siguranţă a instrumentului de plată cu acces la distanţă;”

Conştiincios şi cu “professional judgement” şi “due care” în buzunare, omul nostru remarcă lipsa cuvîntului “securitate”  din prezenta definiţie. Nu se impacientează pentru că are la dispoziţie Legea 161 din 19/04/2003 privind unele masuri pentru asigurarea transparentei în exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei, TITLUL III Prevenirea şi combaterea criminalitãtii informatice.

De aici află că

“prin mãsuri de securitate se întelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cãrora accesul la un sistem informatic este restrictionat sau interzis pentru anumite categorii de utilizatori;“

Legea fiind o traducere a Convenţiei Europene (Convention on Cybercrime), merge la sursă şi descoperă că nu există o astfel de definiţie în docomentul original. “Nu-i nimic asta-i piesa. Probabil e o nouă încercare”, spuse el calm.

2. “confidenţialitatea şi nonrepudierea tranzacţiilor;”, “confidenţialitatea şi integritatea datelor;”. 

Personajul nostru ştie că prin Regulamentul BNR nr. 6 din 11/10/2006 privind emiterea si utilizarea instrumentelor de plata electronica si relatiile dintre participantii la tranzactiile cu aceste instrumente, exista deja o cerinţă:

Art. 20. – Emitentul este obligat sa asigure confidentialitatea datelor privind detinatorul instrumentului de plata electronica si a tranzactiilor pentru care a primit cererea de autorizare, in conformitate cu prevederile legislatiei in vigoare privind secretul profesional bancar si ale legislatiei privind protectia datelor cu caracter personal.” 

Trage o ţigară şi se întreabă: se schimbă cumva datele problemei? Păi se cam schimbă: una este să vizezi deţinătorul şi alta să te referi la întreg!

Mai trage încă o ţigară la foc automat şi îşi aminteşte că, potrivit art.15 lit.a din Legea nr.182/2002 informaţiile sînt

orice documente, date, obiecte sau activitati, indiferent de suport, forma, mod de exprimare sau de punere in circulatie”.

Începe să îl ia cu frisoane: informaţiile sînt date?Sau obiecte? Apar şi primele dileme: este bărbat sau femeie? Sau poate nu este nici măcar om…

Apar şi primele semne de scurtcircuitare a  memoriei. Şi nici măcar Google nu îl ajută să afle vreo definiţie a “datelor” respectiv “tranzacţiilor”. Cu atît mai puţin a celor “confidenţiale”. Este momentul în care, după ce apelează la întăritoare mai mult sau mai puţin bahice, personajul din poveste îşi aminteşte de Legea nr.58/1998 privind activitatea bancara:

“  Art. 35. – Banca va păstra confidenţialitatea tuturor tranzacţiilor şi serviciilor pe care le oferă, inclusiv cu privire la identitatea titularilor conturilor.

   Art. 36. – Personalul unei bănci, supus prevederilor prezentei legi, nu are dreptul de a folosi sau de a dezvălui, nici în timpul activităţii, nici după încetarea acesteia, fapte sau date care, devenite publice, ar dăuna intereselor ori prestigiului unei bănci sau vreunui client al acesteia.

    Prevederile de mai sus se aplică şi persoanelor care obţin informaţii de natura celor arătate, din rapoarte ori alte documente ale băncii.

   Art. 37. – Orice membru al consiliului de administraţie al unei bănci, precum şi toate persoanele care participă la activitatea băncii sunt obligate să păstreze secretul profesional. Informaţii privind sumele depuse şi operaţiunile efectuate pe numele persoanelor fizice şi juridice se vor transmite numai titularilor sau reprezentanţilor lor legali, iar în cauzele penale în care s-a pus în mişcare acţiunea penală împotriva titularului, la cererea scrisă a procurorului sau a instanţei judecătoreşti. Personalul băncii nu poate uza, în folos personal, de informaţiile bancare pe care le deţine sau de care a luat cunoştinţă în orice mod.

    Prevederile alin. 1 se aplică şi persoanelor care obţin, din activitatea de control şi supraveghere sau din rapoarte ori documente ale băncii, informaţii de natura celor arătate mai sus.”

Prin fumul unei ultimei ţigări personajul se duce în faţa oglinzii şi rosteşte motto-ul Dilemei Vechi:

“- Adevarul nu se confunda totdeauna cu dreptatea.
– Unde ai citit asta?
– In toate cartile bune!” (Faulkner)”

….apoi apasă pe trăgaci. Prin cameră se împrăştie CISA Review Manual. 

 

(publicat iniţial 10 aprilie 2009)

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s