OMCTI 389/2007. The last Beispiel: les objectifs auditoría és jelentés.

Folosim aceeaşi premisă: acceptăm prevederile Ordinului aşa cum sînt.

Spuneam în primul exemplu pe marginea acestui subiect că un obiectiv va fi să stabilim dacă  managementul a instituit controale corespunzătoare tipului şi nivelurilor riscurilor din Internet Banking.

Alte obiective specifice acestui tip de misiune (nu şi testele ce trebuie realizate!):

  • înţelegerea tipului produselor şi volumului tranzacţiilor, fluxul tranzacţiilor şi modul de realizare a plăţilor
  • evaluarea conformităţii cu cerinţele legale (alte legi decît Ordinul în discuţie)
  • politicile adopate corespund dimensiunii organizaţiei, practicilor generale…
  • controalele interne corespund riscurilor identificate şi dacă sînt eficace
  • dacă angajaţii au cunosştinţe acceptabile în ceea ce priveşte activităţile IB
  • comunicarea constatărilor, deficienţelor  şi acţiunilor corective

 

Din acest moment renunţăm la premisa anterioară folosită strict în scop didactic şi căutăm să obţinem o înţelegere a cerinţelor specifice Planului de securitate pentru a vedea ce trebuie revizuit cu scopul de a atinge obiectivele anterioare. Ne bazăm pe cele cititite/recomandate prin CISA Manual, CISM Manual, COBIT, ISO 27001 etc.

 

“ confidenţialitatea şi integritatea comunicaţiilor;

confidenţialitatea şi nonrepudierea tranzacţiilor”

 

Îmi pun doar cîteva întrebări, fireşti pentru mine, dacă ţin cont de următoarele:

Confidenţialitate – doar persoanele cu suficiente privilegii, autorizate, au acces la informaţii şi este controlată divulgarea neautorizată a informaţiilor

Integritate – informaţiile sînt corecte, complete şi nealterate.

Nonrepudierea – se foloseşte semnătură electronică, timestamp etc.

  • ce înseamnă “comunicaţie” şi ce înseamnă “tranzacţie”?
  • tranzacţiile sînt economice sau la nivel de BD? O plată prin IB poate fi o singură tranzacţie la nivel de BD dar două tranzacţii economice: debitarea unui cont şi creditarea altuia.
  • o aplicaţie de IB este dezvoltată, de obicei, pe 3 niveluri: prezentare, aplicaţie şi procesare (de obicei în back office). Cînd şi unde apare un eveniment de tip “comunicaţie”/”tranzacţie”?
  • ce se colectează şi ce se transmite în cadrul acestui eveniment?
  • care este scopul colectării informaţiilor?
  • cine colectează informaţii?
  • cine primeşte sau partajează informaţiile?
  • care este perioada de păstrare a informaţiilor şi în ce condiţii?
  • cine actualizează informaţiile şi în ce condiţii?c
  • care ar fi controlul care îndeplineşte condiţia cerută în Ordin? Digital Rights Management?
  • ce controale compensatorii se pot aplica?
  • ce alt mecanism tehnic, în afară de criptare, poate asigura “confidenţialitatea şi integritatea”?

 

Dincolo de toate aceste observaţii (mai sînt şi alte perle, cum ar fi traducerea „authenticate” prin „autenticitate”), cireaşa de pe tort a acestui act o reprezintă eliminarea, stîlcirea, violarea, degradarea, brutalizarea și pervertirea , ESENŢEI ŞI MISIUNII AUDITULUI.

Pentru că cel care solicită acest audit, STATUL,  doreşte “opinia de audit asupra planului de securitate prevãzut la lit. d) şi a soluţiei informatice prin intermediul cãreia este oferit instrumentul de platã cu acces la distanţã”.

Adică opinie și nu RAPORT????!!!!???
NU EXISTĂ NICI UN DOCUMENT INTITULAT „OPINIE DE AUDIT”. OPINIA ESTE EXPRIMATĂ ÎN RAPORT. O FRAZĂ! Atît. Iar forma raportului este reglementată de standardele şi ghidurile ISACA.

În actuala formă a acestui Ordin nu se atinge fondul şi dacă se doreşte a elimina forma incoerentă şi incorectă e nevoie ca un act normativ să precizeze OBIECTIVE DE CONTROL! Aşa se întîmplă peste tot în lumea normală.

În noua propunere de modificare de pe situl MCTI se atinge nivelul maxim de incompetenţă: auditorul, de exemplu, trebuie să verifice documentaţia de avizare care se va transmite MCSI tocmai pentru a se verifica; sau introducerea unor cerințe de tipul LPT de la EC – Council doar pentru că „cineva” are această certificare……
Tehnologia evoluează, lumea evoluează, dar legea trebuie să fie cît mai trainică. Fără dubii, pentru că securitatea nu poate fi ABSOLUTĂ ci doar REZONABILĂ.
Indiferent de limba vorbită, CISA ştie că trebuie să revizuiască CONTROALE asumate de management!

.

Exemplu

Risk Management Principles for Electronic Banking – Electronic Banking Group of the Basel Committee on Banking Supervision”, 2003

Security Controls (Principles 4 to 10)

Principle 4: Banks should take appropriate measures to authenticate the identity and authorisation of customers with whom it conducts business over the Internet.

Principle 5: Banks should use transaction authentication methods that promote nonrepudiation and establish accountability for e-banking transactions.

Principle 6: Banks should ensure that appropriate measures are in place to promote adequate segregation of duties within e-banking systems, databases and applications.

Principle 7: Banks should ensure that proper authorisation controls and access privileges are in place for e-banking systems, databases and applications.

Principle 8: Banks should ensure that appropriate measures are in place to protect the data integrity of e-banking transactions, records and information.

Principle 9: Banks should ensure that clear audit trails exist for all e-banking transactions.

Principle 10: Banks should take appropriate measures to preserve the confidentiality of key e-banking information. Measures taken to preserve confidentiality should be commensurate with the sensitivity of the information being transmitted and/or stored in databases.

Altfel spus s-a stabilit regula jocului: CE trebuie făcut. CUM se face, adică prin ce mijloace tehnice se pun în practică aceste obiective este treaba managementului!

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s