Să nu ne culcăm pe o ureche….

După cele scrise pe acest blog, am fost întrebat care este soluția mea dar mai ales ce mă „mînă în luptă” …Am stat pe gînduri şi m-am întrebat: cine sînt eu? Expert în nici un caz nu sînt….Cu siguranță însă sînt saturat de cît marketing există cumulat cu multă superficialitate. Motiv pentru care îmi permit să spun că „less is more”…sau pe limba noastră….mai puțini consultanţi externi. Din cei autodeclaraţi, dar greu dovediţi, ca fiind INDEPENDENŢI! Şi Consultanţi

Un consultant bun are atît de multă onestitate şi integritate pe cît de bun profesionist este! Un consultant bun trebuie să aibă atît competenţe tehnice cît şi economice; să înţeleagă mediul în care funcţionează organizaţia; să identifice problemele generale şi să izoleze problemele specifice; să obţină o imagine realistă a stării de fapt şi a ceea ce este necesar pentru organizaţie; să nu recomande ceea ce ştie ci ceea ce are nevoie organizaţia!

Instruirea resursei umane din interior şi apoi, la muncă! Aderarea la frameworks, integrarea, adaptarea lor la nevoile şi realităţile din organizaţie şi DIFUZAREA CUNOŞTINŢELOR în interiorul organizației! Fără Copy-Paste! Riscurile nu sînt doar ale IT-ului. Sînt şi ale IT-ului! Insist pe resursa umană. Sau CAPITAL UMAN. Iar în economie, capitalul circulă! Unii îl acumulează, alţii îl pierd! KNOWLEDGE WORKERS, Druker dixit!

Dacă îl întrebăm pe Google cîte companii certificate PCI DSS au suferit, vom avea surpriza să vedem că EXISTĂ! De exemplu Hannaford. Sau RBS WorldPay (deşi aici e mai încurcată treaba) şi Heartland. Chiar poţi fi certificat şi totuşi să ai probleme? Măi să fie……Şi doar au făcut risk management….

„Simply put, bluntly if you will, assuming PCI compliance equals security is stupid….
No QSA can ensure or promise that a company it assesses for is completely secure and defended against attack.”

Pe acelaşi model se înscrie și ISO 27001.
Faptul că e plin Internetul de politici, proceduri, modele/template-uri dovedeşte cît de jos a ajuns profesionalismul în zona asta. Aşa arată de fapt securitatea informaţiilor, mai ales în Romania. Nici auditul nu e prea departe…..Se vînd iluzii…trist este că se cumpără….Disperarea cu care se caută bani primează în fața principiilor şi raţionamentului profesional! Şi ce facem? Ne culcăm pe o ureche?! Jucăm rolul baciului moldovean? Asta e kharma?

Vremea IMITATORILOR a luat sfîrşit! Vremea teoretizării fără aplicabilitate practică trebuie să ia sfîrşit! Acum este nevoie de INOVARE ca rezultat al ÎNVĂȚĂRII! Nu de mimetism.

Cu mai bine de 5 ani în urmă citeam că NASA estimase riscul unui eşec catastrofal al navetelor sale la 1 din 145 de lansări, sau aproximativ 0,7% pentru fiecare misiune. Și acest risc a fost asumat. Dar practica ce ne-a demonstrat? Că acel 1 poate să apară şi în primele 20? Offff…..

Să luăm acum alt exemplu: SOX. Scrie ceva legat de control în IT? Nimic. ABSOLUT NIMIC! Şi totuşi impactul cel mai mare aici a fost. Pentru că la bază, secțiunea 404 referențiază COSO. Iar astăzi nu mai poți discuta de control intern făcînd abstracţie de IT!

Zilele acestea se rediscută OMCTI 389. Dar dacă se încearcă a se reglementa auditul şi nu controalele IT din sistemele informatice bancare, degeaba. Auditul este reglementat prin standardele, procedurile şi ghidurile ISACA! Internet bankingul nu este o insulă uitată aiurea…..Lucrurile trebuie analizate şi interpretate în context, şi nu singular! În caz contrar…GIGO!!!!! Ce funcționează pentru unii nu se aplică în mod automat şi altora.

V-ați gîndit că fiecare dintre noi, potenţial, sîntem un „threat agent” ? Depinde doar de context.

 

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s