Despre auditul din propunerea de lege a securității cibernetice

  Art. 3, lit. e audit de securitate cibernetică – activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unei infrastructuri cibernetice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora; Art. 19, alin. 2, lit c. auditarea nivelului…

Audit: cu sau fără pentest?

  Nu îmi este clar de unde a apărut delimitarea testelor de penetrare de auditul propriuzis al sistemelor informaționale. În opinia mea, majoritatea misiunilor de tip audit (nu mă refer la revizii) trebuie să includă un astfel de test. În cele ce urmează îmi susțin această afirmație și faptul că „pen test„ fără audit se…

Și totuși ce face un CISA?

Scrie un blog, de exemplu :). Lăsînd ironia la o parte, un CISA „oferă asigurări„. Poate să mai facă și alte activități (consultanță de exemplu), dar cam ăsta e principalul său rol. 1. Ce înseamnă că „oferă asigurări„? Înseamnă că revizuiește/evaluează/testează controale. 2. Această revizie/evaluare/testare ce vizează? Înainte de a testa controale, CISA trebuie să…

O pledoarie pentru o abordare corectă a auditului

Pînă la apariția SOX, auditul IT tradițional se concentra pe componentele/subsistemele mediului de lucru/IT auditat, preponderent pe aspectele legate de securitate. Dacă analizăm literatura de specialitate, cadrele de lucru (referință)/standardele vom constata aceeași abordare pînă la mijlocul anilor 2000. ISACA promovează la nivel internațional auditul sistemelor informaționale și nu auditul IT! Chiar dacă ambele sînt…