.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Studiu de caz: Auditarea instrumentelor de plata cu acces la distanta
MCTI – intre ciocanul cerintelor de aliniere la Europa si nicovala pietei romanesti de servicii
Alea jacta est! In 2007 vom intra in UE, cu tot cu problemele, mentalitatile si specificul romanesc atat de gustat de investitorii straini. Avem directia, avem orizontul de timp, de noi depinde drumul pe care ni-l alegem pentru a ajunge acolo.
MCTI a ales calea unei Strategii pentru promovarea noii economii si implementarea societatii informationale care reuneste proiecte legislative si reglementari laudabile care incearca sa pregateasca firmele romanesti pentru momentul 2007. Au existat cateva grupuri in jurul MCTI care si-au adus contributia la aceste initiative care incearca o aliniere la lumea civilizata si le multumim pentru ca exista si lucreaza pentru imbunatatirea mediului de afaceri de la noi. Avem unele legi chiar mai restrictive decat in tarile vestice si apreciem aceste rezultate ale unei colaborari fructuoase cu sectorul privat. Sa vedem in continuare cum contribuie toate acestea la o situatie mai buna in piata, la o economie mai competitiva.
Stare de fapt
Salutam de exemplu initiativa de revizuire a Ordinului 16 /2003 privind avizarea instrumentelor de plata la distanta de tip Internet Banking. A fost emis Ordinul 218 /2004 care specifica mai clar ce aspecte trebuie auditate in cazul unor asemenea instrumente de plata la distanta si mai specifica faptul ca auditul trebuie efectuat de o persoana care detine certificarea CISA (Certified Information System Auditor).
La momentul introducerii Ordinului au existat voci din piata care au blamat introducerea acestei cerinte, ignorand faptul ca aceasta certificare, deosebit de serioasa, este acordata de ISACA – organizatie non-profit cu o reputatie mai presus de orice indoiala – si este singura care certifica meseria de auditor de sisteme informatice. (E adevarat ca, la putin timp dupa aceea, aceleasi voci au laudat Ordinul 218 ca fiind cea mai mare realizare de la inventarea Internet-ului incoace - e foarte probabil ca intre timp sa se fi produs ceva revelatii pe plaiul mioritic.)
Ce s-a intamplat intre timp in piata? Pe ultima suta de metri inainte de publicarea Ordinului in Monitorul Oficial, au existat numeroase banci care au profitat de ragazul de timp pentru a obtine opinia favorabila din partea unor auditori mai «de-ai nostri», care nu aveau certificarea CISA. Au reusit sa obtina, in schimbul unor sume modice, avize favorabile de la auditori care nu aveau nici o legatura cu codul etic la care adera un CISA.
Au existat insa si banci care au fost supuse unui audit corect, de catre persoane certificate. In cele ce urmeaza ne propunem sa identificam, cu legea in mana, ce presupune acest audit, la ce ar trebui sa se astepte clientul (in cazul nostru o banca) si ce activitati ar trebui sa desfasoare prestatorul in cadrul auditului.
Cerintele planurilor de securitate
In Ordin se specifica faptul ca trebuie sa existe un plan de securitate care sa indeplineasca un set de cerinte destul de cuprinzator. Un auditor va trebui sa verifice daca in planul de securitate sunt specificate „informatiile de identificare, senzitivitatea sistemului, legislatia aplicabila si daca este prezenta descrierea generala a senzitivitatii informatiilor gestionate de catre sistem”. E un prim pas care il introduce in subiect, aratandu-i cu ce are de-a face, intr-un mod relevant pentru ca trebuie specificate inclusiv aria geografica si interconectarile sistemului.
Mergem mai departe si descoperim faptul ca planul trebuie sa cuprinda informatii despre felul in care au fost selectate si implementate unele masuri (controale) de securitate. Sa vedem care ar putea fi ele, cum s-a ajuns la ele si ce trebuie sa verifice auditorul:
Un prim aspect de auditat este „evaluarea si managementul riscurilor potentiale”, ceea ce inseamna ca trebuie sa existe o analiza de risc, o descriere a metodologiei folosite si o lista de controale luate in considerare pentru reducerea riscurilor. Auditorul va obtine astfel o viziune asupra procesului de business implicat, asupra aplicatiei de Internet banking si asupra modului in care a fost implementata ea, si o clarificare asupra a ce are de verificat in continuare. In mod normal, aceasta etapa de examinare a documentelor ar trebui corelata cu interviuri cu persoanele relevante care sa evidentieze cum au fost identificate riscurile si ce considerente au stat la baza selectarii controalelor.
In continuare, Ordinul precizeaza ca trebuie verificate „codurile de conduita/ conditiile de utilizare/contractul prin care instrumentul de plata cu acces la distanta este oferit”. Aceasta inseamna o examinare a altui set de documente care ar cuprinde manualul/instructiunile de utilizare si contractul cu utilizatorul. In urma acestui efort auditorul poate avea o idee despre cum functioneaza serviciul, insa nu va sti exact cum functioneaza solutia. Pentru asta va trebui sa examineze arhitectura solutiei si rapoartele de testare de la implementare, eventual sa faca si o simulare asistata a serviciului.
Pentru ca avem de verificat un plan de securitate, acesta va cuprinde si masurile de securitate (masuri tehnice si organizatorice) implementate. Acestea vor fi evidentiate in Planul de Securitate, insa nu trebuie sa ne limitam doar la parcurgerea lor si la verificarea felului in care au fost ele implementate, pentru ca ar insemna sa facem lucrurile pe jumatate. Toate aceste masuri trebuie corelate cu cerintele din Ordin din Art 3 , care constituie de fapt parametrii unui sistem de management al securitatii informatiei relativ matur, care trebuie sa fie in acelasi timp eficient.
Parerea ta conteaza: 
