Documente Academic
Documente Profesional
Documente Cultură
Pag. 1 / 214
Pag. 2 / 214
CUPRINS
Introducere............................................................................................................................................ 7 Capitolul 1. Contextul de desfurare a auditului IT pe plan intern i internaional .................................................................................................................................... 12 1.1 Contextul socio-economic. Strategii i politici pentru societatea informaional ........ 12 1.1.1 Situaia n cadrul Uniunii Europene ...................................................................................13 1.1.2 Stadiul Societii Informaionale n Romnia .................................................................15 1.2 Guvernarea IT ............................................................................................................................................. 16 1.3 Cadrul legislativ i de reglementare n domeniul IT .................................................................. 17 1.4 Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan internaional i intern ....................................................................................................................................... 18 1.4.1 Cadrul de auditare INTOSAI...................................................................................................19 1.4.2 Liniile de aciune ale EUROSAI IT Working Group ....................................................23 1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de Conturi a Romniei ......................................................................................................................................................24 Capitolul 2. Standarde de audit IT ................................................................................... 28
2.1 Instituii, standarde i linii directoare ............................................................................................. 28 2.2 Cadrul de auditare INTOSAI ................................................................................................................. 29 2.2.1 StandardeIe ISSAI i INTOSAI GOV 9100 ..........................................................................29 2.2.2 ISSAI 3000 - Anexa 5 Auditul Performanei i Tehnologia Informaiei .............30 2.2.3 Liniile directoare ISSAI 5310.................................................................................................31 2.3 Standardele internaionale de audit ISA ......................................................................................... 32 2.4 Actul Sarbanes - Oxley ............................................................................................................................. 32 2.5 Standardele IIA........................................................................................................................................... 33 2.6 COSO ................................................................................................................................................................ 34 2.7 Schimbri ale standardelor de audit IT n viziunea EUROSAI - ITWG ............................... 34 2.8 Cadrul de lucru COBIT ............................................................................................................................. 38 2.8.1 ISACA, ITGI i cadrul de lucru COBIT .................................................................................38 2.8.2 Orientarea COBIT pe domenii i procese ..........................................................................39 2.8.3 Modele de maturitate COBIT .................................................................................................39 2.8.4 Msurarea performanelor.....................................................................................................40 2.8.5 Zonele de interes pentru guvernarea IT ...........................................................................40 2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru COBIT ..................41 2.8.7 Criteriile COBIT pentru informaie .....................................................................................42 2.8.8 Resursele IT..................................................................................................................................42 2.8.9 Domeniile COBIT ........................................................................................................................43 2.8.10 Controalele asociate proceselor ...........................................................................................44 2.8.11 Cerinele obiectivelor de control .........................................................................................45 2.8.12 Controalele IT i controalele economice ...........................................................................46 2.8.13 Controale generale IT i controale de aplicaii ...............................................................46
Pag. 3 / 214
Orientarea spre evaluare (msurtori)............................................................................. 47 Model generic de maturitate ................................................................................................. 47 Msurarea performanei......................................................................................................... 48 Modelul cadrului de referin COBIT ................................................................................. 48 Procese i obiective de control ............................................................................................. 49
2.9 Cadrul de lucru Val IT .............................................................................................................................. 60 2.9.1 Obiectivul i necesitatea cadrului de lucru Val IT ......................................................... 61 2.9.2 Aspecte legate de Investiiile IT din perspectiva cadrului Val IT ............................ 62 2.9.3 nelegerea conceptului de valoare n sensul cadrului de lucru Val IT ............. 62 2.9.4 Beneficii obinute prin utilizarea cadrului de lucru Val IT ........................................ 63 2.9.5 Concepte Val IT i principiile cadrului de lucru Val IT ................................................ 63 2.9.6 Domeniile cadrului de lucru Val IT ..................................................................................... 64 2.9.7 Business Case (BC)...................................................................................................................... 66 2.9.8 Procesele VAL IT ........................................................................................................................ 68 2.9.9 Liniile directoare Val IT ........................................................................................................... 70 2.10 Cadrul de lucru Risk IT ....................................................................................................................... 71 2.10.1 Principiile cadrului de lucru Risk IT ................................................................................... 71 2.10.2 Documentaia aferent cadrului de lucru Risk IT ......................................................... 72 2.10.3 Domenii, procese i activiti ................................................................................................ 73 2.11 Standardul ISO/CEI 27001 - Sisteme de management al securitii informaiei ..... 75 2.11.1 Abordare bazat pe proces .................................................................................................... 76 2.11.2 Obiective de control .................................................................................................................. 77 Capitolul 3. Riscuri IT ........................................................................................................... 80
3.1 Componentele eseniale ale domeniului guvernare de risc ..................................................... 80 3.1.1 Scenarii de evaluare a riscurilor .......................................................................................... 81 3.1.2 Fluxul de activiti pentru analiza riscurilor .................................................................. 82 3.1.3 Indicatori de risc ........................................................................................................................ 82 3.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS ................................................... 83 3.2.1 Responsabilitatea ...................................................................................................................... 84 3.2.2 Vulnerabilitatea la modificri ............................................................................................... 84 3.2.3 Uurina la copiere .................................................................................................................... 85 3.2.4 Uurina accesului de la distan ......................................................................................... 85 3.2.5 Procesare invizibil .................................................................................................................. 85 3.2.6 Existena unui parcurs al auditului .................................................................................... 86 3.2.7 Date distribuite ........................................................................................................................... 86 3.2.8 ncrederea n prestatorii de servicii IT ............................................................................. 86 3.2.9 Utilizarea nregistrrilor furnizate de calculator ca prob de audit ...................... 86 3.3 Probleme cu impact semnificativ asupra riscului de audit ..................................................... 87 3.4 Model de management al riscurilor IT ............................................................................................. 88 3.5 Riscurile generate de existena mediului informatizat ............................................................. 91 3.5.1 Dependena de IT ...................................................................................................................... 91 3.5.2 Resurse i cunotine IT .......................................................................................................... 92 3.5.3 ncrederea n IT .......................................................................................................................... 93 3.5.4 Schimbri n domeniul sistemelor IT / IS ........................................................................ 94 3.5.5 Externalizarea serviciilor IT .................................................................................................. 95 3.5.6 Focalizarea pe afacere ............................................................................................................. 97
Pag. 4 / 214
Securitatea informaiei ............................................................................................................98 Protecia fizic a sistemelor IT ...........................................................................................100 Operarea sistemelor IT ..........................................................................................................101 Dezvoltri efectuate de utilizatorii finali ........................................................................102
3.6 Riscuri asociate furnizrii serviciilor IT ....................................................................................... 104 3.6.1 Managementul de vrf ...........................................................................................................104 3.6.2 Strategii i politici ....................................................................................................................108 3.6.3 Operare ........................................................................................................................................110 3.6.4 Managementul resurselor ....................................................................................................114 3.6.5 Factori externi ...........................................................................................................................116 3.6.6 Interaciunea cu utilizatorii .................................................................................................118 3.6.7 Consecine ale utilizrii serviciilor IT asupra cetenilor, mediului de afaceri i sectorului public .....................................................................................................................................120 Capitolul 4. Proceduri de audit IT ................................................................................. 126
4.1 Auditul sistemelor informatice ......................................................................................................... 126 4.1.1 Domeniul de aplicare ..............................................................................................................127 4.1.2 Documente de referin (reglementri) aplicabile n domeniul auditului IS/IT .........................................................................................................................................128 4.1.3 Obiective generale i obiective specifice ale auditului IT/IS ..................................129 4.1.4 Criterii de evaluare generice ...............................................................................................130 4.1.5 Determinarea naturii i volumului procedurilor de audit .......................................130 4.1.6 Revizuirea controalelor IT n cadrul misiunilor de audit financiar ......................131 4.2 Etapele auditului sistemelor informatice .................................................................................... 131 4.2.1 Planificarea auditului .............................................................................................................132 4.2.2 Efectuarea auditului ................................................................................................................139 4.2.3 Elaborarea raportului de audit i valorificarea constatrilor consemnate .......143 4.2.4 Revizuirea auditului sistemelor informatice .................................................................144 4.3 Evaluarea sistemelor informatice financiar-contabile .......................................................... 145 4.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate ........................147 4.3.2 Controale IT generale .............................................................................................................148 4.3.3 Evaluarea aplicaiei i evaluarea riscurilor ...................................................................150 4.4 Cadrul procedural pentru evaluarea sistemelor informatice ............................................. 158 4.4.1 Informaii de fond privind sistemele IT ale entitii auditate ................................159 PROCEDURA A1 - Privire general asupra entitii auditate ................................................159 PROCEDURA A2 - Principalele probleme IT rezultate din activitile anterioare de audit .........................................................................................................................................................159 PROCEDURA A3 - Dezvoltri informatice planificate ..............................................................159 PROCEDURA A4 - Configuraia hardware (echipamente), software (programe informatice) i personalul IT .............................................................................................................159 PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului informatic .............160 PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor ...............................160 PROCEDURA A7 - Contacte cheie .....................................................................................................160 4.4.2 Evaluarea mediului de control IT Controale generale IT ......................................160 PROCEDURA B1 - Managementul sistemului informatic ........................................................161 PROCEDURA B2 - Separarea atribuiilor ......................................................................................164 PROCEDURA B3 - Securitatea fizic i controalele de mediu................................................166 PROCEDURA B4 - Securitatea informaiei i a sistemelor......................................................167
Pag. 5 / 214
PROCEDURA B5 - Continuitatea sistemelor ................................................................................ 176 PROCEDURA B6 - Externalizarea serviciilor IT.......................................................................... 180 PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem ......................... 180 PROCEDURA B8 - Auditul intern IT ................................................................................................ 184 4.4.3 Analiza controalelor aplicaiei i evaluarea riscurilor asociate............................. 185 PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil ..................... 186 PROCEDURA CA2 - Posibilitatea de efectuare a auditului ..................................................... 187 PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) ............ 187 PROCEDURA CA4 Determinarea rspunderii.......................................................................... 189 PROCEDURA CA5 Evaluarea documentaiei aplicaiei ........................................................ 190 PROCEDURA CA6 Evaluarea securitii aplicaiei ................................................................. 190 PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor ..................... 190 PROCEDURA CA8 Evaluarea controalelor privind transmisia de date.......................... 192 PROCEDURA CA9 Evaluarea controalelor prelucrrii ......................................................... 193 PROCEDURA CA10 Evaluarea controalelor privind datele de ieire .............................. 193 PROCEDURA CA11 Evaluarea controalelor privind fiierele de date permanente .. 194 PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n vigoare ....... 195 PROCEDURA CA13 - Efectuarea testelor de audit ..................................................................... 196 Capitolul 5. Liste de verificare, machete i chestionare ........................................199
Glosar de termeni ...........................................................................................................................201 Referine bibliografice ..................................................................................................................207 Anexa 1 - Legislaia pentru Societatea Informaional .....................................................213
Pag. 6 / 214
Introducere
Evoluia societii informaionale ctre societatea bazat pe cunoatere, proces care presupune transformarea progresiv a ntregii economii ntr-o economie digital, implic schimbri majore i n abordarea auditului extern, cu un dublu impact: att n ceea ce privete managementul auditului i rolul auditorului, ct i n ceea ce privete planul arhitectural, metodologic i procedural asociat. Aceste schimbri, care determin o nou tratare a auditului, pun n eviden necesitatea crerii unui nou cadru de lucru pentru ciclul de via al procesului de auditare, apt s rspund la noile cerine calitative ale domeniilor i ale obiectivelor auditrii: auditarea se va focaliza preponderent pe managementul i livrarea serviciilor informatice, care presupun prezena dominant a fluxurilor de documente electronice, precum i asupra procedurilor de tratare asociate specifice. Din acest motiv, cea mai mare parte a procedurilor clasice de auditare vor fi nlocuite cu proceduri capabile s asigure auditarea n contextul digital care se extinde rapid n prezent. n scopul adecvrii la noul context, modificrile de coninut ale ciclului de via al auditului impun reingineria arhitecturilor de auditare i a cadrului metodologic i procedural clasic conducnd la crearea unui nou model al auditului. Auditul clasic i va schimba abordarea i coninutul i se va baza pe tehnologiile informaiei i comunicaiilor prin adoptarea unor concepte i metode avansate: audit online, audit continuu, e-audit. Noul model al auditului se va focaliza ctre soluii integrate ale diferitelor tipuri de audit: auditul financiar, auditul performanei, auditul IT / IS1, auditul organizaional i auditul de conformitate, astfel de audituri urmnd a se desfura n cadrul aceleiai misiuni, n diverse combinaii, n funcie de obiectivele i complexitatea misiunii. n ceea ce privete maniera i modalitile de lucru, auditorul va trebui s fie pre gtit pentru lucrul n colaborare, precum i pentru adoptarea unor noi stiluri de munc: auditare la distan, orientarea pe auditarea documentelor electronice, utilizarea unui suport instrumental bazat pe sau asistat de calculator. Factorii care influeneaz n mod deosebit noul model al auditului sunt o consecin a ansamblului de schimbri radicale pe care trecerea la economia digital le va antrena, i chiar le antreneaz deja, n ceea ce privete securitatea informaiei i a sistemelor, protecia da telor cu caracter personal, accesul la baze de date cu coninut informaional sensibil, expuse atacurilor externe prin reeaua Internet. De asemenea, cerinele privind asigurarea continuitii sistemelor, precum i a managementului schimbrii i al dezvoltrii impun elaborarea unui cadru metodologic i procedural de auditare adecvat. Manualul de fa ofer, ntr-o abordare nou, din perspectiva direciilor de dezvoltare incluse n Planul de lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI ITWG2, un set de bune practici cu o utilitate deosebit pentru auditorii publici externi din cadrul Curii de Conturi a Romniei (CCR) care desfoar misiuni / aciuni de audit / control la instituii publice, avnd n vedere extinderea problematicii acoperite de sistemele informatice financiar-contabile i de gestiune ale organizaiilor. Din aceast perspectiv, prezentarea este orientat, pe de o parte, pe descrierea celor mai noi concepte, metode, tehnici i proceduri aferente contextului general al auditului sistemelor informatice, precum i, pe de alt parte, pe problematica auditului sistemelor informatice financiar-contabile.
1 2
Auditul IT / IS - auditul arhitecturilor i infrastructurilor IT / auditul sistemelor, aplicaiilor i serviciilor informatice EUROSAI ITWG EUROSAI IT Working Group
Pag. 7 / 214
Obiectivul principal al manualului este de a furniza auditorilor publici externi informaii consistente despre controalele aferente mediului informatizat i despre probleme specifice i cerine asociate, pentru a facilita planificarea i efectuarea auditului, precum i integrarea proce durilor proprii ale auditului IT n contextul misiunilor de audit n care auditorii publici externi sunt implicai. Intruct manualul s-a concentrat preponderent pe aspectele strict necesare nelegerii conceptelor, standardelor, metodologiilor i procedurilor asociate auditului IT fr de care un auditor nu poate aborda corect acest domeniu i care au ocupat un spaiu relativ mare de expunere, implementarea practic a metodologiei de audit n medii informatizate va fi detaliat ntr-un ghid asociat acestui manual i va descrie concret, n succesiune logic, etapele, activitile, procesele, tehnicile i documentele specifice acestui tip de audit, pentru ntreg fluxul aferent misiunii de audit, astfel nct cele dou documente s constituie un suport util pentru auditorii publici externi implicai n misiuni de audit IT, inclusiv pentru aciunile de control / audit financiar sau de audit al performanei . Manualul prezint n detaliu controalele specifice mediului informatizat pe care auditorii trebuie s le ia n considerare atunci cnd evalueaz integritatea, confidenialitatea i disponibilitatea informaiilor care provin din sistemul informatic financiar-contabil i prezint cadrul metodologic i procedural specific domeniului auditului IT / IS aplicabil inclusiv la nivelul CCR. Manualul prezint tehnicile specifice de evaluare a controalelor IT i procedurile de audit asociate. Procedurile de audit prezentate presupun pentru auditor un nivel de experien adecvat pentru a fi aplicate la un grad ridicat de performan. Evaluarea trebuie s aib un caracter critic, s fie bazat pe experiena profesional, iar activitile s se desfoare cu un anumit nivel de scepticism, gndire critic i creativitate. Prezentarea are n vedere armonizarea metodologiilor i procedurilor de audit proprii Curii de Conturi a Romniei cu standardele de auditare i bunele practici n domeniu (INTOSAI3, ISA4, ISACA5, COBIT6, ISO270007). De asemenea, i propune extinderea experienei i armonizarea rezultatelor cooperrii internaionale cu specificul Curii de Conturi a Romniei, prin participarea la activitile desfurate n cadrul grupurilor de cercetare care funcioneaz la nivel EUROSAI. Manualul are la baz cerinele Regulamentului privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti . Abordarea problematicii este n concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI IT-WG i n conformitate cu abordarea care caracterizeaz cadrul de auditare INTOSAI. De asemenea, abordarea se aliniaz cu obiectivele strategice ale CCR. n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de CCR (aciuni de control, misiuni de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a informatizrii instituiilor publice, auditul IT / IS poate i trebuie s constituie o component a misiunilor de audit ale CCR sau se poate desfura de sine stttor, de regul prin misiuni de audit al performanei programelor, proiectelor sau aplicaiilor referitoare la sistemele informatice. Avnd n vedere dinamica specific rapid a tehnologiilor informaiei i comunicaiilor (TIC), care antreneaz evoluii semnificative n abordarea auditului extern, n realizarea manualului s-a pornit de la evaluarea stadiului actual al cunoaterii n domeniu i valorificarea experienelor capitalizate la nivelul instituiilor supreme de audit. Acest demers s-a concretizat n urmtoarele:
International Organization of Supreme Audit Institutions International Standards for Audit 5 Information Systems Audit and Control Association 6 Control Objectives for Information and Related Technology 7 ISO/IEC 27000: familie de standarde de securitate a informaiei ISO
3 4
Pag. 8 / 214
1. Realizarea unei documentri exhaustive privind problematica specific a domeniului auditului IT / IS, focalizate pe studii i analize comparative conforme cu metodologiile orientate pe ciclul de via al sistemelor. Analiza tehnicilor i metodelor de auditare specifice sistemelor informatice, prin prisma standardelor i bunelor practici existente pe plan internaional. 2. Includerea n cadrul documentrii a unor studii i analize privind cadrul conceptual, arhitecturile de referin, metodele i tehnicile specifice, precum i a particularitilor care induc schimbri radicale n desfurarea misiunilor de audit n condiiile unui mediu informatizat. 3. Includerea n manual a aspectelor i cerinelor principale care decurg din documentele celei de a 7-a ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 februarie 2011, la care a participat i Curtea de Conturi a Romniei. Concluzia principal pus n eviden de lucrrile ntlnirii se refer la noile abordri din domeniul auditului IT / IS privind revizuirea standardelor de audit IT din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit. In acest cadru, INTOSAI a ntreprins aciuni orientate pe asigurarea convergenei standardelor de audit proprii cu standardele internaionale de referin IFAC, IIA8, ISACA. Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru auditurile desfurate de SAI-uri. Asociaia profesional The IIA i Comitetul de Standarde Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de nelegere (MOU), care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de importan major al MOU citat este acordul reciproc c standardele specifice fiecrei organizaii (seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global. 4. Examinarea impactului pe care generalizarea utilizrii serviciilor informatice l are n plan practic; analiza rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de audit (ECA, GAO SUA, NAO UK, CNAO China9, The Office of Auditor General of Canada, Accounts Chamber of the Russian Federation, The Nederlands Court of Audit Olanda, Tribunal de Cuentas Spania, Bundesrechnungshof Germania), precum i de ctre instituiile supreme de audit din Australia, Japonia, Brazilia, India, Norvegia, Suedia, Ungaria10, Polonia, Estonia sau de ctre instituii cu tradiie n auditul extern (e.g., KPMG, Gartner Group). 5. Examinarea unor aspecte care comport riscuri majore pentru desfurarea i implementarea auditului ntr-un mediu informatizat:
actualizarea cadrului legislativ, extinderea lucrului cu documente electronice, crearea cadrului de interoperabilitate a instituiilor administraiei publice din Romnia i integrarea n sistemul administraiilor publice europene, pregtirea auditorilor pentru acest demers, reproiectarea managementului auditului, asigurarea calitii auditului, asigurarea suportului instrumental i metodologic pentru auditare.
IIA - The Institute of Internal Auditors cadrul CNAO (Chinese National Audit Office) funcioneaz Academia de Audit din Nanjing, care a organizat n anul 2004 manifestarea tiinific internaional The II-nd International Seminar on IT Audit, la care a participat i CCR. 10 In cadrul Instituiei Supreme de Audit din Ungaria funcioneaz un institut de cercetare tiinific n do meniul auditului.
8 9In
Pag. 9 / 214
Au fost luate n considerare, de asemenea, elemente de interes primordial privind atribuiile CCR, ca premise pentru orientarea studiului: n mod natural, obiectivele strategiilor, politicilor i program elor privind Societatea Informaional se transpun n cerine i obiective de urmrit n cadrul auditrii sistemelor n cauz: sisteme informatice sau servicii electronice publice, dezvoltate i implementate la nivel de organizaie sau n cadrul sistemului e-guvernare. Modelul de audit n medii informatizate trebuie s ia n considerare, de asemenea, urmtoarele aspecte: - aplicarea metodelor, tehnicilor i instrumentelor de auditare bazate pe / asistate de calculator; - managementul auditului pe durata ciclului de via al auditului; - proiectarea fluxurilor i a procedurilor de auditare specifice pentru ntregul ciclu de via al auditului; - proiectarea i standardizarea documentelor de lucru: machete, chestionare, liste de verificare; - elaborarea instruciunilor metodologice i a ghidurilor tematice de bun practic pentru misiunile de audit IT.
Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole de fond, un glosar de termeni, o list de referine bibliografice semnificative (care au constituit sursa principal de documentare) i anexe. n Capitolul 1 este prezentat contextul actual de desfurare a auditului IT, pe plan intern i internaional, cu referire la mediul socio-economic i la guvernarea IT. Pentru conturarea contextului internaional i intern, se face o trecere n revist a strategiilor i programelor privind Societatea Informaional i este prezentat o descriere de ansamblu, sintetic a problemelor specifice asociate . Acest capitol conine, de asemenea, o evaluare a cadrului legislativ i de reglementare n domeniul Tehnologiilor Informaiei i Comunicaiilor (TIC) pe plan intern i internaional, precum i o evaluare a stadiului actual privind cadrul legislativ i de reglementare referitor la auditul sistemelor informatice pe plan intern i internaional. Sunt prezentate, ca abordri de referin, cadrul de auditare INTOSAI i liniile de aciune ale EUROSAI-ITWG. n raport cu constatrile acestor evaluri, sunt prezentate abordarea auditului IT n cadrul CCR i cadrul de implementare specific. Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale privind standardele de audit IT, din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de lucrrile celei de a 7-a ntlniri a EUROSAI IT Working Group (ITWG), care a avut loc la Istanbul, n perioada 2122 februarie 2011. Tot n Capitolul 2, sunt prezentate cele mai relevante instituii, reglementri i standarde n domeniul auditului IT, sunt prezentate standardele INTOSAI care fac referire expres la auditul n medii informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector, ISSAI 3000 - Implementarea liniilor directoare pentru auditul performanei - Anexa 5 (Auditul Performanei i Tehnologia Informaiei) i liniile directoare ISSAI 5310 - Metodologia de revizuire a sistemului de securitate a Informaiilor. n acest context, se face i o trecere n revist a componentelor cadrului de lucru COBIT 5, care integreaz cadrul de lucru COBIT, cadrul de lucru Val IT i cadrul de lucru Risk IT, din perspectiva schimbrii de abordare recomandat la ntlnirea de la Istanbul a grupului de lucru EUROSAI ITWG. Pentru completitudine, n ceea ce privete auditul securitii sistemelor informatice n manual a fost inclus o prezentare a standardului internaional ISO/CEI 27001, care constituie un referenial pentru evaluarea tehnicilor de securitate implementate n sistemele de management al securitii informaiei i este, de asemenea, agreat de INTOSAI.
Pag. 10 / 214
n Capitolul 3 este prezentat problematica asociat riscurilor generate de implementarea i utilizarea sistemelor informatice, precum i impactul semnificativ al acestor sisteme att asupra afacerii, ct i asupra riscului de audit. Din aceast perspectiv sunt detaliate urmtoarele subiecte: modelul de management al riscurilor, cadrul de lucru Risk IT, riscurile generate de existena mediului informatizat (dependena de IT, de resurse i cunotine IT, ncrederea n IT, schimbri n domeniul sistemelor IT / IS, externalizarea serviciilor IT, focalizarea pe afacere, securitatea informaiei, protecia fizic a sistemelor IT, operarea sistemelor IT, dezvoltri efectuate de utilizatori finali), precum i riscurile asociate furnizrii serviciilor IT. Prezentarea procedurilor de audit IT este detaliat n Capitolul 4. Sunt abordate urmtoarele subiecte: 1) problematica general caracteristic a auditului IT (domeniul de aplicare, documente de referin (reglementri) aplicabile n domeniul auditului IS / IT, obiective generale i obiective specifice ale auditului IT / IS, criterii de evaluare generice, determinarea naturii i volumului procedurilor de audit, revizuirea controalelor IT n cadrul misiunilor de audit financiar; 2) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea i revizuirea), evaluarea sistemelor informatice financiar-contabile; 3) cadrul procedural pentru evaluarea sistemului informatic (obinerea informaiilor de fond privind sistemele IT ale entitii auditate (Procedurile A1 A7), evaluarea controalelor generale IT (Procedurile B1 B8), evaluarea controalelor de aplicaie (Procedurile CA1 CA13); 4) evaluarea riscurilor asociate implementrii i utilizrii sistemului informatic; 5) elaborarea raportului de audit i valorificarea constatrilor consemnate n raport. n Capitolul 5 se face o prezentare general a documentelor de lucru specifice auditului IT / IS. Acestea vor fi prezentate pe larg n ghidul asociat acestui manual.
Pag. 11 / 214
1.1
Tehnologiile informaiei i comunicaiilor (ICT11) constituie i vor continua s reprezinte un factor motor major al modernizrii n economie i n societate. Conform unui raport al Uniunii Europene 12, la nivelul anului 2010, sectorul afacerilor din cadrul UE aloca mai mult de 20% din volumul investiiilor pentru domeniul ICT, un volum de 60% din serviciile publice de baz sunt actualmente disponibile n manier complet online, iar mai mult de jumtate dintre cetenii UE folosesc Internetul n mod constant. Cadrul strategic european, respectiv Iniiativa i201013, a avut un numr de trei obiective majore: (1) stabilirea unui spaiu al informaiei european, respectiv a unei piee unice reale pentru economia digital, care s permit exploatarea deplin a potenialului economiilor anterioare diverse i distincte, cu factori de scal neuniformi caracteristice pieei de consum europene de cca 500 milioane de consumatori; (2) intensificarea inovrii i investiiilor n cercetarea din domeniul ICT, impus de faptul c ICT constituie motorul principal al economiei, i (3) promovarea incluziunii sociale, a serviciilor publice i a calitii vieii, respectiv extinderea valorilor europene de incluziune social i calitate a vieii ctre societatea informaional. Potrivit evalurilor din raportul citat, Europa se situeaz printre lideri n ceea ce privete dezvoltarea economiei digitale. Piaa (segmentul tehnologic) de band larg european, dispunnd de 90 milioane de linii, are mai muli abonai dect oricare alt regiune economic, iar jumtate dintre cetenii europeni utilizeaz Internetul n mod regulat. Cu toate acestea, trebuie avut n vedere c, pe de o parte, diferenele dintre statele membre sunt semnificative, iar, pe de alt parte, instituiile europene au nivele de investiii sub cele ale altor regiuni industrializate, fiind confruntate i cu o competiie accentuat din partea Chinei i Indiei. Din aceste motive, cadrul de politici furnizat de programul i2010 a fost necesar i i-a dovedit utilitatea mai mult dect oricnd, n aceast perioad. Dezvoltarea accentuat a ICT i exploatarea coninutului digital n domeniile de interes public cum ar fi sntatea, incluziunea, motenirea cultural, sectorul de informaii publice, nvmntul, administraia public sau eficiena energetic presupun i reclam politici mult mai proactive. Obstacolele majore
Acronimul folosit n lucrare este cel uzual din literatura de specialitate internaional (ICT - Information and Communication Technologies) 12 The Information and Communications Technologies (ICT) Policy Support Programme (ICT PSP) , http://ec.europa.eu/ict-psp 13 Vezi http://ec.europa.eu/information_society/eeurope/i2010
11
Pag. 12 / 214
pentru o utilizare mai bun i pe o scar mai larg a ICT n astfel d e domenii includ, ntre altele, lipsa (indisponibilitatea) serviciilor bazate pe ICT, lipsa de interoperabilitate a soluiilor pe ansamblul statelor membre, precum i fragmentarea de pia a spaiului de informaie i a soluiilor bazate pe ICT. Din acest motiv, pe lng strategia general, UE a pus n oper i o serie de programe dedicate (cum ar fi programul ICT PSP) care susin depirea obstacolelor menionate i concur la realizarea unei societi informaionale pentru toi, i, implicit, la realizarea obiectivelor strategiei i2010. O direcie de aciune important n acest sens o reprezint dezvoltarea de piee pentru soluii inovative bazate pe ICT i pentru coninut digital, n principal n domenii de interes public. Contextul european nou creat, bazat pe ICT, trebuie s constituie un mediu sigur de lucru pentru administraia public european i din statele membre, precum i pentru informarea cetenilor i a mediului de afaceri. Din acest motiv, o cerin de o importan vital pentru Romnia este aceea de a asigura auditarea sistemelor informatice ale tuturor instituiilor publice , care vor furniza informaii pentru platforma european e-guvernare n concordan cu obiectivele, standardele de jure sau de facto i cu bunele practici ale instituiilor supreme de audit i ale instituiilor profesionale recunoscute14, pentru a asigura punerea la dispoziie a unor informaii de ncredere, n timp real, conforme cu criteriile impuse informaiei.
2. Dezvoltat n paralel cu programul IDA, programul eTEN, finalizat la sfritul anului 2006, a avut ca obiectiv principal dezvoltarea de servicii electronice la dimensiune trans-European: eGovernment, eHealth, eInclusion, eLearning, servicii pentru ntreprinderi mici i mijlocii, servicii pentru asigurarea securitii i ncrederii n reelele i sistemele informatice. 3. Programul IDABC (Interoperable Delivery of European eGovernment Services to public Administration, Business and Citizens), stabilit prin Decizia nr. 2004/387/CE a Parlamentului European i a Consiliului din 21 aprilie 2004, a fost iniiat pentru a exploata avantajele oferit e de ITC n ceea ce privete livrarea serviciilor publice transfrontaliere pentru ceteni i mediul de afaceri pe teritoriul Europei, pentru a crete eficiena i colaborarea ntre administraiile publice europene. Pe baza celor mai avansate tehnologii al e informaiei i comunicaiilor, au fost dezvoltate soluii i servicii comune i a fost creat o platform pentru schimbul de bune practici ntre administraiile europene n scopul modernizrii sectorului public european. Interoperabilitatea n cadrul platformei pan-europene eGovernment este conceput pe baza colaborrii administraiilor publice din cele 27 de state membre i instituiile UE, ceea ce implic existena unui cadru de lucru bazat pe principii i reguli comune, precum i agrearea unor interfee i standarde deschise pentru interoperabilitate ntre sisteme, aplicaii, procese de afaceri i actorii care produc sau utilizeaz servicii eGovernment. Aceast abordare, orientat pe reea, implic un efort mare pentru definirea regulilor colaborrii, coordonrii proceselor, formatelor i specificaiilor, precum i a instanelor care acioneaz ca intermediari ntre sisteme. Activitile din cadrul programului IDABC nu se limiteaz numai la a produce linii directoare, ele acioneaz n sensul planificrii i implementrii infrastructurilor care susin interoperabilitatea, n condiiile n care administraiile europene funcioneaz n mod diferit, iar existena unor proceduri administrative diferite genereaz obstacole reale. Soluia degajat, respectiv crearea unui portal european contribuie la nlturarea barierelor prin utilizarea unui singur punct de intrare a informaiilor i prin utilizarea serviciilor online indiferent de loc sau or. 4. Cadrul politic strategic al Comisiei Europene pentru Societatea Informaional pn n anul 2010 a fost trasat prin programul i2010. n cadrul Conferinei eGovernment "Transforming Public Services", care a avut loc la Manchester n luna noiembrie 2005, a fost aprobat o declaraie care fixeaz repere i obiective pentru serviciile publice electronice. Astfel, n perioada 2006-2010 statele membre i-au concentrat eforturile pe crearea condiiilor optime privind livrarea serviciilor electronice cu un impact mare asupra utilizatorilor, una dintre inte constituind-o serviciile de achiziii publice. 5. Comisia European a lansat, n luna martie 2010, Strategia European pn n anul 2020 pentru ieirea din criz i pregtirea economiei UE pentru provocrile noii decade. Una dintre cele apte iniiative incluse n aceast strategie, The Digital Agenda for Europe, stabilete rolul cheie pe care l va juca ICT n Europa pentru atingerea obiectivelor generale propuse pentru anul 2020. Sectorul ICT este direct responsabil pentru asigurarea a 5% din produsul brut european, cu o pia de 660 miliarde EURO anual, dar contribuia sa la creterea productivitii (20% direct din sectorul ICT i 30% din investiiile ICT), prin marele su potenial, este major. Ca stat membru, Romnia trebuie s devin un participant activ la aciunile i programele europene. n aceste condiii, Curtea de Conturi a Romniei trebuie s devin un factor de impulsionare prin auditurile desfurate n domeniul IT pentru administraia public, att prin recomandrile formulate ct i prin ndeplinirea rolului metodologic al auditului.
Pag. 14 / 214
n acest context, prin Legea nr. 436 / 2006 a fost ratificat Memorandumul de nelegere ntre Romnia i
Comisia European privind participarea Romniei la programul comunitar pentru asigurarea interoperabilitii serviciilor pan-europene de e-guvernare pentru administraiile publice, mediul de afaceri i ceteni (IDABC), semnat la Bucureti la 20 martie 2006, i s-a trecut la operarea, prin intermediul Ministerului Comunicaiilor i Societii Informaionale, a unei puni (gateway) naionale care permite instituiilor din Romnia accesul la sistemele europene conectate n reea. In Romnia, premisele de extindere a contextului digital au fost create prin nfiinarea Sistemului Electronic Naional (SEN), ca sistem informatic de utilitate public, n scopul asigurrii accesului la informaii publice i furnizrii de servicii publice ctre persoane fizice i juridice15. Ministerul Comunicaiilor i Societii Informaionale, ca autoritate de specialitate a administraiei publice centrale n domeniul comunicaiilor i tehnologiei informaiei a elaborat o serie de documente cu caracter strategic precum: Strategia Guvernului Romniei de stimulare i susinere a dezvoltrii sectorului de comunicaii n perioada 2002-2012; Economia bazat pe cunoatere; Strategia Guvernului Romniei pentru dezvoltarea sectorului tehnologiei informaiei; Strategia de Dezvoltare Durabil a Romniei ORIZONT 2025; Strategia Naional de Export. Promovarea i aplicarea Strategiei de Dezvoltare Durabil a Romniei ORIZONT - 2025 va avea ca rezultat asigurarea accesului rapid i ieftin la Internet, dezvoltarea unor sisteme inteligente de transport, continuarea procesului de securizare a reelelor, combaterea fraudelor n domeniul tehnologiei informaiei i comunicaiilor, precum i promovarea cardurilor inteligente. Se urmrete ca pn n anul 2025 fiecare cetean s aib acces la serviciile de comunicaii. Documentele strategice la nivel naional urmresc consolidarea i aplicarea n Romnia a politicilor d e coeziune social i economic i a celor de dezvoltare regional , cu adaptarea corespunztoare a acestora la politicile europene i la strategia adoptat la Lisabona16. n acest cadru, Programul Operaional Sectorial Creterea competitivitii economice (POS CCE) lansat n anul 200617, rspunde, pe de o parte, primei prioriti a Planului Naional de Dezvoltare 2007 - 2013:
Titlul II din Legea nr. 161 din 19 aprilie 2003 privind transparena n administrarea informaiilor i serviciilor publice prin mijloace electronice 16 The fourth European Ministerial e-Government Conference in Lisbon, 20 September 2007
15
Pag. 15 / 214
Creterea competitivitii economice i dezvoltarea economiei bazate pe cunoatere i, pe de alt parte, celei de-a doua prioriti a Cadrului Strategic Naional de Referin, respectiv Creterea competitivitii economice pe termen lung, contribuind n acelai timp i la implementarea tuturor celorlalte prioriti ale Cadrului Strategic Naional de Referin. Domeniile majore de intervenie care fac obiectul programului POS CCE sunt:
Susinerea utilizrii tehnologiei informaiei Dezvoltarea i creterea eficienei serviciilor publice electronice Dezvoltarea e-economiei
Corelnd domeniile Societii Informaionale din Uniunea European cu cele existente n Romnia, au fost identificate urmtoarele arii de interes: eGovernment (e-guvernare); Internet&Broadband (Internet i Band larg); Telecommunications&IT Security (Telecomunicaii i Securitate IT); eEducation (e-educaie); eInclusion (e-incluziune social); eCommerce (Comer electronic); eHealth (e-sntate); e-Business (servicii electronice pentru afaceri); Work, Employment&Skills (Fora de munc). Ca membru al UE, dezvoltarea Romniei urmrete convergena cu politicile comunitare, att n termeni reali ct i ca valori absolute.
1.2
Guvernarea IT
Liniile definitorii ale celei de-a doua perspective de analiz, anume elementele de natur tehnic i practic de importan esenial, pornesc de la premisa c investiiile n domeniul IT, n medii aflate ntr -o schimbare extrem de rapid, nu se mai rezum exclusiv la implementarea tehnologiei ca atare, obiectivul unor astfel de investiii fiind acela de a asigura obinerea de valoare din schimbrile induse n activitatea propriu-zis (afacerea) i din schimbrile de natur organizaional facilitate de IT. n acest sens, se constat c exist o nelegere din ce n ce mai larg acceptat a faptului c informaia constituie un bun strategic al afacerii iar IT a devenit un factor cu o contribuie important la succesul acesteia. O definiie bazat pe bune practici a guvernrii IT, ca parte a guvernrii corporaiei (ntreprinderii) se poate formula astfel: guvernarea IT este responsabilitatea managementului executiv i a comitetelor de direcie i const n actul de asumare a conducerii, precum i n procese i structuri organizaionale care asigur c funcia IT a entitii susine i extinde strategiile i obiectivele acesteia18. n mod concret, definiia prezentat situeaz guvernarea IT ca o component integral a guvernrii ntreprinderii (afacerii) i nu ca pe o disciplin izolat. n ceea ce privete livrabilele n plan practic, guvernarea IT urmrete dou categorii de rezultate: livrarea de valoare pentru afacere i atenuarea (anihilarea) riscurilor IT. n acest sens, guvernarea IT se focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, managementul riscurilor, managementul resurselor, msurarea performanei. Guvernarea IT funcioneaz ca un proces continuu, ca o parte integrant a guvernrii ntreprinderii i se focalizeaz pe obiectivele strategice. Cadrul de lucru COBIT19, pentru guvernare IT, constituie un cadru de lucru cu potenial ridicat de auditare intern i extern, larg acceptat pe plan internaional, inclusiv de INTOSAI i de organismele UE i are deopotriv valene de suport pentru managementul entitii i de cadru de auditare a guvernrii IT.
POS CCE - unul dintre cele apte programe operaionale sectoriale care constituie instrumente pentru realizarea prioritilor trasate prin Cadrul Strategic Naional de Referin (CSNR) i prin Planul Naional de Dezvoltare (PND) pentru perioada 2007 2013 18 Unlocking Value. An executive Primer on the Critical Role of IT Governance, 2008, www.itgi.org 19 Vezi www.itgi.org
17
Pag. 16 / 214
1.3
Cadrul legislativ i de reglementare n domeniul IT la nivel internaional prescrie msuri care nu sunt ntotdeauna similare i difer n funcie de regiunea socio-cultural, sociologic, precum i de factorii tehnici i tehnologici care stau la baza problemelor pe care le trateaz. Dei aceste reglementri joac un rol important n modernizarea sistemului de conformitate IT / IS20, ele devin dificil de generalizat n contextul globalizrii. Globalizarea aduce noi provocri pentru informaie, care este expus unor cerine multiple de reglementare generate de diversitatea situa iilor i a surselor din care provine aceast informaie. Unele dintre ele decurg din contextul istoric, altele din din amica schimbrii pieei, tehnologiei sau legislaiei, iar magnitudinea riscurilor nu poate fi anticipat pentru fiecare caz n parte. Legislaia care reglementeaz domeniul ICT pe plan internaional, prezint o serie de trsturi comune, referitoare la problematica general, cadrul legislativ incluznd o serie de acte normative privind: securitatea reelelor, semntura electronic, comerul electronic, achiziiile publice prin licitaii electronice, ncasarea prin mijloace electronice a impozitelor i taxelor locale, avizarea instrumentelor de plat cu acces la distan (de tipul aplicaiilor Internet-banking, home-banking sau mobile-banking), protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date. Aceste acte normative sau reglementri, dup caz, constituie refereniale n auditul IT, n ceea ce privete conformitatea cu legislaia, avnd n vedere c domeniul auditului este, n acest caz, domeniu l IT. In ceea ce privete legislaia din Romnia, aceasta este armonizat cu legislaia european, ca efect al calitii de stat membru, desfurnd aciuni de anvergur impuse prin, i convergente cu directivele Parlamentului European21 referitoare la stabilirea unui cadru comunitar privind aspectele eseniale ale serviciilor societii informaionale. Dezvoltarea portalului e-guvernare n cadrul Sistemului Electronic National (SEN), conceput ca punct de acces unic la serviciile i informaiile instituiilor administraiei centrale i locale, a oferit suportul pentru lansarea i extinderea livrrii de servicii electronice ctre administraie, mediul de afaceri i ceteni i asigur c toate procedurile i formalitile cu privire la accesul la o activitate de servicii vor putea fi ndeplinite cu uurin, de la distan, i prin mijloace e lectronice, indiferent de statul membru de origine al furnizorului de servicii. Operaionalizarea punctului de contact unic (PCU) electronic n cadrul portalului e-guvernare impune obligativitatea auditrii tuturor serviciilor electronice care vor fi furnizate prin intermediul procedurilor electronice, pentru a oferi asigurarea cu privire la performana acestor servicii n contextul operrii pe platforma pan-european. Realizarea unui cadru de lucru pentru interoperabilitatea administraiilor din statele membre reprezint un demers dificil, condiionat i generat de diversitatea tipurilor de organizare a administraiilor publice, de numrul mare al prilor implicate, de varietatea cadrului legislativ, de condiiile economice diferite, de nivelul tehnologic diferit. Romnia s-a aliniat n anul 1995 la primul program comunitar, IDA (Interchange of Data between Administrations) prin care s-au creat premisele dezvoltrii unei infrastructuri comune care s constituie suportul pentru un cadru de interoperabilitate european. Programul comunitar eTEN, la care Romnia de asemenea a participat, a fost lansat n scopul extinderii serviciilor electronice (e-services) la dimensiune trans-european i a avut ca obiectiv prioritar promovarea serviciilor de interes public pe o platform comun care s creeze oricrui cetean, agent
20 21
economic sau administraie, oportunitatea de a profita de beneficiile societii informa ionale la nivel european. Programul IDABC (Interoperable Delivery of pan-European eGovernment services to public Administrations, Businesses and Citizens)22 reunete eforturile administraiilor publice din cele 27 state membre pentru a susine dezvoltarea unor noi servicii electronice (emergente) care s susin implementarea eficient a politicilor UE i dezvoltarea pieei interne. Aprobarea Strategiei naionale "e-Romnia" (HG nr. 195/2010) a creat premisele constituirii sistemului informaional global al Romniei, prin interconectarea instituiilor statului printr-o reea de fibr optic de mare vitez, preconizndu-se ca ntr-un interval de doi ani s fie incluse n aceast platform toate instituiile statului. e-Romnia constituie o o strategie asumat de Guvernul Romniei, care i -a propus realizarea a 300 de servicii electronice operaionale pn la sfritul anului 2011, precum i interconectarea i informatizarea complet a tuturor instituiilor publice, astfel nct accesul la serviciile publice s fie direct i nelimitat. Dintre cele mai semnificative componente prevzute n hotrrea de guvern, menionm: e-Cetean, e-Sntate, e-Educaie, e-Justiie, e-IMM, e-Asociere, e-Turism, e-Funcionari publici, e-Mediu, e-Cultur, e-Transport, e-Statistic. Semnalm, ca fiind de interes major pentru CCR, c n lipsa unui cadru standard de interoperabilitate i a unei arhitecturi coerente, formulate ntr-o viziune sistemic, strategia eRomnia este supus unui risc major de eec. Misiunile de audit subsecvente ale CCR trebuie s aib n vedere factorii de risc care decurg din: finanrile substaniale, probabilitatea mare de duplicare a aplicaiilor i sistemelor, timpul de implementare a proiectelor, maniera de administrare a proiectelor i de implementare a soluiilor, stabilirea politicilor de migrare pentru proiectele eterogene existente.
1.4
Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan internaional i intern
Abordarea auditului sistemelor informatice este analizat din trei perspective: a) prin prisma contextului de ar: manualul include o analiz critic a abordrii de tip "context de ar", cu detalieri pe coordonatele naturale ale specificului naional, respectiv mediul (fizic, social, economic) i infrastructurile (de pia, politice, legislative etc.); b) prin prisma abordrii bazate pe serviciile publice, cu detalierea unor servicii importante pentru economie i societate i care prezint elemente certe de progres n materie de e-guvernare (educaie, sntate, taxe i impozite etc.), detalierea incluznd att aspectele tehnologice, ct i beneficiile nregistrate de serviciile respective; c) abordarea bazat pe cadre comune (cum ar fi, de exemplu, un cadru comun de interoperabilitate; similar se pot avea n vedere i cadre comune pentru procese i capabiliti funcionale). Principala constatare este prezena unei serii de procese emergente de schimbare a modelului auditului extern generat de extinderea semnificativ a tehnologiei i comunicrii informaiei (TCI) care, pe de o parte devine obiect al auditului, iar pe de alt parte devine instrument obligatoriu pentru auditori. O a doua constatare este aceea c evoluia pus n eviden n prezentul manual reflect
22
http://europa.eu.int/idabc
Pag. 18 / 214
necesitatea unui salt natural, calitativ superior ctre abordrile dirijate de infrastructurile specifice tehnologiilor informaiei i comunicaiilor (ITC) i de aplicaiile i sistemele aferente. De un real interes sunt i notele caracteristice ale acestei evoluii: - focalizarea pe impactul de transformare pe care ICT l are asupra auditului extern; - extinderea conceptului de audit al guvernrii tehnologiei informaiei ctre conceptul de audit al sistemelor de tip e-guvernare, dictat de generalizarea guvernrii electronice. Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin standardizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme. Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB ( International Audit and Assurance Standard Board)23 din cadrul Federaiei Internaionale a Contabililor IFAC (International Federation of Accountants)24, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO (Committee of Sponsoring Organizations of the Treadway Commission), ISACA (Information Systems Audit and Control Association). Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI. O constatare important n ceea ce privete legislaia care reglementeaz activitatea instituiilor supreme de audit, rezultat n urma investigrii site-urilor web publicate de aceste instituii pe Internet, este faptul c aceasta nu conine prevederi explicite privind auditul IT. Cu toate acestea, majoritatea SAI (cu excepia celor din ri mai puin avansate n domeniu), desfoar misiuni de audit IT n cadrul unor structuri specializate. Aceast constatare a rezultat dintr-o analiz statistic asupra informaiilor furnizate de 45 de SAI selectate pe baza criteriului grad de maturitate a auditului IT reflectat n prezentarea domeniului auditului IT. Cadrul de reglementare este armonizat cu cadrul INTOSAI.
Pag. 19 / 214
antrennd deopotriv elemente specifice auditului financiar, auditului organizaional, auditului tehnologiei informaiei i comunicaiilor, auditului performanei i auditului conformitii. Aceste faete ale procesului trebuie s coexiste ntr-o arhitectur coerent, bazat pe sinergie, modelul de auditare fiind diferit de cel clasic, ntruct fiecare tip de audit nu se desfoar independent, ci se reflect sub forma unor secvene de proceduri, combinate n cadrul unor fluxuri eterogene, orientate ctre obiectivul general al auditului i nu ctre obiectivul individual al fiecrui tip de audit. Cu att mai mult, modelul devine mai complicat n condiiile unor sisteme interoperabile. n plan practic, aceast abordarea constituie o abordare sistemic integrat i propune un model nou de auditare bazat pe evaluarea riscurilor i un cadru metodologic i procedural asociat pentru audit extern. Subliniem c, pe plan internaional exist un interes crescut pentru inventarierea bunelor practici n domeniu i asigurarea convergenei acestora nr-o manier standardizat. n acest sens, la nivelul INTOSAI este adoptat ca reprezentativ a rhitectura de auditare ISACA25 i recomandat n consecin. Aceasta se constituie ca un ansamblu ierarhizat de elemente de ghidare care include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT, care sunt considerate ca fiind "cele mai bune practici" n materie. Ansamblul acestor componente este bazat pe un model general de controale i tehnici de control destinat unui mediu informatizat. Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35) face trimitere expres la cadrul de lucru i la documentaiile pentru audit IT / IS furnizate de ISACA, ITGI (COBIT) i INTOSAI IT Audit Committee. Pe ansamblu, se poate aprecia c se nregistreaz schimbri semnificative n coninutul i stilul activitii de auditare a instituiilor publice, ca rezultat al impactului i efectelor pe care tehnologia informaiei le genereaz att n ceea ce privete restructurarea domeniului auditat (reingineria sistemelor informaionale i/sau a sistemelor informatice), ct i n ceea ce privete abordarea propriu-zis a auditului (reingineria arhitecturilor de auditare, a cadrului metodologic i procedural, schimbarea stilului de auditare). n contextul actual, implementarea arhitecturilor de auditare bazate pe IT / IS reprezint un proiect complex, care genereaz i o serie de efecte secundare favorabile, importante chiar, n contextul extinderii utilizrii IT n domeniul administraiei publice. Evoluia ctre e-guvernare va crea premisele evoluiei ctre implementarea arhitecturilor de audit online, obiectiv important n abordarea sistemic a domeniului auditului. Implementarea arhitecturilor de auditare bazate pe IT are un impact deosebit att asupra organizrii i monitorizrii activitii de audit, ct i asupra entitilor auditate, cele mai semnificative efecte fiind: (a) furnizarea informaiei n timp real; (b) depistarea la timp a erorilor prin posibilitatea corelrii rapide a informaiilor; (c) obinerea unor informaii mai bogate i mai relevante, prin investigaii automatizate, precum i (d) optimizarea procedurilor de audit. n vederea creterii capacitii instituionale, un accent deosebit se pune pe evaluarea permanent a acti vitilor specifice din cadrul SAI-urilor pe baza unei metodologii unitare. n acest sens, au fost dezvoltate dou proiecte foarte utile: ITSA (IT SelfAssessment) i ITASA (IT Audit SelfAssessment)26. Se remarc n mod deosebit preocuparea pentru instruirea continu a auditorilor n contextul noilor evoluii, n cadrul unor programe internaionale iniiate i coordonate de INTOSAI (INTOSAI Development Initiative - IDI)) i puse n aplicare la nivelul grupurilor regionale. Prin perfecionarea metodelor de comunicare cu instituiile i autoritile publice, precum i prin asigurarea flexibilitii accesului la informaii i servicii electronice, devin oportune proiectarea i implementarea unei arhitecturi de audit concepute n perspectiva integrrii n sisteme e-guvernare. n acest context, la nivelul
25 26
ISACA Information Systems Audit and Control Association Vezi Planurile de lucru EUROSAI-ITWG 2008-2011 i 2011 - 2014
Pag. 20 / 214
grupului regional EUROSAI-ITWG este n curs de consolidare un cadru de auditare pentru sisteme e-guvernare elaborat prin proiectul Auditing e-Government27, iniiat de INTOSAI -WGITA28, proiect coordonat de ctre Office of the Auditor General din Norvegia i avnd ca membri instituii supreme de audit din Anglia, SUA, Canada, India i Suedia. La acest proiect au fost luate n considerare experienele tuturor instituiilor supreme de audit care au desfurat audituri n domeniul e-guvernare. Constatrile respective au fost colectate ntr-o baz de date pe website-ul INTOSAI i au constituit sugestii pentru realizarea proiectului. CCR a participat la colectarea i capitalizarea experienelor valoroase obinute la nivelul instituiilor supreme de audit, pe site-ul web www.intosaiit.org fiind incluse rezultatele unor misiuni de audit IT desfurate de Serviciul auditul sistemelor informatice din cadrul Curii de Conturi a Romniei: 1) Performance audit of the services of accessing and processing the online administrative forms, available in the National Electronic System of Romania. Infrastructures and IT Services, (2006), www.intosaiit.org 2) The information system of Ministry of Public Finances for economic agents reports regarding their budgetary obligations, management of reimbursements and payment facilities grants. (2006), www.intosaiit.org 3) The performance audit of the implementation and usage of the Computer Assisted Education System (CAES, 2004), www.intosaiit.org In viziunea INTOSAI29, cadrul conceptual de auditare are trei dimensiuni: obiectul auditului, tipurile generale de audit i perspectiva temporal. 1. Obiectul auditului. Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri de obiecte generice: program (colecie de proiecte), proiect, sistem informatic sau resurse informatice. Cele trei nivele de controale asociate obiectelor generice sunt: nivelul strategic: eficiena cu care este organizat, planificat, condus i controlat desfurarea programelor; nivelul operaional: derularea proiectelor nivelul aplicaiilor: utilizarea unor sisteme informatice sau a unor resurse informatice existente sau nou create. 2. Tipuri de audit. Clasificrile standard recunosc urmtoarele tipuri generale de audit:
audit financiar o auditarea investiiilor i a cheltuielilor, a contabilitii fondurilor, a organizrii controlului intern i a raportrii eficienei cheltuielilor; audit IT o auditarea guvernrii IT auditul performanei o evaluarea sistemelor de control al calitii, evaluarea eficienei i eficacitii, a eficienei procesului decizional, a calitii serviciilor, a politicilor de personal, a aptitudinilor i cunotinelor personalului.
3. Perspectiva temporal. n concordan cu practicile internaionale acceptate la nivelul instituiilor de control financiar, se pot defini trei cadre de timp pentru desfurarea misiunilor de audit IT: pre-implementare: controlul pe perioada procesului de luare a deciziilor privind politica, privind bugetul sau alte zone de control financiar;
www.eurosai.org WGITA - Working Group for IT Audit 29 Prezentat n proiectul Auditing e-Government
27 28
Pag. 21 / 214
concurent: controlul aspectelor adiionale privind execuia bugetar care pot s apar pe parcursul realizrii programelor i proiectelor; post-implementare: aprobarea rapoartelor privind execuia bugetar i privind efectele (rezultatele) programelor i proiectelor.
Viziunea tridimensional permite definirea unui spaiu de control n care fiecrui obiect de control i corespunde un tip de audit i o perspectiv temporal, rezultnd o varietate de combinaii care genereaz seturi de metode de audit asociate. Metodele de audit pentru nivelele strategic, operaional i de aplicaie se pot mapa (suprapune) pe cadrul de lucru COBIT. Clasificarea tipurilor de audit n categorii separate are rolul de a contribui la o clarificare conceptual. n practic, auditul programelor i proiectelor combin n mod tipic abordri ale auditului financiar, auditului IT/IS i auditului performanei. Aceast tendin de evoluie, confirmat i de experiena altor instituii supreme de audit, a fost promovat n cadrul misiunilor de audit ale Curii de Conturi a Romniei desfurate n domeniul sistemelor e-guvernare i al serviciilor electronice asociate. Auditul tuturor aspectelor relevante ale programelor i proiectelor nu este posibil prin aplicarea metodelor clasice. Sunt necesare noi metode, iar noile metode trebuie s acopere subiecte, cum ar fi:
calitatea sistemelor financiar-contabile ale organizaiilor care sunt responsabile cu organizarea i derularea programelor din domeniul IT/IS sau e-guvernare; conformitatea proiectelor cu standarde funcionale referitoare la managementul investiiilor 30; conformitatea cu standarde pentru implementarea i utilizarea tehnologiei informaiei (COBIT); existena sistemelor de control al calitii certificate pentru fiecare stadiu al realizrii proiectului.
n raport cu stadiul actual, CCR trebuie s aib n vedere impactul pe care l va avea trecerea la economia bazat pe cunoatere asupra auditului extern i modificrile calitative de substan n abordarea auditului extern pe care aceast tranziie le antreneaz, prin generalizarea implementrii i utilizrii serviciilor electronice pentru ntreaga administraie public. n consecin, aa cum s-a menionat, aceste cerine i linii de dezvoltare vor genera cerine i obiective corespunztoare i pentru auditul sistemelor IT i, n mod deosebit, pentru auditul sistemelor, serviciilor i aplicaiilor informatice care urmeaz a face obiectul misiunilor de audit ale CCR pe termen lung . n aceeai ordine de idei, se va nregistra un efect practic important i n ceea ce privete auditul financiar: pentru a putea evalua procedurile financiar-contabile care vor fi informatizate pe scar larg, auditorul financiar trebuie s aib, la rndul su, cunotine de tehnologia informaiei i va desfura, implicit, pn la un anumit nivel, i auditarea de sisteme informatice. Acest lucru este confirmat i prin experiena celor mai avansate instituii supreme de audit din lume, din care rezult implicarea pe scar larg a auditorilor financiari n testarea procedurilor informatice financiar-contabile. n funcie de nivelul de pregtire al auditorilor financiari, se pot utiliza experi IT numai pentru auditarea unor aspecte strict spe cializate i care necesit cunotine care depesc nivelul stabilit n cadrul instituiei. Instituia Suprem de Audit Extern din Marea Britanie - UK National Audit Office (NAO - UK) constituie un exemplu de referin. Curtea de Conturi a Romniei a colaborat cu experii NAO n cadrul Conveniei de Twinning i a organizat misiuni de audit pilot.
30
Cobit, 4th Edition: Control Objectives, Management Guidelines, Maturity Models (2005) Security Baseline (Background document, IT Governance Institute) The Val IT Framework
IT Control Objectives for Sarbanes-Oxley (Background document, IT Governance Institute) ECA IT audit guidelines ECA Guidelines Data Collection
A. Armonizarea obiectivelor strategice ale CCR cu direciile strategice promovate n cadrul EUROSAI
Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010 -2014 stabilete misiunea Curii de Conturi a Romniei i obiectivele strategice pe termen lung, lund n considerare resursele existente i cele care pot fi atrase i utilizate n viitor, precum i principalele modaliti de realizare a obiectivelor n contextul evoluiei preconizate a mediului n care aceasta i desfoar activitatea. Astfel, manifestarea pregnant a revoluiei cunotinelor i multiplele mutaii produse n economie determin necesitatea abordrii acestor realiti ntr -o viziune prospectiv i pragmatic32. Strategia pune accent pe impactul pe care l are focalizarea eforturilor de continuare a reformei economice pentru a realiza economia bazat pe cunoatere, caracterizat ca o economie digital, bazat n principal pe servicii electronice. n acest context, Curtea de Conturi a Romniei a iniiat i desfoar aciuni consecvente pentru modernizarea activitii de auditare i promovarea unei imagini a instituiei n concordan cu valoarea sa real, n conformitate cu direciile strategice promovate n cadrul EUROSAI. Printre cele mai relevante aciuni, n acest sens, menionm: 1. Abordarea auditului n concordan cu evoluiile i tendinele internaionale de vrf, astfel nct Curtea de Conturi a Romniei, ca instituie suprem de audit, s funcioneze n armonie cu cerinele standardelor profesionale ale Organizaiei Internaionale a Instituiilor Supreme de Audit (INTOSAI), precum i cu Liniile Directoare Europene de implementare a acestora. Armonizarea abordrilor CCR cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea direciilor strategice n domeniul auditului n cadrul Curii de Conturi a Romniei s -au realizat pe baza unei documentri permanente asupra rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de audit de prestigiu. 2. Standardizarea auditului. n viziunea CCR, prin standardizarea ntregului flux al auditului, cea mai mare parte a auditului devine riguros reglementat, fiind astfel evitate ntoarceri sau repetri ale unor proceduri de audit sau teste de control. n plus, acest cadru de lucru asigur utilizarea resursele disponibile cu eficien crescut. Elaborarea i utilizarea unui model standardizat propriu Curii de Conturi pentru misiunile de audit, pe baza cerinelor standardelor internaionale de audit acceptate: INTOSAI ( Cadrul de auditare INTOSAI), ISA (International Standards for Audit), ISACA (Information Systems Audit and Control Association) i ale cadrului de lucru COBIT (Control Objectives for Information and Related Technology), va asigura standardizarea activitilor, procedurilor i documentelor de lucru pe ntregul flux al auditului acoperind practic toate etapele specifice: formularea obiectivelor, proiectarea procedurilor de audit, selecia tehnicilor i metodelor de audit, elaborarea documentelor de lucru, formularea concluziilor, constatrilor i reco mandrilor, elaborarea raportului de audit.
32
Extras din Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010 -2014
Pag. 24 / 214
Acest model se va baza, n mod inerent, pe tehnici avansate de audit i presupune automatizarea procedurilor i utilizarea de documente electronice, evoluii care n prezent se extind considerabil. 3. Creterea calitii misiunilor de control i audit public extern, n vederea obinerii i furnizrii de informaii reale i obiective privind legalitatea, eficiena i transparena utilizrii fondurilor publice i a celor reprezentnd finanri externe, prin urmrirea respectrii disciplinei financiare, potrivit princi piilor bunei gestiuni financiare i prin eliminarea erorilor i neregularitilor i perfecionarea gestionrii banului public. 4. Desfurarea activitii de control i audit public extern n mod autonom, prin proceduri de control financiar ulterior i audit public extern prevzute n Regulamentul privind organizarea i desfurarea activitilor specifice ale Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, pe baza standardelor proprii de audit elaborate n conformitate cu standardele de audit internaionale. 5. Creterea responsabilitii entitilor verificate n utilizarea i administrarea fondurilor publice, inclusiv a fondurilor alocate Romniei de Uniunea European i de ctre alte instituii financiare internaio nale va fi determinat de asemenea ca urmare a aciunilor de control i audit desfurate de CCR. 6. Extinderea utilizrii tehnologiilor moderne de audit n scopul susinerii eficiente a rolului Curii de Conturi a Romniei n detectarea fraudelor i prevenirea corupiei: audit online, audit continuu, e-audit, audit asistat de calculator. Menionm c utilizarea tehnologiilor moderne antreneaz, de asemenea, o serie de efecte colaterale favorabile n ceea ce privete economisirea resurselor (de timp, spaiu, cheltuieli materiale cu logistica) i n prevenirea risipei de resurse aferente verificrilor, prin utilizarea unui personal cu competene de spe cialitate de nivel nalt, precum i prin standardizarea i automatizarea procedurilor bazate pe utiliz area documentelor de lucru electronice. 7. Extinderea cooperrii n cadrul EUROSAI i exploatarea beneficiilor care decurg din aceast cooperare. Pentru nscrierea auditului public extern din Romnia pe linia bunelor practici europene i internaionale i pentru consolidarea capacitii profesionale, considerm c ar fi oportun un schimb permanent de experien cu instituii supreme de audit similare. 8. Extinderea activitii i amplificarea contribuiilor CCR n cadrul grupurilor de lucru ale EUROSAI, din perspectiva noilor sale orientri strategice, care s reflecte afirmarea independenei, integritii, profesionalismului i a unei conduceri puternice i competente. Se are n vedere implicare CCR n audituri din domeniul de specialitate al Grupurilor de lucru internaionale la ale cror lucrri Curtea de Conturi a Romniei particip, n calitate de membru. Curtea de Conturi a Romniei face parte n prezent din dou grupuri de lucru din cadrul EUROSAI i particip la aciunile organizate n acest context: grupul de lucru privind Tehnologia Informaiei (EUROSAI-IT Working Group) i grupul de lucru privind auditul mediului (WGEA - Working Group of Environment Audit). 9. mbuntirea imaginii instituionale a Curii de Conturi, accentuarea percepiei publice pozitive. Promovarea unei imagini moderne a Curii de Conturi, prin participarea cu contribuii la conferine, seminarii, sesiuni de comunicri, simpozioane interne i internaionale i prezentarea unor rezultate de vrf pe subiecte de mare actualitate referitoare la abordarea auditului n cadrul Curii de Conturi a Romniei. Participarea activ la astfel de evenimente are ca rezultat subsidiar transmiterea unor idei i experiene valoroase care contribuie la contientizarea publicului, la asigurarea unei mai bune nelegeri a activitii i evoluiilor prezente i viitoare ale Curii de Conturi i la garantarea transparenei. Considerm c formularea unei arhitecturi de auditare, precum i elaborarea unui model de management al riscurilor generate de prezena i extinderea serviciilor electronice, adaptate la contextul Romniei, prin maparea standardului COBIT pe standarde de audit financiar i de securitatea informaiei (IAS, COSO,
Pag. 25 / 214
Sarbanes Oxley, Basel II, ISO seria 27000) reprezint un demers necesar, chiar imperativ, n condiiile impuse de contextul internaional. Aceast evoluie implic reingineria arhitecturilor de auditare, a cadrului metodologic i procedural de auditare, schimbarea stilului de auditare prin alinierea la standardele internaionale n domeniu.
Auditul unor soluii informatice care contribuie la prevenirea i combaterea corupiei i a evaziunii fiscale (de exemplu, Auditul performanei cadrului de interoperabilitate ntre ANAF i ceilali deintori de date referitoare la bunurile i veniturile contribuabililor n vederea recuperrii eficiente a debitelor restante i prevenirii i combaterii evaziunii fiscale, respectiv asigurarea condiiilor pentru ncasarea integral i la timp a veniturilor la bugetul de stat (2009); Cooperare n cadrul EUROSAI_IT Working Group la tema IT in auditing public revenue fraud (2007-2008), Relevance of IT in auditing public revenue fraud); n perspectiv, misiuni de audit mixte, soluii integrate ale celor trei tipuri de audit (auditul financiar, auditul performanei i auditul IT/IS), acestea urmnd a se desfura n cadrul unor misiuni comune, n funcie de obiectivele stabilite. Apreciem c astfel de misiuni ar fi deosebit de utile pentru programe sau proiecte de valori extrem de mari, foarte complexe, desfurate la nivel naional i cu impact foarte mare n plan economic i social, cum ar fi Strategia eRomania.
Abordarea general a auditului se bazeaz pe evaluarea riscurilor i pe rezultate. Auditul se poate efectua pentru ntreg ciclul de via al programelor, proiectelor, sistemelor i aplicaiilor informatice sau numai pentru anumite faze specificate n obiective.
Pag. 27 / 214
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit and Assurance Standard Board)33 din cadrul Federaiei Internaionale a Contabililor IFAC (International Federation of Accountants)34, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO (Committee of Sponsoring Organizations of the Treadway Commission , ISACA (Information Systems Audit and Control). Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI. Profesia de auditor este reglementat de mai multe surse: legislaia naional, reglementrile i standardele stabilite la nivel naional, standardele stabilite la nivel internaional, organisme profesionale, precum ACCA35. Prin legislaie se stabilesc, de regul, drepturile i ndatoririle auditorilor, p recum i condiiile de eligibilitatea pentru profesia de auditor. Misiunea Federaiei Internaionale a Contabililor (IFAC), aa cum este stabilit prin statutul su, este dezvoltarea i mbuntirea la nivel mondial a profesiei contabile pe baz de standarde armonizate, capabil s ofere servicii uniforme de o calitate ridicat n interesul public. Pentru realizarea misiunii sale, Consiliul IFAC a nfiinat Comitetul pentru Etic al IFAC, pentru a elabora i publica, sub autoritatea sa, standarde de o nalt calitate i alte materiale n sprijinul profesionitilor cont abili din ntreaga lume. Acionnd n interes public, un profesionist contabil ar trebui s respecte i s se conformeze prevederilor Codului Etic. Unele jurisdicii pot avea cerine i ndrumri care difer de acest Cod. Profesionitii contabili trebuie s cunoasc aceste diferene i s respecte cerinele i ndrumrile mai exigente, cu excepia cazului n care acestea sunt interzise n baza unei legi sau a unei reglementri. Msurile de protecie care pot elimina sau reduce la un nivel acceptabil acest gen de riscuri se mpart n dou mari categorii: msuri de protecie create de profesie, legislaie sau de reglementare i msuri de protecie aferente mediului de activitate. Msurile de protecie create de profesie, legislaie sau reglementare includ , dar nu sunt limitate la: cerine educaionale, de pregtire profesional i experien pentru accesul la profesie; cerine de dezvoltare profesional continu; reglementri de guvernare corporativ; standarde profesionale; proceduri disciplinare i de monitorizare profesional sau de reglementare; revizuirea extern a rapoartelor, evalurilor, comunicatelor sau informaiilor ntocmite de un profesionist contabil de ctre o ter parte mputernicit prin lege.
IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n numele Consiliului IFAC 34 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional al contabililor, de la Munchen din 1977. 35 ACCA - Association of Chartered Certified Accountants Pag. 28 din 214
33
Misiunile de audit IT desfurate de CCR au urmrit asigurarea compatibilitii cu cerinele standardelor internaionale de audit acceptate (INTOSAI), cu standardele internaionale de audit al sistemelor infor matice elaborate de ISACA (Information Systems Audit and Control Association), cu cadrul de lucru COBIT (Control Objectives for Information and related Technology), cu standarde de securitate din seria ISO 27000, cu cerinele legislative i de reglementare, cu alte standarde i ghiduri de bune practici n domeniu. De asemenea, s-a analizat oportunitatea utilizrii unor standarde i ghiduri de bune practici, precum i a unor modele de referin pentru auditarea unor domenii speciale: Standarde privind managementul riscurilor, inclusiv al riscului operaional (COSO, Basel II); Model de referin pentru cadrul de interoperabilitate (SAGA, eGIF); Actul Sarbanes Oxley (SOX) privind Sistemul de Control Intern, inclusiv pentru controalele IT; Linii directoare privind comerul electronic ( ISACA G22 B2C e-commerce); Standarde web (W3C).
2.2
n Planului Strategic 2005-2010, INTOSAI i-a propus s furnizeze un cadru de nivel nalt constituit din standarde profesionale relevante, pentru nevoile membrilor si. n acest sens, Comitetul pentru Standarde Profesionale (PSC36) a decis s integreze standardele existente i noile orientri ale INTOSAI ntr-un cadru consistent i coerent. Scopul general al cadrului este de a oferi membrilor INTOSAI i altor pri interesate o imagine de ansamblu i o nelegere comun a standardelor i a liniilor directoare de audit INTOSAI. Marea majoritate a liniilor directoare i a standardelor profesionale INTOSAI sunt disponibile n cinci limbi oficiale.
36 37
Professional Standards Commitee ISACA Information Systems Audit and Control Association Pag. 29 din 214
38
Abordarea auditului performanei ntr-un mediu IT ar trebui s implice urmtoarele procese interde pendente:
S obin o nelegere a sistemelor IT auditate i s determine semnificaia acestora pentru obiectivele auditului performanei; S identifice extinderea auditului sistemelor IT necesar pentru atingerea obiectivelor auditului performanei; S evalueze controalele de mediu i de aplicaie i s utilizeze un specialist IT/IS pentru problemele aferente acestui domeniu; S dezvolte i s utilizeze, atunci cnd este necesar, tehnici adecvate de audit asistat de calculator pentru a facilita auditul.
S evalueze dac sistemele IT contribuie la consolidarea economicitii, eficienei i eficacitii obiectivelor programului i a managementului acestuia, n special n ceea ce privete planificarea, execuia, monitorizarea, i feedback-ul programului; S determine dac rezultatele ndeplinesc parametrii stabilii privind calitatea, serviciile i costurile de livrare; S identifice orice deficiene n sistemele informatice i de control al mediului informatizat, precum i efectul rezultat privind performana (eficiena, economicitatea i eficacitatea); S compare dezvoltarea i practicile de ntreinere a sistemului IT ale entitii auditate, cu practici i standarde recunoscute n domeniu; S compare planificarea strategic IT, managementul riscului i managementul de proiect ale entitii auditate, cu practici i standarde recunoscute n domeniu.
Anexa 5 a Standardului ISSAI 3000 detaliaz modul n care se vor desfura aceste activiti pentru ntreg ciclul de via al auditului.
2.3
Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise de IAASB. Experii INTOSAI particip n prezent la dezvoltarea standardelor ISA, care, n conformitate cu abordarea dual a INTOSAI, sunt o parte integrat a liniilor directoare de audit financiar INTOSAI. Subcomisia de audit financiar din cadrul PSC elaboreaz Notele Practice, cu scopul de a oferi orientri relevante cu privire la aplicarea standardului ISA n auditul situaiilor financiare ale entitilor din sectorul public, n plus fa de ceea ce este prevzut n prezent n ISA. Standardul ISA i notele practice aferente constituie mpreun o linie directoare pentru audit financiar. Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a aprobat documentul cadru n cazul n care se prevede c: "O linie directoare INTOSAI privind auditul financiar va consta ntr-un standard ISA emis de IAASB, mpreun cu o not practic elaborat de INTOSAI subliniind, de asemenea, modificrile, care trebuie s fie luate n considerare de auditul public. In ceea ce privete standardele internaionale de audit ISA i declaraiile de practic IASP, aplicarea acestora poate fi exemplificat prin utilizarea sau evaluarea urmtoarelor componente:
ISA 300 - Planificarea auditului; ISA 315 - Cunoaterea entitii i mediului su i evaluarea riscurilor de denaturare semnificativ; ISA 400 - Evaluarea riscului i controlul intern; ISA 402 - Considerente de audit referitoare la entitile care apeleaz la firme de servicii; Declaraia internaional privind practica de audit 1013 - comerul electronic efectul asupra auditului situaiilor financiare; Declaraia internaional privind practica de audit 1001 - medii IT calculatoare neincluse n reea; Declaraia internaional privind practica de audit 1002 - medii IT sisteme computerizate online; Declaraia internaional privind practica de audit 1003 medii IT sisteme de baze de date; Declaraia internaional privind practica de audit 1008 - evaluarea riscurilor i controlul intern caracteristici i considerente privind CIS; Declaraia internaional privind practica de audit 1009 - tehnici de audit asistat de calculator.
2.4
Ca reacie la eecurile cu efecte ulterioare considerabile ale unor misiuni de audit, precum acela din cazul ENRON, profesia de auditor a devenit foarte bine reglementat. Cazul ENRON a antrenat, pe lng falimentul companiei de audit Arthur Andersen, i aprobarea de ctre Congresul american a legii U.S. Sarbanes-Oxley (SOX) Act. In seciunea 404 a acestui Act, se cere managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare i de evaluare a controalelor privind procesele de raportare financiar, inclusiv n ceea ce privete controalele IT. Schimbrile necontrolate n mediul de producie pot conduce la deficiene serioase i la slbiciuni semnificative. De aceea, o atenie deosebit trebuie acordat procesului de implementare a schimbrii sistemului informatic care susine procesul de raportare pentru a asigura conformitatea cu SOX.
Pag. 32 din 214
Un proces eficace de management al schimbrii trebuie s fie documentat pentru a reduce efortul continuu necesar pentru maparea, validarea i certificarea schimbrilor n procesul de raportare financiar pentru a asigura conformitatea cu SOX.
2.5
Standardele IIA
Fondat n anul 1941, The IIA este o asociaie profesional, avnd un numr de peste 100.000 de membri i reprezentane n mai mult de 100 de ri. Aceasta este o autoritate recunoscut ca principal formator, leader n certificare, instruire, cercetare tiinific i ghidare tehnologic pentru profesia de auditor pe plan mondial. n domeniul auditului IT, The IIA promoveaz cunotine specializate i suport modern, n concordan cu tendinele i evoluiile pe plan mondial, contribuind la accelerarea extinderii i adaptrii misiunilor de audit la cerinele impuse de existena unui mediu de audit informatizat pe scar larg. Adaptarea auditurilor IT la cerinele de conformitate cu Sarbanes-Oxley (SOX) Act constituie un exemplu relevant. The IIA furnizeaz nu numai standarde, ci i numeroase resurse suplimentare pentru a asista auditorii: ghiduri de implementare a celor mai bune practici, studii de caz i alte instrumente integrate n cadrul de lucru IPPF (International Professional Practices Framework39) disponibil pe website. n domeniul auditului IT/ IS, liniile directoare de audit GTAG (Global Technology Audit Guidelines) abordeaz probleme legate de managementul tehnologiei informaiei, control i securitatea informaiei. Seria GTAG constituie o resurs pentru auditori, trateaz riscurile asociate diferitelor tehnologii i recomand practicile pentru reducerea impactului acestora. Liniile directoare sunt structurate pe urmtoarele categorii de probleme: GTAG PG-15: Securitatea informaiei GTAG PG-14: Auditul aplicaiilor dezvoltate de utilizatori GTAG PG-13: Prevenirea i detectarea fraudei ntr-un mediu informatizat GTAG PG-12: Auditul proiectelor IT GTAG PG-11: Elaborarea Planului de Audit IT GTAG PG-10: Managementul continuitii PG GTAG-9: Managementul identitii i al accesului PG GTAG-8: Auditarea controalelor de aplicaie PG GTAG-7: Externalizarea tehnologiei informaiei PG GTAG-6: Managementul i auditul vulnerabilitilor IT GTAG PG-5: Managementul i auditul riscurilor privind confidenialitatea PG GTAG-4: Managementul auditului IT PG GTAG-3: Audit continuu: Implicaii pentru asigurare, monitorizare i evaluare a riscurilor PG GTAG-2: Controale privind managementul schimbrii PG GTAG-1: Controale IT
Liniile directoare GAIT (Guide to the Assessment of IT Risk40) Seria de linii directoare GAIT descrie relaiile dintre riscurile afacerii, controalele cheie asociate proceselor afacerii, controalele automate i controalele cheie din cadrul controalelor generale IT. Este o abordar e bazat pe risc pentru auditarea controalelor generale IT ca parte a sistemului de control intern al entitii, destinat identificrii deficienelor, n viziunea seciunii 404 din Sarbanes -Oxley Act (SOX).
39 40
Cadrul de practici profesionale internaionale Ghid de evaluare a riscurilor IT Pag. 33 din 214
2.6
COSO
In ceea ce privete abordarea auditului bazat pe risc, un model general acceptat i preferat pentru eva luarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Sponsoring Organizations of the Treadway Commission (COSO) n anul 1992. n anul 2004 acest model a fost perfecionat pentru a oferi un cadru de management al riscurilor acceptat pe scar larg, care include principii cheie, concepte, un limbaj comun privind riscurile i ghiduri clare pentru implementare. Aceast direcie nou, numit Enterprise Risk Management Integrated Framework, furnizeaz patru categorii de obiective organizaionale i opt componente interrelaionate ale managementului eficace al riscului.
2.7
Schimbri n standardele i liniile directoare de audit IT n aceast seciune se prezint o descriere sintetic a evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de lucrrile celei de-a 7-a ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 21-22 februarie 2011. Reglementri internaionale Ca organizaii semnificative n domeniul reglementrilor i ghidurilor (liniilor directoare) acioneaz, n acest moment, urmtorii actori: 1. 2. 3. 4. IFAC (International Federation of Accountants), prin setul de standarde ISA Standards; INTOSAI, prin setul de standarde ISSAI Standards; IIA (Institute of Internal Auditors), prin setul de standarde IIA Standards; ISACA (Information Systems Audit and Control Association), prin Liniile directoare de Audit i Asigurare IT.
Ca preocupri/elaborri specifice pentru fiecare organizaie se pot reine elementele expuse n continuare. IFAC / ISA IFAC a publicat, n anul 2010, dou manuale referitoare, respectiv, la setul de standarde ISA ( Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements) i la codul de etic (Handbook of the Code of Ethics for Professional Accountants). INTOSAI / ISSAI De la primul ghid de audit al performanei (anul 2004), setul de linii directoare ISSAI a evoluat, la nivelul anului 2010, pe cele trei componente: a. Linii directoare privind Auditul performanei (seria 3000 3999: ISSAI 3000 2004; ISSAI 3100 aprobat 2010); b. Linii directoare privind Auditul conformitii (seria 4000 4999: ISSAI 4000, 4100 i 4200, toate aprobate n anul 2010); c. Linii directoare privind Peer Reviews (evaluarea performanei de ctre ali factori cu experien n domeniu) (seria 5600 5699: ISSAI 5600, aprobat 2010).
Pag. 34 din 214
In ceea ce privete stadiul actual al colaborrii ntre ITWG i WGITA 41 n domeniul standardelor, ca surse de cunoatere i facilitatori de schimb de informaii, sunt disponibile diverse canale, cum ar fi: publicaii, rapoarte, ghiduri, standarde i baze de date. n plus, Liniile directoare ale INTOSAI referitoare la Comunicare i Orientare sunt acum disponibile (versiunea iulie 2010, n limbile englez i german). Se preconizeaz ca instrumentele de comunicare s fie utilizate i consultate. Se ateapt mbuntiri i cu privire la instrumentul de colaborare INTOSAI Colaboratin Tool (cu 67 de grupuri de lucru i 630 de utilizatori), care este n prezent neutilizat. Aa cum am menionat, liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de securitate a Informaiilor", versiunea Octombrie 1995, trebuie s fie actualizate. IIA / Standardele IIA ncepnd cu anul 2009, IIA a operat modificri asupra setului de standarde IIA, respectiv: A inclus forma imperativ trebuie n loc de forma opional ar trebui n majoritatea standardelor; A adugat 5 noi standarde; A adugat noi precizri i comentarii la standardele existente.
De remarcat c, trecerea de la forma opional (ar trebui) la forma imperativ (trebuie) genereaz cerine pentru aciuni care trebuie realizate. Ca impact practic, pentru unele compartimente de audit intern aceasta poate antrena numai schimbri minore, dar pentru altele pot fi necesare (multiple) activiti adiionale, unele de substan, pentru a se conforma cu standardele revizuite. Ca prevederi noi, de interes i pentru activitatea Curii de Conturi a Romniei, se pot reine cel puin urmtoarele dou: Activitatea de audit intern trebuie s evalueze dac i n ce msur guvernarea tehnologiei informaiei n cadrul organizaiei susine (ofer suport pentru) strategiile i obiectivele organizaiei; Activitatea de audit intern trebuie s evalueze expunerea la riscurile privind guvernarea i operarea organizaiei, precum i sistemul informatic, referitor la: o Eficacitatea i eficiena operaiunilor i programelor; o Protejarea bunurilor organizaiei; o Conformitatea cu legile, reglementrile, politicile, procedurile i contractele aplicabile dup caz. Convergena IIA i INTOSAI IIA i Comitetul de Standarde Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de Inelegere (MOU), care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de importan major al MOU este acordul reciproc c standardele specifice fiecrei organizaii (seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global.
41
Working Group for IT Audit (din cadrul INTOSAI) Pag. 35 din 214
ISACA - Linii directoare de audit i asigurare ISACA a elaborat, dezvolt i ntreine un set cuprinztor de linii directoare (ghiduri) pentru audit i asigurare IT, dintre care menionm (selectiv): Utilizarea tehnicilor de audit asistat de calculator; Concepte de materialitate pentru auditarea sistemelor informatice; Efectele extinderii/generalizrii controalelor pentru sistemele informatice; Utilizarea evalurii riscurilor n planificarea auditului; Revizuirea sistemelor de aplicaie; Guvernarea IT.
Pentru o list complet i actualizat de linii directoare se poate consulta pagina web www.isaca.org. n ceea ce privete cadrele de lucru proprii (frameworks), ISACA a anunat, pentru anul 2011, diseminarea versiunii COBIT 5, care aduce ca trstur esenial integrarea COBIT cu celelalte cadre de lucru disponibile: Val IT i Risk IT. O reprezentare grafic a acestei scheme de integrare este redat n Fig. 1. Aceast schem a fost prezentat i recomandat SAI-urilor ca referin la cea de-a 7-a ntlnire a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 Februarie 2011. Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru auditurile desfurate de SAI-uri. Relativ la COBIT, n cadrul EUROSAI ITWG, pn n prezent, au avut loc trei evenimente de formare COBIT: la Lisabona (2004), Tallinn (2008) i Anvers (2009). CCR a participat la seminarul internaional de la Tallinn. Republica Slovac a organizat un seminar internaional intitulat Auditul Sistemelor Informatice i aplicarea standardelor de audit INTOSAI, n octombrie 2009. Pentru ITSA42 dou seminarii privind leciile nvate au avut loc, la Berna (2006) i la Luxemburg (2007). Acestea au fost organizate cu scopul de a mprti experienele prezentri ale SAI-urilor pentru SAI-uri, fr moderare extern. La Berna, n 2009, s-a decis s se organizeze un alt eveniment de genul Leciile nvate, cu condiia ca 12 SAI-uri s fie dispuse s participe. Sugestii privind reacia la schimbri Pentru SAI-uri, reacia la schimbrile evideniate mai sus, se poate materializa n cteva orientri de natur practic a activitii, ntre care: Urmrirea consecvent a mbuntirilor, dezvoltrilor i amendamentelor, pentru a beneficia de standardele i bunele practici internaionale i pentru a asigura conformitatea cu reglementrile internaionale; Utilizarea optimal i distribuirea informaiei disponibile: baze de date, instrumente, ghiduri, publicaii, rapoarte etc.; Creterea fluxului liber de informaii, idei, experiene i cunotine ntre grupuri de utilizatori, ntre membrii EUROSAI i INTOSAI i comunitile IT.
O problem important este modul n care SAI-urile se ocup de aceste schimbri i evoluii. Este recomandat s urmeze ndeaproape evoluia standardelor de audit i a liniilor directoare, pe ntru a le folosi i a le distribui i pentru a mbunti fluxul de informaii.
42
Fig. 1. COBIT 5 Integrarea COBIT, Val IT i Risk IT (Cadrul de referin pentru audit IT recomandat de EUROSAI ITWG)
Avnd n vedere dinamica domeniului tehnologiei informaiei, s -a ajuns la concluzia necesitii revizuirii standardelor de audit IT utilizate pn n prezent i a actualizrii n consecin. Punctul de vedere privind noua abordare bazat pe CobiT 5 care integreaz standardele specifice de audit IT (CobiT43, Val IT44 i Risk IT45) a fost susinut de Elveia. COBIT a fost aliniat i armonizat cu standarde detaliate i bune practici IT: COSO 46, ISO 2700047, ITIL48, Sarbanes-Oxley Act, BASEL II i acioneaz ca un integrator al acestor standarde, sintetiznd obiectivele principale sub un singur cadru de referin general acceptat. n condiiile trecerii la cadul de lucru COBIT 5, se va extinde referenialul pentru auditare i la standardele enumerate mai sus, noua arhitectur asigurnd convergena cu acestea.
Control Objectives for Information and related Technologies Value IT 45 Risk IT 46 COSO - Committee of Sponsoring Organizations of the Treadway Commission 47 ISO 27000 - Set de standarde privind securitatea informaiilor 48 ITIL - IT Infrastructure Library
43 44
2.8
Evoluia n domeniul auditului IT confirm cristalizarea unor arhitecturi de auditare generale, un promotor reprezentativ n acest sens fiind ISACA (Information Systems Audit and Control Association). Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT. Resursele COBIT sunt apreciate ca fiind "cele mai bune practici" n materie i reprezint o structur bazat pe un model general, detaliat, de controale i tehnici de control destinat unui mediu informatizat. Componentele arhitecturii de auditare ISACA sunt: Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea auditrii sistemelor informatice. Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea standardelor de auditare a sistemelor informatice. Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme informatice ar trebui s le urmeze (le-ar putea utiliza) n cadrul unui angajament de audit. Cel de-al patrulea element al ansamblului menionat, resursele COBIT, funcioneaz ca o surs de ghidare pentru "cele mai bune practici" n materie. Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta i disemina) standarde global aplicabile pentru atingerea viziunii proprii n materie de auditare IT/IS. COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems Audit and Control Foundation (ISACF) i publicat n anul 1996. Aceast prim versiune a fost urmat de o a doua ediie, extins la nivelul documentelor surs i al componentelor, inclusiv prin adugarea unui set de instrumente de implementare, care a fost publicat n anul 1998. Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca un instrument pentru auditori, n timp ce cadrul de lucru COBIT este un rezultat al evoluiei ctre un instrument pentru management i guvernare IT. Din acest motiv, COBIT a fost suplimentat cu o serie de elemente care permit decizii de implementare i mbuntire a proceselor IT: indicatori cheie de scop, indicatori cheie de performan, factori de succes critici, modele de maturitate. Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei, managementul riscurilor asociate acestor tehnologii, precum i cerinele sporite pentru controlul asupra informaiilor sunt con siderate ca un element-cheie al guvernrii organizaiilor i companiilor. Managementul valorii, managementul riscurilor i controlul constituie nucleul guvernrii IT. COBIT (acronim de la Control Objectives for Information and related Technology) ofer un set de bune practici prin intermediul unui cadru de referin bazat pe domenii i procese, prezentnd activitile de o manier logic, uor de gestionat. Setul de bune practici prezente n COBIT se concentreaz n special pe controlul proceselor din cadrul organizaiei, oferind bune practici care vor ajuta la optimizarea investiiilor IT, vor asigura livrarea serviciilor i vor furniza un referenial pe baza cruia se va judeca atunci cnd lucrurile nu merg bine. n acest context, COBIT constituie un instrument deosebit de util i pentru auditori. Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea unui cadru de referin pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaional pentru a fi adoptat de ctre
Pag. 38 din 214
organizaii i utilizat n activitatea cotidian a managerilor, profesionitilor IT i auditorilor, avnd n vedere impactul semnificativ pe care informaiile il pot avea asupra succesului organizaiilor. Orientarea spre partea economic a COBIT const n legtura dintre obiectivele afacerii i obiectivele IT, furnizarea de metrici/indicatori i de modele de maturitate pentru a cuantifica realizarea acestora, precum i identificarea responsabilitilor legate de afacere i a responsabililor de procese IT.
de la Software Engineering Institute dezvoltate de Robert Kaplan si David Norton Pag. 39 din 214
Conducerea solicit o rat de recuperare mai bun a investiiilor n IT i o asigurare c IT corespunde nevoilor afacerii i sporete valoarea pentru prile interesate; ngrijorarea fa de nivelul, n general, tot mai mare al cheltuielilor cu IT; Necesitatea de a ndeplini cerinele de reglementare a controalelor IT, n domenii cum ar fi viaa privat i raportarea financiar (de exemplu, Actul Sarbanes-Oxley din USA, Basel II), precum i n sectoare specifice, cum ar fi finane, industria farmaceutic sau asistena medical; Selecia furnizorilor de servicii i gestionarea achiziiilor de servicii externalizate;
Pag. 40 din 214
Creterea complexitii riscurilor IT, cum ar fi securitatea reelei; Iniiativele de guvernare IT ce includ adoptarea unor cadre de control i de bune practici cu scopul de a ajuta la monitorizarea i mbuntirea activitilor IT critice pentru a crete valoarea afacerii i a reduce riscul economic; Nevoia de a optimiza costurile prin respectarea, acolo unde este posibil, a unor abordri mai degrab standardizate dect special dezvoltate; Creterea nivelului de maturitate i acceptarea pe scar larg a cadrelor de referin, cum ar fi COBIT, ITIL, seria ISO 27000 privind securitatea informaiilor, standardele de calitate ISO 9001: 2000 Quality Management Systems - Requirements, model de maturitate (CMMI), metodologie de proiectare n medii controlate (PRINCE2); Nevoia organizaiilor de a evalua modul n care acestea funcioneaz, comparativ cu standardele general acceptate i sau cu alte companii (benchmarking).
Cadrul de referin COBIT a fost creat avnd ca principale caracteristici: 1. 2. 3. 4. Concentrarea pe componenta economic; Orientarea pe procese; Bazat pe controale; Conducerea prin indicatori.
Structura general a Liniilor Directoare pentru Auditare Structura general a liniilor directoare pentru auditare este inspirat de modelele generale de evaluare a controalelor: (a)- modelul de auditare (cel mai rspndit) sau (b)- modelul de analiz a riscului. In cele ce urmeaz, vom prezenta o descriere a liniilor directoare pentru auditare prin prisma modelului de auditare. Un asemenea model ia n considerare o serie de obiective specifice ale auditrii, ntre care cele mai importante sunt: (a) de a furniza managementului o asigurare rezonabil asupra faptului c obiec tivele de control sunt atinse, (b) de a substanializa riscul rezultant, acolo unde sunt puse n eviden puncte slabe ale controalelor, i (c) de a consilia managementul asupra aciunilor corective. In aceeai linie de idei, se poate adopta ca premis i faptul c structura general acceptat a procesului de auditare include urmtoarele componente (faze): (1)- identificarea i documentarea; (2)- evaluarea; (3)- testarea conformitii; (4)- testarea bazat pe probe. Cadrul de auditare construit pe cerinele COBIT este prezentat ntr-o manier ierarhizat pe nivele, cu o orientare declarat ctre obiectivele afacerii, fiind dirijat de proces. De asemenea, cadrul de lucru are o dubl focalizare: pe resursele care trebuie gestionate i pe criteriile de informaie care sunt necesare.
2.8.8 Resursele IT
Funcia IT i atinge scopurile printr-o serie bine definit de procese care implic aptitudinile personalului i infrastructura tehnologic pentru a executa aplicaii automatizate ce deservesc derularea afacerii, folosind prghii informaionale specifice afacerii. Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:
Aplicaiile: sunt sistemele utilizator automatizate i procedurile manuale care prelucreaz informaiile. Informaiile: reprezint datele, de toate tipurile, intrate, procesate i rezultate din sistemele informaionale, indiferent de forma sub care sunt utilizate n derularea afacerii.
Pag. 42 din 214
Infrastructura: este format din tehnica i tehnologiile care permit procesarea i rularea aplicaiilor (de exemplu: echipamente, hardware, sisteme de operare, sisteme de management al bazelor de date, reele, multimedia i ntreg mediul de tip suport n care se gsesc). Resursele umane: reprezint ntreg personalul necesar pentru a planifica, organiza, achiziiona, implementa, furniza, susine, monitoriza i evalua sistemele informaionale i serviciile. Acetia pot fi angajai permaneni ai firmei, angajai temporar pe baz de contract sau funciile lor pot fi nchiriate de pe piaa serviciilor externalizate, dup cerine.
Dac strategia IT este aliniat la strategia afacerii; Dac organizaia atinge un nivel optim de utilizare a resurselor disponibile ; Dac obiectivele IT sunt nelese de ctre toi membrii organizaiei; Dac riscurile IT sunt cunoscute i gestionate; Dac nivelul de calitate al sistemelor IT rspunde n mod corespunztor nevoilor afacerii.
ACHIZIIE I IMPLEMENTARE (Acquire & Implement - AI) n vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau achiziionate, dar i imple mentate i integrate n procesele afacerii. n plus, pentru a se asigura continuitatea n atingerea obiec tivelor economice pe baza soluiilor IT, sunt acoperite, prin acest domeniu, schimbrile i mentenana sistemelor deja existente.
PO Plan and Organize AI Acquire and Implement 53 DS Deliver and Support 54 ME Monitor and Evaluate
51 52
Dac exist perspective ca noile proiecte s ofere soluii care s rspund nevoilor afacerii ; Dac noile proiecte au anse s fie duse la bun sfrit, n timpul i cu bugetul prevzute ; Dac noile sisteme vor funciona dup implementare; Dac este posibil ca schimbrile s aib loc fr a perturba activitile curente ale afacerii/organizaiei.
FURNIZARE I SUPORT (Deliver & Support - DS) Acest domeniu este responsabil de furnizarea efectiv a serviciilor necesare, ceea ce include furnizarea serviciilor IT, managementul securitii i al continuitii, servicii suport pentru utilizatori i managementul datelor i al capabilitilor operaionale. Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac serviciile IT sunt furnizate n conformitate cu prioritile afacerii; Dac sunt optimizate costurile IT; Dac personalul poate folosi sistemele IT n mod productiv i n siguran ; Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, disponibilitatea i inte gritatea.
MONITORIZARE I EVALUARE (Monitor & Evaluate - ME) Toate procesele IT trebuie evaluate periodic, din perspectiva calitii lor i a conformitii cu cerinele controlului. Acest domeniu este axat pe managementul performanei, monitorizarea controlului intern, conformarea cu legislaia (sau/i cadrul de reglementare) i are n vedere i guvernarea IT. Cnd este evaluat acest domeniu, se pun urmtoarele intrebri:
Dac este msurat performana sistemului IT pentru a detecta la timp problemele; Dac managementul asigur eficiena i eficacitatea controlului intern; Dac se poate face o evaluare privind impactul performanei sistemului IT asupra intelor/scopurilor afacerii; Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, integritatea i disponibilitatea.
n cadrul celor patru domenii, COBIT conine 34 de procese IT a cror utilizare este general. Pentru a verifica completitudinea activitilor i a responsabilitilor, COBIT pune la dispoziie o list complet a proceselor. n funcie de tipul organizaiei, ele pot fi aplicate integral, partial, sau pot fi combinate dup necesiti. Pentru fiecare din aceste 34 de procese se face o trimitere ctre obiectivele afacerii si obiec tivele IT pe care le susin. De asemenea, sunt oferite informaii despre modul n care pot fi msurate, despre activitile cheie i principalele rezultat i n responsabilitatea cui cade asigurarea lor. COBIT definete att obiectivele de control pentru toate cele 34 de procese, ct i controale specifice aferente aplicaiilor.
Afirmaii declarative ale managementului privind creterea valorii sau reducerea riscului; Politici, proceduri, practici i structuri organizaionale; Sunt concepute spre a asigura in mod acceptabil faptul c obiectivele afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate; Managementul organizaiei trebuie s fac unele alegeri privind obiectivele de control: selectarea obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse n practic. Alegerea modului de a implementa controalele (frecven, durat, grad de automatizare etc.). Acceptarea riscului neimplementrii controalelor aplicabile.
ntruct obiectivele de control IT ale COBIT sunt ataate proceselor IT, cadrul de referin COBIT ofer corespondenele ntre cerinele guvernrii IT, procesele IT i controalele IT. Fiecare dintre procesele IT definite in COBIT are o descriere a procesului i un numr de obiective legate de controlul aferent. Vzute ca un ntreg, ele sunt caracteristicile unor procese bine gestionate. Obiectivele de control sunt identificate prin dou caractere (abrevierea domeniului din care fac parte: PO, AI, DS i ME), un numr al procesului i un numr al obiectivului controlului.
Scopurile i obiectivele proceselor: Definete i comunic scopuri i obiective ale proceselor cu respectarea principiilor SMART (specific, msurabil, realizabil, realist, orientat spre rezultat i posibil de realizat n timp) pentru execuia eficient a fiecrui proces IT. Asigur corespondena cu obiectivele afacerii i c acestea sunt susinute de indicatori relevani. Responsabilitatea procesului: Stabilete un responsabil al procesului pentru fiecare proces IT i definete clar rolurile i responsabilitile sale. Include, de exemplu, responsabilitatea pentru proiectarea procesului, interaciunea cu alte procese, rspunderea pentru rezultatele finale, msurarea performanei procesului i identificarea oportunitilor de mbuntire. Repetabilitatea procesului: Proiecteaz i stabilete fiecare proces cheie spre a fi repetabil i consecvent n producerea rezultatelor ateptate. Furnizeaz o secvena logic, dar flexibil i scalabil a activitilor care vor conduce la rezultatele dorite i suficient de agil pentru a face fa excepiilor i urgenelor. Utilizeaz procese compatibile, acolo unde e posibil i le modific doar acolo unde nu se poate evita acest lucru. Roluri i responsabiliti: Definete activitile cheie i livrabilele procesului. Atribuie i comunic rolurile definite fr ambiguitate i responsabilitile pentru o execuie eficient i eficace a activitilor cheie i pentru documentarea lor, ca i rspunderea pentru furnizarea rez ultatelor finale ale procesului. Politici, planuri i proceduri: Definete i comunic modul n care toate politicile, planurile i procedurile care conduc un proces IT sunt documentate, revizuite, meninute, aprobate, pstrate, comunicate i utilizate pentru instruire. Atribuie responsabilitile pentru fiecare din ac este activiti i, la momentele adecvate, revizuiete execuia lor corect. Se asigur c politicile, planurile i procedurile sunt accesibile, corecte, nelese i nnoite. mbuntirea performanei procesului: Identific un set de indicatori care ofer o imagine asupra rezultatelor i a performanei procesului. Stabilete inte care se reflect n scopurile proceselor i n indicatorii de performan ce permit atingerea scopurilor procesului. Definete modul n care datele vor fi obinute. Compar msurtorile cu intele stabilite i acioneaz, acolo unde este cazul, conform deviaiilor constatate. Aliniaz indicatorii, valorile -int i metodele cu abordarea global cu privire la monitorizarea performanei sistemului IT.
Pag. 45 din 214
Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de valoare i mbuntete eficiena prin diminuarea numrului de erori i printr-o abordare managerial consistent.
Pregtirea i autorizarea surselor de date: Asigur faptul c documentele surs sunt pregtite de personal autorizat i calificat, folosind proceduri anterior stabilite, demonstrnd o separare adec vat a ndatoririlor cu privire la generarea i aprobarea acestor documente. Erorile i omisiunile pot fi minimizate printr-o bun proiectare a intrrilor. Detecteaz erorile i neregulile spre a fi raportate i corectate. Colectarea surselor de date si introducerea n sistem: Stabilete faptul c intrrile (datele de intrare) au loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i retrimiterea datelor care au intrat n sistem n mod eronat trebuie s aib loc fr a compromite nivelurile iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s se reconstituie intrarea, trebuie reinut sursa iniial pentru o perioad suficient de timp. Verificri privind: acurateea, completitudinea i autenticitatea: Asigur faptul c tranzaciile sunt precise (exacte), complete i valide. Valideaz datele introduse i le editeaz sau le trimite napoi spre a fi corectate ct mai aproape posibil de punctul de provenien. Integritatea i validitatea procesului: Menine integritatea i validitatea datelor de-a lungul ciclului de procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe procesarea celor valide. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: Stabilete procedurile i responsabilitile asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, c se efectueaz: verificarea, detectarea i corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile interne ctre funciile operaionale ale afacerii (sau ctre exteriorul ntrep rinderii), trebuie verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i integritatea transmiterii sau ale transportului.
Modele de maturitate, care s permit stabilirea unui sistem de indicatori ai performanei i identificarea msurilor de perfecionare a capabilitilor; inte ale performanei (scopuri) i metrici (indicatori) pentru procesele IT, prin care se demonstreaz modul n care procesele susin afacerea i obiectivele IT, precum i modul n care pot fi utilizate n evaluarea performanei proceselor interne, pe baza principiilor indicatorilor generali de performan ai activitii (balanced scorecard); Scopuri ale activitilor (inte) prin care este facilitat, n mod eficace, performana procesului.
capabile sunt, depinde n principal de obiectivele IT i de nevoile afacerii, pe care procesele le susin. Ct de bine este desfurat capabilitatea depinde foarte mult de ceea ce ateapt organizaia s obin de la respectiva investiie. Modelele de maturitate sunt construite pornind de la modelul general al calitii la care sunt adugate principii provenind din urmtoarele atribute, ntr-o manier ascendent pe niveluri:
Contientizare i comunicare Politici, planuri i proceduri Instrumente i automatisme Abiliti i expertiz Sarcini i responsabiliti Stabilirea obiectivelor i a indicatorilor de evaluare
control eficiente. Prin urmare, acioneaz ca un integrator de practici de guvernare IT i face apel la conducerea executiv, la conducerea operaional i la managementul IT, la profesioniti din domeniul securitii, precum i la profesioniti din domeniul auditului i controlului. Este proiectat pentru a fi complementar cu, i utilizat mpreun cu alte standarde i bune practici. COBIT are relevan pentru urmtorii utilizatori: Managementul executiv - pentru a obine valoare din investiiile n IT, a echilibra riscul i controlul investiiilor ntr-un mediu IT care de cele mai multe ori nu e predictibil. Managementul afacerii - pentru a avea asigurarea asupra managementului i controlului serviciilor IT furnizate intern sau de pri tere. Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susine strategia de afaceri de o manier controlabil i organizat. Auditori - pentru a da substan opiniilor proprii i / sau a oferi recomandri managementului n legtur cu controalele interne.
2.8.18 Procese i obiective de control DOMENIUL PO (Plan & Organize) PROCESUL PO1 - Definirea planului strategic IT
Planificarea strategic a tehnologiilor informaionale este necesar pentru a administra i a direciona toate resursele IT n concordan cu strategia i prioritile organizaiei. Funcia IT i beneficiarii acesteia sunt responsabili pentru asigurarea realizrii valorii optime a proiectului i a portofoliului de servicii. Planul strategic urmrete s mbunteasc gradul i capacitatea de nelegere din partea beneficiarilor n ceea ce privete oportunitile i limitrile, stabilete nivelul de performan curent, identific cerinele privind capacitatea i necesarul de resurse umane i clarific nivelul necesar de investiii. Strategia organizaiei i prioritile trebuie s fie reflectate prin portofolii i s fie executate prin intermediul planuril or tactice, planuri ce specific obiective concise, planuri de aciune i sarcini. Toate acestea trebuie s fie nelese i acceptate de ntreprindere i de departamentul IT. Obiective de control PO1.1 Managementul valorii IT PO1.2 Alinierea cerinelor economice cu tehnologia informaiei PO1.3 Evaluarea capabilitii i performanei curente PO1.4 Planul Strategic IT PO1.5 Planurile tactice IT PO1.6 Managementul portofoliului IT
Obiective de control PO2.1 Modelul arhitecturii informaionale a ntreprinderii PO2.2 Dicionarul de date al ntreprinderii i regulile de sintax a datelor PO2.3 Schema de clasificare a datelor PO2.4 Managementul integritii
PO10.5 Stabilirea scopului proiectului PO10.6 Iniierea fazelor proiectului PO10.7 Planul integrat al proiectului PO10.8 Resursele proiectului PO10.9 Managementul riscurilor proiectului PO10.10 Planul calitii proiectului PO10.11 Controlul schimbrilor n cadrul proiectului PO10.12 Metode de planificare a asigurrii PO10.13 Monitorizarea, raportarea i indicatorii de performan ai proiectului PO10.14 Finalizarea proiectului
DOMENIUL DS (Deliver & Support) PROCESUL DS1 - Definirea i administrarea nivelurilor serviciilor
Comunicarea eficient ntre managementul IT i clienii organizaiei n ceea ce privete serviciile solicitate este asigurat printr-o definire documentat a unui acord legat de serviciile IT i nivelurile acestor servicii. Acest proces include, de asemenea, monitorizarea i raportarea n timp util ctre beneficiari cu privire la realizarea nivelurilor serviciilor. Acest proces permite alinierea serviciilor IT la cerinele afacerii. Obiective de control DS1.1 Cadrul de referin pentru Managementul Nivelului Serviciilor DS1.2 Definirea serviciilor DS1.3 Acorduri privind nivelurile serviciilor DS1.4 Acordurile Operaionale pentru nivelul serviciilor DS1.5 Monitorizarea i raportarea privind realizarea nivelului serviciului DS1.6 Revizia contractelor i a acordurilor privind nivelul serviciilor
Obiective de control DS9.1 Baza de date a configuraiei i liniile de baz DS9.2 Identificarea i ntreinerea articolelor de configurat DS9.3 Revizia integritii configuraiei
cerinelor de conformitate, optimizarea i evaluarea rspunsului, obinerea asigurrii c cerinele au fost respectate, precum i integrarea conformitii IT raportat la restul afacerii. Obiective de control ME3.1 Identificarea cerinelor de conformitate extern, legal, contractual sau de reglementare ME3.2 Optimizarea rspunsului la cerinele externe ME3.3 Evaluarea conformitii cu cerinele externe ME3.4 Asigurarea conformitii ME3.5 Raportare integrat
2.9
Cadrul de lucru COBIT stabilete cele mai bune practici referitoare la mijloacele care contribuie la procesul de creare a valorii adugate. Val IT vine s adauge cele mai bune practici pentru final, oferind mijloacelor un instrumentar de msurare fr ambiguiti, cu ajutorul cruia se monitorizeaz i se optimizeaz realizarea de valoare adugat pentru afacere55, prin investiii n IT. Val IT complementeaz COBIT din perspectiva afacerii i din perspectiva financiar i contribuie la obinerea unei creteri de valoare prin utilizarea tehnologiei informaiei. Val IT este un cadru de administrare care const dintr-un set de principii directoare i o serie de procese conforme cu aceste principii, care sunt definite ca un set de practici cheie de conducere. Cadrul Val IT aliniaz terminologia sa cu terminologia COBIT i adaug o seciune de linii directoare (similar cu COBIT), care ofer un nivel mai mare de detaliu proceselor cheie Val IT i practicilor de management. Conine, de asemenea, modele de maturitate pentru fiecare domeniu al cadrului Val IT. Necesitatea unei guvernri puternice a investiiilor IT este evident, avnd n vedere c mai mult de 2 din 10 proiecte IT din cadrul unei organizaii eueaz dintr-un numr de motive, printre cele mai comune fiind: Investiiile IT nu susin strategia afacerii sau nu furnizeaz o valoare ateptat; Exist proiecte prea multe, ceea ce duce la utilizarea ineficient resurselor; Proiectele sunt adesea ntrziate, depesc bugetul i/sau nu produc beneficiile necesare; Exist incapacitatea de a anula proiecte atunci cnd este necesar; Organizaia are nevoie de resurse pentru a asigura conformitatea cu reglementrile industriei sau guvernamentale.
Referinele la afacere n acest standard internaional trebuie interpretate n sens larg pentru a se referi la acele activiti care sunt eseniale scopului pentru care este nfiinat organizaia. Pag. 60 din 214
55
Scopul investiiilor IT este de a permite schimbarea afacerii. Pentru a gestiona schimbarea afacerii bazate pe IT, investiiile IT trebuie s fie reglementate. Cu ajutorul cadrului Val IT promovat de ISACA, pot fi luate decizii mai bune privind modul n care s se investeasc n IT pentru a permite schimbarea afacerii, creterea rentabilitii investiiilor i pentru a genera valoare adugat, afacerii. Val IT este un cadru care se concentreaz pe livrare de valoare, unul dintre cele cinci domenii principale ale guvernrii IT, i ofer asigurarea c investiiile IT sunt gestionate pe ciclul complet al vieii economice . Prin aplicarea principiilor de management al portofoliului se pot evalua i monitoriza direct, investiiile n IT pe ntreg ciclul de via economic al acestora.
56
Definiie: Cadrul de lucru Val IT este un cadru global i pragmatic de organizare care permite crearea de valoare n cadrul organizaiei pe baza investiiilor n tehnologia informaiei. Conceput pentru a se alinia la cadrul COBITi pentru a-l completa, Val IT integreaza un set de principii de guvernare practice i verificate, procese, practici i linii directoare care susin aceast platform, ofer suport managementului executiv i altor lideri pentru a optimiza obinerea de valoare din investiiile IT. Folosite cu succes considerabil de muli ani de conducerea organizaiilor, procesele i practicile incluse n Val IT sunt prezentate, pentru prima dat, ca un cadru unic de guvernan integrat care ofer factorilor de decizie o abordare cuprinztoare, consecvent, coerent i contribuie la crearea de valoare prin efecte concrete i msurabile. Cu sprijinul unui grup de experi n domeniul guvernrii informaiei, n control, securitate i audit, recunoscui pe plan internaional, ITGI57 a acordat o mare atenie proiectrii acestui cadru pentru a se asigura c integrarea Val IT cu COBIT va oferi un cadru cuprinztor pentru crearea i livrarea de valoare de nalt calitate a serviciilor bazate pe IT. Pe de o parte, cadrul d e lucru Val IT completeaz cadrul de lucru COBIT, iar pe de alt parte este susinut de acesta. nelegerea relaiei dintre aceste dou cadre este vital. Val IT are n vedere guvernarea ntreprinderii. Ca un cadru cuprinztor pentru proiectarea si livrarea serviciilor bazate pe IT de nalt calitate, COBIT stabilete seturi de bune practici pentru funcia IT, care contribuie la procesul de creare de valoare. Val IT furnizeaz seturi de bune practici referitoare la rezultatele obinute pe baza investiiilor IT, permind astfel ntreprinderilor msurarea, monitorizarea i optimizarea valorii, att financiare, ct i non -financiare. Coerena ntre metodele i terminologia utilizate n cadrele de lucru Val IT i COBIT mbuntete comunicaia i interaciunile dintre factorii de decizie, funcia de IT i funciile de afaceri responsabile pentru livrarea valorii planificate.
Cu toate acestea, n multe cazuri, valoarea nu constituie rezultatul unei msurri cantitative. Valoarea este complex, dependent de contextul specific i dinamic. Valoarea este, n foarte multe cazuri, "n ochii privitorului. Natura valorii este diferit pentru diferite tipuri de organizaii. n timp ce zona comercial din organizaie se concentreaz, mult mai mult dect o fceau n trecut, pe valoarea de natur non financiar, directorii au, n continuare, tendina de a vizualiza valoarea n primul rnd din punct de vedere financiar, de multe ori pur i simplu ca pe o cretere a profitului ntreprinderii care rezult din investiii. Pentru sectorul public, sau pentru ntreprinderile non-profit, valoarea este mult mai complex, i adesea, dei nu ntotdeauna, de natur non-financiar. Aceasta poate include obinerea unor rezultate privind politicile publice, mbuntirea cantitii i calitii serviciilor oferite (de exemplu, cetenilor pentru sectorul public) i/sau creterea net a veniturilor oferite celor pentru care aceste servicii care rezult din investiii sunt disponibile. Conceptul de valoare se bazeaz pe relaia dintre ndeplinirea ateptrilor prilor interesate i r esursele folosite pentru a atinge obiectivele. Prile interesate pot avea opinii diferite despre ceea ce reprezint o valoare. Scopul managementului valorii este de a optimiza valoarea prin reconcilierea acestor diferene, de a permite organizaiei s defineasc clar i s comunice punctul su de vedere privind semnificaia valorii, s selecteze i s execute investiii, s gestioneze patrimoniul su i s optimizeze valoarea printr -o utilizare a resurselor la preuri accesibile i un nivel acceptabil de risc. ITGI privete furnizarea valorii ca fiind unul dintre cele cinci domenii prioritare ale guvernrii IT. n afar de valoarea livrat, celelalte patru domenii includ: alinierea strategic, managementul riscurilor, managementul resurselor i msurarea performanelor. Valoarea livrat depinde de focalizarea pe zonele n care aceasta necesit aliniere strategic, este permis prin gestionarea riscurilor i gestionarea resurselor i, mpreun cu alte zone, este monitorizat prin msurarea performanei.
limitate la, modificri de natur ale afacerii, ale proceselor de afaceri, ale activitii desfurate, precum i ale competenelor necesare pentru a efectua lucrrile, care s permit tehnologia i stru ctura organizatoric. Programul de investiii este unitatea primar de investiii din Val IT. Portofoliu - Grupri de "obiecte de interes" (programe de investiii, servicii IT, proiecte IT, alte bunuri IT sau alte resurse) gestionate i monitorizate pent ru a optimiza valoarea afacerii. Portofoliul de investiii este de interes primar pentru Val IT. Serviciile IT, proiectele, activele sau alte portofolii de resurse sunt de interes primar pentru COBIT. Cadrul Val IT susine obiectivul organizaiei de a crea valoare optim din investiiile IT prin achiziii la un cost accesibil, cu un nivel acceptabil de risc, fiind ghidat de un set de principii aplicate n procesele de gestionare a valorii, care sunt permise prin practici cheie de management i sunt msurate prin performana n raport cu obiectivele i indicatorii stabilii. Principiile cadrului de lucru Val IT sunt: Investiiile IT vor fi gestionate ca un portofoliu de investiii . Optimizarea investiiilor necesit abilitatea de a evalua i de a compara investiii, fiind selectate n mod obiectiv cele cu potenialul cel mai mare de a crea valoare, i de a le gestiona pentru a maximiza valoarea. Investiiile IT vor include ntreaga sfer de activiti necesare pentru a atinge valoarea afacerii . Realizarea valorii din investiii IT necesit mai mult dect livrarea de soluii i servicii IT aceasta necesit, de asemenea, schimbri, cum ar fi: natura activitii n sine; procesele de afaceri, abiliti i competene, precum i organizarea, toate acestea trebuind s fie incluse n documentaia de fun damentare i de realizare privind investiiile (Business Case - BC). Investiiile IT vor fi gestionate pe ntreg ciclul de via economic . BC trebuie s fie pstrat activ de la iniierea unei de investiii pn la finalizarea tuturor serviciiilor aferente investiiei. Acest principiu recunoate c va exista ntotdeauna un anumit grad de incertitudine i c variaia n timp a costurilor, riscurilor, beneficiilor, strategiei, i a schimbrilor organizaionale i externe trebuie s fie luat n considerare cnd se stabilete dac finanarea ar trebui s fie continuat, majorat, diminuat sau oprit. Practicile de livrare a valorii vor recunoate c exist diferite categorii de investiii care vor fi evaluate i gestionate n mod diferit. Astfel de categorii s-ar putea baza pe preferina managementului, pe magnitudinea costurilor, pe tipurile de riscuri, pe importana beneficiilor (de exemplu, obinerea conformitii cu un cadru de reglementare), precum i pe tipurile i gradul de schimbare a afacerii. Practicile de livrare a valorii vor defini i vor monitoriza indicatorii cheie i vor reaciona rapid la orice modificri sau abateri. Trebuie s fie stabilii i monitorizai cu regularitate indicatori de performana pentru: (1) portofoliul global, (2) investiiile individuale, incluznd indicatori intermediari i indicatori finali, (3) serviciile IT, (4), bunurile IT i (5) alte resurse care rezult dintr -o investiie, pentru a se asigura c valoarea este creat i continu s fie creat pe parcursul ntregului ciclu de via al investiiei. Practicile de livrare a valorii vor angaja toate prile interesate i vor atribui responsabiliti adecvate pentru livrarea facililitilor, precum i pentru realizarea ben eficiilor afacerii. Att funcia IT, ct i alte funcii ale afacerii trebuie s fie angajate i responsabile - funcia IT pentru faciliti IT i funciile de afaceri pentru facilitile de afaceri necesare pentru a realiza valoare. Practicile de livrare a valorii vor fi monitorizate, evaluate i mbuntite continuu. Pe msur ce organizaia ctig experien privind practicile Val IT, aceste practici pot fi aplicate, astfel nct selectarea investiiilor i gestionarea acestora s se mbunteasc n fiecare an.
de risc, principiile cadrului Val IT trebuie s fie aplicate n trei domenii: guvernarea valorii, managementul portofoliului, managementul investiiilor. Fiecare domeniu cuprinde o serie de procese i practici cheie de management. Aceste procese i pra ctici cheie de management au fost distilate din experiena colectiv a echipei care a creat cadrul de lucru Val IT i a unei echipe de consilieri recunoscui la nivel mondial i extrase din practicile, metodologiile i cercetrile existente i emergente. a) Guvernarea Valorii Scopul guvernrii valorii (Value Governance - VG) este de a asigura c practicile de management al valorii sunt ncorporate n organizaie i permit obinerea unei valori optime din investiiile IT pe parcursul ntregului lor ciclu de via economic. Angajamentul conducerii n ceea ce privete guverna rea valorii contribuie la: Stabilirea cadrului de guvernare pentru managementul valorii ntr-o manier complet integrat cu guvernarea de ansamblu a ntreprinderii; Asigurarea direciei strategice pentru deciziile privind investiiile; Definirea caracteristicilor portofoliilor necesare pentru a sprijini noi investiii i serviciile IT rezultate, activele i alte resurse; mbuntirea gestionrii valorii pe o baz continu, n concordan cu practicile nvate. Cadrul Val IT definete procesele legate de investiiile IT, practicile i activitile cheie de management care trebuie s apar n contextul guvernrii globale a ntreprinderii. Cadrul definete n mod special relaia dintre funcia de IT i celelalte pri ale afacerii, i ntre funcia IT i celelalte structuri cu atribuii de guvernare din cadrul ntreprinderii (biroul financiar, conducerea executiv). Activitile aferente funciei IT sunt acoperite de cadrul de lucru COBIT. b) Managementul Portofoliului Scopul managementului portofoliului (Portfolio Management - PM), n contextul cadrului Val IT este de a garanta c o ntreprindere asigur valoarea optim a portofoliului su privind investiiile IT. Angajamentul conducerii n ceea ce privete managementul portofoliului, contribuie la: Stabilirea i gestionarea profilurilor resurselor; Definirea pragurilor de investiii; Evaluarea, prioritizarea i selectarea, amnarea sau respingerea unor noi investiii; Gestionarea i optimizarea portofoliului global de investiii; Monitorizarea i raportarea privind performana portofoliului. Programele de afaceri privind investiiile IT trebuie s fie gestionate ca parte a portofoliului total al investiiilor, astfel nct toate investiiile ntreprinderii s fie selectate i gestionate pe o baz comun. Programele din portofoliu trebuie s fie clar definite, evaluate, prioritizate, selectate i gestionate n mod activ pe ntreg ciclul lor via economic, pentru a optimiza att valoarea programelor individuale ct i a portofoliului global. Aceasta include optimizarea alocrii resurselor limitate pentru investiii pe care organizaia le are la dispoziie, managementul de risc, identificarea i corectarea la timp a problemelor (inclusiv anularea programului, dac este cazul) i supervizarea investiiilor la n ivelul conducerii. Managementul portofoliului recunoate cerina pentru un portofoliu de a fi echilibrat. Recunoate, de asemenea, c exist diferite categorii de investiii cu niveluri diferite de complexitate i de grade de libertate n alocarea fondurilor. Exemplele privind aceste categorii ar putea include, dar nu sunt limitate la, inovare, reforme cu grad ridicat de risc, extinderea afacerii, mbuntirea operaional, ntreinerea operaional i investiiile obligatorii. Pentru fiecare categorie din portofoliul de investiii ar trebui s fie stabilite criterii de evaluare cu ponderi adecvate. Decizia de a include un program n portofoliu nu este un angajament de moment. Portofoliul format din investiii poteniale i aprobate ar trebui s fie gestionat n mod activ, pe o baz continu i nu doar atunci cnd se solicit aprobarea. n funcie de performanele relative ale programelor active i de oportunitatea oferit de programele poteniale din cadrul portofoliului,
precum i de schimbrile aduse mediului de afaceri intern i extern, portofoliul poate fi ajustat de ctre conducere. c) Managementul Investiiilor Scopul managementului investiiilor (Investment Management - IM) este de a asigura faptul c investiiile IT individuale ale ntreprinderii contribuie la obinerea valorii optime. Cnd liderii organizaiei se angajeaz n gestionarea investiiilor ei contribuie la: Identificarea cerinelor afacerii; Dezvoltarea unei nelegeri clare a programelor de investiii candidate; Analiza unor abordri alternative la punerea n aplicare a programelor; Definirea fiecrui program, precum i documentarea i meninerea unui BC (Business Case) detaliat pentru acesta, incluznd detalii privind beneficiile pe ntreg ciclul de via economic al investiiei; Asignarea unei responsabiliti clare i a unui proprietar, inclusiv n ceea ce privete realizarea beneficiilor; Gestionarea fiecrui program pe ntreg ciclul de via economic, inclusiv finalizarea sau stoparea acestuia; Monitorizarea i raportarea privind performana fiecrui program. Componentele cheie ale managementului investiiilor Exist trei componente-cheie de gestionare a investiiilor: Prima este Business Case (BC), care este esenial pentru selectarea corect a programelor de investiii i administrarea acestora pe parcursul executrii lor. A doua este managementul programului, care reglementeaz toate procesele care susin executarea programelor. A treia este realizarea beneficiilor - un set de sarcini necesare pentru a gestiona n mod activ realizarea beneficiilor programului.
Fiecare dintre aceste fluxuri de lucru trebuie s fie documentat cu date care s susin decizia de investiii i procesele de management de portofoliu: iniiative, costuri, riscuri, ipoteze, rezultate i indicatori. BC ar trebui s includ cel puin urmtoarele elemente: Beneficiile estimate ale afacerii, alinierea lor cu strategia de afaceri i care dintre funciile afacerii va fi responsabil pentru asigurarea lor; Schimbrile de afaceri necesare pentru a crea valoare adugat; Investiiile necesare pentru a face schimbri ale afacerii; Investiiile necesare pentru a schimba sau aduga noi servicii IT i elemente de infrastructur; Funionarea continu a sistemului IT i costurile de afaceri relative la funcionarea n contextul schimbat; Riscurile inerente referitoare la elementele prezentate mai sus, inclusiv orice constrngeri sau dependene; Cine va fi responsabil pentru crearea cu succes a valorii optime; Cum vor fi monitorizate investiiile i crearea de valoare pe parcursul ciclului de via economic, precum i indicatorii care urmeaz s fie utilizai. BC ar trebui s fie dezvoltat dintr-o perspectiv strategic, de tip top-down (de sus n jos), ncepnd cu o nelegere clar a rezultatelor dorite privind afacerea i progresnd pn la o descriere detaliat a sarcinilor critice i reperelor, precum i a rolurilor i responsabilitilor cheie. BC nu este un document static de folosin unic, ci constituie un instrument dinamic operaional, care trebuie s fie actualizat continuu pentru a reflecta punctul de vedere actual asup ra viitorului programului, astfel nct viabilitatea acestuia s poat fi meninut. BC trebuie s includ rspunsuri la patru ntrebri, rspunsuri bazate pe informaii relevante focalizate pe afacere, despre programele poteniale: Dac facem ceea ce trebuie Ce s-a propus, pentru ce rezultat al afacerii i cu ce contribuie proiectele n cadrul unui program? Dac suntem pe calea cea bun - Cum se va desfura i ce trebuie fcut pentru a ne asigura c programul se va potrivi cu alte faciliti curente sau viitoare? Dac ceea ce facem este bine Care este planul pentru ndeplinirea lucrrilor i ce resurse i fonduri sunt disponibile? Dac aducem beneficii Cum vor fi furnizate beneficiile? Care este valoarea programului? Structura BC Situaiile afacerii pentru investiiile IT iau n considerare urmtoarele relaii cauzale: - Resursele sunt necesare pentru dezvoltare - Tehnologia / serviciile IT support - Capabilitatea operaional pe care o va permite - Capabilitatea afacerii care va fi creat - Valoarea pentru prile interesate Aceste relaii implic existena a trei fluxuri de activiti interrelaionate care creeaz capabiliti tehnice, operaionale i de afacere. Fiecare dintre cele trei fluxuri de activitate are un numr de componente care sunt eseniale pentru a evalua complet BC. Aceste componente, mpreun, formeaz baza pentru un model analitic i sunt definite dup cum urmeaz: Rezultate - rezultate clare i msurabile vizate, inclusiv rezultate intermediare; aceste rezultate sunt necesare dar nu suficiente pentru a atinge beneficiile finale. Aceste beneficii pot fi financiare sau non-financiare.
Pag. 67 din 214
Iniiative - Aciuni/proiecte de afacere, proces de afaceri, oameni, tehnologie i organizaionale (BPPTO) aciuni/proiecte (activiti care acoper dezvoltarea, punerea n aplicare, operarea i scoaterea din funciune) care contribuie la unul sau mai multe rezultate. Contribuii - Contribuia msurabil ateptat de la iniiative sau rezultate intermediare pentru alte iniiative sau rezultate. Ipoteze - Ipoteze privind condiiile necesare pentru realizarea rezultatelor sau iniiativelor, dar asupra crora programul organizaiei are control redus sau deloc. Evaluarea riscului reprezentat de ipoteze i orice alte constrngeri cu privire la costuri, beneficii i aliniere constituie o mare parte a BC. Alte componente care sunt identificate n BC sunt resursele necesare pentru a efectua toate activitile n care const iniiativa, precum i cheltuielile de achiziii i, dac este necesar, de meninere a acestor resurse.
metodelor, tehnicilor i proceselor pentru colectarea i raportarea informaiilor de msurare. Stabilirea modului n care vor fi identificate i monitorizate abaterile sau problemele i raportarea privind rezultatele aciunilor de remediere. VG6 - Imbuntirea continu a practicilor de gestionare a valorii - Revizuirea experienelor referitoare la managementul valorii. Planificarea, iniierea i monitorizarea schimbrilor necesare pentru mbuntirea guvernrii valorii, a managementului portofoliului i al proceselor de administrare a investiiilor.
atinge rezultatele, riscurile implicate i impactul asupra tuturor aspectelor afacerii (ntreprinderii). Identificarea i evaluarea unor cursuri alternative de aciune pentru a atinge rezultatele dorite ale afacerii. IM3 - Elaborarea planului de program - Definirea i documentarea tuturor proiectelor necesare pentru realizarea programului pentru a obine rezultatele ateptate ale afacerii. Precizarea cerinelor de resurse i a metodei de obinere asociate. Prezentarea unui grafic de timp care s in seama de interdependenele dintre mai multe proiecte. IM4 - Dezvoltarea costurilor complete aferente ciclului de via i beneficiilor - Pregtirea unui program de buget bazat pe costurile pe ntreg ciclul de via economic. nscrierea tuturor beneficiilor intermediare i de afaceri ntr-un registru, precum i planificarea modului n care acestea vor fi realizate. Identificarea i documentarea obiectivelor pentru rezultatele cheie care urmeaz s fie realizate, inclusiv n ceea ce privete metoda de msurare i abordarea pentru atenuarea insucceselor. Prezentarea bugetelor, costurilor, beneficiilor i planurilor aferente pentru revizuire, rafinare i aprobare. IM5 - Dezvoltarea BC detaliat pentru programul candidat - Elaborarea unui BC complet i cuprinztor pentru programul candidat, care acoper scopul, obiectivele, domeniul de aplicare i abordarea, dependenele, riscurile, reperele, precum i impactul schimbrii organizaionale. Includerea unei aprecieri a valorii, bazate pe costurile economice aferente ntregului ciclu de via, i a beneficiilor, a ratei preconizate de randament, a alinierii strategice i ipotezelor cheie. De asemenea, furnizarea unui plan al programului care s acopere planurile componentei proiectului, p lanul de realizare a beneficiilor, modul de abordare a managementului riscului i al schimbrii, precum i a structurii programului. Atribuirea clar a responsabilitilor, autoritii i dreptului de proprietate pentru realizarea beneficiilor, controlului costurilor, gestionarea riscurilor i coordonarea activitilor i interdependenelor proiectelor multiple. Obinerea acceptrii cu privire la responsabiliti i rspundere. IM6 - Lansarea i managementul programului - Planificarea, resurselor necesare proiectelor, pentru a obine rezultatele programului. Planificarea resurselor pentru perioade ulterioare, dar finanarea acestora numai pn la urmtoarea revizuire. Administrarea performanei programului pe baza unor criterii cheie, pentru a identifica abaterile de la plan i a ntreprinde n timp util aciuni de remediere. Monitorizarea beneficiilor pe tot parcursul programului, a realizrii reale i poteniale i raportarea privind progresele. Iniierea de aciuni n timp util pentru abateri semnificative de la plan, precum i pentru problemele aprute. IM7 - Actualizarea portofoliilor IT operaionale Reflectarea schimbrilor care rezult din programul de investiii pentru servicii IT relevante, a activelor i a portofoliilor de resurse. IM8 - Actualizarea BC Actualizarea BC al programului, pentru a reflecta starea curent, ori de cte ori exist schimbri care afecteaz costurile preconizate, beneficiile, oportunitile sau riscurile. IM9 - Monitorizarea i raportarea cu privire la program - Monitorizarea performanelor programului general i a tuturor proiectele sale, precum i un raport ctre conducere, complet i exact, privind livrarea de capaciti tehnice i de afaceri, aspectele operaionale referitoare la livrarea de servicii, impactul asupra resurselor i realizarea de beneficii. Raportarea poate include performana n raport cu planul programului n ceea ce privete calendarul i bugetul, exhaustivitatea i calitatea funcionalitii, calitatea controlului intern i diminuarea riscurilor, precum i acceptarea continu a responsabilitii pentru asigurarea unor beneficii intermediare ale afacerii. IM10 - Scoaterea din funciune a programului - Aducerea programului la o nchidere ordonat i scoaterea acestuia din portofoliul de investiii active atunci cnd exist un acord c valoarea dorit de afacere a fost realizat sau atunci cnd este clar c obiectivul nu va fi atins n cadrul criteriil or valorice stabilite pentru program.
Orientrile ofer rspunsuri la ntrebri tipice de management, cum ar fi: Cum interacioneaz toate procesele i activitile de gestionare a valorii? Care sunt activitile-cheie care trebuie ntreprinse sau mbuntite? Ce roluri i responsabiliti vor fi definite pentru procesele de management cu succes al valorii? Cum putem msura i compara procesele de management al valorii? Care sunt cei mai buni indicatori de performan? Pentru fiecare proces Val IT, liniile directoare de gestionare Val IT includ intrri i ieiri, descrieri de activitate, diagrame RACI59 (Responsabil, Rspunztor, Consultant i Informat) diagrame, obiective i indicatori pe diferite niveluri. Val IT definete, de asemenea, un model de maturitate, pentru fiecare dintre cele trei domenii Val IT, oferind o scala de msurare incremental de la 0 la 5.
2.10
Risk IT este un set de principii i un cadru de lucru care ajut organizaia s identifice, s guverneze i s gestioneze riscurile IT n mod eficient. Riscurile joac un rol critic pentru succesul unei afaceri, procesul decizional presupunnd gestionarea eficient, pe o baz continu, a acestora. Destul de des, riscurile IT (riscurile legate de implementarea i utilizarea sistemelor IT) sunt neglijate, spre deosebire de alte categorii de riscuri (riscul de pia, riscul de creditare i riscul operaional) care sunt incorporate n procesul de luare a deciziei. Riscurile IT trebuie s fie transferate specialitilor tehnicieni i trebuie s fie incluse n categoria riscurilor care au impact asupra obiectivelor strategice. Cadrul de lucru Risk IT este un cadru bazat pe un set de principii directoare pentru gestionarea eficient a riscurilor IT care completeaz cadrul de lucru COBIT, un cadru cuprinztor pentru guvernare i controlul afacerii bazate pe soluii i servicii IT. n timp ce COBIT ofer un set de controale pentru a atenua riscul IT, Risk IT ofer un cadru pentru organizaii (pentru a identifica, guverna i gestiona riscurile IT) i pentru auditorii care l utilizeaz ca referenial n cadrul misiunilor de audit. n timp ce COBIT ofer mijloacele de management al riscurilor, Risk IT ofer, n plus, un cadru mbuntirea a gestionrii riscului. Cadrul de lucru Risk IT este o parte din portofoliul de produse ISACA privind guvernarea IT, fiind bazat pe un set de principii directoare pentru managementul eficient al riscurilor IT.
59
Pentru prioritizarea i gestionarea riscurilor IT, conducerea are nevoie de un cadru de referin i de o nelegere clar a funciei IT i a riscurilor IT. Cu toate acestea, prile interesate care ar trebui s rspund pentru gestionarea riscurilor din cadrul organizaiei de multe ori nu au o nelegere deplin n legtur cu acestea. Managerii IT sunt responsabili pentru gestionarea riscurilor associate i trebuie s determine ce trebuie fcut pentru a sprijini activitatea. Cadrul de lucru explic riscurile IT i permite conducerii organizaiei s ia deciziile cele mai adecvate, care vor permite utilizatorilor s contientizeze importana i s contribuie la minimizarea acestora. n acest context vor ntreprinde o serie de aciuni: Integrarea gestionrii riscurilor IT n gestionarea general a riscurilor organizaiei; Asigurarea unor decizii bine informate cu privire la gradul de risc, la apetitului pentru risc i la tolerana la risc a ntreprinderii; nelegerea modului de a rspunde la risc. Cadrul RISK IT acoper decalajul existent ntre cadrele generice de gestionare a riscurilor cum ar fi COSO ERM i AS/NZS 4360 (care n curnd vor fi nlocuite cu standardul ISO 31000) i echivalentul su britanic ARMS6 i cadrele de gestionare a riscurilor IT (n primul rnd cele legate de securitate) detaliate.
Documentaia The Risk IT Practitioner Guide este un document de sprijin pentru cadrul de lucru Risk IT care ofer exemple de tehnici posibile pentru a aborda problemele legate de riscul IT, precum i ndrumri detaliate cu privire la modul de abordare a conceptelor cuprinse n modelul procesului. Conceptele i tehnicile explorate n detaliu includ: Scenarii construite pe baza unui set de generic de scenarii de risc IT; Construirea unei hri a riscurilor, folosind tehnici pentru a descrie impactul i frecvena scenariilor; Construirea criteriilor de impact cu relevan pentru afaceri; Definirea indicatoriilor cheie relevani (Key Relevance Indicators KRIs); Utilizarea COBIT i Val IT pentru a atenua riscul; legtura ntre Risk IT i obiectivele de contol i practicile de management cheie din COBIT i Val IT. Aplicarea bunelor practici de management al riscurilor IT aa cum este descris n Risks IT va oferi beneficii tangibile pentru afacere, de exemplu, mai puine incidente operaionale i eecuri, creterea calitii informaiilor, o mai mare ncredere a prilor interesate i reducerea numrului de probleme referitoare la cadrul de reglementare i de inovare, sprijinirea iniiativelor de noi afaceri. Dei documentaia referitoare la Risk IT ofer un cadru complet i autonom, ea include referiri la COBIT i Val IT. The Risk IT Practitioner Guide face referiri extinse la COBIT i Val IT, i recomand ca managerii i practicienii s se familiarizeze cu principalele principii i cu coninutul acestor dou cadre. Ca i COBIT i Val IT, Risk IT nu este un standard propriu-zis, ci un cadru flexibil bazat pe cele mai bune practici n domeniu. Acest lucru nseamn c organizaiile pot i ar trebui s personalizeze componentele din cadrul entitii lor pentru a se potrivi cu specificul organizaiei. Prin analogie, auditorii vor personaliza documentele de lucru (liste de verificare, machete, chestionare) pe baza crora vor efectua evalurile, n funcie de specificul entitii auditate. ISACA se preocup n continuare de actualizarea i dezvoltarea continu a cadrelor de lucru COBIT, Val IT i Risk IT, precum i de cadrul de asigurare ITAF (The IT Assurance Framework60) i de securitate a informaiei BMIS (Business Model for Information Security61).
RG2.3 Adaptarea practicilor de risc IT la practicile de risc pentru ntreprindere RG2.4 Furnizarea resurselor adecvate pentru managementul riscurilor IT RG2.5 Furnizarea unei asigurri independente privind managementul riscurilor IT Procesul RG3 Luarea deciziilor de afaceri contientiznd riscurile Activiti RG3.1 Obinerea implicrii efective a managementului pentru abordarea analizei riscului IT RG3.2 Aprobarea analizei de risc IT RG3.3 Incorporarea considerentelor de risc IT n procesul de luare a deciziilor strategice ale afacerii RG3.4 Acceptarea riscurilor IT RG3.5 Prioritizarea activitilor de rspuns la riscurile IT
Procesul RR2 Managementul riscurilor Activiti RR2.1 Inventarierea controalelor RR2.2 Monitorizarea alinierii operaionale cu pragurile de toleran a riscurilor RR2.3 Rspunsul la expunerea la riscurile descoperite RR2.4 Implementarea controalelor RR2.5 Raportarea ndeplinirii planului de aciune privind riscurile IT
Procesul RR3 Reacia la evenimente Activiti RR3.1 Meninerea planurilor de rspuns la incidente RR3.2 Monitorizarea riscurilor IT RR3.3 Iniierea rspunsului la incidente RR3.4 Comunicarea leciilor nvate din evenimentele referitoare la risc
Monitorizarea riscurilor i a factorilor de risc trebuie s fie revizuit, pentru a face fa mediului n schimbare. De asemenea, procesele i activitile trebuie s fie actualizate. Trebuie s fie meninut o privire de ansamblu care s ofere o imagine complet a riscurilor.
ISO/IEC 27006:2007 Information Technology Security Techniques Information Security Management Systems Requirements for Bodies providing Audit and Certification of Information Security Management Systems
Adoptarea SMSI trebuie s fie o decizie strategica pentru o organizaie. Proiectarea i implementarea unui SMSI ntr-o organizaie este influenat de nevoile i obiectivele acesteia, de cerinele de securitate, de procesele existente i de mrimea i structura organizaiei. Standardul internaional ISO/IEC 27001:2005 poate fi folosit pentru evaluarea conformitii de ctre prile interesate: management, auditori interni, auditori externi i ali factori externi. ISACA ITGI a asigurat convergena cu standardul ISO/IEC 27001:2005 prin maparea acestui standard peste procesele COBIT. Prin trecerea la noua arhitectur COBIT 5, propus de ITWG, noul cadru de lucru va asigura i conformitatea cu aceste standarde de securitate.
Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz securitatea sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale ale OECD 63 Standardul internaional ISO/CEI 27001 asigura un model pentru implementarea principiilor care guverneaz analiza riscului, planificarea i implementarea securitii, managementul securitii i revizuirea. Acest standard internaional acoper toate tipurile de organizaii, specific cerinele pentru stabilirea, implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea unui SMSI documentat n contextul general al riscurilor de afaceri ale organizaiei, precum i cerinele pentru implementarea msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri din aceasta. Standardul furnizeaz, de asemenea, ndrumri pentru implementare, care pot fi folosite atunci cnd sunt proiectate msurile de securitate.
63
A.9 Securitatea fizic i a mediului de lucru A.9.1 Zone de securitate: Prevenirea accesului fizic neautorizat, a distrugerilor i a ptrunderii n interiorul organizaiei precum i a accesului neautorizat la informaii. A.9.2 Securitatea echipamentelor: Prevenirea pierderii, avarierii, furtului sau compromiterii resurselor i a ntreruperii activitilor din cadrul organizaiei. A.10 Managementul comunicaiilor i operaiunilor A.10.1 Proceduri operaionale i responsabiliti: Asigurarea operrii corecte i n condiii de securitate a sistemelor de procesare a informaiei. A.10.2 Managementul serviciilor furnizate de teri: Implementarea i meninerea unui nivel corespunztor al securitii informaiei i al livrrii serviciilor n concordan cu acordurile de furnizare de ctre teri. A.10.3 Planificarea i acceptana sistemelor: Reducerea riscurilor de disfuncionaliti ale sistemelor. A.10.4 Protecia mpotriva codurilor mobile i duntoare : Asigurarea protejrii integritii software-ului i a informaiei. A.10.5 Copie de siguran: Meninerea integritii i disponibilitii informaiei i a sistemelor de procesare a informaiei. A.10.6 Managementul securitii reelei: Asigurarea proteciei reelelor de informaii i a proteciei infrastructurii suport. A.10.7 Manipularea mediilor de stocare: Prevenirea divulgrii neautorizate, modificrii, ndeprtrii sau distrugerii resurselor i ntreruperii activitilor afacerii. A.10.8 Schimbul de informaii: Meninerea securitii schimbului de informaie i software n interiorul unei organizaii sau cu orice entitate extern. A.10.9 Serviciile de comer electronic: Asigurarea securitii serviciilor de comer electronic i a utilizrii lor n condiii de siguran. A.10.10 Monitorizarea: Identificarea activitilor neautorizate de procesare a informaiei. A.11 Controlul accesului A.11.1 Cerinele afacerii pentru controlul accesului: Controlul accesul la informaie. A.11.2 Managementul accesului utilizatorului: Asigurarea accesului autorizat al utilizatorului i prevenirea accesului neautorizat la sistemele informatice. A.11.3 Responsabilitile utilizatorului: Prevenirea accesului neautorizat al utilizatorului, precum i a compromiterii sau furtului de informaii i sisteme de procesare a informaiilor. A.11.4 Controlul de acces la reea: Prevenirea accesului neautorizat la serviciile de reea. A.11.5 Controlul accesului la sistemul de operare: Prevenirea accesului neautorizat la sistemele de operare. A.11.6 Controlul accesului la aplicaii i informaii: Prevenirea accesului neautorizat la informaia deinut n sistemele de aplicaii. A.11.7 Prelucrarea datelor folosind echipamente mobile i lucrul la distan: Asigurarea securitii informaiei atunci cnd se folosesc sisteme pentru prelucrarea datelor care utilizeaz echipamente mobile i de lucru la distan. A.12 Achiziionarea, dezvoltarea i mentenana sistemelor informatice A.12.1 Cerine de securitate pentru sistemele informaionale : Asigurarea faptului c securitatea este parte integrant a sistemelor informatice. A.12.2 Procesarea corect a datelor n cadrul aplicaiilor: Prevenirea erorilor, pierderilor, modificrilor neautorizate sau a folosirii greite a informaiilor n cadrul aplicaiilor. A.12.3 Msuri criptografice: Protejarea confidenialitii, autenticitii sau a integritii informaiei prin metode criptografice. A.12.4 Securitatea fiierelor de sistem: Asigurarea securitii fiierelor de sistem.
Pag. 78 din 214
A.12.5 Securitatea n procesele de dezvoltare i de suport : Meninerea securitii produselor software de aplicaii de sistem i a informaiei. A.12.6 Managementul vulnerabilitilor tehnice: Reducerea riscurilor care decurg din exploatarea vulnerabilitilor tehnice. A.13 Managementul incidentelor de securitate a informaiei A.13.1 Raportarea evenimentelor produse i a slbiciunilor privind securitatea informaiei : Asigurarea faptului c evenimentele de securitate a informaiei i slbiciunile asociate sistemelor informaionale sunt comunicate de o manier astfel nct s permit ntreprinderea la timp a aciunilor corective. A.13.2 Managementul incidentelor de securitate a informaiei i mbuntiri : Asigurarea faptului c pentru managementul incidentelor de securitate a informaiei este aplicat o abordare con sistent i eficient. A.14 Managementul continuitii afacerii A.14.1 Aspecte de securitate a informaiei privind managementul continuitii afacerii : Contracararea oricror discontinuiti n activitile afacerii i protejarea proceselor critice ale afacerii fa de efectele cderilor majore ale sistemelor informaionale sau mpotriva dezastrelor, precum i asigurarea relurii activitii n timp optim. A.15 Conformitatea A.15.1 Conformitatea cu cerinele legale: Evitarea nclcrii oricrei legi, obligaii statutare, de reglementare sau contractuale sau a oricrei alte cerine de securitate. A.15.2 Conformitatea cu standardele i politicile de securitate i conformitatea tehnic: Asigurarea conformitii cu standardele i politicile de securitate organizaionale. A.15.3 Consideraii privind auditul asupra sistemelor informaionale : Maximizarea eficienei procesului de audit i minimizarea interferenei acestuia asupra sistemelor informaionale.
Capitolul 3. Riscuri IT
Riscul IT este o component a universului general al riscurilor ntreprinderii. Alte categorii de riscuri cu care se confrunt o ntreprindere includ: riscul strategic, riscul de mediu, riscul de pia, riscul de credit, riscul operaional i riscul de conformitate. n multe ntreprinderi, riscul legat de IT este considerat a fi o component a riscului operaional, de exemplu, n cadrul Basel II pentru zona financiar. Cu toate acestea, chiar i riscul strategic poate avea o component IT, n special n cazul n care IT este element cheie al iniiativelor de afaceri noi. Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influena i adoptarea de IT n cadrul unei ntreprinderi. Se compune din evenimente legate de IT i din condiii care ar putea avea impact potential asupra afacerii. Acesta poate aprea cu frecven i amploare incerte, i poate s creeze probleme n atingerea obiectivelor strategice i a obiectivelor. Riscurile IT pot fi clasificate n diferite moduri: Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru iniiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operaiunilor Riscuri privind livrarea programelor i proiectelor IT: calitatea proiectului, relevana proiectului, perturbri n derularea proiectului. Riscuri privind operarea i livrarea serviciilor IT: stabilitatea n funcionare, disponibilitatea, protecia i recuperarea serviciilor, probleme de securitate, cerine de conformitate . Multe probleme legate de riscul IT pot aprea din cauza problemelor generate de teri (furnizarea de servicii, dezvoltarea de soluii), parteneri IT i parteneri de afaceri. Prin urmare, buna gestionare a riscurilor IT impune dependene semnificative care urmeaz s fie cunoscute i bine nelese. Datorita importanei IT pentru ntreprindere (afacere), riscurile IT ar trebui s fie tratate la fel ca alte riscuri de afaceri cheie, cum ar fi riscul strategic, riscul de mediu, riscul de pia, riscul de credit, riscurile operaionale i riscul de conformitate, toate acestea avnd impact major asupra ndeplinirii obiectivelor strategice. Riscul IT nu este doar o problem tehnic. Dei experii n IT sunt interesai s neleag i s gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre prile interesate. Managerii trebuie s determine care este necesarul de IT pentru a sprijini activitatea lor, s stabileasc obiectivele pentru IT i, n consecin, care sunt responsabilii cu gestionarea riscurilor asociate.
Apetitul pentru risc este valoarea de risc, n sens larg, pe care o societate sau alt entitate este dispus s o accepte, n exercitarea misiunii sale (sau viziunii). Atunci cnd se analizeaz nivelurile apetitului de risc pentru ntreprindere, sunt importani doi factori majori: a) Capacitatea ntreprinderii n raport cu obiectivul de a absorbi pierderile (de exemplu, pierderile financiare, afectarea reputaiei) b) Cultura managementului sau predispoziia fa de risc: prudent sau agresiv. Aceasta se poate transpune n valoarea pierderilor pe care organizaia vrea s o accepte la un momnent dat, n perspectiva unei redresri. Apetitul pentru risc poate fi definit n practic n termenii combinaiilor frecvenei i magnitudinii unui risc. Apetitul pentru risc este diferit n rndul organizaiilor, neexistnd absolut nici o norm sau standard privind ceea ce constituie un risc acceptabil i inacceptabil. Fiecare ntreprindere trebuie s defineasc nivelurile sale de risc propriu n ceea ce privete apetitul pentru risc i s opereze revizuirea acestora n mod regulat. Aceast definiie ar trebui s fie n concordan cu cultura global a riscurilor pe ca re ntreprinderea dorete s o exprime, de exemplu, variind de la aversiunea fa de risc, la asumarea riscului/cutarea oportunitilor. Nu exist nici un cuantificator universal pentru bun sau ru, dar riscurile trebuie s fie definite, bine nelese i comunicate. Apetitului pentru risc i tolerana la risc ar trebui s fie aplicate nu numai n evalurile de risc, dar i, n procesul de luare a deciziilor privind toate riscurile IT. Tolerana riscului este variaia acceptabil n raport cu realizarea unui obiectiv, cu alte cuvinte, este abaterea tolerabil fa de nivelul stabilit de ctre apetitul pentru risc i de obiectivele afacerii (de exemplu, standardele care impun proiecte care urmeaz s fie finalizate la termen, cu bugetele financiare i de timp estimate, dar admind depiri de 10% din buget sau 20% din timp).
3.2
Auditul sistemelor/serviciilor informatice64 reprezint o activitate de evaluare a sistemelor informatice prin prisma optimizrii gestiunii resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii specifice: eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru de referin (standarde, bune practici, cadru legislativ etc.). Prin utilizarea sistemelor informatice, se modific abordarea auditului datorit noilor modaliti de prelucrare, stocare i prezentare a informaiilor, furnizate de aplicaiile informatice, fr a schimba ns obiectivul general i scopul auditului. Procedurile tradiionale de colectare a datelor i de interpretare a rezultatelor sunt nlocuite, total sau parial, cu proceduri informatizate. Existena sistemului informatic poate afecta sistemele interne de control utilizate de entitate, modalitatea de evaluare a riscurilor, performana testelor de control i a procedurilor de fond utilizate n atingerea obiectivului auditului. Cu toate c prezena tehnologiei informaiei nu modific obiectivele fundamentale ale auditului, prin specificul lor, sistemele informatice pot influena opinia auditorului cu privire la risc sau pot impune ca auditorul s adopte o abordare diferit a misiunii de audit. Principalele aspecte implicate de auditarea n mediul informatizat, care pot induce ambiguiti sau erori pe parcursul auditului, sunt: (a) se poate permite anonimatul prin depersonalizarea utilizatorului i, implicit, se poate reduce rspunderea; (b) se pot permite modificri neautorizate sau neautentificate ale datelor contabile; (c) se poate permite duplicarea intrrilor sau a prelucrrilor; (d) sistemele informatice sunt vulnerabile la accesul de la distan i neautorizat; (e) se pot ascunde sau se pot face invizibile unele procese; (f) se poate terge sau ascunde pista de audit; (g) se pot difuza date, n mod neautorizat, n sistemele distribuite; (h) aplicaiile pot fi operate de contractani externi, care utilizeaz standarde i controale proprii sau pot altera informaiile n mod neautorizat. n cazul auditului unui sistem informatic care furnizeaz informaii relevante pentru o misiune de audit financiar, evaluarea sistemului informatic se efectueaz n scopul furnizrii unei asigurri rezonabile privind funcionarea sistemului, necesare auditului financiar la care este supus entitatea. n cazul n care informaiile necesare auditului sunt furnizate de aplicaii sau sisteme complexe, este necesar consultarea sau participarea n cadrul echipei de audit a unui specialist care posed cunotine i aptitudini specializate n domeniul auditului sistemelor info rmatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii n scopul nelegerii semnificaiei i complexitii procedurilor informatice, a prelucrrii datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului de cont rol intern, n scopul planificrii i abordrii auditului, adecvate la noile tehnologii i va formula recomandri privind punctele slabe ale sistemului informatic, n vederea remedierii anomaliilor constatate. Evaluarea va avea ca rezultat formularea unei opinii privind ncrederea pe care o asigur sistemul informatic, n condiiile utilizrii sale ca surs de informaii sau ca suport n cadrul misiunii de audit.
64
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT (hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea, transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor informatice. Pag. 83 din 214
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea auto mat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor de calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr validarea acestora. Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automa tizate, precum i a performanei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator. Sistemele informatice au unele caracteristici inerente care pot afecta att abordarea auditului, ct i evaluarea efectuat de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic sporesc acest risc i reclam o atenie special din partea auditorului. n seciunile care urmeaz prezint scurte rezumate ale acestor caracteristici, accentul fiind pus pe aspectel e eseniale care trebuie avute n vedere: responsabilitatea, vulnerabilitatea la modificri, uurina copierii, riscurile accesului de la distan, procesare invizibil, existena unui parcurs al auditului, distribuirea datelor, ncrederea n prestatorii de servicii IT i utilizarea nregistrrilor furnizate de calculator ca prob de audit.
3.2.1 Responsabilitatea
Utilizatorii calculatorului sunt implicit anonimi. Sistemele care nu pot identifica i nregistra aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai nclinai s efectueze activiti informatice neautorizate dac nu pot fi identificai i trai la rspundere. Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific precis utilizatorii individuali i nregistreaz aciunile acestora. Deintorii de sisteme IT / IS pot reduce riscul asociat cu utilizatorii anonimi, n primul rnd, prin atribuirea de coduri unice de identificare utilizatorilor i, n al doilea rnd, prin obligaia de a-i autentifica identitatea atunci cnd intr n sistem. Parola este cea mai utilizat metod de autentificare a identitii utilizatorului. Pentru a crete gradul de rspundere se pot aduga tranzaciilor controale suplimentare, sub form de semnturi electronice.
considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua fiabilitatea datelor informatice. Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator pot s nu fie admise ca probe n justiie dac nu se poate arta c exist controale destul de puternice pentru a nltura dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.
3.3
n cazul informatizrii unei pri semnificative a activitii entitii, se impune evaluarea influenei utilizrii sistemului informatic asupra riscurilor auditului (inerent i de control), avnd n vedere aspectele legate de relevana i credibilitatea probelor de audit. Vom prezenta n continuare o serie de probleme tipice cu impact semnificativ asupra riscului de audit. (a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le parcurge tranzacia, generndu-se n cele mai multe cazuri numai o form final i uneori numai n format electronic sau disponibil numai pentru o perioad scurt de timp . n lipsa unor proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de audit fiind neconcludent. (b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i duc la obinerea unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare al tranzaciilor i complexitatea algoritmilor de prelucrare. (c) Concentrarea operrii unor proceduri cu funcionalitate incompatibil la nivelul aceluiai individ, proceduri care, potrivit legislaiei sau reglementrilor interne privind separarea atribuiilor, ar trebui operate de ctre persoane diferite, genereaz executarea unor funcii incompatibile i posibilitatea accesului i alterrii coninutului informaional n funcie de interese personale. O cerin important legat de operarea sistemului informatic este distribuirea aplicaiilor n cadrul entitii i alocarea drepturilor de utilizare n conformitate cu necesitatea separrii atribuiilor, impus de legislaie. (d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte privind autorizarea accesului i intervenia asupra fondului de date, n dezvoltarea, ntreinerea i operarea sistemului informatic, exist un potenial foarte mare de alterare a fondului de date fr o dovad explicit. (e) Ca urmare a gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de proiectare sau de actualizare a unor componente software. (f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea acestora de ctre management poate fi implicit prin modul n care a fost proiectat i dezvoltat sistemul informatic i pentru modificrile ulterioare, ceea ce presupune lipsa unei autorizri similare celei din sistemul manual, asupra procedurilor i tranzaciilor. (g) Eficacitatea procedurilor manuale de control este afectat de eficacitatea controalelor IT n situaia n care procedurile manuale se bazeaz pe documente i rapoarte produse n mod automat de sistemul informatic.
Pag. 87 din 214
(h) Extinderea structurii de control intern cu controale specializate, bazate pe utilizarea tehnologiei informaiei, are efecte n planul monitorizrii activitii entitii prin utilizarea unor instrumente analitice oferite de sistemul informatic. (i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor i instrumentelor asistate de calculator, este facilitat de existena unor proceduri de prelucrare i analiz oferite de sistemul informatic. (j) Evaluarea riscurilor n cazul misiunilor de audit n mediu informatizat trebuie s aib n vedere probabilitatea obinerii unor informaii eronate cu impact semnificativ asupra auditului ca rezultat al unor deficiene n funcionarea sistemului informatic,. Aceste deficiene pot fi legate att de calitatea infrastructurii hardware i/sau software, de dezvoltarea i ntreinerea aplicaiilor, de operarea sistemului, de securitatea sistemului i a informaiilor, de calitatea personalului implicat n funcionarea sistemului, de calitatea documentaiei tehnice, ct i de interveniile neautorizate asupra aplicaiilor, bazelor de date sau condiiilor procedurale impuse n cadrul sistemului. Evaluarea riscurilor are n vedere urmtoarele tipuri de analize: a) Dac utilizarea sistemului se realizeaz n cadrul unei structuri clar definite, conducerea este informat despre activitatea IT i este receptiv la schimbare, gestionarea resurselor umane se face eficient, monitorizarea cadrului legislativ i a contractelor cu principalii furnizori se desfoar cores punztor, are loc revizuirea funcionalitii, operrii i dezvoltrilor de componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu expun entitatea la riscuri nejustificate; b) Dac accesul neautorizat la datele sau programele critice este prevenit i controlat, mediul n care opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii; c) Dac aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i au implementate controale sigure asupra integritii datelor; d) Dac sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate) sau a furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o perioad de timp rezonabil; e) Dac personalul este pregtit i are capabilitile necesare pentru operarea i ntreinerea sistemului; f) Dac sistemul informatic este conform cu cerinele proiectului i cu reglementrile aplicabile n vigoare. n proiectarea procedurilor de audit, se vor lua n considerare restriciile impuse de mediul informatic i se vor alege soluii care s reduc riscul de audit: proceduri manuale de audit, tehnici de audit asistat de calculator, o soluie mixt, n scopul obinerii unor probe de audit de ncredere.
3.4
Argumentul fundamental al auditrii bazate pe risc este acela c livrarea serviciilor informatice joac un rol semnificativ n toate aspectele activitilor unei organizaii. Impactul asupra unei afaceri, n condiiile n care anumite pri ale livrrii serviciilor IT eueaz, este adesea critic, motivul fiind, n cele mai multe cazuri, lipsa informrii privind riscurile poteniale. Din acest motiv, n manual este prezentat un model care descrie serviciile informatice specifice administraiei publice i riscurile asociate care apar cel mai frecvent. Ceea ce este indispensabil n tratarea riscurilor, pe lng identificarea, evaluarea i analiza acestora, este dezvoltarea unei strategii pentru managementul riscurilor. Pentru completitudine, pe lng evaluarea
Pag. 88 din 214
riscurilor, n lucrare sunt descrise att impactul pe care acestea l au asupra organizaiei ct i strategiile tipice de management al riscurilor recomandate. Sunt necesare informaii pentru a cunoate ce aciuni ar putea evolua ntr -o direcie greit, care sunt cauzele i probabilitatea unui impact posibil, care este probabilitatea ca un risc identificat s apar, ce trebuie fcut pentru a preveni apariia unui risc, ce ar trebui tiut dac acest risc apare, ce ar trebui fcut pentru a diminua impactul riscului, precum i dac aciunile alternative ar putea produce alte riscuri i dac acestea pot fi mai severe. Realizarea efectiv a managementului riscurilor se asigur printr-o secven complex de aciuni care include: a) Stabilirea obiectivelor i contextului (mediul riscurilor) b) Identificarea riscurilor c) Analiza riscurilor identificate d) Evaluarea riscurilor e) Tratarea sau managementul riscurilor f) Monitorizarea i revizuirea cu regularitate a riscurilor i a mediului acestora g) Raportarea riscurilor Acestea sunt trecute n revist pe scurt, urmnd a fi tratate n detaliu n coninutul manualului. a) Stabilirea obiectivelor i contextului (mediul riscurilor) Scopul acestei etape a planificrii este nelegerea mediului n care opereaz afacerea, att mediul de operare extern, ct i cultura intern a organizaiei. Analiza are n vedere stabilirea contextului strategic, organizaional i de management al riscurilor afacerii i identificarea constrngerilor i a oportunitilor mediului de operare. n urma analizei efectuate rezult punctele slabe, oportunitile i prioritile afacerii. De asemenea, se stabilete obiectivul afacerii fa de care se efectueaz evaluarea riscurilor. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: analiza unor documentaii relevante ale organizaiei, examinarea obiectivelor afacerii, analiza planurilor de afaceri, analiza managementului riscurilor, identificarea vulnerabilitilor cu privire la inteniile conducerii n legtur cu atingerea obiectivelor, analize SWOT65 i PEST66. b) Identificarea riscurilor Prin utilizarea informaiilor colectate n legtur cu contextul, se identific riscurile care vor afecta cu cea mai mare probabililtate ndeplinirea obiectivelor afacerii. Intrebrile cheie care trebuie formulate pentru a identifica riscurile sunt: cnd, unde, de ce i cum este probabil apariia riscurilor? care sunt riscurile asociate cu rezultatele fiecreia dintre prioritile organizaiei? care sunt riscurile de a nu atinge aceste prioriti? cine ar putea fi implicat n apariia unor riscuri? Paii care se parcurg n etapa de identificare a riscurilor sunt: inventarierea riscurilor, identificarea surselor de risc, identificarea impactului riscului. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: generarea de scenarii privind posibilele surse de risc liste de verificare ale posibilelor riscuri ale afacerii sau ale posibilelor riscuri de fraud
65 66
SWOT - Strength, Weaknesses, Opportunities and Threats PEST - Political, Economic, Societal and Technological Pag. 89 din 214
analiza riscurilor tipice n fazele proceselor de achiziii scenariul de planificare, ca instrument de evaluare a riscurilor harta proceselor documentaii, rapoarte de audit, rapoarte de evaluare i/sau de cercetare.
c) Analiza riscurilor In etapa de identificare a controalelor asociate riscurilor i a eficacitii acestora asupra riscurilor respective, pentru fiecare risc se stabilesc controale adecvate i eficace pentru prevenirea sau pentru minimizarea impactului acestuia. Eficacitatea controlului se apreciaz prin unul dintre calificati vele: neadecvat, moderat, adecvat. Aceste controale se iau n considerare n strategia de tratare a riscului. Pentru fiecare risc trebuie definit profilul prin definirea probabilitii i a unor criterii privind consecinele. Intrebrile cheie care trebuie formulate pentru definirea probabilitii i a unor criterii privind consecinele apariiei riscurilor sunt: Ct de serioase sunt consecinele dac riscul apare? Care este probabilitatea ca riscul s apar? Care este nivelul de risc acceptat? Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: identificarea controalelor asociate riscurilor i a eficaciti acestora definirea probabilitii i a consecinelor (matricea riscurilor). d) Evaluarea riscurilor In procesul de evaluare a riscului este necesar stabilirea nivelului de risc ca fiind acceptabil sau inacceptabil. Riscul acceptabil va fi stabilit de raportul dintre importana informaiei i sursele de finanare existente pentru obinerea i gestionarea acesteia. Dac riscul este acceptabil nu sunt necesare tratri suplimentare pe lng controalele curente. Riscurile acceptabile trebuie s fie monitorizate i revizuite periodic pentru a avea asigurarea c rmn acceptabile. Dac riscul este inacceptabil este necesar tratarea corespunztoare a acestuia. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: analize comparative analize de costuri modul de percepere a ameninrii analiza efectelor poteniale. e) Tratarea sau managementul riscurilor Obiectivul acestei etape a procesului de evaluare a riscului este de a gsi opiuni cu costuri mici pentru tratarea riscului. Metodele de tratare sunt: prevenirea riscului, reducerea riscului, transferarea riscului ctre alt zon i tratarea propriu-zis a riscului. Pentru fiecare risc se determin opiunile de tratare care vor fi implementate, se determin nivelul de risc, se aloc responsabilitile i se elaboreaz graficul de implementare. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
identificarea opiunilor pentru tratarea riscurilor prevenirea riscului reducerea riscului transferarea riscului (de exemplu, externalizarea activitilor) tratarea riscului analiza cost/beneficiu identificarea opiunilor care trebuie implementate pentru tratarea riscului potenial determinarea nivelului int al riscului
Pag. 90 din 214
f) Monitorizarea riscurilor Riscurile i prioritile asociate nu rmn constante, fiind necesar o monitorizare continu a riscurilor identificate i a riscurilor noi. Pentru monitorizarea riscurilor trebuie stabilite: modul de msurare a prelucrrilor, termene, analize c omparative, cine are responsabilitatea revizuirii, stadiul tratrii riscurilor, frecvena revizuirilor. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: elaborarea i ndeplinirea planurilor de aciuni, analize comparative raportarea riscurilor g) Raportarea riscurilor Este necesar implementarea unui cadru de lucru care s permit persoanelor responsabile s prezinte rapoarte privind: riscurile cheie, modul de gestionare a riscurilor, eficacitatea strategiei de tratare, identificarea unor riscuri noi cu implicaii pentru afacere. Riscurile neacceptabile i strategiile de tratare a acestora trebuie incluse n planurile de afaceri ale orga nizaiei.
3.5
nelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum i a procedurilor de evaluare i management al riscurilor este fundamental n efectuarea auditului. Evaluarea riscurilor generate de funcionarea sistemului informati c, prin analiza unor factori cu impact n desfurarea activitii entitii auditate, respectiv: dependena de IT, resurse i cunotine IT, ncrederea n IT, schimbri n IT, externalizarea IT, securitatea informaiei, evaluarea sistemelor IT prin prisma respectrii legislaiei n vigoare, este esenial. Pornind de la aceste considerente, auditarea managementului serviciilor IT, bazate pe principiile evalurii i managementului riscurilor este indispensabil pentru dezvoltarea unei strategii adecvate n acest domeniu.
3.5.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina actual este de a se generaliza utilizarea calculatoarelor n toate domeniile economice i sociale. n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va examina urmtoarele aspecte relevante: gradul de automatizare al entitii, complexitatea sistemelor informatice utilizate i timpul de supravieuire al entitii n lipsa sistemului IT. Factori de risc (a) Gradul de automatizare se determin prin inventarierea echipamentelor i tehnologiilor software existente, aprecierea numrului i importanei sistemelor informatice sau aplicaiilor care funcioneaz i sunt utilizate n cadrul entitii pentru conducerea proceselor, evaluarea ponderii activitilor informatizate n totalul activitilor entitii, precum i a gradului de acoperire a necesitilor n compartimentele fun cionale i la nivelul conducerii.
Pag. 91 din 214
(b) Complexitatea sistemelor IT este determinat de complexitatea i specificul activitii (economic, industrial, social, cultural, de nvmnt, cercetare etc.) i poate fi caracterizat de volumul tranzaciilor gestionate de sistemele informatice, de forma de prezentare (alfanumeric, multimedia, analogic), de tehnologia folosit, de modul de operare (n timp real sau n loturi), de volumul tranzaciilor gene rate automat de ctre aplicaii. (c) Timpul de supravieuire fr IT poate fi un factor de risc major n cazul sistemelor pentru care timpul de rspuns este critic (mai ales pentru sistemele cu funcionare n timp real), al sistemelor care prelucreaz un volum mare de tranzacii, al sistemelor care au la baz algoritmi i modele complexe a cror rezolvare nu se poate efectua manual, precum i n entitile care au ntreaga activitate informatizat iar substituirea procedurilor automate prin proceduri manuale este foarte costisitoare sau imposibil. n unele cazuri, ntrzierile datorate nefuncionrii sistemului informatic se transfer n costuri sem nificative suportate de ctre entitate, cu impact major asupra afacerii.
o structur organizaional clar, formalizat n organigrama entitii; descrierea posturilor; planificarea personalului; instruirea i dezvoltarea personalului; politici de angajare/concediere (inclusiv coduri de conduit); evaluarea personalului (promovare/retrogradare); contracte speciale; rotaia personalului; concediile personalului.
Factori de risc (a) Aptitudinile curente se constituie n cadrul structurii profesionale a angajailor IT prin aciuni care influeneaz nivelul de pregtire al angajailor IT n raport cu necesitile entitii. Se determin prin evaluarea personalului IT i prin analiza diseminrii cunotinelor la nivelul ntregului personal. Este de dorit ca aceste cunotine s nu fie concentrate la nivelul unui numr restrns de personal. (b) Resursele comparate cu volumul de munc indic gradul de ncrcare a personalului i acoperirea n raport cu cerinele activitii entitii. Este un factor de risc important ntruct repartizarea dezechilibrat a sarcinilor poate genera suprasolicitare i, implicit, insatisfacia personalului. (c) Structura conducerii departamentului IT este determinant n ceea ce privete coordonarea proiectelor informatice i valorificarea rezultatelor implementrii i utilizrii acestora pentru asigurarea succesului afacerii. (d) Fluctuaia personalului se refer la o perioad de un an i este determinat n principal de satisfacia profesional i material i de moralul personalului IT.
Pag. 92 din 214
3.5.3 ncrederea n IT
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea rezultatelor furnizate de acestea n cadrul unei entiti (management, utilizatori, auditori) este determinat att de calitatea informaiilor obinute, ct i gradul n care se asigur utilizarea tehnologiilor informatice ca instrumente accesibile i prietenoase n activitatea curent. Factori de risc (a) Complexitatea sistemului i documentaia disponibil. Sunt apreciate prin percepia privind complexitatea calculelor i a proceselor controlate de ctre sistemele IT, prin amploarea automatizrii activitilor desfurate n cadrul entitii, prin calitatea i varietatea interfeelor, prin informaiile docu mentare aferente utilizrii aplicaiilor i sistemului. De asemenea, este relevant opinia utilizatorilor despre dificultatea operrii. Riscurile asociate unor politici neadecvate n ceea ce privete existena i calitatea documentaiei sunt generate de practici de lucru neautorizate adoptate de personalul IT, de creterea numrului de erori pro duse din aceast cauz de personalul IT, la care se adaug i dificultatea ntreinerii sistemului, precum i dificultatea diagnosticrii erorilor. Politica privind documentarea impune n primul rnd pstrarea i utilizarea documentaiei actualizate la ultima versiune i pstrarea unei copii a documentaiei ntr-un loc sigur n afara sediului entitii. (b) Integrarea/fragmentarea aplicaiilor. Opinia privind gradul de integrare a aplicaiilor n sistem decurge din analiza arhitecturii acestuia. n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme punctuale (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de impedimente cum ar fi: difi cultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaiilor i a evita multiplicarea informaiilor. Tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte, informaiile introduse n sistem sunt validate ntr-o manier eterogen, respectiv prin proceduri automate combinate cu pro ceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea inconsistenei sau redundanei datelor. Lipsa unei soluii integrate se reflect de asemenea n existena unor baze de date diverse, unele instalate pe platforme hardware/software nvechite, existen a unor interfee utilizator diferite i uneori neadecvate, a unor faciliti de comunicaie reduse i a unor probleme de securitate cu riscuri asociate. (c) Erori sistematice/intervenii manuale. Pentru a evalua sigurana n funcionare i pentru a detecta cauzele tipice n situaia fiabilitii sczute a sistemului informatic, este necesar efectuarea unei examinri privind erorile raportate n cadrul utilizrii sistemului i n ce msur este asigurat suportul tehnic pentru analiza i corectarea acestora n mediul de producie, n ce msur datele generate de siste m sufer prelucrri manuale adiionale din partea utilizatorilor, precum i problemele de reconciliere ntre diverse sisteme informatice sau din cadrul sistemului (dac exist). Dup cum am menionat n para graful anterior, gradul ridicat de fragmentare al sistemului informatic implic aciuni frecvente ale utilizatorului n procesul de prelucrare i influene n ceea ce privete respectarea fluxului documentelor, ceea ce crete foarte mult riscul de eroare. (d) Scalabilitatea sistemului. n funcie de soluia arhitectural implementat i de estimrile iniiale privind dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri sem nificative ale volumului de tranzacii generate de schimbri majore n activitatea entitii. Estimarea riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii implic decizii importante la nivelul managementului, n sensul reproiectrii acestuia, i, implicit, privind alocarea unui buget corespunztor.
Pag. 93 din 214
(e) Sisteme depite. Evoluiile remarcate n activitatea organizaiilor, ct i dinamica crescut n evoluia tehnologiilor informaiei se reflect frecvent n dificultatea sau imposibilitatea adecvrii ritmului schim brilor sistemelor informatice cu nivelul tehnologic. Succesul afacerii va avea de suferit n lipsa unui management al schimbrii platformelor hardware/software corespunztor, prin adoptarea unor politici de nlocuire a sistemelor depite i de cretere continu a nivelului tehnologic.
Schimbri neautorizate accidentale sau deliberate ale sistemelor: de exemplu, modificri neautorizate din partea programatorilor fcute n mediul de producie; Termene depite pentru implementarea unor probleme: de exemplu, schimbarea nu este efectuat la timp pentru a satisface cerinele afacerii (o aplicaie privind plata unor taxe la termene stabilite prin lege); Raportri i prelucrri eronate: sisteme care nu efectueaz prelucrrile conform cerinelor i pot genera: pli eronate, raportri confuze etc.; Insatisfacia utilizatorului: poate genera erori de introducere a datelor, moral sczut al personalului, scderea productivitii, aciuni sindicale; Dificulti de ntreinere: calitatea sczut a sistemelor care genereaz cheltuieli mari de ntreinere, calitatea sczut sau lipsa documentaiei tehnice, schimbrile multiple ale sistemului fr o gestiune a versiunilor instalate n mediul de producie, lipsa unor proceduri privind managementul problemelor; Utilizarea de hardware i software neautorizate: poate conduce la incompatibiliti ntre diferite pri ale sistemului, sau la incidena cu legislaia referitoare la drepturile de autor; Probleme privind schimbrile de urgen: schimbrile de urgen necontrolate n mediul de producie pot conduce la alterarea sau pierderea datelor i a fiierelor.
Pentru evaluarea impactului pe care l au schimbrile sistemului informatic n viaa organizaiei se examineaz urmtoarele aspecte:
Care sunt nivelul i natura activitii departamentului IT i dac sunt n desfurare proiecte semnificative. Dac achiziia i/sau dezvoltarea de programe s-au realizat pe baza cerinelor afacerii. Care este reputaia furnizorilor externi IT i a sistemelor folosite n cazul achiziiei de software, precum i metodologia de dezvoltare intern a aplicaiilor. Dac noua platform hardware/software are n vedere tehnologii de ultim generaie. n ce msur se vor impune n viitorul apropiat modificri n sistemele IT generate de modificri structurale ale proceselor afacerii.
Pag. 94 din 214
costurile: furnizorii de servicii IT ofer servicii mai ieftine dect soluia in-house, prin exploatarea extensiv a configuraiilor proprii; ealonarea cheltuielilor: nlocuirea unor echipamente costisitoare genereaz cheltuieli iniiale mari care se vor recupera ntr-un timp ndelungat, n timp ce plata ealonat a serviciilor este suportat mai uor de ctre entitate; recrutarea, formarea i meninerea personalului: entitatea elimin sarcinile legate de managementul resurselor umane; gestionarea capacitii: furnizorul serviciilor IT este capabil s suplimenteze resursele IT n situaii de suprancrcare prin realocarea capacitilor disponibile; furnizarea specialitilor: entitatea poate avea nevoie temporar de specialiti pe anumite domenii, nejustificndu-se angajarea permanent a acestora; experiena i expertiza: furnizorii de servicii IT dispun de o larg experien n multe sectoare de activitate i n multe organizaii, fiind capabili s ofere soluii i idei de perfecionare pentru serviciile IT, care nu s-ar putea formula dac aceste servicii ar rmne in house; responsabilitate: furnizorul este responsabil pentru rezolvarea problemelor care fac obiectul contractului, pentru livrarea serviciilor la standardele i preurile stabilite; implementarea mai rapid a noilor sisteme: furnizorii de servicii, datorit resurselor i experienei personalului implicat n permanen n dezvoltarea sistemelor, sunt capabili s implementeze la timp sisteme noi i s gestioneze problemele care apar, referitoa re la acestea.
Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a pieei n scopul alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile corelate cu calitatea serviciilor. Factori de risc Evaluarea riscurilor achiziionrii serviciilor IT de la un furnizor de servicii se face n funcie de poziia entitii auditate n acest proces: entitatea auditat este furnizorul serviciilor IT sau entitatea auditat achiziioneaz serviciile IT. Examinarea este diferit pentru fiecare caz n parte. Auditorul va revizui controalele specifice n funcie de unghiul de vedere al auditului: controale de acces logice i fizice, controale privind managementul schimbrii etc. (a) Drepturi de acces n auditul extern. Auditorul extern poate avea nevoie s acceseze sistemele furnizorului de servicii pentru a verifica acurateea prelucrrilor informaiilor entitii auditate i c nu sunt factori semnificativi care ar putea s afecteze evaluarea auditorului referitoare la fraud sau erori materiale. Pentru serviciile furnizate intern, evaluarea se va baza pe revizuirea sistemelor de control
Pag. 95 din 214
interne ale entitii auditate. Indiferent de modul de furnizare a serviciilor, auditorul trebuie s neleag sistemele de control intern i fluxul tranzaciilor n sistem. Dac auditorul extern decide c este necesar accesul direct la furnizorul de servicii, n contractul semnat cu furnizorul trebuie s existe o clauz n acest sens. (b) Prelucrarea erorilor. Pentru asigurarea c prelucrrile efectuate de furnizor sunt corecte i complete, clientul poate avea nevoie de proceduri de reconciliere a datelor trimise furnizorului cu datele primite dup ce prelucrarea s-a finalizat. Este necesar stabilirea unei proceduri privind rec oncilierea, pentru cazul cnd sunt depistate erori de prelucrare. (c) Controlul privind securitatea sistemului. Furnizorul de servicii IT este obligat s menin un nivel de securitate corespunztor n ceea ce privete informaiile clientului. Exist riscul ca standardele i procedurile de securitate implementate de furnizor s fie sub nivelul adoptat de client. Pentru a reduce acest risc n contract trebuie incluse clauze care s stipuleze responsabilitatea furnizorului de a asigura securitatea datelor clientului n concordan cu un standard specific. (d) Dependena de furnizorul de servicii IT. Odat cu contractarea furnizrii serviciilor IT, pentru client exist riscul de a deveni dependent de un anumit furnizor de servicii cel puin pe perioada contr actului, majoritatea expertizei IT interne transferndu-se n serviciile furnizorului. Devine dificil renunarea la furnizorul de servicii sau trecerea la un alt furnizor n condiii limit (probleme legale, faliment, lichidare). Pentru a reduce riscul care decurge din dependena de serviciile existente, contractul trebuie s conin clauze care s protejeze clientul, privind predarea lucrrilor dup rezilierea contractului, pentru a uura trecerea la alt furnizor i a permite clientului s continue prelucrarea ntr-o manier satisfctoare. (e) Pierderea flexibilitii. In procesul de contractare, clientul agreeaz cu furnizorul natura serviciilor ce vor fi furnizate. n cazul schimbrilor survenite n activitatea organizaiei beneficiare, furnizorul nu este obligat s admit executarea noilor activiti care, de fapt, nu fac obiectul contractului. Acest aspect se regsete n special n sectorul public unde dinamica schimbrilor este mare, acestea fiind determinate de schimbri de guvern sau de politic. Pentru reducerea riscului, clientul trebuie s includ n contract clauze privind schimbarea sistemului n condiiile schimbrii obiectivelor afacerii. (f) Costul schimbrilor. Dac furnizorul de servicii IT nu are obligaii contractuale n ceea ce privete schimbarea sistemului n concordan cu noile cerine este necesar ncheierea unui act adiional care n multe cazuri conine o valoare mare. Clientul trebuie s -i ia msuri pentru a reduce riscul de a fi forat s plteasc sume mari, ori de cte ori sunt necesare schimbri prin includerea n contract a unor clauze care s specifice costurile adiionale pentru schimbri ale sistemelor, ale coninutului serviciilor sau pentru schimbri n ceea ce privete volumul tranzaciilor prelucrate. (g) Pierderea specialitilor interni proprii i a expertizei n domeniu. Prin contractarea serviciilor IT cu o ter parte, clientul nu mai are nevoie de specialiti IT la care renun, ceea ce i reduce capacitatea de a gestiona problemele tehnice i de a le discuta cu furnizorul de servicii. Pierderea expertizei tehnice determin necesitatea de a reface echipa proprie, ceea ce poate fi dificil de realizat. Acest risc este asumat din momentul lurii deciziei de externalizare a serviciilor. (h) Rezistena personalului. n cazul variantei de externalizare pe criterii de performan, exist riscul reaciilor adverse din partea personalului care este n pericol s -i piard locul de munc. Schimbrile se reflect n: numrul de ore de munc, condiiile de munc, ealonarea plilor, senzaia de frustrare a salariailor, i pot conduce la resentimente ale personalului, la scderea productivitii i a performanelor. Auditorul trebuie s ia n considerare aceste aspecte n evaluarea riscului unor comportamente care s conduc la activiti neautorizate, fraud sau sabotaj.
Contractul Reducerea riscurilor n cazul externalizrii serviciilor IT este asigurat de clauzele contractuale care protejeaz ambele pri de efecte nerezonabile. Contractele cu furnizorii de servicii includ clauze referitoare la: durata contractului, condiiile de reziliere, accesul pentru audit, definirea obligaiilor, pena liti, drepturile de proprietate intelectual, proprietatea asupra datelor, condiiile de predare la sfritul/ntreruperea contractului, standarde de securitate, natura i nivelul serviciilor, costuri adiionale/ comi sioane, controlul schimbrii. Contractele specific detalii privind serviciile furnizate i trebuie examinate de ctre auditor. Pentru asigurarea c serviciile sunt livrate n mod satisfctor, clientul trebuie s stabileasc proceduri de monitorizare care s includ ntlniri periodice i la cerere ntre reprezentanii managementului furni zorului i ai clientului pentru a discuta asupra serviciilor livrate i pentru rezolvarea problemelor aprute. n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua riscurile care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare/imple mentare/colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca atribuii dezvoltarea de sisteme i aplicaii, fa de situaiile n care dezvoltrile se fac ad-hoc, fr utilizarea unui suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest domeniu.
Strategia IT trebuie s fie o parte a strategiei entitii i s contribuie prin suportul oferit la atingerea obiectivelor acesteia. Sistemele IT vor fi instalate i utilizate ntruct sunt necesare, nu n funcie de dorina personalului; Investiiile IT trebuie s constituie cheltuieli care trebuie justificate prin efectele pe care le au asupra afacerii; Strategia IT se refer n general la o perioad de trei ani, fiind dificil de estimat dinamica schimbrilor tehnologice n domeniu; Ritmul accelerat al schimbrilor n domeniul IT implic revizuirea anual a strategiei IT i actualizarea acesteia dac este nevoie; Personalul trebuie s fie informat asupra principalelor aspecte incluse n strategia IT;
Pag. 97 din 214
Strategia trebuie s includ consideraii despre sistemele financiare; Strategia trebuie s fie aprobat de ctre managementul de vrf.
Factorii de risc privind focalizarea strategiei IT pe obiectivele afacerii se pot sintetiza astfel: (a) Corelaia ntre strategia IT i strategia ntregii afaceri. Se examineaz dac obiectivele departamentului IT sunt consistente cu obiectivele ntregii afaceri, dac planificarea anual a departamentului IT este realizat pe baza prevederilor strategiei. (b) Contientizarea conducerii fa de riscurile IT. Se analizeaz n ce msur conducerea este contient de importana sistemelor IT i de riscurile asociate acestora. (c) Necesiti curente raportate la funcionalitatea IT. Se evalueaz flexibilitatea i adaptabilitatea sistemelor IT i modul n care sistemele informatice acoper necesitile curente ale afacerii.
O definiie a securitii informaiei, obiectivele sale generale i scopul; O declaraie de intenie a managementului prin care acesta susine scopul i principiile securitii informaiei; O detaliere a politicilor, principiilor i standardelor specifice privind securitatea, precum i a cerinelor de conformitate cu acestea: 1. conformitatea cu cerinele legale i contractuale; 2. educaie i instruire n domeniul securitii; 3. politica de prevenire i detectare a viruilor; 4. politica de planificare a continuitii afacerii.
O definire a responsabilitilor generale i specifice pentru toate aspectele legate de securitate; O descriere a procesului de raportare n cazul apariiei incidentelor privind securitatea.
Entitatea trebuie s implementeze metode de monitorizare a conformitii cu politica de securitate i s furnizeze asigurarea c politica este de actualitate. Responsabilitatea pentru securitatea IT este asignat unei funcii de administrare a securitii. Factori de risc (a) Motivaia pentru fraud/infraciuni (intern i extern). Se analizeaz care sunt tipurile de informaii gestionate de ctre sistemele IT, din punctul de vedere al confidenialitii i n ce msur ar fi afectat reputaia entitii n caz de fraud.
Pag. 98 din 214
(b) Senzitivitatea datelor. Avnd n vedere c tentativele de fraud asupra datelor din sistemul informatic sunt stimulate de interesul manifestat pentru informaiile confideniale, se apreciaz ct de confideniale sunt datele gestionate de ctre sistemele IT, pentru a evalua probabilitatea de atac asupra acestora i pentru a stabili dac controalele implicate de politica de securitate sunt suficient de riguroase. (c) Legislaie i regulamente. Se evalueaz modul de aliniere a entitii la contextul legislativ i de reglementare, prin prisma caracterului informaiilor gestionate de sistemele IT (de exemplu, privind protecia datelor cu caracter personal). Riscurile asociate cu controale ale accesului logic neadecvate Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt:
Dezvluiri neautorizate prin acces la informaii confideniale; Modificri neautorizate; Afectarea integritii sistemului.
Dac sistemul este conectat ntr-o reea de arie larg, cum ar fi reeaua Internet, riscurile sunt cu mult mai mari, iar controalele accesului logic cu mult mai importante pentru a asigura integritatea, disponibilitatea i confidenialitatea sistemului. Atacatorii pot fi hackeri, funcionari, foti funcionari, competitori, spioni, vnztori i consultani. Consecinele violrii securitii accesului logic se pot reflecta ntr-o gam de efecte care pot afecta att afacerea, ct i opinia de audit. Acestea pot fi: a) Pierderi financiare: pot fi directe, decurgnd dintr-o fraud sau indirecte, decurgnd din costurile modificrilor i corectrii datelor i programelor. b) Obligaii legale: entitatea poate avea obligaii legale privind stocarea i dezvluirea datelor. De exemplu, informaiile dezvluite pot intra sub incidena legii proteciei datelor cu caracter personal, sau, pierderea integritii ntr-un mediu bancar poate produce nclcarea regulilor bancare i aciuni disciplinare pentru aceasta. c) Pierderi ale aciunilor pe pia i/sau a credibilitii: sunt foarte grave n special n sectorul serviciilor financiare (bnci, fonduri de investiii) unde pot conduce la pierderea afacerii. d) Distrugerea activitilor afacerii: de exemplu, dac un hacker ptrunde n sistemul de fabricaie asistat de calculator al unei organizaii i schimb toate dimensiunile produselor. e) Calificarea opiniei de audit: intereseaz cel mai mult pe auditorul extern, avnd n vedere c datele din sistemul informatic nu pot fi auditate, ntruct nu ofer probe de ncredere, i pot conine erori materiale datorate alterrii lor. Riscuri asociate reelelor i conexiunilor la Internet Prin conectarea sistemelor entitii n reea apare potenialul unor riscuri majore generate de accesul uno r utilizatori anonimi externi sau al unor funcionari neautorizai care conduce la:
Pierderea datelor prin tergere intenionat sau n timpul transmisiei; Alterarea datelor de ctre utilizatori sau datorate erorilor de transmisie; Fraud generat de surse interne sau externe; Indisponibilitatea sistemului: legturile n reea pot fi deteriorate cu uurin. Liniile de comunicaie se extind n general n afara granielor de control ale entitii (de exemplu, clientul se poate lega pe o reea telefonic local prin linii ISDN (Integrated Services Digital Network); Dezvluirea neautorizat a informaiilor confideniale, accidental sau deliberat;
Pag. 99 din 214
Infectarea cu virui i viermi. Infeciile cu viermi sunt proiectate special pentru a fi rs pndite n reele. Infeciile cu virui sunt cu mult mai posibile ntruct msurile tradiionale de protecie (scanarea) sunt mai puin eficace. Contravenii la legislaia privind drepturile de proprietate intelectual i de protecie a datelor private.
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei organizaii au la origine o serie de caracteristici ale comunicaiei n reeaua Internet care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet; vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate n cursul nregistrrii pe anumite site-uri; aciunile hackerilor, pirateria i pornografia; aciunea unui software ru intenionat (virui, programe de tip "cal troian"). Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii privind consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n scopul evitrii expunerii directe a sistemului de calcul propriu la atacuri din reeaua Internet.
Distrugerea sau deteriorarea accidental sau intenionat din partea personalului (personalul IT, personalul care asigur curenia, personalul care asigur securitatea, ali salariai); Furtul calculatoarelor sau al componentelor, care este n continu cretere avnd n vedere tentaia indus de valoarea mare a acestora i gabaritul mic; Vrfurile sau cderile de tensiune care pot produce deteriorarea componentelor i p ierderea sau alterarea informaiilor; Trecerea peste controalele accesului logic (parole de acces), avnd acces fizic la fileserver; Copierea sau vizualizarea unor informaii "sensibile" sau confideniale.
Distrugeri provocate de foc, ap sau de alte dezastre naturale; Instabilitatea surselor de curent electric;
Pag. 100 din 214
Cderi ale sistemului datorate creterilor sau scderilor de temperatur sau de umiditate peste/sub limitele normale admise; Distrugeri provocate de bombe, avnd n vedere c terorismul este n cretere n lumea ntreag. Centrele de calcul sunt obiective uor de atacat, iar distrugerea lor poate avea repercusiuni majore la nivel guvernamental; Electricitatea static poate deteriora anumite componente electronice integrate (memorie, procesor central etc.), prin ocurile provocate; Alte cauze (de exemplu, fulgerul).
(c) Personalul IT nu tie s gestioneze rezolvarea problemelor sau raportarea erorilor : ncercarea de a le rezolva singuri poate provoca pierderi i mai mari; (d) ntrzieri i ntreruperi n prelucrare: sunt alocate prioriti greite n programarea unor sarcini date; (e) Lipsa salvrilor i a planificrii incidentelor probabile : crete riscul incapacitii de a continua prelucrarea n urma unui dezastru. (f) Lipsa capacitii (resurselor) sistemului: sistemul poate fi incapabil de a prelucra tranzaciile deoarece este suprancrcat. (g) Timpul mare al cderilor de sistem pn la remedierea erorii : cnd sistemele sunt indisponibile se poate construi un jurnal provizoriu care s conin tranzaciile netransmise. (h) Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii Helpdesk.
Sisteme nesigure care nu efectueaz prelucrrile n conformitate cu cerinele; Sisteme care nu includ controale privind: integritatea datelor, intrrile, prelucrrile sau ieirile; Sisteme netestate i cu rezultate imprevizibile; Sisteme nedocumentate, dificil de ntreinut, dependente de persoana care le -a realizat; Sisteme supuse unor schimbri necontrolate, fr gestionarea versiunilor; Incompatibilitatea i fragmentarea informaiei n cadrul sistemului entitii.
(b) Duplicarea efortului rezult din efectuarea unor sarcini care se execut i n departamentul de informatic pentru rezolvarea aceleiai probleme, n lipsa unei coordonri unitare. Din acest punct apar probleme adiionale privind renunarea la una dintre variante, dublarea efortului de ntreinere i documentare, sau, n unele cazuri, obinerea de rezultate diferite n urma prelucr rii datelor. (c) Inconsistena datelor provine din utilizarea sistemului distribuit care prelucreaz date inconsistente din departamente diferite (tarife de plat pentru colaboratori, uniti de msur, costuri unitare, regii) care, n lipsa unificrii la nivelul departamentului IT, sunt preluate n prelucrri ca atare.
(d) Creterea costurilor de utilizare a serviciilor IT se datoreaz mai multor factori: Cerinele de instruire suplimentare; O mai mare solicitare a serviciilor helpdesk; Alte costuri adiionale ascunse (aferente timpului suplimentar pe care utilizatorul l folosete pentru rezolvarea problemelor, comparativ cu specialitii IT), Sistemele dezvoltate de utilizatori au tendina de a utiliza mai puin eficient resursele de calcul (timp de calcul, resurse de comunicaie, timp de imprimare). (e) tergerea informaiilor din sistemul central se produce n cazul unei comunicaii bidirecionale, cnd utilizatorul preia date de pe serverul central pentru examinare sau prelucrare n p rogramul su de aplicaie, i dup prelucrare datele sunt transmise ctre serverul central, unde fiierele originale sunt suprascrise. Admiterea unor astfel de proceduri provoac incertitudine n ceea ce privete ncrederea n fondul de informaii al entitii. (f) Conformitatea cu legislaia. n lipsa unei legturi cu departamentul IT, utilizatorii risc s nu respecte legislaia asociat domeniului IT (utilizarea calculatoarelor, memorarea informaiilor cu caracter personal sau secrete, drepturile de proprietate intelectual) i sunt tentai s utilizeze software neautorizat. (g) Pierderea datelor se poate datora urmtoarelor motive:
n mediul informatizat creat de utilizatori nu sunt aplicate procedurile privind recuperarea n caz de dezastru a datelor i sistemului impuse de departamentul IT (salvri regulate); Lipsa controalelor privind protecia informaiilor creeaz condiii pentru fraud n mediul informatizat creat de utilizator. Creterea portabilitii calculatoarelor personale sub forma calculatoarelor de tip laptop constituie un risc nou generat de furtul sau pierderea calculatorului, i, odat cu acesta, al datelor pe care le conine.
(h) Virusarea calculatoarelor. Calculatoarele personale ale utilizatorilor pot infecta programele de pe servere i celelalte calculatoare din reeaua entitii, fiind o surs potenial de virui preluai de pe supori tehnici de arhivare a datelor, neprotejai de un program antivirus (floppy disk, CD ROM etc.) sau din reeaua Internet. (i) Securitatea accesului logic sau fizic. Majoritatea calculatoarelor personale utilizeaz sisteme de operare proiectate pentru utilizatori individuali, i, n consecin, cu restricii limitate privind controalele accesului logic, cunoscute, n cele mai multe cazuri de ctre utilizator i posibil de depit de utiliz atori neautorizai, cu cunotine n domeniul IT. Accesul fizic la calculatoarele personale, este mai puin controlat. Sistemul informatic al entitii (servere i minicalculatoare) funcioneaz, de regul, ntr -un mediu controlat, cu acces restricionat prin chei, carduri de acces etc., ceea ce nu se ntmpl n cazul calculatoarelor personale. Datele sunt n general memorate pe dischete sau pe CD ROM, putnd fi uor copiate, editate sau terse de utilizatori neautorizai.
3.6
n luna octombrie 1999, cu ocazia celei de-a opta ntlniri, INTOSAI Standing Committee on IT Audit a iniiat proiectul The IT Infrastructure Management Project, care a pornit de la necesitatea elaborrii unui instrument de audit orientat pe managementul infrastructurii IT n administraiile publice. Proiectul a fost coordonat de Oficiul Auditorului General al Norvegiei i a avut ca membri SAI -uri din Anglia, Suedia, Japonia, Canada i Rusia. Obiectivul principal al proiectului a fost de a furniza un model de audit pentru managementul infrastructurilor IT, care s poat fi utilizat pentru diferite niveluri ale infrastructurilor IT. Pentru a asigura conformitatea cu aceste obiective, grupul de lucru al proiectului a elaborat liniile directoare pentru un model generic de audit al managementului serviciilor, care include managementul infrastructurii IT. Acesta reprezint un instrument pentru asistarea auditurilor managementului serviciilor IT n administraia public, bazate pe evaluarea riscurilor i pe principiile de management al riscurilor. Premisa a fost constatarea c un numr important de audituri au atribuit ca motiv principal de eec al serviciilor IT lipsa de contientizare n ceea ce privete riscurile. n acest cadru, a fost realizat un portofoliu al riscurilor IT, obinut n urma unei vaste cercetri desfurate pe acest subiect, prin colectarea i capitalizarea informaiilor relevante privind riscurile, furnizate de SAI-uri din ntreaga lume. Managementul serviciilor IT. Infrastructura IT este destinat furnizrii serviciilor IT care s satisfac diferite cerine legate de necesitile afacerii. Aceste servicii pot varia de la aplicaii simple, pn la sisteme complexe, cum ar fi automatizarea ntreprinderii. Serviciile pot fi distribuite pe un numr mare de sisteme hardware, software i de comunicaii i pot fi furnizate intern, de ctre organizaii externe, prin externalizare, precum i ntr-o manier eterogen. Modelul de management al riscurilor prezentat n acest capitol ia n considerare opt arii de risc, corespunztoare arhitecturii de referin privind furnizarea serviciilor IT, elaborate de INTOSAI Standing Committee on IT Audit: 1 Managementul de vrf 2 Strategii i politici 3 Operare 4 Externalizarea serviciilor 5 Servicii suport 6 Cerine externe, constrngeri i reglementri formale 7 Interaciunea utilizatorilor cu serviciile electronice 8 Consecinele furnizrii serviciilor IT asupra instituiilor publice, mediului de afaceri i cetenilor
Tabelul 1 Risc 1. Contientizarea slab din partea managementului de vrf cu privire la IT 2. Funcia IT este privit ca o funcie de excelen i nu ca o funcie suport Impact a. Servicii IT de calitate sczut
a. Exagerarea alocrii fondurilor pentru investiii IT asociate unor faciliti care exced funcionalitatea aferent obiectivelor afacerii b. Investiiile nu sunt adecvate sau necesare pentru furnizarea serviciilor IT
3. Nivelul contribuiei tehnologiei informaiei la activitatea cheie nu este apreciat de managementul de vrf 4. Domeniile de activitate privind serviciile IT nu sunt definite, sau examinarea acestora nu este finalizat Alocarea suportului economic, uman i tehnologic este inadecvat 5. Obiectivele serviciilor IT nu susin obiectivele organizaionale 6. Obiectivele stabilite nu pot fi atinse
a. Subestimarea semnificaiei tehnologiei informaiei b. Oportuniti pierdute a. Sunt neglijate sau nu sunt gestionate suficient zone importante (de exemplu, cnd se dezvolt un sistem, conducerea nu ia n considerare reglementri externe sau nu evalueaz consecinele pe care sistemul le-ar avea asupra societii) a. Serviciile livrate nu sunt n concordan cu obiectivele organizaionale a. Motivaie sczut, incertitudine ridicat c infrastructura IT susine componenta organizaional a. Cei responsabili nu pot aprecia ce rezultate se vor obine sau cnd vor fi atinse obiectivele
Organizare Obiectiv: Managementul de vrf trebuie s asigure organizarea eficient i eficace a serviciilor IT pentru a permite ndeplinirea obiectivelor organizaionale stabilite.
Tabelul 2 Risc 1. Ariile de activitate acoperite de serviciile IT care trebuie organizate nu sunt definite sau supravegherea lor nu este realizat 2. Managementul de vrf nu este capabil s comunice autoritilor guvernamentale nevoile financiare n scopul alocrii fondurilor Impact a. Sunt neglijate arii importante
3. Managementul de vrf nu este capabil s aloce fonduri sau resurse umane n mod adecvat pentru serviciile IT
a. Nu sunt alocate fonduri sau resurse umane suficiente pentru anumite activiti ceea ce va contribui la incapacitatea livrrii satisfctoare a serviciilor IT, n timp ce altele sunt supraestimate. Ambele situaii ar putea avea impact asupra altor activiti dependente a. Nu este disponibil la timp suportul adecvat. Angajarea constant a suportului extern ar putea duce la creterea semnificativ a costurilor a. Serviciile IT nu sunt livrate eficient datorit subevalurii sau supraevalurii capacitii b. Prelucrarea neadecvat a datelor
Conducere Obiectiv: Managementul de vrf trebuie s asigure direcionarea dezvoltrii serviciilor IT necesare pentru crearea unui mediu adecvat, capabil s susin prosperitatea, performana i creterea .
Tabelul 3 Risc 1. Motivaie slab a personalului n ceea ce privete receptivitatea fa de serviciile IT Impact a. Obiective conflictuale ale managementului conduc la performana sczut a salariailor b. Reducerea capacitii de a ndeplini obiectivele cheie 2. Personalul ezit s participe la instruiri sau programe de instruire pentru a-i perfeciona abilitile IT 3. Informaii importante nu sunt disponibile managementului a. Lipsa abilitilor IT adecvate n cadrul organizaiei b. Reducerea abilitilor de a ndeplini obiectivele cheie a. Afecteaz capacitatea de a conduce la toate nivelurile b. Impact uman, economic, legal i/sau technologic, la nivel extern i intern 4. Contientizare neadecvat privind tendinele i dezvoltrile tehnice a. Bugetele sunt subestimate, oportunitile de afaceri nu sunt exploatate, satisfacie sczut a clienilor, motivare sczut a personalului
Control i monitorizare Obiectiv: Managementul de vrf trebuie s stabileasc proceduri pentru controlul i monitorizarea activitilor de furnizare a serviciilor IT.
Tabelul 4 Risc Activitatea de control i monitorizare Managementul riscurilor 1. Managementul de vrf nu este familiarizat cu teoriile i modelele privind managementul riscurilor a. Este cheltuit o cantitate disproporionat de resurse pentru riscuri care nu au o mare probabilitate de apariie sau un impact major Impact
2. Managementul de vrf nu vede importana sau a. Actori responsabili ar putea implementa proceduri beneficiile oferite de utilizarea procedurilor formale de individuale sau managementul riscurilor ar putea fi management al riscurilor informal Ar putea s nu existe deloc proceduri pentru monitorizarea efectiv a riscurilor aferente ariilor de activitate. b. Lipsa contientizrii i o probabilitate mare de a nu realiza un management echilibrat al entitii. Semnale din multiple surse i motivare sczut n cadrul organizaiei. 3. Managementul de vrf nu promoveaz contientizarea riscurilor 4. Managementul de vrf nu vede importana motivrii celor responsabili cu managementul riscurilor. 5. Managementul de vrf nu reuete s implementeze proceduri eficace i eficiente pentru managementul riscurilor a. Motivare sczut
a. Managementul riscurilor ar putea fi informal sau incomplet. Personalul nu vede punctele n care se consum timp valoros cu managementul riscurilor a. Fundamentarea deciziilor este incorect sau incomplet. Schimbrile necesare nu sunt implementate. Pri sau ntreaga infrastructur IT nu reuesc s contribuie la atingerea obiectivelor organizaionale
Control financiar i monitorizare 6. Managerii de vrf sau, cel mai probabil, mijlocii nu au abiliti de management financiar adecvate 7. Rapoartele i informaiile pentru management financiar sunt incomplete sau incorecte a. Managementul IT se focalizeaz pe livrarea serviciilor IT fr a lua n considerare aspectele financiare Depirea costurilor i valoarea mic a fluxului de numerar nu sunt identificate. Deciziile sunt bazate pe informaii nefiabile, rezultnd activiti importante crora managementul nu le acord suficient atenie ntrzierea sau lipsa informrii. Personalul exagereaz n mod deliberat sau subestimeaz cerinele de finanare. Aceasta poate
Pag. 107 din 214
8. Lipsa sau aplicarea unor proceduri neadecvate pentru instituii bugetare i raportare a costurilor
conduce la stabilirea incorect a costurilor i beneficiilor proiectului, i la prioritizarea incorect a proiectelor Managementul schimbrilor 9. Schimbri politice cu rezultat n schimbarea nivelului finanrii i/sau a prioritilor Managementul de vrf nu este capabil s fac schimbrile necesare ale sistemelor sau proiectelor IT pentru a implementa noile cerine
a. Serviciul IT nu este capabil s satisfac necesiti importante ale afacerii b. Eec n implementarea cerinelor statutare i contractuale c. Eec n producerea unor explicaii acceptabile, n cazul n care nu sunt adresate cerine de justificare importante (de exemplu, piste de audit) d. Eec privind securitatea, n cazul n care c nu sunt adresate erine importante privind securitatea (e.g., controale ale accesului logic puternice) e. Serviciul IT este sub-utilizat sau ignorat de public (avnd ca rezultat pierderea investiiilor, eecul aplicrii politicii guvernamentale etc.)
a. Costuri de operare mai mari, datorate productivitii sczute b. Rat de eroare nalt c. Moral sczut al personalului e. Serviciul IT este sub-utilizat sau ignorat de public (avnd ca rezultat pierderea investiiilor, eecul aplicrii politicii guvernamentale etc.)
a. Nevoia de timp de lucru suplimentar excesiv, materializat n costuri de operare mari b. Serviciul IT este sub-utilizat sau ignorat de public (avnd ca rezultat pierderea investiiilor, eecul aplicrii politicii guvernamentale etc.) c. Cderi ale serviciului datorate suprancrcrii d. Moral sczut al personalului (de exemplu, datorit slbiciunilor sistemului n a suporta activitile i nevoia constant de a rezolva situaii neprevzute)
7. Noul serviciu/noile servicii IT nu ofer satisfacie n ceea ce privete disponibilitatea i/sau utilitatea
a. Moral sczut al personalului (de exemplu, datorit incapacitii sistemului de a susine activitatea, i, nevoii constante de a rezolva situaii neprevzute) b. Imposibilitatea de a satisface termenele programate ale afacerii c. Costuri ridicate ale operrii (de exemplu, datorit necesitii recuperrilor frecvente ale sistemului i relurii unor activiti)
b. Incapacitatea de a aplica la timp politica guvernamental c. Operarea serviciilor IT este scump d. Schimbrile de sistem sunt scumpe i vulnerabile la erori i cderi
9. Serviciul/serviciile IT nu este/nu sunt scalabile, pentru a se adapta la extinderea afacerii (de exemplu, mai muli utilizatori i/sau extinderea funcionalitii)
a. Pierderea unor oportuniti de afaceri b. Incapacitatea de a aplica la timp politica guvernamental c. Costuri ale serviciilor de re-inginerie
a. Spargerea, deteriorarea, cderea serviciului b. Frauda c. Indivizi susceptibili de riscuri personale (de exemplu, prin securitate neadecvat a informaiei sau erori software) Investiii pierdute (de exemplu, publicul ignor serviciul din cauza motivelor de securitate)
3.6.3 Operare
Asigurarea dezvoltrii sistemului Obiectiv: Asigurarea c procesele de dezvoltare a sistemului sunt proiectate pentru a susine obiectivele asumate de organizaii.
Tabelul 6 Risc 1. Un proiect IT/proiectele IT nu este/nu sunt n concordan cu planurile organizaiei sau cu strategia IT Impact a. Sistemul IT nu suport obiectivele afacerii b. Ineficacitatea utilizrii resurselor c. Livrarea proiectului nu este acceptat de utilizatori 2. Infrastructura IT nu interacioneaz eficient i eficace cu obiectivele organizaiei a. Organizarea IT nu ia n considerare necesitile organizaiei b. Managementul de vrf are ncredere sczut n importana IT 3. Nivelul de confidenialitate a informaiei nu este luat n considerare a. Expuneri neateptate ale informaiei Interne Externe
Pag. 110 din 214
4. Alocare bugetar nerealist, deliberat sau nu, din punct de vedere al timpului i costului
a. Achiziia i dezvoltarea nu sunt desfurate la timp b. Costuri mai mari dect cele finanate c. Pierderea credibilitii Intern Extern
a. Nu este stabilit responsabilitatea global de zi cu zi asupra securitii sistemului b. Nu este stabilit responsabilitatea global pentru schimbrile de sistem, actualizri etc.
a. Eec n optimizarea recuperrii investiiei b. Productivitatea la nivelul utilizatorului mai mic dect s-a anticipat c. Costuri de operare i/sau de ntreinere mai mari dect s-a anticipat d. Insatisfacie continu a utilizatorului n ceea ce privete sistemul e. Incapacitatea de a nva (lecii) din greeli pentru viitoarele proiecte
Asigurarea continuitii n livrarea serviciilor IT Obiectiv: Asigurarea continuitii n livrarea serviciilor IT n concordan cu obiectivele strategice ale organizaiei: - Strategii de afaceri - Strategii funcionale - Planuri operaionale
Tabelul 7 Risc 1. Organizaia nu are ncredere n aspecte legate de securitate Impact a. Pierderi ale afacerii. Dac sunt expuse secrete industriale s-ar putea ajunge, n cazul cel mai ru, la compromiterea afacerii a. Expunerea organizaiei nsei la aciuni intenionate de alterare a datelor i la furtul bunurilor organizaiei
Pag. 111 din 214
b. Expunerea neateptat sau pierderea datelor c. Intruziuni din interiorul sau din exteriorul organizaiei n scopul accesrii datelor d. Schimbarea datelor permanente 3. Funcia IT este incapabil s livreze serviciul datorit lipsei de capacitate a. Activitile nu pot fi realizate b. Cderi de sistem datorate lipsei planificrii capacitilor c. Resursele IT nu sunt utilizate eficient (capacitatea IT nu este utilizat) 4. Procedurile backup i de recuperare nu sunt n concordan cu nivelul serviciilor stabilit de organizaie a. Pierderea datelor b. Organizaia nu poate livra serviciile la timp c. Procedurile backup/recovery trebuie s fie consistente cu nevoile organizaiei (de exemplu, utilizarea rezervei calde cnd nu este necesar) d. Procedurile nu sunt eficiente 5. Nu exist proceduri de management al schimbrilor a. Probleme legate de compatibilitatea sistemului b. Schimbrile conduc la probleme care pot concura cu uurina detectrii sau prevenirii a. Incetinirea vitezei n producie b. Forarea organizaiei s utilizeze soluii alternative cum ar fi agenii de recrutare a personalului temporar c. Pierderea cunotinelor 7. Cderi de reea a. Organizaia poate deveni incapabil s livreze serviciile a. Pierderea datelor b. Date incorecte c. Cderea programului 9. Aplicaiile software sunt utilizate fr licen software legal a. Utilizarea ilegal a software-ului copiat b. Organizaia ar putea fi fcut responsabil din punct de vedere economic pentru utilizarea ilegal a aplicaiilor software
Obinerea nivelului de mentenan cerut Obiectiv: Obinerea nivelului de mentenan cerut pentru a asigura continuitatea serviciilor IT .
Tabelul 8 Risc 1. Organizaia nu reuete s ating un nivel adecvat al disponibilitii serviciilor Impact a. Utilizatori i clieni nesatisfcui b. Pierderea credibilitii organizaiei a. Terii nu-i accept responsabilitile b. Probleme n continuitatea serviciilor c. Organizaia nu are nici o protecie legal dac apar pierderi n cadrul afacerii datorate ntreruperilor n livrrile terilor 3. Componentele critice ale infrastructurii nu sunt identificate i monitorizate 4. Organizaia nu are o abordare uniform n ceea ce privete achiziionarea componentelor hardware i software a. Eec n livrarera serviciilor
a. Dificultatea meninerii infrastructurii b. Rutina ntreinerii scumpe fr a fi necesar, datorit, de exemplu, mai multor contracte mici de ntreinere cu teri, n locul unor contracte mai puine i mai eficiente c. Probleme cu angajamentele vnztorului
Asigurarea suportului tehnic necesar Obiectiv: Asigurarea unui suport tehnic suficient pentru a permite organizaiei s utilizeze serviciile IT furnizate.
Tabelul 9 Risc 1.Utilizatorul final nu poate utiliza aplicaia Impact a. Sarcinile nu pot fi aduse la ndeplinire b. Pierderea datelor datorit utilizatorilor fr experien 2. Nu exist nici o funcie care s informeze utilizatorul final asupra problemelor care apar a. Pierderea credibilitii b. Eec n satisfacerea cerinelor utilizatorilor c. Schimbrile n sistem vor fi fcute de salariai inteligeni datorit lipsei de responsabilizare
Pag. 113 din 214
Finanare Obiectiv: Organizaia trebuie s primeasc fonduri suficiente pentru a permite dezvoltarea infrastructurii IT, astfel nct s se ating obiectivele organizaionale.
Tabelul 11 Risc 1. Infrastructura IT nu este actualizat Impact a. Organizaia poate s nu ating obiectivele stabilite b. Infrastructura nu contribuie la progresul organizaional i/sau la schimbrile sociale c. Infrastructura IT este dificil i costisitor de ntreinut d. Probleme cu recrutarea personalului calificat care s neleag tehnologia nvechit e. Probleme cu recrutarea personalului necesar, att pentru departamentele sau funciile tehnice ct i pentru cele de afaceri f. Costuri mari de operare pentru exploatarea i ntreinerea sistemelor perimate 2. Dificulti n obinerea acceptrii utilizatorului (de exemplu, beneficiile sunt dificil de msurat sau nu sunt obinute rapid) a. Pierderi ale afacerii sau clieni nesatisfcui b. Dificulti cu acceptana utilizatorilor finali c. Productivitate sczut i scderea moralului personalului 3. Rata de nlocuire a personalului mai mare dect poate tolera organizaia pentru a asigura continuitatea a. Planurile dezvoltrii infrastructurii IT sunt ntrziate sau abandonate b. Creterea incertitudinii n livrarea serviciului IT c. Costuri mai ridicate, datorit instruirii continue a noilor angajai d. Productivitate sczut i scderea moralului personalului datorit lipsei de continuitate 4. Incapacitatea de a identifica, msura sau controla costurile infrastructurii IT a. Alocare bugetar supra/sub evaluat b. Lipsa de ncredere n cadrul organizaiei fa de dezvoltarea IT c. Dificultatea de a msura avantajele noului sistem 5. Investiia n IT nu reuete s ating performana (value for money) - risc al investiiei a. Noile investiii vor fi greu de justificat
Exploatarea oportunitilor tehnice Obiectiv: Organizaia trebuie s exploateze oportunitile oferite de noua tehnologie n scopul atingerii obiectivelor organizaionale ntr-o manier eficient i eficace.
Tabelul 12 Risc 1. Managementul de vrf nu este contient de oportunitile de afaceri fcute posibile de dezvoltri ale infrastructurii IT Impact a. Eficacitatea i eficiena infrastructurii IT nu vor fi optimizate b. Obstrucionarea introducerii guvernrii electronice c. Costuri excesive datorate meninerii sistemelor ineficiente i neeconomice bazate pe hrtie sau perimate 2. Noile investiii IT sunt coordonate i conduse de personalul IT a. Risipirea investiiilor pe technic la mod n locul celor legitimate de necesitile afacerii b. Risipirea investiiilor pe nlocuirea sistemelor care nu au ajuns la finalul vieii lor economice c. Sistemele conin funcionalitate excesiv i sunt, n consecin, mai dificil de utilizat i mai scump de ntreinut
Managementul cerinelor grupurilor int Obiectiv: Asigurarea c organizaia nelege cine sunt clienii / utilizatorii, precum i care sunt nevoile lor particulare. Organizaiile trebuie s desfoare cercetri nc din faza de nceput a dezvoltrii unui serviciu IT pentru a stabili cerinele afacerii utilizatorului final. Aceast analiz trebuie desfurat periodic pentru a fi actualizat de grupurile int, altfel, serviciile IT vor fi afectate de riscul eecului n atingerea cerinelor formulate de acestea. Managementul trebuie s se asigure c aceast cercetare atent este desfurat pentru a identifica i a prioritiza cerinele utilizatorilor unui nou serviciu. Managementul opiniilor de la tere pri Obiectiv: Asigurarea c organizaia obine opinii relevante de la teri cu privire la serviciile IT n care sunt implicai. Organizaiile utilizeaz frecvent tere pri pentru a livra, dezvolta sau opera, pe baz de contract, pri ale serviciilor electronice. Uneori, o organizaie poate externaliza ntregul serviciu IT unui furnizor de servicii. Organizaiile trebuie s desfoare cercetri sau activiti de revizuire pentru a stabili opinia furnizorului de servicii n legtur cu eficiena serviciului IT, altfel exist riscul ca organizaia s nu poat perfeciona serviciul IT. Managementul trebuie s ncurajeze furnizorii de servicii s fac sugestii pentru perfecionarea furnizrii serviciului IT care face obiectul revizuirii.
Tabelul 13 Risc 1. Managementul de vrf nu reuete s vad domeniul IT ca pe un domeniu al managementului Impact Organizaia nu este capabil s rspund operativ factorilor externi n vederea schimbrii, antrennd: nenelegeri politice ntrziere n implementarea politicii guvernamentale costuri excesive datorit unei nevoi mai mari de timp de lucru suplimentar i nevoii de a utiliza consultani a. Informaia utilizat n luarea deciziilor legate de serviciile IT este incomplet b. Luarea deciziilor este slab, datorit faptului c strategiile de management i politicile legate de infrastructura IT se bazeaz pe informaii nesigure 3. Eec n interpretarea i n nelegerea factorilor de risc extern identificai a. Deciziile privind serviciile IT nu sunt luate sau se bazeaz pe informaie nesigur b. Deciziile necorespunztoare despre strategiile i politicile legate de infrastructura IT operaional se reflect n infrastructur operaional IT i suport insuficiente
Pag. 117 din 214
4. Eec n ceea ce privete schimbul de cunotine despre factorii externi cu ali manageri
a. Managerii de servicii IT nu sunt contieni de factorii de risc externi, rezultnd decizii bazate pe informaie nesigur
b. Publicitate negativ c. Necesitatea de ntoarcere la sisteme ineficiente, perimate sau de perpetuare a unor astfel de sisteme d. Impact negativ asupra moralului personalului. e. Dificulti datorate incapacitii de a respecta condiiile legislative i politice
5. Livrarea serviciilor electronice poate deveni obiectul comparaiei cu alte dezvoltri (nefavorabile)
a. Eec n optimizarea oportunitilor i a ncasrilor din livrarea serviciilor IT b. Comentarii publice nefavorabile c. Dificulti politice
Gestionarea suportului i a instruirii utilizatorului Obiectiv: Asigurarea c utilizatorii interni i externi primesc un nivel adecvat al suportului pentru utilizarea serviciilor i pot utiliza serviciul eficace i eficient.
Tabelul 15 Risc 1. Utilizatorii nu sunt capabili s utilizeze un serviciu ntr-o manier eficace i eficient datorit lipsei instruirii sau a unei instruiri neadecvate Impact a. Productivitate sczut / standard sczut al serviciului b. Utilizatorii evit s utilizeze serviciul, rezultnd pierderi ale investiiei c. Performan sczut n atingerea obiectivelor organizaiei d. Dificulti politice 2. Incapacitatea de a asigura nelegerea a. Ignorana poate conduce la o multitudine de probleme, inclusiv: 1) serviciul fiind sub-utilizat din cauza incapacitii de a nelege ce trebuie fcut sau cum trebuie utilizat pentru a satisface o cerin anume; 2) rate mari de erori i reluarea operaiunilor datorate utilizrii incorecte; 3) oportuniti pierdute datorit incapacitii managerilor afacerii de a exploata serviciul integral, din cauza lipsei de nelegere; 4) disfuncionaliti ale serviciului i cderi ale acestuia datorit operrii incorecte din partea personalului care asigur suportul;
Pag. 119 din 214
4) lipsa de rspuns, proasta funcionare i cderea serviciului datorit ntreinerii tehnice slabe din partea personalului care asigur suportul
Gestionarea calitii comunicrii Obiectiv: Asigurarea c dialogul ntre utilizatori i serviciul IT are calitatea corespunztoare n cadrul comunicrii.
Tabelul 16 Risc 1. Interaciunea ntre utilizator i serviciul IT nu satisface cerinele de calitate ale comunicrii Impact a. Diseminarea n sistem de ctre utilizator a unor informaii de calitate sczut conduce la consecine negative pentru ali actori b. Nencrederea utilizatorilor n rezultatele serviciilor IT
3.6.7 Consecine ale utilizrii serviciilor IT asupra cetenilor, mediului de afaceri i sectorului public
Gestiunea informaiei Obiectiv: Asigurarea c organizaia recunoate c informaia este o resurs vital i o gestioneaz n condiii de securitate i cu cel mai bun efect.
Tabelul 17 Risc 1. Eec n gestiunea eficace a informaiei Impact a. Lucrul interoperabil nu poate fi exploatat datorit: 1) ignoranei despre: unde i cnd au fost obinute datele care trebuie schimbate ntre servicii; ce reprezint datele; cine poate accesa datele n mod legal i le poate utiliza pe cele puse la dispoziie; 2) formate de date incompatible. b. Pierderea rspunderii prin: incapacitatea de a reconstitui, recupera sau de a citi nregistrrile
Pag. 120 din 214
electronice ale afacerii; incapacitatea de a demonstra autenticitatea nregistrrilor electronice ale afacerii.
Managementul schimbrii Obiectiv: Asigurarea c schimbrile asupra serviciului electronic sunt implementate ntr -o manier care s nu genereze probleme. Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul n care rspunde serviciul electronic, probleme care se manifest prin rate ridicate de eroare i de cdere.
Tabelul 18 Risc 1. Managementul schimbrii este ineficace. Impact a. Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul n care rspunde serviciul electronic, care se manifest prin rate ridicate de eroare i de cdere. Acestea antreneaz: 1) pierderi ale investiiei prin eec n satisfacerea cerinelor utilizatorului; 2) pierderea unor oportuniti ale afacerii prin inabilitatea de a rspunde rapid i eficace la schimbrile necesitilor i obiectivelor afacerii 3) costuri mari de operare (datorate necesitii de a recupera sistemul, de reluare a unor operaii) i pierderi n producie; 4) insatisfacie n rndul personalului din cauza lipsei de fiabilitate a sistemelor; 5) insatisfacia publicului i neplceri politice rezultnd din disfuncionaliti ale serviciului i/sau eec n furnizarea unui nivel adecvat al serviciului.
Managementul securitii informaiei Obiectiv: Protejarea confidenialitii, integritii i disponibilitii pentru utilizarea datelor organizaiei ntr -o manier a eficienei costurilor capabil s inspire ncredere n rndul comunitii utilizatorilor. O securitatea a informaiei ineficace poate avea un impact dramatic asupra operaiilor afacerii. Poate avea, de asemenea, un impact semnificativ asupra percepiei publicului n ceea ce privete serviciile electronice (n mod particular, atunci cnd implic fraud), avnd drept consecin o pierdere general a ncrederii.
Tabelul 19 Risc 1. Securitate a informaiei ineficace Impact a. O securitate a informaiei ineficace poate avea impact dramatic asupra operaiilor afacerii. Poate avea, de asemenea, un impact semnificativ asupra percepiei publicului n ceea ce privete serviciile electronice (n mod particular, cnd implic fraud), rezultnd ntr-o pierdere general a ncrederii. Impactul specific include: 1) dezvluirea neautorizat a informaiei sensibile despre afacere i/sau personale, care ar putea avea ca rezultat impactul distrugtor ulterior asupra afacerii i asupra indivizilor); 2) manipularea neautorizat a informaiei, care poate avea impact i poate avea ca rezultat frauda i corupia datelor personale (ex. datorate erorilor software sau atacurilor viruilor); 3) pierderea disponibilitii serviciului, de exemplu, datorit unei capaciti neadecvate de reluare a funcionrii n urma cderilor sau din lipsa unui plan al continuitii eficace, n eventualitatea unei cderi prelungite; 4) deteriorarea fizic a componentelor IT datorat securitii fizice i de mediu inadecvate.
b. Eecul n meninerea unei securiti adecvate a informaiei poate avea ca rezultat, de asemenea, impact legal cnd cderile conduc la compromiterea cerinelor contractuale, statutare (de exemplu, protecia datelor) sau a cerinelor de reglementare.
Managementul mediului de lucru Obiectiv: Promovarea unei productiviti ridicate i a principiilor morale prin dezvoltarea unui mediu de lucru sigur i sntos.
Tabelul 20 Risc 1. Eec n gestionarea mediului de lucru sntate i siguran Impact a. Absene pe caz de boal b. Cereri pentru compensaii c. Urmrire pentru nclcarea reglementrilor d. Productivitate sczut e. Moral sczut
a. Urmrirea / penalizarea pentru nclcarea cerinelor legale b. Costuri de operare crescute c. Cderi ale securitii IT d. Productivitate sczut e. Ieiri cu calitate nesatisfctoare
3. Redundana abilitilor
Managementul efectelor asupra cetenilor, societii i organizaiilor Obiective: Focalizarea i contientizarea consecinelor intenionate i neintenionate care decurg din dezvoltarea i schimbrile serviciilor electronice.
Tabelul 21 Risc 1.Cetenii nu au ncredere n livrarea serviciilor electronice i n avantajele acestora. Impact a. Noile servicii sunt sub-utilizate. b. Pierderi ale investiiei. c. Eec n atingerea nivelului de eficien. d. Obiectivele strategice ale Guvernului legate de aceste servicii nu sunt atinse.
Pag. 123 din 214
a. Serviciile electronice livrate sunt sub-utilizate. b. Pierderi ale investiiei. c. Eec n atingerea nivelului de eficien. d. Obiectivele strategice ale Guvernului legate de aceste servicii nu sunt atinse.
3. Excluziune social
a. Cetenii sund exclui n mod discriminatoriu de la a accesa serviciile ectronice; de exemplu, prin disabiliti fizice, bariere de limb, izolare geografic, lips de educaie b. Servicii sub-utilizate c. Implicaii legale posibile (de exemplu, prin legislaia "drepturilor egale")
4. Informaia nu poate fi inter-schimbat prompt n interiorul i ntre diferite organizaii ale sectorului public.
a. Infrastructura IT nu reuete s suporte mbuntirile n elaborarea politicii, livrarea serviciilor electronice i lucrul mai eficient
Informaia nu poate fi schimbat prompt n i ntre diferite organizaii ale sectorului public
6. Livrarea serviciilor electronice sufer de un nivel inacceptabil al erorilor de sistem i al cderilor serviciului.
a. Costuri mari de operare b. Sisteme care nu rspund solicitrilor c. Securitatea informaiei neadecvat sau ineficace d. Moral sczut n rndul personalului care asigur suport, datorit confruntrii continue cu numeroasele plngeri ale clienilor e. Insatisfacia publicului, frustrare i publicitate advers f. Neplceri politice g. Implicaii legale posibile (de exemplu, privind protecia datelor, libera circulaie a informaiei)
7. Livrarea serviciilor electronice poate face obiectul comparaiei cu alte dezvoltri (nefavorabile)
a. Eec n optimizarea oportunitilor i n obinerea economiilor din livrarea serviciilor electronice b. Comentarii nefavorabile din partea publicului c. Neplceri politice
4.1
n concordan cu cadrul de lucru INTOSAI i cu standardele asociate, n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de Curtea de Conturi a Romniei (aciuni de control, misiuni de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a informatizrii instituiilor publice, auditul sistemelor informatice poate constitui o component a acestor aciuni sau se poate desfura de sine stttor, de regul prin misiuni de audit al performanei implementrii i utilizrii de sisteme, soluii informatice sau servicii electronice care fac obiectul unor programe naionale sau proiecte complexe de impact pentru societate, avnd efecte n planul moderniz rii unor domenii sau activiti. Aciunile specifice de audit al sistemelor informatice din ansamblul competenelor atribuite CCR, se desfoar pe baza programului anual de activitate, aprobat de Plenul Curii de Conturi. Aceste aciuni se refer la auditul IT / IS, respectiv auditul arhitecturilor i infrastructurilor IT, precum i auditul sistemelor, aplicaiilor i serviciilor informatice i reprezint o activitate de evaluare a sistemelor informatice prin prisma optimizrii managementului resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, servicii, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii de: eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru de referin (standarde, bune practici, cadru legislativ etc.). Prin intermediul rapoartelor de audit al sistemelor informatice, Curtea de Conturi furnizeaz prilor interesate (Parlament, Guvern, entiti auditate, instituii interesate i ceteni), informaii privind performana implementrii i utilizrii infrastructurilor bazate pe tehnologia informaiei i efectele obinute n planul modernizrii activitii prin informatizarea acesteia, precum i ncrederea pe care sistemul o asigur utilizatorului (instituii publice, ceteni). Generic, acestea se materializeaz n reducerea timpului de acces la informaie, prevenirea pierderii ori nlocuirii informaiei, creterea gradului de securitate a
Pag. 126 din 214
informaiilor, protecia datelor personale, reducerea birocraiei i a blocajelor la ghieu, promovarea culturii informatice n rndul cetenilor, reducerea real a costurilor administrative, furnizarea i utilizarea de informaii n timp real prin extinderea serviciilor electronice bazate pe implementarea tehnologiilor web, asigurarea compatibilitii i interoperabilitii cu sistemele similare disponibile n rile Uniunii Europene.
Auditul sistemelor e-guvernare i e-administraie, precum i al serviciilor electronice asociate (sistemul e-licitaie, serviciul electronic declaraii fiscale online etc.), raportat la condiiile prevzute de Directiva 2006/123/CE); Evaluarea unui sistem IT / IS integrat i/sau a unor aplicaii individuale utilizate ca suport pentru asistarea deciziei (sisteme IT / IS utilizate pentru eviden, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de raportare) n cadrul entitii auditate.
n cadrul Curii de Conturi, auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter transversal, interdepartamental. Curtea de Conturi va desfura orice misiuni de audit IT menite s creeze condiiile optime pentru derularea eficient a celorlalte forme de control i audit i s ofere suportul tehnic pentru aceste misiuni. Extinderea utilizrii tehnologiei informaiei n toate domeniile, inclusiv n cel al sistemelor financiar-contabile, care presupune att extinderea controalelor IT n cadrul sistemului de control intern al entitilor auditate/controlate, ct i existena unor programe i proiecte de mare anvergur finanate din fonduri publice, materializate n investiii IT cu valori foarte mari, genereaz necesitatea perfecionrii modelelor tradiionale de auditare i extinderea auditului sistemelor informatice n activitatea Curii de Conturi. In cadrul aciunilor de control i audit financiar desfurate de ctre structurile Curii de Conturi, auditorii publici externi vor efectua evaluri ale sistemelor informatice existente la entitile auditate, pentru a determina dac sistemele i aplicaiile furnizeaz informaii de ncredere pentru aciuni le respective. Pentru misiunile de audit financiar este de o deosebit importan identificarea riscurilor care rezult din utilizarea unui sistem contabil bazat pe tehnologii informatice. Aceste riscuri mresc probabilitatea apariiei unor prezentri semnificativ eronate n situaiile financiare, fapt ce ar trebui luat n considerare de management i de auditori. Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt: dependena de funcionarea echipamentelor i programelor informatice, vizibilitatea pi stei de audit, reducerea implicrii factorului uman, erori sistematice versus erori incidentale, accesul neautorizat, pierderea datelor, externalizarea serviciilor IT / IS, lipsa separrii sarcinilor, absena autorizrii tradiionale, lipsa de experien n domeniul IT.
4.2
Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea i revizuirea auditului. Structura de specialitate care efectueaz misiunea de audit al sistemelor informatice ntiineaz, prin adresa de notificare, entitile incluse n programul de activitate, aprobat de plenul Curii de Conturi, asupra misiunii de audit ce urmeaz a se realiza la acestea. Misiunea de audit al sistemelor informatice se deschide n cadrul unei ntlniri cu conducerea entitii auditate, organizate la sediul acesteia, iniiate de structura de specialitate a Curii de Conturi care desfoar auditul. Din partea Curii de Conturi, la ntlnire pot s participe eful departamentului / directorul din cadrul departamentului sau directorul / directorul adjunct al camerei de conturi, dup caz, i echipa de audit desemnat. n cadrul ntlnirii de deschidere a auditului se prezint echipa de audit, tema i obiectivele auditului, se stabilesc persoanele de contact, precum i alte detalii necesare realizrii auditului i se clarific aspectele legate de asigurarea unor spaii de lucru adecvate i a suportului logistic corespunztor. Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui s aib suficiente cunotine n domeniul tehnologiei informaiei i comunicaiilor, care s -i permit nelegerea strategiilor, politicilor i activitilor care fac obiectul auditului. De asemenea, auditorul public extern trebuie s dein cunotinele necesare pentru identificarea riscurilor induse de funcionarea sistemului informatic, precum i pentru evaluarea m etodelor de tratare a acestor riscuri (gradul de adecvare al sistemelor de control intern, inclusiv infrastructura de securitate i controalele aferente). nelegerea acestui domeniu i va permite auditorului s determine natura, durata i ntinderea procedurilor de audit, s stabileasc efectul dependenei entitii de sistemul informatic i s evalueze capacitatea entitii de a asigura continuitatea activitii. Auditorul trebuie s planifice i s efectueze auditul astfel nct s obin o asigurare rezonabil privind existena sau absena unor anomalii, deficiene de implementare sau erori semnificative. Metodologia care trebuie utilizat pentru evaluarea controalelor IT / IS presupune att evaluarea controalelor generale aferente mediului de implementare a sistemului informatic la nivelul entitii, ct i evaluarea controalelor de aplicaie, asupra datelor de intrare, a prelucrrilor i a datelor de ieire asociate cu aplicaiile individuale. Controalele generale vizeaz strategiile, politicile i procedurile care se aplic tuturor sistemelor informatice ale entitii sau numai asupra unui segment al acestora, cum ar fi de exemplu protecia datelor, protecia programelor, prevenirea accesului neautorizat, asigurarea continuitii sistemului.
Eficacitatea controalelor generale este un factor semnificativ n determinarea eficacitii controalelor de aplicaie. Fr un sistem de controale generale fiabil, controalele de aplicaie nu pot fi eficace din cauza nesiguranei n ceea ce privete protecia fa de tentativele de alterare sau de distrugere a informaiilor i programelor sau fa de atacurile fizice asupra sistemului de calcul. Controalele de aplicaie sunt specifice fiecrei aplicaii i ofer asigurarea c tranzaciile sunt valide, autorizate, prelucrate i raportate complet. Acest tip de controale include tehnici de control automate sau revizuiri manuale ale rapoartelor (situaiilor) generate de calculator i identificarea articolelor eronate sau neuzuale. Att controalele generale ct i controalele de aplicaie trebuie s fie eficace pentru a contribui la obinerea unei asigurri c informaia critic obinut n urma prelucrrilor pe calculator este fiabil, adecvat, disponibil i protejat n ceea ce privete confidenialitate a.
Aceste activiti fac parte din evaluarea IT / IS pe care auditorii trebuie s o finalizeze ca parte integrant a planificrii auditului. Dac sistemele au un grad de complexitate ridicat, este indicat s se utilizeze un specialist n audit IT / IS pentru a finaliza sau a asigura consultan pentru finalizarea ntregii analize sau a unei pri din aceasta. Dac exist o evaluare anterioar finalizat, aceasta poate fi actualizat i se va pune accent pe revizuirea aplicaiilor noi i pe schimbrile majore ale sistemelor existente. Sistemul informatic constituie suportul furnizrii informaiei i devine indispensabil n condiiile Societii Informaionale. Datorit extinderii misiunilor de audit financiar i a aciunilor de control care se desfoar n medii informatizate, se accentueaz necesitatea asigurrii convergenei metodelor i standardelor de audit financiar cu metodele i standardele de audit IT. Pentru a verifica satisfacerea cerinelor pentru informaie (eficacitate, eficien, confidenialitate, integritate, disponibilitate, conformitate i ncredere), se va avea n vedere, auditarea sistemului informatic care furnizeaz informaia financiar -contabil. Documentarea n auditul sistemelor informatice Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine legate de entitatea auditat i de mediul n care aceasta opereaz. Activitatea de documentare are ca scop cunoaterea obiectivelor entitii cu privire la performana tehnologiei informaiei, precum i a principalelor aspecte legate de coordonarea, structura i funcionalitatea sistemelor, serviciilor i aplicaiilor care susin obiectivele, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit. n faza de planificare, auditorul obine o nelegere a operaiilor i controalelor IT i a riscurilor asociate. Prin prisma acestor riscuri, auditorul decide care controale sunt cel mai probabil s fie eficace. n situaia n care controalele au o probabilitate mare de a fi eficace i dac sunt relevante pentru obiectivele misiunii de audit, auditorul trebuie s determine natura i volumul procedurilor de audit necesare pentru a confirma ipotezele. n situaia n care controalele nu au o probabilitate mare de a fi eficace, auditorul trebuie s obin o nelegere suficient a riscurilor de control asociate pentru a formula constatri adecvate i recomandri asociate privind aciuni corective. De asemenea, auditorul trebuie s determine natura, ntinderea i volumul testelor necesare, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit. Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt: o prezentri n cadrul unor discuii preliminare cu reprezentanii managementului entitii auditate; o consultarea unor materiale documentare relevante privind activitatea entitii; o consultarea legislaiei aferente tematicii; o consultarea documentaiilor tehnice; o documentare n domeniul standardelor i bunelor practici; o interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea, ntreinerea i utilizarea sistemului informatic; o participarea la demonstraii privind utilizarea sistemului; o studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe website -ul entitii auditate. Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru planificarea i efectuarea procedurilor de audit, precum i pentru definirea criteriilor, metodelor i tehnicilor de evaluare a rezultatelor i a indicatorilor de performan. Pe baza acesteia, auditorul realizeaz o evaluare preliminar a sistemului i identific punctele critice care vor fi testate n detaliu n cadrul auditului. In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza factorilor care pot influena procesul de audit: o componentele sistemului; o activitile, problematica i nivelele de decizie; o atribuiile entitii, pe nivele de implicare;
Pag. 133 din 214
o o o o o
coordonarea i monitorizarea proiectelor IT; normele metodologice i standardele n domeniu; cadrul legislativ i de reglementare n care entitatea i desfoar activitatea; soluia organizatoric privind implementarea sistemului informatic (desfurare n teritoriu, etapizarea activitilor, alocarea sarcinilor i responsabilitilor, selecia person alului); arhitectura sistemului informatic: platforma hardware / software (soluii de implementare, echipamente, arhitecturi de reea, licene, desfurare n teritoriu, locaii funcionale, versiuni operaionale); fluxuri de colectare / transmitere / stocare a informaiilor (documente text, coninut digital, tehnici multimedia); factorii care influeneaz funcionalitatea sistemului: complexitatea componentelor software, sistemul de constituire, achiziie, validare, utilizare a fondului documentar (documen te text, coninut digital, tehnici multimedia), operarea sistemului, interfaa utilizator, schimbul de date ntre structuri, interoperabilitate, anomalii n implementare, modaliti de raportare i operare a coreciilor, sigurana n funcionare, rata cderilor, puncte critice, instruirea personalului utilizator, documentaie tehnic, ghiduri de operare, forme i programe de instruire a personalului, asigurarea suportului tehnic; raportarea i soluionarea problemelor tehnice, organizatorice, de personal.
n cadrul documentrii se vor identifica punctele critice care acumuleaz potenialul unor riscuri generate de implementarea i utilizarea sistemului informatic:
slaba implicarea a managementului; obiective neatinse sau ndeplinite parial; iniiative nefundamentate corespunztor; sisteme interne de control organizate sau conduse necorespunztor; pierderi importante cauzate de calamiti naturale, furturi etc.; lipsa ncrederii n tehnologia informaiei; lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a datelor, securitatea sistemului informatic, recuperare n caz de dezastru); calitatea necorespunztoare a serviciilor furnizate utilizatorilor sistemului; cheltuieli nejustificate: intranet, Internet, resurse umane; costuri i depiri semnificative ale termenelor; existena unor reclamaii, observaii, contestaii.
Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza Listei de verificare a controalelor generale IT, care conine urmtoarele categorii de obiective de control: managementul funciei IT; securitatea fizic i controalele de mediu; securitatea informaiei i a sistemelor; continuitatea sistemelor; managementul schimbrii i dezvoltarea de sistem; auditul intern. Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului. De asemenea, se va analiza modul n care aceste controale afecteaz eficacitatea sistemului de control intern al entitii. Evaluarea riscurilor Dup obinerea unei nelegeri asupra mediului informatizat al entitii, auditorul va evalua riscul inerent i riscul de control, factori care se iau n considerare la determinarea riscului de audit. Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat n termenii urmtoarelor trei componente:
Pag. 134 din 214
Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra resurselor controlate de sistemul informatic: furt material, distrugere, dezvluire, modificri neautorizate, incompatibilitate, n lipsa controalelor interne asociate. Riscul de control, care reprezint riscul ca erorile materiale din datele entitii s nu fie prevenite sau detectate i corectate n timp util de structura controlului intern al entitii. Riscul de nedetectare, care reprezint riscul ca auditorul s nu detecteze erorile existente n sistem.
Factori care afecteaz riscul inerent Operaiile informatizate pot introduce factori adiionali de risc inerent. Auditorul trebuie s ia n considerare aceti factori i s evalueze impactul prelucrrilor pe calculator asupra riscului inerent. Pentru sistemele informatice financiar-contabile, cei mai relevani factori indui de mediul informatizat sunt menionai n continuare. Prelucrarea uniform a tranzaciilor: favorizeaz propagarea erorilor pentru tranzaciile similare i reduce substanial posibilitatea prelucrrii selective a erorilor. Prelucrarea automat: probele aferente acestor operaiuni pot sau nu pot fi vizibile. Potenial crescut de nedetectare a greelilor: se datoreaz implicrii umane n prelucrare mai puin dect n sistemele manuale, ceea ce crete potenialul obinerii a ccesului neautorizat al indivizilor la informaiile sensibile i al alterrii datelor fr probe vizibile. Datorit formatului electronic, schimbrile programelor i datelor sunt dificil de detectat. De asemenea, este probabil ca utilizatorii s poat interveni mai uor asupra formei electronice dect asupra rapoartelor manuale. Existena, completitudinea i volumul parcursului auditului: parcursul auditului financiar reprezint proba care demonstreaz modul n care a fost iniiat, prelucrat i agregat o tranzacie specific i reprezint o cerin fundamental. Anumite sisteme informatice sunt proiectate pentru a reine parcursul auditului numai pentru o perioad scurt, numai n format electronic i numai ntr-o form sintetic. De asemenea, informaia generat poate fi prea voluminoas pentru a putea fi analizat cu eficacitate. Tranzaciile pot rezulta dintr -o agregare a informaiei din numeroase surse. Fr utilizarea unor produse software de regsire i prelucrare, extragerea tranzaciilor ar putea deveni extrem de dificil. Fr un parcurs al auditului, poate s nu fie fezabil formularea unei opinii categorice privind situaiile financiare. Sistemele financiare trebuie s permit auditorului s urmreasc tranzaciile ncepnd cu intrarea iniial, tranzaciile generate de sistem i tranzaciile cu alocare intern; pn la reflectarea lor corect n situaiile financiare. Toate datele relevante i informaiile de parcurs al auditului financiar trebuie reinute un timp suficient pentru finalizarea aud itului. Documentele surs trebuie de asemenea s fac parte din parcursul auditului financiar, i acestea trebuie i ele s fie pstrate pn la finalizarea auditului. Natura configuraiei hardware i software utilizate: tipul de prelucrare (local, online, distribuit); dispozitivele periferice, interfeele sistem sau conexiunea la Internet; reelele distribuite, furnizarea serviciilor IT. Riscurile tipice sunt: accesul neautorizat la resursele sistemului, posibila alterare a datelor, dezvluirea informaiilor sensibile, dependena de furnizorul de programe. Tranzacii neuzuale: Programele dezvoltate pentru prelucrarea tranzaciilor neuzuale sau la o cerere special a managementului pentru extragerea unor informaii specifice se plaseaz n afara sistemului standard.
Factori care afecteaz riscul de control n anul 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) a identificat urmtoarele componente interrelaionate ale sistemului de control intern care au fost adoptate de AICPA67: Mediul de control, care include: integritatea, valorile etice i competena personalului entitii; viziunea managementului i stilul de operare i modul n care managementul i manifest autoritatea, i organizeaz i dezvolt resursele umane. Evaluarea riscurilor: identificarea i analiza riscurilor relevante pentru atingerea obiectivelor entitii, n scopul formrii unei baze pentru determinarea modului n care acestea pot fi gestionate. Activitile de control: politicile i procedurile care ofer asigurarea c deciziile managementului sunt aduse la ndeplinire. Acestea includ activiti care presupun: aprobri, verificri, reconcilieri, revizuiri ale performanei i separarea atribuiilor. Informarea i comunicarea, care presupun identificarea, capturarea i comunicarea informaiei pertinente ctre indivizi, ntr-o form adecvat i ntr-un timp care s le permit ndeplinirea responsabilitilor. Monitorizarea: se refer la activitile viitoare care presupun evaluarea continu a perfor manei controlului intern i asigurarea c deficienele identificate sunt raportate manage mentului de vrf. Atunci cnd evalueaz sistemul de control intern, auditorul trebuie s ia n considerare factorii specifici mediului informatizat. De exemplu, auditorul trebuie s ia n considerare atitudinea i contientizarea managementului n ceea ce privete operaiile informatizate: Considerarea riscurilor i beneficiilor aplicaiilor informatice; Comunicarea politicilor privind funciile informatizate i responsabilitile; Supervizarea politicilor i procedurilor referitoare la dezvoltarea, modificarea, ntreinerea i utilizarea programelor i fiierelor, precum i pentru controlul accesului la acestea; Considerarea riscului inerent i a riscului de control aferente calculatoarelor i datelor electronice; Reacia la recomandrile i cerinele anterioare; Planificarea operativ i eficace a activitilor IT / IS; Contientizarea dependenei de sistemul informatic n luarea deciziei.
Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al sistemelor informatice vor fi clasificate n trei categorii: a) Riscuri privind planificarea, dezvoltarea i introducerea sistemelor i serviciilor informatice Aceste riscuri decurg din: Lipsa unei planificri strategice; Insatisfacia utilizatorilor; ignorarea explorrii profilului utilizatorilor; Neglijarea aspectelor legate de asigurarea calitii; Lipsa unor evaluri privind eficacitatea costurilor; Nendeplinirea atribuiilor privind crearea cadrului necesar legal i organizaional; Implicarea sporadic i inconsecvent n elaborarea i implementarea reglementrilor i standardelor IT i de securitate; Furnizarea neadecvat a infrastructurii tehnice; Dependena de companiile IT;
67
AICPA - American Institute of Certified Public Accountants Pag. 136 din 214
Lipsa reglementrii drepturilor privind reeaua Internet; Lipsa unor evaluri ale proiectelor raportate la evoluiile tehnologiilor informaiei i comunicaiilor .
b) Riscuri n funcionarea sistemelor i serviciilor informatice Aceste riscuri decurg din: Politici de securitate IT tehnic i organizaional neadecvate, care afecteaz integritatea, autenticitatea, confidenialitatea i disponibilitatea informaiilor; securizarea transferului de date; Capabilitile de auditare a informaiilor; Securitatea tranzaciilor; Redundan, discontinuiti media i interoperabilitate neadecvat. c) Riscuri i efecte n plan economic Aceste riscuri decurg din: Decizii neadecvate, datorate pierderilor sau alterrii informaiilor furnizate de sistemul informatic; Pierderi datorate unor disfuncionaliti generate de indisponibilitatea informaiilor n timp real; Dezvoltarea i implementarea necontrolat a unor componente informatice eterogene; Cheltuieli dispersate, nejustificate; Scderea eficienei serviciilor informatice furnizate. Procedurile de audit vor furniza elemente pentru fundamentarea opiniei de audit privind gestionarea resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea eficienei, confidenialitii, integritii, disponibilitii, siguranei n funcionare i conformitii cu un cadru de referin (standarde, bune practici, cadru legislativ etc.). Aceast opinie trebuie s includ, n cazul neconformitilor, nivelul de risc (minor, mediu, major) i s contribuie prin recomandrile formulate la remedierea acestora. Evaluarea riscurilor se va efectua n conformitate cu urmtoarele criterii generale:
Utilizarea sistemului informatic se realizeaz n cadrul unei structuri clar definite; conducerea la cel mai nalt nivel este informat despre activitatea IT i este receptiv la schimbare; gestionarea resurselor umane se face eficient; monitorizarea cadrului legislativ i a contractelor cu principali i furnizori se desfoar corespunztor; are loc revizuirea funcionalitii, operrii i dezvoltrilor de componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu expun entitatea la riscuri nejustificate. Accesul neautorizat la datele sau programele critice este prevenit i controlat; mediul n care opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii. Aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i au implementate controale sigure asupra integritii datelor. Sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate) sau al furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr -o perioad de timp rezonabil. Sistemul este conform cu reglementrile legale n vigoare.
n evaluarea riscurilor IT se va utiliza Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului informatic. Aceasta conine urmtoarele categorii de probleme generatoare de riscuri:
Pag. 137 din 214
dependena de sistemul informatic; resursele i cunotinele de tehnologia informaiei; ncrederea n sistemul informatic; schimbrile n sistemul informatic; externalizarea serviciilor de tehnologia informaiei; focalizarea pe activitate; securitatea informaiei i a sistemului; managementul tehnologiei informaiei.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului. Descrierea riscurilor identificate de auditorii publici externi trebuie s includ informaii privind cauzele i impactul posibil al acestora, precum i nivelul de risc (mic, mediu sau mare) evaluat de auditorul public extern pe baza raionamentului profesional. Elaborarea Planului de audit Planul de audit ofer cadrul general pentru atingerea obiectivelor auditului ntr -un mod eficient i oportun. Pe parcursul desfurrii auditului, se admit ajustri ale planului de audit, justificate de apariia unor elemente noi fa de evaluarea contextului iniial, care necesit adncirea unor investigaii i aplicarea unor proceduri de audit mai detaliate. Planul de audit conine informaii privind natura, durata i programarea procedurilor de audit, precum i resursele necesare (de personal, financiare, tehnice, documentare etc.). Elaborarea planului de audit se concentreaz pe urmtoarele direcii: definirea ariei de acoperire a auditului, descrierea modului n care se va desfura auditul, furnizar ea unui mijloc de comunicare a informaiilor despre audit ntregului personal implicat n auditare. Planul de audit conine urmtoarele seciuni: 1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software, volumul operaiilor prelucrate automat; 2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul auditorului IT; 3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat; 4. Criteriile de audit stabilite; 5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care se obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de audit; 6. Resurse necesare: personal, timp, resurse tehnice i financiare. Planul de audit se avizeaz de directorul din cadrul departamentului de specialitate / directorul adjunct al camerei de conturi i se aprob de eful de departament / directorul camerei de conturi. Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfurrii misiunii de audit de ctre membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curii de Conturi, n situaii temeinic justificate. Auditorii publici externi trebuie s comunice cu entitatea auditat ntr-o manier constructiv, pe tot parcursul desfurrii misiunii de audit, prin organizarea unor ntlniri sau prin mijloace electronice. In scopul ndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit pentru categoriile de probleme specifice sistemelor informatice: evaluarea calitii managementului,
Pag. 138 din 214
securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului informatic, continuitatea sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea auditului intern cu privire la sistemul informatic, evaluarea riscurilor generate de funcionarea sistemului informatic. Aceste proceduri au asociate instruciuni metodologice, liste de verificare, machete i chestionare, dup caz. Procedurile de audit se refer la obinerea probelor de audit, la analiza probelor de audit i la sintetizarea rezultatelor.
Realizarea de interviuri cu persoane cheie implicate n proiect (coordonatori, utilizatori, administratori de sistem IT etc.); Utilizarea chestionarelor i machetelor; Examinarea unor documentaii tehnice, economice, de monitorizare i de raportare: grafic e de implementare, coresponden, rapoarte interne, situaii de raportare, rapoarte de stadiu al proiectului, registre de eviden, documentaii de monitorizare a utilizrii, contracte, sinteze statistice, metodologii, standarde; Participarea la demonstraii privind utilizarea sistemului ; Evaluarea portalului i a serviciilor electronice; Utilizarea tehnicilor i instrumentelor de audit asistat de calculator ( IDEA, TeamMate, ACL sau alte aplicaii utilizate);
Pag. 139 din 214
Documentarea pe Internet n scopul informrii asupra unor evenimente, comunicri, evoluii legate de sistemul IT sau pentru consultarea unor documentaii tehnice.
Colectarea i inventarierea probelor de audit Colectarea i inventarierea probelor de audit se refer la constituirea fondului de date n format electronic i / sau n format tiprit pe baza machetelor, chestionarelor i a listelor de verificare completate, precum i la organizarea i stocarea acestora. Natura probelor de audit este dependent de scopul auditului i de modelul de auditare utilizat. Dei modelele de auditare pot diferi n ceea ce privete detaliile, ele reflect i acoper cerina comun de a furniza o asigurare rezonabil c obiectivele i criteriile impuse n cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfcute. Documentarea probelor de audit Obinerea probelor de audit i nscrierea acestora n documentele de lucru reprezint activiti eseniale ale procesului de audit. Documentele de lucru se ntocmesc pe msura desfurrii activitilor din toate etapele auditului. Documentele de lucru trebuie s fie ntocmite i completate cu acuratee, s fie clare i inteligibile, s fie lizibile i aranjate n ordine, s se refere strict la aspectele semnificative, relevante i utile din punctul de vedere al auditului. Aceleai cerine se aplic i pentru documentele de lucru utilizate n format electronic. Documentarea corespunztoare a activitii de audit are n vedere urmtoarele considerente:
Confirm i susine opiniile auditorilor exprimate n raportul de audit; mbuntete performana activitii de audit; Constituie o surs de informaii pentru pregtirea raportului de audit sau pentru a rspunde oricror ntrebri ale entitii auditate sau ale altor pri interesate; Constituie dovada respectrii de ctre auditor a standardelor i a manualului de audit; Faciliteaz monitorizarea auditului; Furnizeaz informaii privind expertiza n audit.
Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar documentele elaborate n format electronic vor fi organizate n colecii de fiiere i / sau baze de date. Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu obiectivele auditului. Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de documente: diagra me de tip flowchart, prezentri narative, machete i chestionare. Alegerea acestor tehnici variaz n funcie de practicile locale de audit, de preferina personal a auditorului i de complexitatea sistemelor auditate. Diagramele flowchart exprim n mod grafic descrierea sistemului auditat. Diagramele flowchart nregistreaz ciclul de via al unei tranzacii, de la iniiere pn la stocarea acesteia i evideniaz controalele i procedurile automate i manuale. Descrierea narativ a ciclului de prelucrare a tranzaciilor este utilizat, de asemenea, n documentarea sistemelor. Se utilizeaz n conjuncie cu alte metode de documentare a sistemelor. Descrierea narativ include: obiectivele sistemului i intele, procesele i procedurile, legturi i interfee cu alte sisteme, controale, proceduri pentru condiii speciale. Listele de verificare n cazul evalurilor efectuate pentru auditarea infrastructurii IT, se vor utiliza urmtoarele liste de verificare:
Pag. 140 din 214
Lista de verificare privind evaluarea controalelor generale IT; Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului IT.
Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de funcionarea sistemului informatic. Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului. n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil pentru a formula o opinie privind ncrederea n informaiile furnizate de sistemul informatic, auditorul public extern va elabora Lista de verificare pentru testarea controalelor IT specifice aplicaiei financiar-contabile, care conine urmtoarele categorii de controale de aplicaie: controale privind integritatea fiierelor; controale privind securitatea aplicaiei; controale ale datelor de intrare; controale de prelucrare; controale ale ieirilor; controale privind reeaua i comunicaia; controale ale fiierelor cu date permanente.
n Anexa 5 este prezentat o list de verificare generic pentru testarea controalelor IT specifice aplicaiei financiar-contabile. Aceasta poate fi extins de auditor, n condiiile n care sunt necesare teste de audit suplimantare. n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar. n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare. Cerinele legislative i de reglementare includ: Legislaia din domeniul finanelor i contabilitii; Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Reglementri financiare i bancare; Legile cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei: lista de verificare pentru evaluarea guvernanei sistemelor de tip e-guvernare, lista de verificare pentru evaluarea portalului web, lista de evaluare a perimetrului de securitate, liste de verificare pentru evaluarea serviciilor electronice, liste de verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului. Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul de auditare asociat necesit o tratare separat. Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele aspecte:
Pag. 141 din 214
Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii; Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea calitii serviciilor; Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a docu mentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor software legislative), se materializeaz n reduceri de costuri cu aceste activiti; Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor proceduri pentru remedierea acestora; Eliminarea paralelismelor i integrarea proceselor, care se reflect n creterea eficienei activitii prin eliminarea redundanelor; Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rspuns; Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi aptitudini; Reducerea costurilor administrative.
Chestionarele Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru colectarea informaiilor despre acestea. Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la: acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii, calitatea documentaiei tehnice, ncrederea n sistemul informatic, dificultatea utilizrii sistemului, efectele n planul modernizrii activitii, necesitatea extinderii sistemului. n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice, acestea conin ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de criterii stabilite. Rspunsurile pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt admise aprecieri personale i comentarii. Pe baza informaiilor colectate se pot elabora diagrame i grafice care s exprime sugestiv concluzii referitoare la percepia unei populaii despre efectele implementrii i utilizrii sistemului inform atic supus evalurii. Machetele Machetele sunt elaborate de auditorii publici externi i constituie suportul pentru colectarea informaiilor legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul aplicativ, instruirea personalului, utilizarea sistemului informatic, costuri, furnizori. Sintetizarea, analiza i interpretarea probelor de audit Auditorii publici externi vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza, interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele documentare i prin intermediul machetelor, chestionarelor i listelor de verificare. Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele sintetice, repre zentri grafice, indicatori de performan, matrici de corelaie etc. n acest scop se utilizeaz, pe scar din ce n ce mai larg, instrumentele i tehnicile bazate pe calculator.
Formularea constatrilor i recomandrilor Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i interpretarea acestora. n funcie de impactul pe care l au neconformitile constatate, se formuleaz recomandri pentru remedierea acestora i reducerea nivelului riscurilor. Aceste recomandri reflect opiniile auditorului asupra entitii auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatrile se vor referi la urmtoarele aspecte: evaluarea complexitii sistemelor informatice, evaluarea general a riscurilor entitii n cadrul mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct de vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale.
Recomandrile formulate de auditorii publici externi n urma misiunii de audit al sist emelor informatice consemnate n actele ntocmite vor putea fi mbuntite de conducerea structurilor de specialitate ale CCR n a cror competen de verificare intra domeniul respectiv. n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la legalitate i regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea legii penale sau nerealizarea obiectivelor propuse de entitate n legtur cu programul / procesul / activitatea auditat () datorit nerespectrii principiilor economicitii, eficienei i eficacitii n utilizarea fondurilor publice i n administrarea patrimoniului public i privat al statului / unitilor administrati v - teritoriale, se ntocmesc proces verbal de constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, aceste acte constituind anexe la raportul de audit al sistemelor informatice. Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi care au efectuat auditul i va fi naintat entitii auditate, nsoit de o adres de naintare, pentru a fi nregistrat. Raportul de audit al sistemelor informatice, nregistrat la entitatea auditat va fi evideniat n registrul de intrri ieiri de la nivelul structurilor de specialitate respective, n Registrul special privind evidena actelor ntocmite i modul de valorificare a constatrilor consemnate n acestea i n aplicaia INFOPAC. Sinteza principalelor constatri, concluzii i recomandri ale auditului , nsoit de o adres semnat de eful departamentului / directorul camerei de conturi se transmite entitii auditate nsoit de o adres n care se specific termenul la care entitatea auditat va transmite Curii de Conturi informaii privind msurile i modul de implementare a recomandrilor cuprinse n raportul de audit. Raportul de audit al sistemului informatic sau o sintez a principalelor constatri, concluzii i recomandri ale acestuia pot fi transmise, dup caz, i instituiilor publice interesate, Guvernului, comisiilor de specialitate din cadrul Parlamentului, prin intermediul departamentului n a crui competen de verificare intr domeniul respectiv. n situaia n care misiunea de audit al sistemelor informatice este coordonat de ctre un departament de specialitate, aspectele semnificative cuprinse n rapoartele de audit al sistemelor informatice ntocmite la nivelul camerelor de conturi vor fi incluse n raportul de audit al sistemelor informatice ntocmit la nivelul departamentului coordonator. Valorificarea constatrilor consemnate n raportul de audit al sistemelor informatice i n anexele la acesta se face prin emiterea unei decizii de ctre eful de departament / directorul camerei de conturi, potrivit competenelor stabilite n Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti. Decizia va conine msurile propuse de Curtea de Conturi pentru intrarea n legalitate, conform procedurii prevzute la pct. 171 din Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, precum i pentru creterea performanei programului / proiectului / procesului / activitii auditat (e). Recomandrile formulate de auditorii publici externi vor sta la baza formulrii msurilor din decizie.
4.3
n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern, auditorul va analiza dac mediul de control i procedurile de control aplicate de entitate activit ilor proprii desfurate n mediul informatizat, n msura n care acestea sunt relevante pentru aseriunile situaiilor financiare, este un mediu sigur. n cazul sistemelor informatice, atunci cnd procedurile sunt automatizate, cnd volumul tranzaciilor este mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel acceptabil dect prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent utilizate tehnici de audit asistat de calculator. De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante urmtoarele aspecte ale controlului intern: (a) meninerea integritii procedurilor de control n mediul informatizat i (b) asigurarea accesului la nregistrri relevante pentru a satisface necesitile entitii, precum i n scopul auditului. Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate pentru nregistrarea i procesarea nregistrrilor financiare ale entitii (integritatea tranzaciei). Natura i complexitatea aplicaiilor influeneaz natura i amploarea riscurilor referitoare la nregistrarea i procesarea tranzaciilor electronice. Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor electronice, se axeaz n mare parte pe evaluarea credibilitii sistemelor utilizate pentru prelucrarea tranzaciilor. Utilizarea serviciilor informatice iniiaz, n mod automat, alte se cvene de prelucrare a tranzaciei fa de sistemele tradiionale. Procedurile de audit pentru sistemele informatice trebuie s se concentreze asupra controalelor automate referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i apoi procesate imediat. ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n majoritatea cazurilor proiectate pentru a asigura, printre altele: validarea intrrilor i prevenirea duplicrii sau a omiterii tranzaciilor. n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor de distrus sau de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii. Auditorul trebuie s stabileasc dac politicile de securitate a informaiei i controalele de securitate ale entitii sunt implementate adecvat pentru prevenirea modificrilor neautorizate ale nregistrrilor contabile, ale sistemului contabil sau ale sistemelor care furnizeaz date sistemului contabil. Aceasta se poate realiza prin testarea controalelor automate, cum ar fi verificrile de integritate a datelor, tampile de dat electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a soldurilor conturilor cu tere pri68. Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui rspunztori. Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestor a. Riscul poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale suplimentare, sub form de semnturi electronice.
68
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr -o form intangibil pe diverse medii de stocare, acestea pot fi modificate fr a lsa nici o urm. Auditorii trebuie s evalueze existena i eficiena controalelor care previn efectuarea de modificri neautorizate . Controale neadecvate pot conduce la situaia ca auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau integritii parcursului auditului. Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin utilizarea de controale adecvate ale accesului fizic i logic. Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de modificat dect instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie adecvat. Integritatea tranzaciilo r electronice poate fi protejat prin tehnici precum criptarea datelor, semnturi electronice sau prin utilizarea unui algoritm de dispersare a datelor. Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn procesarea de tranzacii duble. Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a totalurilor de control. Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea unor controale ale accesului fizic. Mijloace similare de protecie pot fi utilizate pentru protecia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt accesibile pe o reea de calculatoare, atunci apare un grad de incertitudine cu privire la cine are acces la software i la fiierele de date. Conectarea sistemelor de calculatoare la reeaua global Internet mrete substanial riscul de acces neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit controale de nivel nalt, specializate. Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de operare pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n ambele cazuri, eficiena controalelor de acces depinde de proceduri de identificare i autentificare i de o bun administrare a sistemelor de securitate. Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii pot vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat de programe nea utorizate ascunse n programele autorizate. Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i o separare eficient a sarcinilor ntre actorii implicai n sistem. n cazul tranzaciilor electronice, n care parcursul auditului se reconstituie din nregistrri stocate pe un calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt pstrate un timp suficient i c au fost protejate fa de modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie pstrate. n aceste cazuri, auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea s fie pstrate ntr -un mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor clientului atunci cnd planific auditul. Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
Pag. 146 din 214
chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a controalelor de acces fizic i logic. Mediul de control poate fi foarte bun ntr -un anumit loc, dar foarte slab n alt loc, iar eterogenitatea mediului informatic crete riscul de audit. Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr -un mediu informatic. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul poate, de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator. Din studiul literaturii de specialitate, rezult c sunt puine precedente care s ilustreze admisibilitatea nregistrrilor din calculator la o instan de judecat. n cazurile n care probele informatice au fost depuse n aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua fiabilitatea datelor informatice. Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale destul de puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem. n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe. Evaluarea sistemelor IT cuprinde trei pri: A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate impun auditorului sa culeag informaii de fond privind sistemele IT hardware i software ale clientului. Informaii privind dimensiunea, tipul i complexitatea tehnic a sistemelor informatice permit auditorilor s evalueze dac este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul identific sistemele financiare n curs de dezvoltare, care necesit n continuare implicarea auditului. Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie finalizat nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control ale aplicaiei. B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a evalua controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe identificate n mediul de control IT pot submina eficacitatea procedurilor de control n cadrul fiecrei aplicaii financiare. C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile : auditorul trebuie s utilizeze evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina procedurile de control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii financiare.
n funcie de concluziile acestei etape, referitoare la complexitatea sistemului care face obiectul auditului, auditorul poate s stabileasc dac este oportun sau nu s implice specialiti n audit IT n echipa de audit. Factorii care vor afecta aceast decizie includ: abilitile i experiena IT proprie a auditorului auditorii nu trebuie s realizeze evaluri IT dac consider c nu au abilitile necesare sau experiena necesar; dimensiunea (volumul) operaiilor clientului operaiile informatice de volume mari tind s fie mai complexe att n ceea ce privete sistemele propriu -zise, ct i din punctul de vedere al structurilor organizatorice; complexitatea tehnic a echipamentului IT i a reelei sistemele mai complexe, care ncorporeaz tehnologii noi, vor necesita asistena specialitilor IT pentru a identifica i a evalua riscurile de audit; cazul n care utilizatorii sistemului dezvolt i utilizeaz aplicaii sau au capacitatea de a modifica pachetele contabile standard n general, exist un risc crescut de audit n situaia n care utilizatorii dezvolt sau personalizeaz aplicaiile contabile; antecedente de probleme IT n cazul n care auditorii au avut n trecut probleme cu sistemele IT ale clientului, de exemplu, unde exist antecedente legate de erori ale utilizatorului, greeli de programare, fraud informatic sau nclcri grave ale securitii; n cazul n care sistemele informatice sau tranzaciile pe care le proceseaz furnizeaz informaii sensibile; sisteme n curs de dezvoltare auditorul poate fi solicitat s formuleze puncte de vedere cu privire la specificaiile i planurile de implementare ale noilor sisteme financiare.
n aceast etap sunt furnizate de asemenea detalii administrativ e, precum contractele personalului din cadrul departamentelor financiar-contabil i IT ale entitii auditate.
Organizare i management (politici IT i standarde); Separarea sarcinilor (atribuiilor); Controale fizice (al accesului i de mediu); Controale ale accesului logic; Dezvoltarea sistemului i managementul schimbrii; Controale privind planificarea continuitii sistemului i recuperarea n caz de dezastru; Controale privind personalul IT (inclusiv programatori, analiti de sistem i personal de operare a calculatoarelor); Controale privind disponibilitatea configuraiilor hardware/software; Controale privind operarea sistemului.
Pag. 148 din 214
n cadrul evalurii controalelor de nivel nalt, adoptate de management pentru a se asigura c sistemele informatice funcioneaz corect i satisfac obiectivele afacerii, auditorul poate determina dac activitile IT sunt controlate adecvat iar controalele impuse de entitatea auditat sunt suficiente. n cadrul evalurii este necesar examinarea urmtoarelor aspecte:
Detectarea riscurilor asociate controalelor de management neadecvate; Structura organizaional IT; Strategia IT i implicarea managementului de vrf; Politici de personal i de instruire; Documentaie i politici de documentare (politici de pstrare a documentelor); Politici de externalizare; Implicarea auditului intern; Politici de securitate IT; Conformitatea cu reglementrile n vigoare; Separarea atribuiilor.
Politicile IT de nivel nalt, procedurile i standardele sunt foarte importante n stabilirea unui cadru de control intern adecvat. Auditorul trebuie s fie capabil s identifice componentele controlului intern, aferente mediului informatizat, fiecare avnd obiective diferite:
Controalele de aplicaie; Controale operaionale: funcii i activiti care asigur c activitile operaionale contribuie la obiectivele afacerii; Controale administrative: asigur eficiena i conformitatea cu politicile de management, inclusiv controalele operaionale.
Obiectivele de control aferente mediului informatizat se axeaz pe: evaluarea calitii managementului, securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului IT, continuitatea sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea auditului intern cu privire la sistemul IT. Controalele IT generale includ: politici, structuri organizaionale, practici, reguli i proceduri, proiectate pentru a furniza o asigurare rezonabil c obiectivele afacerii vor fi atinse i evenimentele neprevzute vor fi prevenite sau detectate i corectate. Exist unele considerente speciale care trebuie avute n vedere atunci cnd se realizeaz evaluarea controalelor IT:
examinarea iniial a sistemelor IT ale clientului se realizeaz pe zone contabile diferite, tranzaciile procesate de o aplicaie putnd parcurg e diverse fluxuri de prelucrare n cadrul sistemului IT, fiecare dintre acestea fiind supus unor riscuri de audit diferite. importana sistemelor informatice n raport cu producerea situaiilor financiare i cu contribuia la obiectivele afacerii. aplicabilitatea i oportunitatea auditului bazat pe/asistat de calculator. Aceasta va permite identificarea procedurilor de control ale aplicaiei i o evaluare iniial a oportunitii lor. relaia controalelor IT cu mediul general de control. Se va avea n vedere ca existena controalelor manuale, care diminueaz punctele slabe ale sistemului IT, s fie luat integral n considerare.
Pag. 149 din 214
Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct asupra prelucrrii tranzaciilor individuale. Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai tranzaciile valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei, precum i la controalele manuale care opereaz n corelaie cu aplicaia. O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor manuale. De exemplu, autorizarea prin intermediul calculatorului de ctre supervizor este similar cu utilizarea semnturii pe documente tiprite. Exist i controale de aplicaie manuale, cum ar fi: analiza formatelor rapoartelor de ieire, inventarierea situaiilor de ieire etc.. Controalele de aplicaie sunt proceduri specifice de control asupra aplicaiilor, care furnizeaz asigurarea c toate tranzaciile sunt autorizate i nregistrate, prelucrate complet, corect i la termenul stabilit. Controalele de aplicaie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator) i din proceduri automate sau controale efectuate de produse software.
Proprietarii aplicaiilor sunt n mod normal coordonatorii administrativi ai departamentului n care funcioneaz aplicaia i au responsabilitatea privind contribuia strategic a sistemului de a satisface obiectivele afacerii. Proprietarii aplicaiei fac parte din managementul entitii i asigur, de asemenea, funcionarea sistemului n concordan cu cerinele i operarea acestuia de ctre personalul desemnat Administratorul aplicaiei are urmtoarele sarcini tipice: menine lista utilizatorilor autorizai ai aplicaiei, adaug sau terge utilizatori din profilele de securitate a aplicaiei, asigur c departamentul IT a salvat datele n concordan cu politicile de back-up, rezolv cerine ale utilizatorilor aplicaiei, identific, monitorizeaz i raporteaz proprietarului aplicaiei sau departamentului IT problemele semnificative care apar, deine i distribuie documentaia aplicaiei, menine legtura cu departamentul IT, cu ali administratori de aplicaii sau cu furnizori de software. n cazul aplicaiilor financiar-contabile, administratorul nu trebuie s fac parte din acest departament, dect numai dac nu are cunotine despre procedurile manuale specifice domeniului, avnd n vedere principiul separrii atribuiilor. Utilizatorii aplicaiei asigur operarea zilnic a aplicaiei avnd acces numai la acele resurse ale sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitat, de asemenea, la funciile necesare realizrii sarcinilor proprii.
proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare), descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de auditare asistat de calculator. Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza astfel: (a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei i, n consecin, nu furnizeaz probe de audit explicite. (b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea acionnd pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata introducerii datelor). (c) Rezervele auditorilor fa de controalele de aplicaie IT, datorate eventualitii ca acestea s fie alterate de ctre persoane interesate n inducerea n eroare a auditorului. (d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT, care nu prezint garanii privind funcionarea corect. Relaia ntre controalele generale i controalele de aplicaie O modalitate de a privi relaia dintre controalele generale i cele de aplicaie este aceea de a aloca adecvat controalele generale pentru a proteja aplicaiile i bazele de date i pentru a asigura resursele necesare funcionrii continue. Cele mai uzuale controale de aplicaie n cazul unei aplicaii financiar-contabile sistemul de controale are urmtoarele nivele:
Examinarea situaiilor financiare pentru a determina dac reflect corect operaiile efectuate asupra tranzaciilor: nregistrarea corect n conturi a unor tranzacii de test, reflectarea acestor tranzacii n situaiile contabile, respectarea formatelor cerute de lege pentru situaiile contabile etc. Controale ale ieirilor, care au ca scop verificarea c fiierele temporare generate pentru listare (n spooler) naintea transmiterii ctre imprimant pot fi alterate, n lipsa unei protecii adecvate, nainte de a fi listate. Controale ale prelucrrilor, care sunt implementate pentru verificarea prelucrrii corecte a ratelor de schimb, a comisioanelor, a aplicrii unor cote de regie, a utilizrii unor tarife etc.. Controale ale intrrilor, care au ca scop verificarea c documentele contabile se refer la perioada contabil aferent, c se utilizeaz corect planul de conturi, c aplicaia permite efectuarea automat a egalitilor contabile etc. Prevenirea accesului neautorizat n sistem Asigurarea c pe calculatoare este instalat versiunea corect a programului de contabilitate i nu versiuni netestate care pot conine erori de programare. Controale privind sistemul de operare, care asigur verificarea c accesul la aplicaia financiar-contabil este controlat i autorizat pentru utilizatorii care o opereaz. Controale ale accesului n reea, care asigur c utilizatorii neautorizai nu pot avea acces n sistemele conectate la reea. Auditarea sistemului de securitate al sistemelor i al conexiun ilor la Internet, care verific existena i atribuiile ofierului de securitate al sistemelor, precum i sistemul de controale
Pag. 152 din 214
specifice, n scopul identificrii riscurilor i al adoptrii unor msuri de reducere a acestora la un nivel acceptabil.
Selecia i instruirea personalului, care furnizeaz asigurarea c procedurile de selecie i de instruire a personalului reduc riscul erorilor umane. Controalele fizice i de mediu, care asigur protejarea fizic a sistemelor de calcul. Politicile de management i standardele; acestea se refer la toate categoriile de controale.
Cele mai uzuale evaluri ale controalelor de aplicaie se refer la urmtoarele aspecte:
Existena procedurilor de generare automat de ctre aplicaie a situaiilor de ieire; Existena funciei de export al rapoartelor n format electronic, n cadrul sistemului; Validitatea i consistena datelor din baza de date a aplicaiei; Existena discontinuitilor i a duplicatelor; Existena procedurii de pstrare a datelor pe suport tehnic pe o perioad prevzut de lege; Asigurarea posibilitii n orice moment, de a reintegra n sistem datele arhivate; Procedura de restaurare folosit; Existena procedurii de remprosptare periodic a datelor arhivate; Existena interdiciei de modificare, inserare sau tergere a datelor n condiii precizate (de exemplu, pentru o aplicaie financiar-contabil, interdicia se poate referi la tergerea datelor contabile pentru o perioad nchis); Existena i completitudinea documentaiei produsului informatic; Contractul cu furnizorul aplicaiei din punctul de vedere al clauzelor privind ntreinerea i adaptarea produsului informatic; Organizarea gestiunii versiunilor, modificrilor, corecturilor i schimbrilor de sistem informatic, produse program i sistem de calcul; Reconcilierile fcute n urma migrrii datelor, ca urmare a schimbrii sistemului de calcul sau a modului de prelucrare a datelor; Alte controale decurgnd din specificul aplicaiei.
O categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare. Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:
Reglementri financiare i bancare; Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Legile cu privire la proprietatea intelectual.
Testarea aplicaiei financiar-contabile n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii privind funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre raionamentul profesional i o modelare statistic pe care o poate opera n acest scop. Dac auditorul i propune s planifice ca testele de control s se efectueze pe un numr mare de tranzacii, atunci va aplica metoda eantionrii datelor i va stabili dimensiunea eantionului. n ceea ce privete controlul asupra informaiilor de intrare, ieire sau memorate n baza de date, pentru o aplicaie financiar-contabil verificrile uzuale privind satisfacerea cerinelor legislative sunt:
Conformitatea conturilor cu Planul de conturi; Denumirea n limba romn a informaiilor coninute n documentele de intrare i n situaiile de ieire; Interdicia deschiderii a dou conturi cu acelai numr; Interdicia modificrii numrului de cont n cazul n care au fost nregistrate date n acel cont; Interdicia suprimrii unui cont n cursul exerciiului curent sau aferent exerciiului precedent, dac acesta conine nregistrri sau sold; Respectarea formatului prevzut de lege pentru documentele i situaiile generate de aplicaia contabil; Acurateea balanei sintetice, pornind de la balana analitic; generarea balanei pentru orice lun calendaristic; Reflectarea corect a operaiunilor n baza de date, n documente i n situaii de ieire; Existena i corectitudinea situaiilor prevzute de lege ca fiind obligatorii; Alte controale decurgnd din specificul aplicaiei.
Analiza riscului ntr-un mediu informatizat Mediul informatizat introduce riscuri noi, pe lng alte categorii de riscuri cu care se confrunt organizaia. n vederea asigurrii proteciei informaiilor i sistemelor IT este necesar dezvoltarea unui flux continuu activiti privind identificarea, analiza, evaluarea i gestionarea riscurilor specifice. Riscurile generate de funcionarea sistemului informatic pot fi puse n eviden prin analiza unor factori cu impact n desfurarea activitii entitii auditate, respectiv: dependena de sistemul i nformatic, resursele i cunotinele n domeniul tehnologiei informaiei, ncrederea n sistemul informatic, schimbri ale sistemului informatic, externalizarea activitilor de tehnologia informaiei, securitatea informaiei, respectarea legislaiei n vigoare. Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de acestea, entitatea trebuie s implementeze controale i proceduri care s contribuie la diminuarea / eliminarea efectelor generate de ignorarea unor aspecte care determin modul de utilizare a angajailor, calitatea acestora, motivarea n activitatea desfurat, fluctuaia personalului, structura conducerii, volumul de munc. n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme strict focalizate (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de alte impedimente cum ar fi cele legate de dificultatea sau imposibilitatea asigurrii interoperabilitii aplicaiilor sau de multiplicarea informaiilor. La aceasta se adaug i faptul c tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte iar informaiile introduse n sistem sunt validate ntr-o manier eterogen: proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea inconsistenei sau a redundanei datelor. Lipsa unei soluii integrate se reflect , de asemenea, n existena unor baze de date diverse, unele aparinnd unor platforme hardware/software nvechite, interfee utilizator diferite i uneori neadecvate, faciliti de comunicaie reduse i probleme de securitate cu riscuri asociate. Gradul ridicat de fragmentare a sistemului informatic implic aciuni frecvente ale utilizatorului n procesul de prelucrare i atrage efecte negative n ceea ce privete respectarea fluxului documentelor, ceea ce crete foarte mult riscul de eroare. n funcie de soluia arhitectural implementat i de estimrile iniiale privind dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri semnificative ale volumului de tranzacii care pot rezulta din schimbri majore n activitatea entitii. Estimarea riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii implic decizii
Pag. 154 din 214
importante la nivelul managementului, n sensul reproiectrii sistemului, i, implicit, privind alocarea unui buget corespunztor. Schimbrile configuraiilor de sisteme trebuie s fie autorizate, testate, documentate, controlate. ntr-un mediu informatizat, amploarea riscurilor capt o alt dimensiune, natura riscurilor fiind influenat de o serie de factori specifici utilizrii tehnologiei informaiei: a) Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe hrtie. b) Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la baz documente justificative este cazul tranzaciilor din sistemele on-line. c) Lipsa unor urme vizibile ale tranzaciilor Dei n practica prelucrrii manuale orice tranzacie poate fi urmrit plecnd de la documentul primar, apoi n registrele contabile, co nturi n prelucrarea automat traseul unei tranzacii poate exista o perioad limitat, ntr-un format electronic. d) Lipsa unor ieiri vizibile anumite tranzacii sau rezultate, n special cnd acestea reprezint detalii, se pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o form tiprit). e) Transparena documentelor privind desfurarea unor operaiuni. Dischetele, discurile optice i alte suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaii, nsumnd zeci de mii de pagini de hrtie, pot fi subtilizate mult mai discret genernd astfel fraude sau cel puin afectnd confidenialitatea acestor informaii. f) Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea calculatorului de a iniia i executa automat unele tranzacii; altfel spus, este vorba de modul de proiectare a aplicaiei informatice care poate avea ncorporate anumite autorizri implicite i funcii de generare automat. g) Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod uniform tranzacii similare, pe baza acelorai instruciuni program. n felul acesta, erorile de redactare a documentelor asociate unei procesri manuale sunt n mod virtual eliminate. n schimb, erorile de programare pot conduce la procesarea incorect a tranzaciilor, astfel nct auditorii i vor concentra atenia asupra acurateei i consistenei ieirilor. h) Accesul neautorizat la date i fiiere se poate efectua cu o mai mare uurin, ceea ce implic un mare potenial de fraud i eroare. i) Remanena suporturilor de memorare a datelor, dup ce au fost terse, poate constitui o cale sigur ca persoane interesate, neautorizate s intre n posesia unor informaii de valoare. j) Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele de asistare a deciziei, au condus la valorificarea unor informaii importante ale entitii, genernd prognoze i strategii ntr-un anumit domeniu. Astfel, informaiile capt valene suplimentare. Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai lucru se poate spune despre progresele nregistrate n domeniul securitii datelor. Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt doar un exemplu n acest sens, dar se poate afirma c aceast evoluie a deschis i mai mult apetitul specialitilor n ceea ce privete frauda informaional. Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al noului mediu de lucru; n acest sens modificarea datelor, adugarea sau chiar tergerea lor au devenit operaii mult mai uor de realizat, dar, n acelai timp, destul de greu de depistat. Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica modalitile prin care datele i, implicit, sistemul informatic care le conine, sunt expuse la risc. Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat genereaz noi riscuri i c orice organizaie, n vederea asigurrii unei protecii eficiente a informaiilor, este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.
Pag. 155 din 214
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul componentelor proprii ale acestei tehnologii: ameninri, vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui sistem cauznd impactul i, n esen, combinaia celor trei elemente determin mrimea riscului. Riscul la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind responsabil de reducerea acestuia la un nivel acceptabil. Anomalii frecvente n operarea sistemului Cele mai frecvente efecte ale operrii necorespunztoare a sistemului pot avea ca surs disfuncionaliti la nivelul infrastructurii IT sau pot fi generate de personalul care gestioneaz sistemul sau de ctre teri, n cazul serviciilor externalizate.
Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii unor versiuni incorecte, precum i datorit unor parametri de configurare incoreci introdui de personalul de operare (de exemplu, ceasul sistemului i data setate incorect pot genera erori n calculul dobnzilor, al penalitilor, al salariilor etc.). Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta dintr-o utilizare greit sau neautorizat a unor programe utilitare. Personalul IT nu tie s gestioneze rezolvarea sau escaladarea problemelor sau raportarea erorilor, iar ncercarea de a le rezolva pe cont propriu poate provoca pierderi i mai mari; ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n programarea sarcinilor; Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de pierdere a capacitii de a continua prelucrarea n urma unui dezastru; Lipsa capacitii (resurselor) sistemului, sistemul devenind incapabil de a prelucra tranzaciile din cauza suprancrcrii; Timpul mare al cderilor de sistem pn la remedierea erorii; Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii de asisten tehnic (Helpdesk).
Sisteme n curs de dezvoltare Sistemele informatice financiar-contabile n curs de dezvoltare ale entitii auditate nu sunt susceptibile s aib un impact asupra auditului situaiilor financiare curente. ns, un sistem financiar greit conceput sau implementat ar putea conduce la un audit al evidenelor informatizate scump sau imposibil de realizat n anii urmtori. Aceast seciune trateaz implicarea auditorilor externi n formularea unor cerine pentru sistemele financiare care urmeaz s fie achiziionate de la furnizori sau dezvoltate n cadrul entitii. Revine entitii auditate, i n particular auditului intern, s stabileasc dac demersul de dezvoltare propus de auditor este susceptibil s conduc la un sistem care s satisfac necesitile activitii. Nu este rolul auditorilor s avizeze demersul sau aspectele particulare ale acestuia. Trebuie, ns, ca auditorul intern s fac observaii asupra aspectelor demersului care ar putea duce la dificulti n emiterea unei opinii asupra situaiilor financiare i pentru a putea evita dificultile de audit extern ulterioare. Auditul sistemelor financiare n curs de dezvoltare este o zon cu caracter tehnic, complex i care comport multe aspecte care necesit o analiz.
Documente i informaii solicitate entitii auditate n cadrul misiunii de audit IT, n mod uzual, se solicit urmtoarele documente i informaii privind sistemele, proiectele i aplicaiile existente n cadrul entitii auditate. a) Referitor la managementul tehnologiei informaiei: 1. 2. 3. 4. 5. 6. 7. 8. Structura organizaional. Fie de post pentru persoanele implicate n proiectele informatice; Strategia IT i stadiul de implementare a acesteia; Politici i proceduri incluse n sistemul de control intern; Legislaie i reglementri care guverneaz domeniul; Documente referitoare la coordonarea i monitorizarea proiectelor IT; Raportri ctre management privind proiectele IT; Buget alocat pentru proiectele informatice; Lista furnizorilor i copiile contractelor pentru hardware i software (furnizare, service, mente nan etc.); 9. Rapoarte de audit privind sistemul IT n ultimii 3 ani; 10. Raportarea indicatorilor de performan. b) Referitor la infrastructura hardware / software i de securitate a sistemului 11. Infrastructura hardware, software i de comunicaie. Documentaie de prezentare; 12. Politica de securitate. Proceduri generale. Proceduri operaionale IT (back -up, managementul capacitii, managementul configuraiilor, managementul schimbrii proceselor, managementul schimbrilor tehnice, managementul problemelor etc.); 13. Proceduri i norme specifice, inclusiv cele legate de administrare i securitate, n vederea creterii gradului necesar de confidenialitate i a siguranei n utilizare, n scopul bunei desfurri a procedurilor electronice i pentru asigurarea proteciei datelor cu caracter personal ; 14. Arhitectura de sistem. Categorii de servicii i tehnologii utilizate; 15. Arhitectura de reea. Tipuri de conexiuni; 16. Personalul implicat n proiecte. Numr, structur, calificare; 17. Manuale, documentaie de sistem i orice alt documentaie referitoare la aplicaiile informatice . c) Referitor la continuitatea sistemului 18. Plan de continuitate a activitii care face obiectul proiectelor IT; 19. Plan de recuperare n caz de dezastru. d) Referitor la dezvoltarea sistemului 20. Lista aplicaiilor i proiectelor IT (scurt prezentare a portofoliului de proiecte); 21. Stadiul actual, grafice de implementare i rapoarte de utilizare; 22. Perspective de dezvoltare. e) Referitor la sistemul de monitorizare i raportare 23. Raportri ale managementului IT referitoare la proiectele informatice; 24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice.
4.4
n aceast seciune se prezint cadrul procedural pentru evaluarea sistemelor informatice , n general, cu exemplificri pentru sistemele financiar-contabile. Auditorii trebuie s recurg la raionamentul propriu pentru a stabili ce controale ar fi rezonabile, avnd n vedere mrimea, complexitatea i importana sistemelor informatice financiar-contabile ale entitii auditate. Scopurile unei evaluri a sistemelor informatice financiar-contabile sunt: s identifice configuraiile hardware i aplicaiile informatice implicate n pregtirea situaiilor financiare ale entitii auditate; s permit auditorilor s evalueze gradul de complexitate a sistemului informatic; s identifice riscurile generate de mediul IT; s permit auditorilor s obin o nelegere suficient a sistemelor de controale informatice interne pentru a planifica auditul i a dezvolta o abordare de audit eficient. Structurarea cadrului procedural este prezentat n tabelul urmtor. Seciune A Denumirea seciunii Informaii de fond privind sistemele IT ale entitii auditate Privire general asupra entitii auditate Principalele probleme IT rezultate din activitile anterioare de audit Dezvoltri informatice planificate Echipament informatic [hardware] i programe informatice [software] Cerine pentru specialitii n auditul informatic Activitatea necesar pentru revizuirea sistemelor Contacte cheie B Evaluarea mediului de control IT Controale IT generale Management IT Separarea atribuiilor Securitatea fizic i controalele de mediu Securitatea informaiei i a sistemelor Continuitatea sistemelor Externalizarea serviciilor IT Managementul schimbrii i al dezvoltrii de sistem Audit intern CA Evaluarea controalelor de aplicaie nelegerea sistemului informatic Posibilitatea de efectuare a auditului Utilizarea tehnicilor de audit asistat de calculator (CAAT) Determinarea rspunderii Evaluarea documentaiei aplicaiei Evaluarea securitii aplicaiei Evaluarea controalelor la introducerea datelor Evaluarea controalelor transmisiei de date Evaluarea controalelor prelucrrii CA1 CA2 CA3 CA4 CA5 CA6 CA7 CA8 CA9
Pag. 158 din 214
Procedura
A1 A2 A3 A4 A5 A6 A7
B1 B2 B3 B4 B5 B6 B7 B8
Evaluarea controalelor datelor de ieire Evaluarea controalelor fiierelor cu date permanente Evaluarea conformitii cu legislaia n vigoare Efectuarea testelor de audit
Programe informatice (software): sistemul de operare, software de securitate, software de gestionare a bazelor de date, software de audit, generatoarele de rapoarte, software de programare i altele; Software de aplicaie (denumire, furnizor, versiune, platform, l imbaj de programare / dezvoltare, numr de utilizatori, data instalrii, pachet la cheie sau dezvoltat la comand, module, prelucrare offline / online, utilizare EDI); Informaii privind personalul implicat n proiectele IT.
a asigura c pierderea facilitilor de calcul nu afecteaz capacitatea organizaiei de a produce situaii financiare care pot fi supuse auditului.
Auditorul trebuie s determine ce controale ar fi rezonabile n cadrul fiecrei configuraii de calcul. Cnd evalueaz un mediu de control IT auditorul trebuie s aib n vedere diferii factori, inclusiv natura activitii clientului, mrimea departamentului IT, istoricul erorilor i ncrederea acordat sistemelor informatice. Auditorul poate obine informaii privind mediul general IT prin interviuri i discuii cu personalul implicat, prin analize ale documentaiei sistemului, precum i prin legtura cu auditul intern i observaia direct. Pentru evaluarea controalelor IT generale se folosete Lista de verificare privind evaluarea controalelor generale IT. n seciunile urmtoare sunt prezentate proceduri reprezentative pentru auditul sistemelor informatice.
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind ntlnirile organizate de conducerea entitii (minute, procese verbale, adrese etc.). Auditorul va evalua soluia organizatoric prin prisma criteriilor menionate i va colecta probe privind: subordonarea departamentului IT, nivelele de monitorizare a proiectului, existena unei politici de angajri, instruirea profesional i evaluarea periodic a performanei personalului tehnic implicat proiect i a utilizatorilor sistemului, analiza dependenei de persoanele cheie. Pentru personalul implicat n activiti legate de sistemul informatic, va verifica existena fielor de post semnate i dac acestea conin atribuiile specifice utilizrii tehnologiilor informaiei.
B.1.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele referitoare la planificarea activitilor privind utilizarea tehnologiilor informaiei Existena unui plan corespunztor i documentat pentru coordonarea activitilor legate de implementarea i funcionarea sistemului informatic, corelat cu strategia instituiei ; Documentarea n planificarea entitii a rezultatelor scontate / intelor i etapelor de dezvoltare i implementare a proiectelor; ntocmirea i aprobarea de ctre conducere a unui plan strategic adecvat prin care obiectivele cuprinse n politic s aib asociate aciuni, termene i resurse; Desfurarea unor aciuni legate de sistemele de achiziie a informaiilor electronice (colectarea informaiilor i migrarea acestora n mediul electronic);
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind planificarea i monitorizarea proiectelor IT. B.1.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind managementul costurilor Elaborarea unei strategii de finanare pentru proiectele aferente serviciilor IT, astfel nct nivelele de finanare s fie consistente cu obiectivele; Existena unui buget separat pentru investiii i cheltuieli legate de IT. Stabilirea responsabilitilor privind ntocmirea, aprobarea i urmrirea bugetului; Implementarea sistemelor pentru monitorizarea i calculul cheltuielilor; Efectuarea analizei activitilor fa de Strategia IT a entitii.
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind modul de alocare i gestionare a bugetului proiectului, n concordan cu obiectivele i strategia entitii. n cazul auditului performanei implementrii i utilizrii sistemului informatic, analiza ponderii diferitelor categorii de costuri n bugetul total al proiectului, raportate la rezultatele obinute, poate furniza informaii privind eficiena utilizrii fondurilor. Urmrirea gestionrii bugetului alocat proiectului se reflect n evidenele operative ale entitii (procese verbale privind ndeplinirea sarcinilor furnizorilor, documente coninnd rezultatele unor inspecii, documente privind analize i raportri periodice ale activitilor i stadiului proiectului, n raport cu strategia de implementare).
Pag. 162 din 214
B.1.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind managementul programelor i al proiectelor, precum i raportarea ctre conducerea instituiei (cu scopul de a evalua problematica i de a ntreprinde msuri corective pentru remedierea unor deficiene sau de a efectua evaluri ale efectelor utilizrii sistemului n raport cu obiectivele activitii entitii ) Managementul portofoliilor de proiecte; Managementul proiectelor este cuprinztor, riguros i sistematic; Monitorizarea activitilor i progresului proiectelor n raport cu planurile elaborate n acest domeniu; Nominalizarea unui colectiv i a unui responsabil care supravegheaz desfurarea activitilor n concordan cu liniile directoare; Informarea personalului n legtur cu politicile, reglementrile, standardele i procedurile legate de IT; Raportarea regulat ctre conducerea instituiei a activitilor legate de implementarea IT.
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n managementul proiectelor i pe baza analizei documentelor privind modul de monitorizare i de gestionare a acestora. Auditorul va constata modul n care se face raportarea ctre management , prin colectarea unor probe care decurg din analiza documentelor de raportare care ofer informaii privind coninutul i periodicitatea raportrilor, privind organizarea unor ntlniri ntre actorii implicai n proiect pentru semnalarea problemelor aprute i alegerea cilor de rezolvare a problemelor semnalate. De asemenea, este evaluat modul n care sunt analizai i adui la cunotina conducerii entitii, n mod oficial, indicatorii de performan ai sistemului informatic. B.1.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind c alitatea serviciilor furnizate utilizatorilor interni (care se reflect n succesul proiectului, un obiectiv important al conducerii, avnd efecte inclusiv n planul ncrederii personalului n noile tehnologii) Nivelul calitii serviciilor furnizate utilizatorilor interni se menioneaz ntr-un document care prevede clauzele referitoare la acestea - SLA (Service Level Agreement). Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n managementul proiectelor i pe baza analizei documentelor privind clauzele referitoare la asigurarea calitii pentru ntreg ciclul de via al proiectului (specificarea cerinelor, dezvoltarea sistemului, implementarea sistemului, elaborarea i predarea documentaiei, instruirea personalului la toate nivelurile, ntreinerea sistemului, asigurarea suportului tehnic etc.), care trebuie s fac parte din contractele cu furnizorii. B.1.6 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind respectarea reglementrilor n domeniu i a cerinelor proiectului Stabilirea responsabilitii pentru asigurarea c sistemul implementat este actualizat n conformitate cu ultima versiune furnizat, c pachetele software au fost furnizate conform clauzelor contractuale, c au fost furnizate licenele n cadrul contractelor, c documentaia a fost furnizat conform contractului.
Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n managementul proiectelor i pe baza analizei documentelor care se refer la existena unor politici sau proceduri formale prin care se atribuie responsabilitatea monitorizrii mediului legislativ c are poate avea impact asupra sistemelor informatice, precum i a asigurrii conformitii cu clauzele contractuale privind:
Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu ultima versiune furnizat; Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaie; Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform clauzelor contractuale, pe etape i la termenele stabilite; Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract; Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i valabilitii licenelor furnizate n cadrul contractului; Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal care poate avea seciuni distincte pentru suport tehnic, specializat pe categorii relevante de probleme / anomalii sau pentru instruirea continu a utilizatorilor); Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor furnizate n cadrul contractului, precum i recepia cantitativ i calitativ; Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul manualelor, limba) i formatul (tiprit, n format electronic, on-line); Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru proiectele de dezvoltare software; Existena manualelor de utilizare pentru echipamentele livrate.
B.2.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind separarea atribuiilor (sarcinilor) Existena unei structuri organizatorice formale / cunoaterea de ctre personal a modului de subordonare i a limitelor de responsabilitate proprii i ale restului de personal. Aceasta va face mai dificil s se efectueze aciuni neautorizate fr a fi detectate. Includerea cu claritate a atribuiilor personalului n fia postului, n scopul reducerii riscului efecturii de ctre acesta a unor aciuni dincolo de limitele autorizate. Separarea sarcinilor realizat prin intermediul sistemului informatic, prin utilizarea de profile de securitate individuale i de grup, preprogramate. Interdicia ca personalul care are sarcini n departamentul IT s aib sarcini i n departamentul financiar-contabil sau de personal. Existena unei separri fizice i manageriale a atribuiilor, pentru a reduce riscul de fraud. Separarea funciilor IT de utilizatori, pentru a reduce riscul de efectuare de ctre utilizatori a unor modificri neautorizate ale programelor sau ale datelor financiar-contabile, avnd n vedere c persoanele cu sarcini att n domeniul financiar-contabil, ct i n domeniul IT au oportuniti mai mari de a efectua activiti neautorizate prin intermediul aplicaiilor informatice, fr a fi depistate. Existena unui cadru formal de separare a sarcinilor n cadrul departamentului IT, pentru urmtoarele categorii de activiti: o Proiectarea i programarea sistemelor; o ntreinerea sistemelor; o Operaii IT de rutin; o Introducerea datelor; o Securitatea sistemelor; o Administrarea bazelor de date; o Managementul schimbrii i al dezvoltrii sistemului informatic. Separarea sarcinilor de administrator de sistem de cele de control al securitii sistemului . Asigurarea unei separri adecvate a sarcinilor pentru a reduce riscurile ca personalul cu cunotine semnificative despre sistem s efectueze aciuni neautorizate i s nlture urmele aciunilor proprii. Existena unei separri eficiente a sarcinilor ntre dezvoltat orii de sisteme, personalul de operare a calculatoarelor i utilizatorii finali. Interdicia ca programatorii s aib acces la mediul de producie (introducere de date, fiiere permanente date de ieire, programe etc.) pentru a-i ndeplini sarcinile. Interdicia ca personalul care face programare s aib permisiunea de a transfera software nou ntre mediile de dezvoltare, testare i producie. Interdicia ca personalul cu cunotine de programare s aib atribuii de operare care s permit efectuarea de modificri neautorizate n programe. Separarea responsabilitii privind operarea aplicaiei de control al patrimoniului de responsa bilitatea de a menine nregistrrile contabile privind patrimoniul. Utilizarea separrii sarcinilor ca form de revizie, detectare a erorilor i control al calitii. Contientizarea personalului.
Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza documentelor relevante (organigram, fia postului, decizii ale conducerii, contracte etc.) dac personalul IT are responsabiliti n departamentele utilizatorilor, dac funciile IT sunt separate de funciile de utilizare (financiar, gestiunea stocurilor etc.) pentru a nu se opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii incompatibile, potrivit aspectelor menionate mai sus, sunt separate.
Pag. 165 din 214
Uniforma personalului sau utilizarea ecusoanelor; tergerea drepturilor de acces la plecarea persoanei din organizaie i informarea personalului care asigur paza n legtur cu acest lucru. Pentru aceast situaie trebuie s existe proceduri de identificare a celor care pleac i de asigurare c accesul fizic al acestora n zona de operare IT nu mai este permis; Identificarea vizitatorilor i primirea acestora; Proceduri pentru evenimente neateptate: plecarea temporar din birou a unor salariai pentru a lua masa, sau la o solicitare expres. Msurile pentru aceste situaii pot include: ncuierea laptop-urilor n sertare sau dulapuri, blocarea tastaturii, ncuierea suporilor tehnici care conin date.
Controalele specifice de mediu Se refer la urmtoarele aspecte: Prevenirea, detectarea i stingerea incendiilor: politica de interzicere a fumatului, nlturarea unor materiale inflamabile din spaiile care gzduiesc calculatoare, utilizarea detectoarelor de fum i de cldur, dotarea cu stingtoare de incendii manuale i automate, utilizarea dispozitivelor de alarm, instruirea personalului; Protecia mpotriva inundaiilor i a excesului de umiditate : amplasarea calculatoarelor la etajele superioare, dotarea cu detectoare de umiditate conectate la dispozitive de alarm ; Protecia i controlul surselor de alimentare: utilizarea unor dispozitive de protecie la suprasarcin, surse de tensiune neintreruptibile (UPS), generatoare electrice de rezerv, cablare alternativ; Asigurarea condiiilor de nclzire, ventilaie i aer condiionat: asigurarea unui mediu ambiental controlat prin instalarea echipamentelor de aer condiionat; ntreinere i curenie: asigurarea condiiilor de curenie adecvate cerinelor acestor tipuri de echipamente.
Pag. 166 din 214
B.3.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind controlul accesului fizic Alocarea unor spaii adecvate pentru camera serverelor; Implementarea unor proceduri formale de acces n locaiile care gzduiesc echipamente IT importante care s stabileasc: persoanele care au acces la servere, modul n care se controleaz accesul la servere (de exemplu, cartele de acces, chei, registre), procedura de alocare a cartelelor ctre utilizatori i de monitorizare a respectrii acesteia, cerina ca vizi tatorii s fie nsoii de un reprezentant al entitii; Existena unor msuri pentru a asigura c se ine o eviden exact a echipamentului informatic i a programelor informatice (marcarea sau etichetarea echipamentele pentru a ajuta identificarea), pentru a preveni pierderea intenionat sau neintenionat de echipamente i a datelor coninute n acestea.
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt amplasate echipamentele) dac exist dotrile necesare pentru asigurarea controlului accesului fizic n zona de securitate definit. De asemenea, trebuie s verifice existena i modul de implementare a procedurilor asociate. B.3.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind protecia mediului Asigurarea c n camera serverelor exist dotrile necesare pentru protecia mediului: sisteme de prevenire a incendiilor; dispozitive pentru controlul umiditii; aer condiionat; dispozitive UPS; senzori de micare; camere de supraveghere video. Amplasarea n rackuri speciale i protejarea serverelor, protejarea elementelor active ale reelei i a cablurilor de reea, etichetarea cablurilor.
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului (sisteme de prevenire a incendiilor, dispozitive pentru controlul umiditii, aer condiionat, dispozitive UPS, senzori de micare, camere de supraveghere video). De asemenea, trebuie s verifice existena i modul de implementare a procedurilor asociate.
Desemnarea unei persoane cu atribuii privind administrarea securitii, desemnarea unui responsabil (ofier) pentru securitate i definirea n mod formal a atribuiilor acestora, asigurarea segregrii responsabilitilor pentru aceste funcii, asigurarea c politicile de securitate acoper toate activitile IT ntr-un mod consistent. Controlul accesului logic (administrarea utilizatorilor, existena i implementarea regulilor pentru parole, controlul asupra conturilor cu drepturi depline, existena unor utilitare de sistem cu funcii specializate, accesul IT, revizuirea jurnalelor de operaii). Revizuirea jurnalelor de operaii presupune monitorizarea i analiza periodic a jurnalelor de operaii, alocarea responsabilitilor i specificarea metodelor care se aplic. Administrarea utilizatorilor are asociate proceduri formale privind administrarea drepturilor utilizatorilor, acordarea, modificarea i revocarea drepturilor de acces. Regulile pentru parole. Se stabilesc proceduri formale care implementeaz controale relative la: lungimea parolei, existena unor reguli referitoare la coninutul parolei, stabilirea unei perioade de valabilitate a parolei, numrul de ncercri prevzute pn la blocarea contului, existena unei persoane cu atribuii n deblocarea conturilor blocate, numrul de parole reinute de ctre sistem, schimbarea parolei la prima accesare. Controlul asupra conturilor cu drepturi depline / utilitare de sistem. Se au n vedere controale privind: stabilirea dreptului de administrare a sistemului, de alocare i autorizare a conturilor cu drepturi depline, de monitorizare a activitilor utilizatorilor cu drepturi depline. Acces IT. Se au n vedere controale privind: drepturile de acces ale programatorilor la mediile de producie, drepturile de acces ale departamentului IT la datele celorlalte departamente. Conexiuni externe. Controalele se refer la: protejarea conexiunilor externe mpotriva atacurilor informatice, existena unor proceduri de control al accesului de la distan, msurile de securitate aplicate pentru a controla accesul de la distan.
B.4.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind Politica de securitate Existena unei politici de securitate IT formale; Se verific dac aceasta este distribuit tuturor utilizatorilor, dac utilizatorii semneaz c au luat cunotin de politica de securitate IT; Aplicarea unor msuri pentru a crete contientizarea n cadrul entitii cu privire la securitate (cursuri, prezentri, mesaje pe e-mail); Se analizeaz coninutul documentului pentru a evalua domeniile acoper ite de politica de securitate i cadrul procedural asociat; Se verific dac politica de securitate este actualizat periodic i dac este alocat responsabilitatea cu privire la actualizarea politicii de securitate.
Auditorul trebuie s determine prin interviu, prin analiza politicii de securitate i a procedurilor asociate i prin observare direct dac Politica de securitate este distribuit tuturor utilizatorilor, dac utilizatorii au semnat c au luat cunotin de politica de securitate IT, dac exist o persoan care este responsabil de actualizarea acestei politici, dac s-au aplicat msuri pentru a crete contientizarea n cadrul entitii cu privire la securitate (cursuri, prezentri, mesaje pe e-mail).
B.4.2 Controlul accesului logic Organizaiile, prin utilizarea aplicaiilor informatice, iniiaz tranzacii, efectueaz prelucrri i elaboreaz rapoarte legate de specificul afacerii. O problem deosebit de important este protejarea informaiilor i a resurselor aferente sistemelor IT, care nu pot fi controlate uor numai prin intermediul controalelor fizice. Problema este cu att mai complicat, cu ct calculatoarele sunt conectate n reele locale sau n reele distribuite geografic. Controalele logice de acces pot exista att la nivelul sistemului, ct i la nivelul aplicaiei. Controalele la nivelul sistemului pot fi utilizate pentru restricionarea accesului utilizatorilor la anumite aplicaii i date i pentru a restriciona folosirea neautorizat a utilitilor sistemelor. Cont roalele logice de acces sunt adesea utilizate mpreun cu controalele fizice de acces pentru a reduce riscul modificrii neautorizate a programelor i a fiierelor de date. Monitorizarea continu a documentelor (jurnalelor) care nregistreaz evenimentele care se refer la accesul logic constituie un factor de cretere a eficienei controalelor implementate. Eficiena rapoartelor ctre conducere i a registrelor produse de calculatoare este semnificativ redus dac nu sunt analizate i verificate regulat de ctre conducere. Msurile de acces logice se reflect n regulamente sau norme interne care trebuie s conduc la adoptarea controalelor specifice. Fr un regulament este dificil s se constate dac msurile aplicate sunt adecvate. Controalele logice de acces neadecvate nu vor asigura protecia sistemului fa de utilizatorii neautorizai. De exemplu, accesul neautorizat la editoarele de fiiere poate conduce la modificarea fiierelor aplicaiei . Pentru a identifica utilizatorii care ncearc s desfoare activiti neautorizate se aloc acestora coduri unice de identificare. Codul unic de identificare al utilizatorului poate asigura un parcurs al auditului, cu condiia ca acesta s fie nregistrat n sistem i n aplicaie. Utilizarea de controale logice de acces suplimentare reduce riscul accesului neautorizat i riscul de manipulare a datelor i crete ansele de detectare. Parola constituie, de asemenea, un control puternic al accesului logic. Reguli neadecvate privind parolele pot conduce la lipsa acestora sau la identificarea lor cu uurin i, n consecin, sistemele pot fi mai uor accesate de utilizatori neautorizai. Personalul de dezvoltare cu acces la datele reale i la programe constituie, de asemenea, un factor de risc cu grad ridicat, ntruct aceast categorie de personal poate s fac modificri accidentale sau / i tie cum s opereze modificri de rea credin sau frauduloase. Un risc major l constituie i controlul neadecvat asupra utilizatorilor puternici (administratori, ingineri de sistem), care crete riscul modificrilor neautorizate ale programelor i ale datelor financiare. Controalele accesului logic sunt constituite dintr-un ansamblu de msuri i proceduri implementate prin soluii organizatorice sau prin programe software, avnd ca scop protejarea resurselor de calcul (date, programe i echipamente) mpotriva accesului neautorizat. n ceea ce privete securitatea accesului logic, se au n vedere urmtoarele elemente: o Identificarea utilizatorului prin intermediul numelui sau a unui identificator; o Autentificarea utilizatorului prin intermediul parolelor, al codurilor PIN (pentru card-ul bancar), al semnturii sau al caracteristicilor biometrice (amprente, voce etc.); o Protecia resurselor (fiiere, directoare, uniti periferice). Protecia resurselor are n vedere asigurarea necesitilor fiecrui utilizator i restricionarea accesului numai la resursele asociate cu drepturile care decurg din cerinele sarcinilor sale. Resurse, fiiere i faciliti care necesit protecie Principalele resurse, fiiere i faciliti care necesit protecie sunt:
Pag. 169 din 214
Fiierele de date (fiiere cu tranzacii sau baze de date): acestea trebuie protejate, existnd riscul modificrilor neautorizate sau chiar al tergerii datelor. Aplicaiile. Accesul nerestricionat la aplicaii crete riscul modificrilor neautorizate, care pot conduce la fraud, pierdere de date sau alterare a datelor. Anumite modificri n aplicaii pot rmne nedetectate o perioad ndelungat, producnd consecine greu de estimat. Fiierele de parole protejate neadecvat pot fi citite de ctre persoane care vor avea acces la toate conturile din sistem, inclusiv la cele privilegiate, putnd produce pagube considerabile. Software-ul de sistem i utilitarele (editoare, compilatoare, programe de depanare) trebuie protejate pentru a nu fi utilizate ca instrumente de modificare a fiierelor de date i a aplicaiilor software sau terse. Jurnalele de operaii (Log files) reprezint documente coninnd contabilitatea sistemului, acestea nregistrndu toate aciunile utilizatorilor (cine s-a conectat la sistem, cnd, ce resurse a utilizat). Pentru schimbarea datelor financiare, aplicaia nregistreaz utilizatorul care a operat modificarea, ce date au fost modificate, valorile nainte i dup modificare. Accesul neautorizat la jurnalul de operaii, combinat cu modificarea neautorizat a datelor financiar -contabile constituie fraud care poate fi mascat prin tergerea sau editarea aciunilor din jurnalul de operaii, n scopul ascunderii interveniei neautorizate n sistem. Fiierele temporare care memoreaz informaii pentru o perioad scurt (de exemplu , fiierele create naintea transmiterii ctre imprimant): acestea pot fi alterate n lipsa unei protecii adecvate, nainte de a fi prelucrate (n cazul listrii fiierelor generate de sistem pentru a fi transmise la imprimant, acestea pot fi afiate n prealabil i chiar modificate).
Cadrul de securitate a accesului Asigurarea unor controale adecvate care s se adreseze oricrui risc identificat pentru sistemele informatice este responsabilitatea managementului. Managementul trebuie s decid asupra sistemului de controale logice ale accesului, stabilind pentru entitate politica de securitate a accesului, care poate conine:
Definirea sistemului de securitate i, n mod specific, a termenilor confidenialitate, integritate i disponibilitate; Declaraii privind securitatea (de exemplu, "nivelul de protecie va fi comensurat cu nivelul riscului i cu valoarea patrimoniului"); Responsabiliti: vor fi definite responsabilitile tuturor utilizatorilor (grupuri de utilizatori: utilizatori obinuii, proprietarul sistemului, managementul securitii, auditul IT).
Controalele accesului logic se vor detalia pe baza declaraiilor de nivel nalt cuprinse n politica de securitate IT a entitii. Aspectele care se iau n considerare atunci cnd se examineaz controalele pr ivind controlul accesului logic: Revizuirea logurilor (jurnalelor de operaii) o Asigurarea c logurile aplicaiilor importante sunt monitorizate i analizate periodic (cine, cnd, cum, dovezi). Administrarea utilizatorilor o Existena unei proceduri pentru administrarea drepturilor utilizatorilor. Se verific modul de implementare; o Includerea n procedura de mai sus a msurilor ce trebuie luate n cazul n care un angajat pleac din cadrul instituiei;
Pag. 170 din 214
o Existena unui document (formular pe hrtie sau n format electronic) pentru crearea i tergerea conturilor de utilizator i pentru acordarea, modificarea i revocarea drepturilor de acces care s fie aprobat de conducere; o Acordarea tuturor drepturilor de acces, n baza acestui formular; o Verificarea periodic a utilizatorilor activi ai sistemului n concordan cu lista de angajai furnizat de departamentul resurse umane. Reguli pentru parole o Definirea regulilor pentru parole de acces n subsistemele IT; o Trebuie avute n vedere urmtoarele elemente: lungimea parolei; reguli referitoare la coninutul parolei; perioada de valabilitate a parolei; numrul de ncercri pn la blocarea contului; cine poate debloca un cont; numrul de parole precedente reinute de ctre sistem; utilizatorii sunt forai s schimbe parola la prima accesare.
Control asupra conturilor cu drepturi depline / utilitare de sistem o Alocarea dreptului de administrare pentru aplicaiile / subsistemele de baz; o Alocarea i autorizarea conturilor cu drepturi depline; o Monitorizarea activitilor utilizatorilor cu drepturi depline. Acces IT o Verificarea drepturilor de acces la datele reale pentru programatori; o Verificarea drepturilor de acces la datele celorlalte structuri ale entitii pentru compartimentul IT. Controale privind accesul la aplicaii i la sistemul de operare Controalele accesului logic pot exista pe dou niveluri: nivelul sistemului i nivelul aplicaiilor i, n consecin, controalele accesului pot fi construite n sistemul de operare i / sau n fiecare aplicaie. La fiecare nivel, controalele accesului logic sunt implementate de administratori diferii. La nivelul instalrii, responsabilul cu administrarea va controla cine se poate lega la reea i care sunt aplicaiile i fiierele de date pe care le poate accesa. La nivelul aplicaiilor, administratorul aplicaiei va fi responsabil cu alocarea drepturilor de acces la funciile i la informaiile fiecrei aplicaii n parte. Administratorul de sistem din departamentul IT trebuie s cunoasc sistemul de operare, resursele acestuia i care sunt aplicaiile i utilitarele performante ale sistemelor , care necesit s fie protejate fa de persoane din afar sau fa de personalul IT neautorizat. Aceast abordare asigur separarea atribuiilor ntre administratorul de sistem i administratorul de aplicaie. Protecia resurselor Protecia resurselor presupune un nivel adiional de controale , necesar pentru a restriciona accesul utilizatorilor numai la anumite resurse ale sistemului.
Controalele de meniu pot fi prezente n sistemul de operare, n software-ul utilitar sau n aplicaii. Administratorul de sistem poate configura sistemul astfel nct s menin active numai funciile din meniu la care utilizatorul are acces. Ca form de prezentare, denumiril e acestora au o culoare intens, n timp ce funciile neautorizate sunt colorate n "gri". Securizarea fiierelor i a programelor. Accesul la funciile sistem trebuie s fie acordat numai utilizatorilor autorizai de ctre management, avnd n vedere con siderente privind asigurarea integritii i confidenialitii datelor n concordan cu obiectivele afacerii. Permisiile pentru fiiere se refer la autorizarea difereniat a funciilor de introducere i actualizare sau de modificare a acestora n funcie de drepturile alocate utilizatorilor. Not: Atributele tipice privind accesul la fiiere sau la alte resurse ale sistemului sunt: citire, scriere, creare, actualizare, tergere, execuie i copiere. Alte controale ale accesului logic sunt: limitarea numrului de sesiuni concurente, limitarea intervalului de lucru (ntre anumite ore), blocarea accesului la introducerea repetat a parolei greite, ieirea automat din sistem dac ntr-un interval de timp nu s-a detectat nici o activitate, restricionarea accesului pentru anumite terminale specificate. Jurnalele de operaii ale sistemului Controalele menionate n seciunea anterioar au un caracter preventiv, fiind proiectate pentru a asigura c accesul persoanelor neautorizate n sistem este prevenit. O alt categorie de controale presupune detectarea tentativelor i a activitilor de acces neautorizat. Aceste evenimente sunt nregistrate automat n jurnalele de operaii ale sistemului: jurnalul de operaii privind securitatea i jurnalul de operaii al tranzaciilor. Jurnalul de operaii privind securitatea conine informaii privind: accesul nereuit, utilizarea sistemelor utilitare i a aplicaiilor, identificarea utilizatorului care a iniiat accesul. ntruct nregistrarea tuturor evenimentelor privind securitatea presupune un efort i un consum de resurse semnificative, iar efortul de revizuire a acestora este mare consumator de timp, maniera de tratare a evenimentelor constituie obiectul unei decizii care trebuie s aib la baz balana ntre evenimentele legate de securitate i senzitivitatea sistemului. O soluie eficient n acest caz este utilizarea unor instrumente de raportare prin excepie a celor mai semnificative evenimente. De asemenea, trebuie implementate controale privind protecia jurnalului de operaii pentru a preveni tergerea sau suprascrierea acestuia n scopul distrugerii dovezilor n cazul tentativelor de fraud. Jurnalul de operaii al tranzaciilor nregistreaz traseul tranzaciilor n procesul de prelucrare, n interiorul sistemului. Auditorul trebuie s determine prin consultarea documentelor, prin interviu i prin observare direct (la staiile de lucru) dac este implementat cadrul procedural pentru asigurarea controlului accesului logic i modul de monitorizare a acestuia: trebuie s verifice modul de implementare a regulamentului de control al accesului i dac acesta este documentat i actualizat. trebuie s evalueze msurile de acces logic existente pentru a restriciona accesul la sistemul de operare, la fiierele de date i la aplicaii i s aprecieze dac acestea sunt corespunzatoare: meniuri restricionate pentru utilizatori, coduri unice de identificare i parole pentru utilizator, revizuirea drepturilor de acces ale utilizatorului, profilul utilizatorului i al grupului.
va evalua ct de adecvate sunt regulile privind parolele ale entitii (lungimea parolei, durata / datele de expirare, procedurile de modificare, componena parolei, dezafectarea codului de identificare al celor ce pleac din instituie, criptarea parolei, nregistrarea i alocarea de parole noilor utilizatori, punerea n aplicare a regulilor privind parolele. va efectua teste privind modul de implementare a unor tipuri suplimentare de controale de acces logic: jurnale de operaii, restricionarea ncercrilor de acces, proceduri i registre de acces, acces specific n funcie de terminal, registre de ncercri neautorizate, limitarea acceselor multiple, timp automat de expirare, acces restricionat la utiliti i nregistrarea folosirii utilitilor sistemului i a instrumentelor de audit, controlul staiilor de lucru neutilizate. va evalua msurile pentru restricionarea accesului personalului de dezvoltare a siste mului la datele reale (din mediul de producie) i la mediul de producie (programatori, firma dezvoltatoare de software). va evalua modul de alocare, autorizare, control i monitorizare a utilizatorilor privilegiai (administratori, ingineri de sistem i programatori de sistem i de baze de date).
B4.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind administrarea securitii Alocarea responsabilitii cu privire la administrarea securitii IT i definirea n mod formal a sarcinilor administratorului securitii Asigurarea separrii responsabilitilor pentru administratorul securitii Se verific dac aplicarea politicilor de securitate acoper toate activitile IT ntr -un mod consistent.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu , dac este implementat cadrul procedural pentru asigurarea controlului administrrii securitii (examinarea documentelor din care rezult responsabilitile i sarcinile cu privire la administrarea securitii IT, separarea atribuiilor, reflectarea acestora n politica de securitate). B.4.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind conexiuni externe Existena unei persoane desemnate pentru administrarea ree lei IT Msurile luate pentru monitorizarea reelei din punct de vedere al securitii i performanei Modul de protejare a conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat) Dac este permis accesul la sistem unor organizaii externe (ex. Internet, conexiuni on-line) Se verific existena unor proceduri de control privind accesul de la distan i msurile de securitate aplicate
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al viruilor care afecteaz integritatea i disponibilitatea evidenelor financiare. Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i externe cu privire la integritatea datelor. O reea slab securizat poate, de exemplu, s fie vulnerabil la difuzarea viruilor informatici. Auditorul trebuie s determine, prin consultarea documentelor i prin interviu , dac este implementat cadrul procedural pentru asigurarea controlului reelei: existena unei persoane desemnate pentru administrarea reelei IT, msurile luate pentru monitorizarea securitii reelei, pentru protejarea conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat) , reglementarea accesului
Pag. 173 din 214
la sistem din partea unor organizaii externe (de exemplu, Internet, conexiuni on-line), existena unor proceduri de control privind accesul de la distan i msurile de securitate aplicate . B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de reea i de utilizare a Internetului ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie controlat astfel nct s poat fi accesat numai de ctre utilizatorii autorizai, iar datele transmise s nu fie pierdute, alterate sau interceptate. n ultimii ani, extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi, care au avut consecine privind securitatea sistemelor i controalele asociate. a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile care pot s apar n fiecare stadiu al ciclului comunicaiei, de la introducerea datelor de ctre utilizator, continund cu transferul pn la destinaie. Controalele de reea cele mai relevante pe care entitile trebuie s le implementeze, sunt: Politica de securitate a reelei, care poate face parte din politica general de securitate IT; Standardele de reea, procedurile i instruciunile de operare, care trebuie s se bazeze pe politica de securitate a reelei i s fie documentate. Copii ale acestei documentaii trebuie s fie disponibile pentru personalul implicat n securitatea sistemului; Documentaia reelei, care descrie structura logic i fizic a reelei; Controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces la resursele sistemului; Restriciile privind utilizarea resurselor externe (de exemplu este restricionat accesul n reeaua Internet); Reeaua trebuie s fie controlat i administrat de personal cu instruire i experien ade cvate, monitorizat de management; Anumite evenimente trebuie nregistrate automat n jurnalele de operaii de ctre sistemul de operare al reelei. Jurnalele de operaii trebuie revizuite periodic pentru a se depista activitile neautorizate; Utilizarea unor instrumente utilitare pentru managementul i monitorizarea reelei (pachete software sau echipamente hardware), disponibile pentru administratorii de reea. Acestea pot monitoriza utilizarea reelei i a capacitii acesteia i pot inventaria produsel e software utilizate de ctre fiecare utilizator; Accesul furnizorilor de servicii i al consultanilor trebuie s fie monitorizat; Terminalele pot fi restricionate prin intermediul codurilor de terminal sau a al adresei de reea; Criptarea datelor pentru protejare n cazul interceptrii n reea; Utilizarea liniilor private sau dedicate pentru reducerea riscului de intercepie; Utilizarea comunicaiei digitale n locul celei analoge. Legturile digitale au o capacitate mai mare, nu au nevoie de modem-uri i nu au erori din cauza conversiei digital - analog. b) Controalele Internet Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei entit sunt: Implicaiile privind securitatea decurg dintr-o serie de caracteristici ale comunicaiei n reeaua Internet, care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesu lui n Internet, vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
Pag. 174 din 214
n cursul nregistrrii pe anumite site-uri, aciunile hackerilor, pirateria i pornografia, software ru intenionat (virui, programe "cal troian"). Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii privind consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n scopul evitrii expunerii directe a sistemului de calcul propriu la atacuri din reeaua Internet.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu , dac este implementat cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s poat fi accesat numai de ctre utilizatorii interni sau externi autorizai, iar datele transmise s nu fie pierdute, alterate sau interceptate: implementarea unei politici de securitate a reelei, utilizarea standardelor de reea, a procedurilor i a instruciunilor de operare asociate acestei politici, existena i disponibilitatea documentaiei aferente cadrului procedural i a documentaiei reelei (care descrie structura logic i fizic a reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor externe, existena unui personal cu instruire i experien adecvate, nregistrarea automat n jurnalele de operaii i revizuirea periodic a acestora pentru a se depista activitile neautorizate, utilizarea unor instrumente software/hardware pentru managementul i monitorizarea reelei, monitorizarea accesului furnizorilor de servicii i al consultanilor, criptarea datelor. Controale de baz n reeaua Internet Cea mai bun politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet conine urmtoarele aspecte: Izolarea fizic a calculatorului de sistemul de calcul al entitii; Desemnarea unui administrator cu experien i de ncredere pentru supravegherea calculatoarelor cu acces la Internet; Prevenirea accesului anonim sau, dac trebuie s fie permis, eliminarea efectelor negative ale acestuia; tergerea de pe calculatorul cu acces la Internet a tuturor datelor i programelor care nu sunt necesare; Monitorizarea atacurilor prin nregistrarea lor; Transferul fiierelor din sistemul informatic al entitii pe calculatorul legat la Internet dup ce acesta a fost verificat cu atenie i innd seama de faptul c fiierele pot fi transferate utiliznd serviciul de e-mail; Crearea unui numr ct mai mic posibil de conturi de ut ilizator pe calculatorul cu acces la Internet i schimbarea regulat a parolelor. Protecii "Firewall". Dac necesitile cer conectarea direct la Internet cu riscuri minime, se utilizeaz includerea n configuraie a unei protecii de tip "firewall" pentru a facilita controlul traficului ntre reeaua entitii i Internet i pentru a stopa penetrarea pachetelor externe neautorizate. Acesta const ntr-o combinaie de calculatoare (router i gateway) care asigur i servicii adiionale privind: autentificarea, ncriptarea i nregistrarea n jurnalul de operaii. Politica privind parolele. O politic adecvat privind parolele poate avea o contribuie semnificativ pentru securitatea calculatoarelor conectate la Internet. Politicile privind parolele aferente calculatoarelor neconectate la Internet rmn valabile i pentru acest tip de acces. Controlul accesului conine, n afara politicilor privind parolele aferente calculatoarelor neconectate la Internet, proceduri specifice: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de ncriptare a parolelor.
Pag. 175 din 214
Criptarea este o form de protecie asigurat prin codificarea informaiilor transmise n reeaua Internet. Serviciile de pot electronic perfecionate sunt dezvoltate pentru a asigura confidenialitatea i integritatea mesajelor transmise, prin ncriptare i prin semnare. Instrumentele de evaluare a securitii sunt instrumente disponibile pe Internet utilizate pentru analiza i evaluarea securitii reelelor, raportnd slbiciunile acestora n ceea ce privete controlul accesului sau regulile pentru parole. Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat o politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet, care s abordeze aspectele prezentate mai sus: protecie firewall, administrator cu experien i de ncredere pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, ncriptarea, Instrumentele de evaluare a securitii utilizate, serviciile de pot electronic perfecionate , monitorizarea atacurilor.
B.5.2 Managementul capacitii Managementul capacitii se bazeaz pe analiza capacitii configuraiei disponibile de a face fa cerinelor sistemelor sau aplicaiilor prin prisma unor criterii de performan stabilite. Concluziile formulate constituie suport pentru decizii privind: msuri referitoare la eliminarea ngustrilor de trafic, optimizarea configurrii reelelor i/sau sistemelor, reproiectri ale fluxurilor, elaborarea unor grafice de utilizare, extinderea configuraiilor sau nlocuirea acestora. Auditorul va examina procedurile i modul de implementare a controalelor referitoare la urmtoarele obiective de control: Efectuarea de ctre entitate a unor analize privind capacitatea pentru hardware i pentru reea , precum i periodicitatea acestor analize; Efectuarea de ctre entitate a unor analize privind performana i capacitatea aplicaiilor IT i indicatorii avui n vedere; Efectuarea de ctre entitate a unor analize privind gtuirile de trafic. Detalierea problemelor.
B.5.3 Managementul problemelor Managementul problemelor are ca scop depistarea i soluionarea problemelor aprute n funcionarea sistemului informatic pe ntreaga durat de via a acestuia prin asigurarea unui cadru procedural care s impun: (a) modul de detectare, semnalare, comunicare, nregistrare, rezolvare i urmrire a problemelor, (b) analiza i verificarea modului de rezolvare, etapele care se parcurg, precum i (c) documentele utilizate (registrul problemelor, lista problemelor rmase deschise sau care se repet frecvent). Auditorul va examina procedurile i modul de implementare a controalelor referitoare la urmtoarele obiective de control: Implementarea unui cadru procedural care s trateze urmtoarele aspecte: Modul n care se semnaleaz compartimentului IT apariia problemelor; Cum se ine evidena problemelor n cadrul compartimentului IT (registru al problemelor sau o alt form de eviden); - Implementarea funciei helpdesk; - Etapele care trebuie urmate pentru rezolvarea problemelor; - Verificarea i analiza listei de probleme de ctre conducere; - Implementarea unei proceduri de urmrire a problemelor rmase deschise; - Implementarea unei proceduri pentru situaia nerezolvrii problemei; Responsabilitatea documentrii i aducerii la cunotina celor direct implicai a ace stor proceduri. -
B.5.4 Planificarea continuitii Planificarea continuitii proceselor IT presupune existena unui plan documentat corespunztor de conti nuitate a afacerii i, n particular, a operaiunilor IT. Planul de continuitate a afacerii reprezint un control corectiv semnificativ. Pentru elaborarea unui plan extensiv, care s rspund gamei largi de probleme asociate continuitii proceselor IT sunt necesare att aptitudini ct i disponibilitatea unei metodologii care s ofere cadrul procedural pentru toat problematica abordat: definirea obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor, stabilirea termenelor i a responsabilitilor, aprobare.
Elaborarea planului are la baz o analiz detaliat a impactului pe care l-ar genera lipsa sistemului IT asupra afacerii, n scopul reducerii riscurilor. Sunt examinate, de asemenea, msurile de prevenire a dezastrului pentru a opera perfecionarea acestor msuri. Pe baza analizelor i informaiilor preliminare, se realizeaz dezvoltarea planului de continuitate, care va fi implementat, testat prin simulri periodice i actualizat n funcie de schimbrile impuse de rezultatele simulrilor. Planul de continuitate trebuie s fie fcut cunoscut personalului implicat n pro cesele IT. Coninutul unui plan de continuitate poate varia n funcie de circumstane, dar, n general, include urm toarele seciuni: seciunea administrativ, contracte suport, operarea calculatoarelor privind recuperarea proceselor cheie IT, infrastructura IT necesar recuperrii i procedurile asociate, locaia de back-up, identificarea locului unde sunt stocate arhivele cu supori tehnici care conin salvrile i procedura de obinere a accesului la acestea, personalul implicat n procesul de recuperare n caz de dezastru (personal propriu sau extern), stabilirea sediului provizoriu (pentru cazul n care dezastrul a fost extensiv i a necesitat evacuri), revenirea la normal (lista detaliat a responsabilitilor echipelor implicate n restabilirea condiiilor normale de activitate). Auditorul va examina procedurile i controalele privind existena, implementarea, urmrirea i testarea cu regularitate a planului privind asigurarea continuitii activitii entitii i, n particular, a operaiunilor IT. B.5.5 Managementul operaiunilor IT Managementul operaiunilor IT se realizeaz pe baza unor proceduri elaborate i documentate. n cadrul misiunii de audit se verific existena controalelor privind implementarea acestor proceduri i atribuirea responsabilitilor legate de aplicarea i actualizarea acestora. Procedurile operaionale IT furnizeaz asigurarea c sistemele de aplicaii sunt disponibile la momentele programate, opereaz n concordan cu cerinele, iar rezultatele prelucrrilor sunt produse la timp. Controalele operaionale reduc riscurile adoptrii unor practici de lucru necorespunztoare ntr -un departament IT. Practicile de lucru necorespunztoare pot afecta auditul financiar ntruct utilizarea calcu latorului constituie baza pentru ntocmirea situaiilor financiare. Punctele slabe din mediul de operare ar putea fi exploatate pentru a rula programe neautorizate i a efectua modificri ale datelor financiare. Operarea pe calculator trebuie s asigure o procesare exact, corespunztoare a datelor financiare. Controlul neadecvat asupra operatorilor la calculator crete riscul aciunilor neautorizate. Operatorii nesupravegheai pot face uz de utilitile sistemului pentru a efectua modificri neautorizate ale date lor financiare. Experiena i pregtirea neadecvat a personalului mrete riscul comiterii de greeli n departamentul IT. Greelile pot conduce la orice efect, de la cderea sistemului, pn la tergerea datelor unei perioade. ntreinerea neadecvat a echipamentului informatic poate cauza probleme de disponibilitate a aplicaiilor, iar disfunciile sistemului pot conduce la date eronate. Registrele de procesare pot reduce riscurile unei activiti neautorizate. Pot fi utilizate de asemenea pentru determinarea extensiei erorilor de procesare. Documentaia slab sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea sistemului, pierderea integritii datelor sau ntrzieri n recuperarea acestora dup eliminarea defectelor din sistem. n general, sunt implementate urmtoarele tipuri de proceduri operaionale: proceduri de recuperare sau de restartare; proceduri pentru instalarea de software i hardware; proceduri la nceput de zi/sfrit de zi, dac este cazul; proceduri privind raportarea incidentelor; proceduri privind rezolvarea problemelor.
Pag. 178 din 214
Auditorul va examina procedurile i modul de implementare a controalelor privind operaiunile IT: existena unui manager de reea, existena unui acord privind nivelul de servicii ntre departamentul informatic i restul organizaiei, respectiv cu utilizatorii sistemului (care s acopere disponibilitatea serviciilor, standardele de servicii etc.), existena unor proceduri i msuri de supraveghere a personalului de operare a calculatoarelor i care asigur suport tehnic, pregtirea i experiena personalului de operare, modalitatea i calitatea ntreinerii calculatoarelor (ntreinere prin mijloace poprii sau de ctre furnizori externi), existena, utilizarea i monitorizarea jurnalelor de operaii (pentru a detecta activiti neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilitilor sistemului de operare), documentarea adecvat a procedurilor (proceduri de supraveghere, proceduri de procesare, proceduri de operare, managementul incidentelor, managementul suporilor de memorare (benzi, discuri, CD, DVD). Protecia mpotriva viruilor se asigur prin existena politicilor i procedurilor privind: soluia antivirus folosit, configuraiile pe care se aplic, modul de actualizare a fiierului de definiii, permisiunea pentru dezactivarea software-ului antivirus pe staiile proprii de lucru pentru utilizatori, opiuni privind scanarea software-ului de ctre programul antivirus (toate fiierele, pe server i staiile de lucru, automat, periodic). Auditorul va examina procedurile i controalele privind existena i implementarea procedurilor operaionale IT i a proteciei antivirus: Implementarea unui cadru procedural care s conin urmtoarele proceduri operaionale: Proceduri la nceput de zi/sfrit de zi, dac este cazul; Proceduri de recuperare sau restaurare; Instalare de software i hardware; Raportarea incidentelor; Rezolvarea problemelor.
Stabilirea unui responsabil cu actualizarea procedurilor operaionale IT Protecia mpotriva viruilor - Implementarea unei proceduri privind utilizarea unei soluii antivirus care s ofere asigurarea privind: o Aplicarea soluiei antivirus tuturor serverelor i staiilor de lucru; o Actualizarea fiierului de definiii antivirus; o Interdicia dezactivrii software-ul antivirus de ctre utilizatori la staia proprie de lucru; o Software-ul antivirus scaneaz toate fiierele (pe server i pe staiile de lucru) automat, n mod periodic.
Managementul configuraiilor presupune asigurarea contextului hardware / software stabil care s susin funcionalitatea continu a sistemului informatic i, implicit, activitile entitii auditate. Se verific dac este prevzut i este operaional meninerea configuraiilor echipamentelor IT i ale aplicaiilor, n mod formal, n alte locaii dect sediul sistemelor. Auditorul va examina procedurile i controalele privind existena i implementarea procedurilor specifice managementului configuraiilor: Meninerea n mod formal a configuraiilor echipamentelor IT i ale aplicaiilor i n alte locaii dect sediul sistemelor de producie; utilizarea unor msuri de protecie; Implementarea unor proceduri care s ofere asigurarea c sunt ndeplinite urmtoarele condiii: - Configuraiile sunt actualizate, comprehensive i complete; - Manualele de instalare/utilizare sunt actualizate n concordan cu ultima versiune de sistem;
Pag. 179 din 214
Se realizeaz o gestiune a versiunilor programelor i documentaiei, iar personalul utilizator tie care sunt cele mai noi versiuni ale programelor i ale documentaiei.
Pentru mbuntirea funcionalitii sistemului n ceea ce privete timpul de rspuns, existena unor discontinuiti n meniuri, prezena erorilor de program; Pentru uurarea operrii sistemului: perfecionri privind administrarea bazei de date i a reelei, asistena de tip helpdesk etc.; Pentru perfecionri privind planificarea capacitii: resurse adiionale cerute de sistem, componente de capacitate crescut; Pentru corectarea erorilor semnalate: frecvena crescut a incidentelor helpdesk care au asociate probleme de sistem; Pentru perfecionarea securitii sistemului i a informaiilor: identificarea punctelor slabe n sistemul de securitate i corectarea acestora; Actualizri de rutin: impuse de dezvoltatorii de software la schimbarea versiunii sistemului (clientul trebuie s instaleze n permanen versiunea curent); Schimbri la nivelul cerinelor impuse sistemului generate de: schimbri de legislaie, schimbri ale cerinelor sau orientrii afacerii.
Proceduri de control al schimbrii Procedurile de control al schimbrii trebuie s includ: Proceduri privind autorizarea de ctre management; Testarea software-ului modificat nainte de a fi utilizat n mediul de producie; Examinri din partea managementului ale efectelor schimbrilor; ntreinerea unor evidene adecvate; Pregtirea unui plan de recuperare (de revenire la situaia iniial), chiar dac sistemul funcioneaz corect; Elaborarea i implementarea procedurilor privind schimbrile n caz de urgen. Elaborarea sistemului de proceduri de control al schimbrii trebuie pregtit prin colectarea, inventarierea i clasificarea cerinelor privind schimbarea, urmat de acordarea unor prioriti care semnific urgena care se impune pentru fiecare schimbare n parte. Prioritate schimbrii este determinat prin evaluarea costurilor schimbrii i a impactului asupra afacerii i a resurselor aferente acesteia. Categoriile tipice de schimbri sunt: Schimbrile de urgen: se refer la cderea complet a sistemului, astfel nct trebuie asigurate funciile critice (indisponibile) ale afacerii; Schimbri cu impact potenial asupra tuturor utilizatorilor sistemului : pot fi generate de nlocuirea sistemului sau de instalarea unei noi versiuni a sistemului de operare; Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu sau a unei aplicaii : pot fi generate de instalarea unei noi versiuni a unei aplicaii; Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu: se refer la reorganizarea unei baze de date sau corectarea unei erori; Schimbri minore care necesit reiniializarea sistemului: sunt schimbri de configuraie (adugare de noi componente n sistem), potrivirea ceasului electronic; Schimbri minore: se refer, de exemplu, la schimbarea definiiilor reelei, la iniializarea unui nou hard disk.
Impactul potenial asupra sistemelor IT i asupra serviciilor furnizate utilizatorilor: capacitate, securitate, timpul de rspuns al sistemului, performan; Efectul nonimplementrii schimbrii; Resursele necesare pentru implementarea schimbrii (costuri, personal); Cerine pentru resursele viitoare dac se va implementa schimbarea.
n urma aprobrii de ctre management, gestionarea schimbrii trebuie transferat ctre personalul tehnic (programatori, operatori, tehnicieni pentru reele etc.) pentru a asigura implementarea acesteia. n cazul schimbrilor aplicaiilor, programatorii vor face dezvoltrile ntr-un mediu de dezvoltare controlat, la care are acces numai personalul autorizat pentru efectuarea schimbrii. Versiunea modificat i documentat este transferat pentru validare n mediul de test. Transferul programelor actualizate n mediul de producie este realizat de o alt echip, nu de ctre programatorii sau analitii care au participat la dezvoltare sau testare. Orice schimbare a sistemului software necesit actualizarea documentaiei n concordan cu schimbrile operate. Dup o perioad predefinit, schimbarea trebuie revizuit pentru a determina: Dac schimbarea s-a finalizat cu rezultatele planificate; Dac utilizatorii sunt mulumii n ceea ce privete modificarea produsului; Dac au aprut probleme sau efecte neateptate; Dac resursele cerute pentru implementarea i operarea sistemului actualizat au fost cele planificate. Schimbrile de urgen sunt schimbri care sunt necesare n anumite situaii neprevzute, nu pot atepta parcurgerea fluxului normal al procedurilor de control al schimbrii i trebuie implementate cu o ntrziere minim. Pentru acestea trebuie utilizate proceduri de control al schimbrilor de urgen. Natura schimbrilor de urgen se reflect n timpul necesar efecturii i testrii schimbrii. Auditorul va verifica dac aceste proceduri sunt rezonabile i includ forme de control suficiente i adecvate. Avnd n vedere c acest tip de schimbri se realizeaz sub presiune, trebuie avute n vedere riscurile generate care sunt majore n astfel de cazuri.
Controlul versiunilor Procedurile de control al versiunilor sunt foarte importante pentru a asigura utilizatorul c opereaz asupra versiunii de program corecte. Creterea gradului de distribuire a sistemelor implic o dificultate crescut a gestiunii versiunilor, ceea ce implic necesitatea implementrii unor proceduri de control al versiunilor. Pe baza acestor premise, managementul schimbrii i al dezvoltrii sistemului se poate sintetiza dup cum se descrie n continuare: Dezvoltatorii de software utilizeaz pe scar larg instrumente automate de control al versiunilor pentru a nregistra schimbrile succesive efectuate asupra programelor surs. Managementul schimbrii i al dezvoltrii sistemului are ca obiectiv important implementarea unor politici, proceduri i controale n scopul asigurrii c sistemele sunt disponibile cnd sunt necesare, funcioneaz conform cerinelor, sunt fiabile, controlabile i necostisitoare, au un control sigur al integritii datelor i satisfac nevoile utilizatorilor.
Pag. 182 din 214
Politicile implementate privind schimbarea sau dezvoltarea sistemului se refer la urmtoarele aspecte: Managementul schimbrii proceselor afacerii. Procedurile i controalele cele mai relevante se refer la urmtoarele aspecte: iniierea modificrii sau dezvoltrii sistemului IT, alocarea corect a investiiilor n hardware, software i servicii IT, asigurarea c se realizeaz armonizarea necesitilor afacerii cu schimbrile IT, documentarea procedurilor i a activitilor (formular pentru cereri, evidena modificrilor efectuate) i competenele de aprobare. Implementarea controalelor privind managementul schimbrilor tehnice se refer la modul n care se gestioneaz schimbrile tehnice pariale sau integrale ale sistemului informatic: integrarea de componente noi, nlocuirea unor componente, schimbarea versiunii sistemului etc., precum i asupra procedurilor de implementare a schimbrilor tehnice n mediul de test, de producie, de dezvoltare sau de implementare a modificrilor solicitate n regim de urgen. Metodologia de dezvoltare constituie un element esenial pentru succesul implementrii schimbrilor tehnice ntruct ofer suportul procedural pentru procesele de dezvoltare a siste mului informatic i un cadru standardizat pentru implementarea componentelor informatice. Procedurile trebuie s se aplice ntr-un mod consistent tuturor proiectelor de dezvoltare, avnd ataate i cazuri predefinite de testare. Lipsa unei metodologii de dezvoltare a proiectelor implic un risc ridicat asupra sistemului. n ceea ce privete managementul proiectelor este necesar implementarea unor proceduri i controale privind: metodologia de management al proiectelor utilizat, existena proce durilor specifice proiectelor IT, monitorizarea periodic a stadiului proiectelor IT. Lipsa acestora genereaz riscuri pe toat durata de via a proiectului. Implicarea utilizatorilor n etapele procesului de dezvoltare a proiectului, n funcie de nivelul profesional al acestora, poate genera de asemenea riscuri privind: specificarea cerinelor, testarea programelor, acceptarea sistemului, instruirea personalului, elaborarea documentaiei etc.. Managementul calitii are un impact semnificativ asupra componentelor informatice dezvoltate, asupra sistemului n general i, implicit, asupra activitii entitii. Documentarea procedurilor i a funcionrii sistemului este esenial att pentru facilitate a operrii de ctre utilizatori la nivel de aplicaie, ct i pentru asigurarea funcionalitii la nivel de sistem. Existena manualelor de utilizare reprezint o cerin minimal.
Utilizarea unor proceduri inadecvate de control al modificrilor poate crete riscul ca sistemul s nu proceseze corect tranzaciile financiare. Fr o testare adecvat, att conducerea entitii, ct i auditorii au o asigurare slab c sistemul va efectua ceea ce s-a intenionat. Implicarea neadecvat a utilizatorilor crete riscul ca informaiile rezultate din aplicaii s nu corespund cu realitatea. Documentaia neadecvat face ca sistemul s fie dificil de ntreinut. Fr standarde adecvate, poate fi dificil s se respecte documentaia. O documentare bun a schimbrilor poate ajuta la identificarea erorilor sistem ului. Utilizarea metodologiilor standard de proiectare reduce riscul ca un sistem nou s nu corespund cerinelor utilizatorului. Modificrile de urgen care nu au fost aprobate pot cauza probleme neprevzute n alte zone ale sistemului informatic. Existena unor controale neadecvate poate conduce la utilizarea n mediul de producie a unor programe neautorizate. Modificrile neautorizate n sistem pot fi utilizate pentru fraudarea clientului. Acestea pot de asemenea s afecteze disponibilitatea sistemelor i pot deforma datele financiare. Utilizarea neautorizat
Pag. 183 din 214
a unor faciliti poate fi utilizat pentru a ocoli procedurile de management al modificrilor stabilite i favorizeaz dezvoltarea de aplicaii neautorizate. Auditorul va examina urmtoarele aspecte: Politicile i procedurile de autorizare existente pentru modificarea aplicaiilor financiare: cine autorizeaz modificrile, dac se folosesc studii de fezabilitate pentru a determina impactul potenial al modificrilor, cum este monitorizat i analizat derularea proiectului de ctre conducere, reaciile generate, metodologii i instrumente standard de dezvoltare adoptate, documentaii referitoare la modificare, analiza post-modificare; n ce msur sunt testate actualizrile sistemului i ale aplicaiei nainte de transferul n mediul operaional (de producie); Dac procedurile de testare sunt adecvate, independente i documentate; Implicarea utilizatorilor n testarea dezvoltrii, achiziiei i recepiei sistemelor informatice; Dac evidenele modificrilor sunt la zi, cuprinztoare i complete; Dac manualele de utilizare sunt actualizate i este disponibil cea mai recent versiune a documentaiei; Efectuarea modificrilor de urgen; Controale existente pentru a asigura c numai modificrile autorizate sunt transferate d in mediul de testare n mediul de producie; Modul de tratare a deficienele de funcionare a software-ului i a problemelor utilizatorilor (funcie help-desk, statistici help-desk disponibile, rezolvarea practic a incidentelor); Controale pentru prevenirea accesului persoanelor neautorizate la programele din biblioteca sursa de programe pentru a face modificri.
Activiti de control: asigur c afacerea continu s opereze n maniera ateptat de managementul de vrf. Monitorizare: asigur c politicile i procedurile continu s funcioneze i sunt adecvate.
Auditul intern trebuie s se concentreze asupra existenei i eficacitii controalelor speciali zate IT pentru toate categoriile menionate mai sus, n concordan cu specificul activitii i n scopul evitrii expunerii afacerii la riscuri nejustificate. Specializarea unor auditori n domeniul auditului IT i utilizarea unor metodologii adecvate s au includerea unor experi n domeniu n echipa de audit, n situaii n care se justific prezena acestora, reprezint o cerin pentru evaluarea unor sisteme informatice complexe. n funcie de stadiul n care acioneaz, exist trei categorii de controale: Controale preventive proiectate pentru a preveni producerea de erori, omisiuni sau aciuni ru intenionate. Un exemplu de control preventiv este utilizarea parolelor pentru accesul n sistem. Controale de detectare proiectate pentru a detecta erori, omisiuni sau aciuni ru intenionate care au loc i pentru a raporta apariia acestora. Un exemplu de control detectiv este meninerea jurnalelor de operaii ale sistemului i ale aplicaiilor. Controale corective proiectate pentru a reduce impactul sau pentru a corecta erorile odat ce au fost detectate. Planul de continuitate a afacerii este considerat cel mai semnificativ control corectiv.
69
4. Integritatea i validitatea procesului: menine integritatea i validitatea datelor de-a lungul ciclului de procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe procesarea tranzaciilor valide. 5. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: stabilete procedurile i responsabilitile asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, precum i faptul c se produc: verificarea, detectarea i corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat. 6. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile interne ctre funciile operaionale ale afacerii (sau ctre exteriorul organizaiei), trebuie verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i integritatea transmiterii sau ale transportului. Pentru evaluarea controalelor de aplicaie se utilizeaz Lista de verificare privind evaluarea controalelor de aplicaie. Aspectele teoretice referitoare la evaluarea riscurilor au fost tratate n detaliu n Capitolul 3. Pentru evaluarea riscurilor se utilizeaz Lista de verificare privind evaluarea riscurilor.
interfeele dintre operaiile manuale i operaiile informatizate; echipamentele i aplicaiile informatice care contribuie la obinerea situaiilor financiare verificate; valoarea i volumul tranzaciilor procesate de fiecare aplicaie; modulele de introducere, prelucrare, ieire i stocare ale aplicaiilor relevante; fluxul tranzaciilor de la iniierea tranzaciei pn la reflectarea acestora n situaiile financiare.
Creterea gradului de complexitate a sistemelor informatice prin integrarea aplicaiilor la nivelul sistemului informatic al entitii, permite procesarea mai multor tipuri de tranzacii, provenind din aplicaii diferite: aplicaii care proceseaz tranzacii privind veniturile, tranzacii de cheltuieli, state de plat lunare, evidena stocurilor, costul lucrrilor i activele fixe i altele. Este deci posibil ca o aplicaie s proceseze tranzacii din zone contabile diferite. La definirea zonelor contabile, auditorul va trebui s identifice fluxul principal de tranzacii din f iecare aplicaie i s reconstituie parcursul prelucrrii n funcie de aplicaia analizat. De asemenea, trebuie s detecteze i s reconstituie fluxurile care apar n situaia transferului de informaii ntre aplicaii. Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii trei factori: (a) ameninrile la adresa integritii i disponibilitii informaiilor financiare; (b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
Pag. 186 din 214
(c) impactul posibil n ceea ce privete obiectivele auditului. Auditorul va colecta informaii referitoare la aplicaia financiar -contabil: descrierea aplicaiei, funciile pe care le realizeaz aplicaia, arhitectura aplicaiei (platforma hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaie) , proprietarul aplicaiei, administratorul aplicaiei, numrul utilizatorilor aplicaiei i cine sunt acetia, volumul i valoarea tranzaciilor procesate lunar de aplicaia financiar-contabil, puncte slabe sau probleme cunoscute.
evidenele tranzaciilor s fie stocate i s fie complete pentru ntreaga perioad de raportare; evidenierea unei tranzacii s conin suficiente informaii pentru a stabili un parcurs de audit; totalurile tranzaciilor s se regseasc n situaiile financiare.
Dac oricare din aceste criterii nu primete un rspuns afirmativ, auditorul trebuie s decid dac sistemul informatic ofer ncredere n situaiile financiare generate de acest sistem. n condiiile n care concluzia auditorului este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce msuri trebuie luate pentru a continua misiunea de audit financiar. Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este posibil s se efectueze auditul pe baza acestora (pe lng sistemul informatic).
n ambele cazuri se pun urmtoarele probleme: (1)- identificarea informaiilor care vor fi necesare pentru prelucrare n scopul obinerii probelor de audit, (2)- obinerea datelor ntr-un format adecvat pentru a fi prelucrate, (3)- stocarea datelor ntr-o structur care s permit prelucrrile impuse de necesitile auditului. Utilizarea tehnicilor de auditare asistat de calculator presupune: cunoaterea scopului care trebuie atins; nelegerea modului n care opereaz sistemul (identificarea fiierelor care conin datele de interes i a structurii acestora); cunoaterea structurii nregistrrilor, pentru a le putea descrie n programul de interogare; formularea interogrilor asupra fiierelor / bazelor de date; cunoaterea modului de operare a sistemului; determinarea criteriilor de selecie a nregistrrilor n funcie de metoda de eantionare i de tipurile de prelucrri; interogarea sistemului i obinerea probelor de audit.
In permanen trebuie obinut asigurarea privind versiunea de programe utilizat i corectitudinea surselor de date. De asemenea, trebuie adoptat cea mai adecvat form de pr ezentare a rezultatelor. In scopul utilizrii adecvate a informaiilor supuse analizei de ctre programul de auditare asistat de calculator selectat, al asigurrii accesibilitii pentru auditor i al asigurrii compatibilitii cu configuraia hardware utilizat de auditor, este necesar specificarea formatelor fiierelor de date i a metodei (structurii) de memorare. Datele trebuie s fie furnizate ntr-o form care s permit utilizarea lor n mod direct de ctre programul de auditare asistat de calculator sau ntr-un format standard compatibil cu versiunea sofware utilizat de auditor (fiiere Windows, Lotus, Excel, Dbase, text cu separatori etc.); Datele trebuie s fie furnizate n format electronic, pentru a permite importul direct n baza de date a auditorului, pe suport magnetic, optic sau prin reea (Internet, intranet). In toate cazurile trebuie analizate implicaiile infectrii cu virui. Implementarea auditului bazat pe calculator sau asistat de calculator constituie o etap deosebit de important, n care se pot automatiza integral sau parial o serie de activiti ntre care: managementul proiectului, colectarea datelor, elaborarea de statistici, elaborarea de proceduri de eantionare, evaluare i testare, elaborarea documentelor de lucru (machete, chestionare, liste de verificare), redactarea raportului de audit, analiza. Utilizarea programelor software pentru auditare proiectate special pentru acest scop permite auditorilor s interogheze surse de date ale entitii auditate, s opereze prelucrri cu ajutorul instrumentelor asociate i s prezinte rezultatele n formatele dorite de auditor. In cazul auditului financiar, sunt oferite faciliti specifice pentru prelucrarea i analiza unor colecii mari de date, prin efectuarea unor teste i utilizarea unor proceduri adecvate, cum ar fi: Teste ale detaliilor tranzaciilor i soldurilor (recalcularea dobnzii, extragerea din nregistrrile bazei de date a entitii a facturilor care depesc o anumit valoare sau dat calendaristic sau care ndeplinesc alte condiii);
Pag. 188 din 214
Proceduri analitice (identificarea neconcordanelor sau a fluctuaiilor semnificative); Teste ale controalelor generale (testarea setrii sau a configurrii sistemului de operare, verificarea faptului c versiunea programului folosit este versiunea aprobat de conducere); Programe de eantionare pentru extragerea datelor n vederea efecturii testelor de audit; Teste ale controalelor aplicaiilor (testarea conformitii aplicaiei cu condiiile impuse de legislaia n vigoare); Refacerea calculelor efectuate de sistemele contabile ale entitii.
Pentru a obine probe de audit de calitate i pentru efectuarea unor prelucrri adiionale, auditorul poate efectua investigaii privind informaiile generate de calculator, prin utiliza rea tehnicilor de audit asistat de calculator, n particular, utilizarea programului IDEA. Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum i a performanei procedurilor de audit. Tehnicile de testare a datelor sunt folosite uneori pe parcursul unui audit prin introducerea de date (de exemplu, un eantion de tranzacii) ntr-un sistem informatic al unei entiti i compararea rezultatelor obinute cu rezultatele predeterminate. Un auditor poate folosi testarea datelor pentru: verificarea controalelor specifice n sistemele informatice, cum ar fi controale de acces la date, parole; prelucrarea tranzaciilor selectate dintre cele prelucrate de sistemul informatic sau create de auditor pentru a testa facilitile aplicaiilor informatice ale entitii, separat de datele procesate n mod obinuit de entitate; prelucrarea tranzaciilor de test n timpul execuiei normale a programului de prelucrare, de ctre auditorul integrat n sistem ca fiind un utilizator fictiv. In acest caz, tranzaciile de test trebuie s fie eliminate ulterior din nregistrrile contabile ale entitii.
prezentarea general a sistemului; specificaia cerinelor utilizatorului; descrierea i listingul programului surs (dup caz); descrierile intrrilor / ieirilor; descrierea coninutului fiierelor; manualul utilizatorului; instruciuni de operare.
Auditorul va evalua dac documentaia aplicaiei este adecvat, este cuprinztoare i actualizat, dac personalul ndreptit are copii ale documentaiei relevante sau acces la aceasta, dac exist instruciuni de lucru pentru procedurile zilnice i pentru rezolvarea unor probleme frecvente, dac se pstreaz copii de rezerv ale documentaiei aplicaiei n scopul recuperrii dup dezastru i al relurii rapide a procesrii.
toate tranzaciile sunt introduse exact i complet; toate tranzaciile sunt valabile; toate tranzaciile sunt autorizate; toate tranzaciile sunt nregistrate n perioada financiar corect.
Controalele fizice i logice de acces trebuie s ofere asigurarea c numai tranzaciile valabile sunt acceptate pentru introducere. Controalele fizice de acces includ mecanisme de acces protejate la uile ctre biroul financiar i terminalele calculatorului (nchidere cu mecanisme de blocare sau cu cheia). Controalele logice de acces se refer la capacitatea sistemelor informatice de a identifica utilizatorii individuali i de a raporta identitatea lor fa de o list predeterminat de funcii pe care fiecare dintre acetia este autorizat s le execute. Dup identificare i autentificare, aplicaia poate fi n msur s controleze drepturile fiecrui utilizator. Aceasta se realizeaz pe baza profilului i a drepturilor i privilegiilor de acces necesare pentru fiecare utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator n registrul de vnzri i ca atare acestuia i va fi interzis s realizeze activiti n registrul de cumprri sau n orice alt modul din cadrul aplicaiei. O asigurare suplimentar poate fi obinut prin separarea sarcinilor impus prin calculator. Utilizatorii pot avea un profil care s asigure c sistemul va procesa datele introduse numai dup ce au fost autorizate de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie s fie suficient de detaliat pentru a asigura c un membru al personalului nu poate accesa sau procesa o tranzacie financiar de la nceput la sfrit. Asigurarea c introducerea datelor este complet poate fi obinut prin gruparea tranzaciilor pe loturi i verificarea numrului i valorii tranzaciilor introduse cu totalurile calculate ind ependent. Dac aplicaiile nu utilizeaz controalele de lot pentru a introduce tranzacii, auditorul trebuie s caute alte dovezi ale completitudinii. Se poate include o examinare a documentelor surs pentru a se confirma c acestea au dat natere datelor de intrare. Aplicaiile pot confirma validitatea intrrii prin compararea datelor introduse, cu informaii deja deinute in sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a adreselor dintr-un registru de vnzri sau cumprri implic introducerea numrului cldirii i a codului potal. Calculatorul va cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din documentele de intrare. Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control sunt calculate prin aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru a verifica dac acel cmp a fost introdus corect. Cmpurile financiare pot face obiectul verificrii unui set de date pentru a ev ita introducerea de sume neautorizate sau nerezonabile. Datele introduse care ncalc limitele prestabilite vor fi respinse i evideniate ntr-un registru de audit. Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la evitarea tranzaciilor duble sau neautorizate i asigur un parcurs de audit. Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s fie ocolite prin aciuni de introducere sau modificare a datelor, din afara aplicaiei.
Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s detecteze i s raporteze orice modificri externe ale datelor, de exemplu modificri neautorizate efectuate de personalul de operare al calculatorului, direct n baza de date aferent aplicaiei. Auditorul trebuie s examineze i rezultatele analizelor efectuate de sistem, pentru a se asigura c utilizarea facilitilor de modificare ale sistemului, precum editoarele, este controlat corespunztor. Auditorul va evalua procedurile/controalele existente care s asigure c introducerea datelor este autorizat i exact, precum i controalele care asigur c toate tranzaciile valabile au fost introduse (verificri de completitudine i exactitate), c exist proceduri pentru tratarea tranzaciilor respinse sau eronate. Va verifica aciunile care se ntreprind de ctre conducere pentru monitorizarea datelor de intrare.
se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la un utilizator autorizat i coninutul tranzaciei este intact; se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i / sau modificarea tranzaciilor interceptate; secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor dublate sau terse i pot ajuta la identificarea tranzaciilor neautorizate.
Auditorul va evalua controalele implementate pentru a sigurarea c transferul de date n reea este att complet ct i exact (utilizarea semnturii digitale, criptarea datelor, secvenierea tranzaciilor), precum i metodele de identificare i tratare a riscurilor asociate transferului de date n reea (adoptate de organizaie).
Pentru a obine o asigurare c avut loc o prelucrare complet i exact, se implementeaz un mecanism de raportare a tuturor mesajelor de eroare detectate n cursul procesrii sau de furnizare a unor totaluri de control care s se compare cu cele produse n cursul introducerii, pus la dispoziia persoanelor responsabile cu introducerea i autorizarea datelor tranzaciei. Aceasta poate lua forma unui registru de operaii. Completitudinea i integritatea rapoartelor de ieire depinde de restricionarea capacitii de modificare a ieirilor i de ncorporarea de verificri de completitudine, cum ar fi numerotarea paginilor , i de prezentarea unor sume de verificare. Fiierele de ieire trebuie s fie protejate pentru a reduce riscul modificrilor neautorizate. Motivaii posibile pentru modificarea datelor de ieire includ acoperirea procesrii neautorizate sau manipularea rezultatelor financiare nedorite. De exemplu, fiierele de ieire neprotejate n cadrul unui sistem de plat a notelor de plat ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plat i a detaliilor beneficiarului. O combinaie de controale fizice i logice poate fi utilizat pentru protejarea integritii datelor de ieire. Datele de ieire dintr-un sistem IT pot constitui date de intrare n alt sistem, nainte ca acestea s fie reflectate n situaiile financiare; de exemplu, datele de ieire dintr-un sistem care transfer statele de plat, ca date de intrare, n registrul general. Acolo unde se ntlnete acest caz, auditorul trebuie s verifice existena controalelor care s asigure c datele de ieire sunt transferate exact de la o faz de procesare la alta. Un alt exemplu ar fi n cazul n care datele de ieire dintr -o balan de verificare sunt utilizate ca date de intrare ntr-un pachet de procesare de tabele care reformateaz datele pentru a produce situaiile financiare. Auditorul va verifica existena controalelor care s asigure c ieirile de la calculator sunt stocate corect i, atunci cnd sunt transmise, acestea ajung la destinaie, va verifica existena controalelor corespunztoare privind caracterul rezonabil, exactitatea i completitudinea ieirilor.
de audit trebuie s nregistreze informaii, precum data i ora la care s -a fcut modificarea, identificarea persoanei responsabile i cmpurile de date afectate. Fiierele importante de date permanente trebuie s aib copii de rezerv ori de cte ori se fac modificri importante. Aplicaiile care controleaz permisiunile de acces ale utilizatorului stocheaz detalii ale acestor permisiuni n fiierele de date permanente. Aceste fiiere trebuie s fie protejate la modificr i neautorizate. Conducerea trebuie s probeze c se realizeaz verificri independente , care s asigure c administratorul sistemului de control al accesului aplicaiei nu abuzeaz de privilegiile sale. Organizaiile pot lista periodic coninutul fiierelor de date permanente (de exemplu profilele de securitate ale utilizatorilor) pentru verificri operative. Auditorul va verifica existena controalelor i va testa controalele privind autorizarea accesului i a modificrilor datelor permanente.
Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu ultima versiune furnizat; Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaie; Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform clauzelor contractuale, pe etape i la termenele stabilite; Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract; Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i valabilitii licenelor furnizate n cadrul contractului; Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal; portalul poate avea seciuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante de probleme/anomalii sau pentru instruirea continu a utilizatorilor; Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor furnizate n cadrul contractului, precum i recepia cantitativ i calitativ; Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul manualelor, limba) i formatul (tiprit, n format electronic, on-line);
Pag. 195 din 214
Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru proiectele de dezvoltare software; Existena manualelor de utilizare pentru echipamentele livrate .
c) Pentru controlul extern a) Posibiliti de verificare complet sau prin sondaj a procedurilor de prelucrare; b) Posibiliti de verificare complet sau prin sondaj a operaiunilor nregistrate n contabilitate; c) Posibiliti de verificare complet sau prin sondaj a fluxului de prelucrri prin teste de control.
c) Criterii minimale pentru produsele informatice de gestiune i contabilitate a) b) c) d) e) f) g) h) i) j) k) l) m) n) o) p) q) r) s) t) u) v) w) Concordana cu legislaia n vigoare; Precizarea tipului de suport care s asigure prelucrarea n siguran a informaiilor; Identificarea complet a fiecrei informaii nregistrate; Respectarea criteriului cronologic n liste, cu imposibilitatea actualizrii ulterioare a listei; Transferul automat al soldurilor precedente pentru perioada curent; Conservarea datelor (arhivarea) conform Legii contabilitii nr. 82/1991; Posibilitatea restaurrii datelor arhivate; Imposibilitatea actualizrii datelor pentru perioadele de gestiune precedente; Preluarea informaiilor eseniale pentru identificarea operaiunilor: dat, denumire jurnal, numr pagin sau numr nregistrare, numr document; Acces parolat; Identificarea n liste a unitii patrimoniale, a paginrii cronologice, a tipului de document, a perioadei de gestiune, a datei de listare i a versiunii de produs p rogam; Listarea documentelor de sintez necesare conducerii ntreprinderii; Respectarea coninutului informaional pentru formularele cu regim special; Asigurarea concordanei ntre cartea mare a fiecrui cont i jurnalul de nregistrare; S respecte cerinele de normalizare a bazelor de date cu privire la conturi i documente; S existe posibilitatea actualizrii conturilor fr afectarea situaiilor patrimoniale i a celei de gestiune; S existe documentaie tehnic asociat caracteristicilor produselor program (mono / multi post, mono / multi societate, portabilitatea fiierelor, arhitectura de reea, aplicaii) care s permit utilizarea optim a produselor informatice n cauz; Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control ulterior, n timp real cu control imediat, combinat); S nu fie limitat volumul informaiilor contabile; S asigure securitatea datelor i fiabilitatea; S existe clauze de actualizare a procedurilor de prelucrare a informaiilor financiar -contabile; S asigure continuitatea sistemului n cazul ncetrii activitii de dezvoltare software, inclusiv arhivarea i restaurarea datelor; S funcioneze gestiunea versiunilor.
Volumul de teste de control n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii privind funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre raionamentul profesional i o modelare statistic pe care o poate efectua n acest scop. Dac auditorul i propune s planifice ca testele de control s se efectueze pe un numr mare de tranzacii, atunci va aplica metoda eantionrii datelor i va stabili dimensiunea eantionului. Auditorul va efectua urmtoarele teste: Va verifica criteriile i cerine minimale reglementate, n principal, prin norme le metodologice ale Ministerului Finanelor Publice; Va verifica existena evidenelor complete ale tranzaciilor aferente aplicaiei; Va evalua fezabilitatea colectrii probelor de audit relevante i suficiente; Va evalua dac parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare ;
Pag. 197 din 214
Va evalua dac aplicaia este disponibil atunci cnd este nevoie, funcioneaz conform cerinelor, este fiabil i are implementate controale sigure asupra integritii datelor; Va detalia procedura de actualizare a aplicaiei n concordan cu modificrile legislative ; Va evalua aplicaia din punct de vedere al gestionrii resurselor informatice disponibile (date, funcionalitate, tehnologii, faciliti, resurse umane etc.); Va evalua cunoaterea funcionrii aplicaiei de ctre utilizatori; Va efectua teste de verificare a parametrilor i funcionalitii aplicaiei din punct de vedere operaional i al conformitii cu legislaia n vigoare; Va efectua teste de verificare la nivel de funcie pentru procedurile critice din punctul de vedere al performanei (lansarea, derularea i abandonarea procedurilor, accesul la informaii n funcie de perioada de nregistrare / raportare, restaurarea bazei de date); Se vor efectua teste privind corectitudinea ncrcrii / actualizrii informaiilor n baza de date. Se vor meniona metodele de depistare i rezolvare a erorilor. Se vor testa funciile de regsire i analiz a informaiei; Va evalua interoperabilitatea aplicaiei cu celelalte aplicaii din sistemul informatic; Va evalua sistemul de raportare propriu aplicaiei i sistemul de raportare global; Se vor efectua teste privind modul de accesare a aplicaiei la nivel de reea, la nivelul staiei de lucru i la nivel de aplicaie; Se vor testa funciile de conectare ca utilizator final i de operare n timp real, pe tranzacii de test; Se va evalua funcionalitatea comunicrii cu nivelele superioare i inferioare; Se va analiza soluia de gestionare a documentelor electronice; Se va efectua verificarea prin teste a proteciilor aferente aplicaiei.
Aceast list nu este exhaustiv. n funcie de obiectivele auditului i de specificul sistemului / aplicaiei auditate, auditorul poate decide efectuarea i a altor teste care pot furniza concluzii relevante pentru formularea unei opinii corecte.
Cerinele legislative i de reglementare includ: Legislaia din domeniul finanelor i contabilitii; Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Reglementri financiare i bancare; Legislaia cu privire la proprietatea intelectual. n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei: - Lista de verificare pentru evaluarea guvernrii IT, personalizat pentru sistemele de tip e-guvernare; - Lista de verificare pentru evaluarea portalului web; - Lista de evaluare a perimetrului de securitate; - Liste de verificare pentru evaluarea serviciilor electronice; - Liste de verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului. Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele aspecte: Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii; Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea calitii serviciilor; Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a documentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor software legislative), se materializeaz n reduceri de costuri cu aceste activiti; Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor proceduri pentru remedierea acestora; Eliminarea paralelismelor i integrarea proceselor care se reflect n eficientizarea activitii prin eliminarea redundanelor; Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rsp uns; Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi aptitudini; Reducerea costurilor administrative. Pentru evaluarea gradului n care implementarea i utilizarea sisemului informatic a produs efecte n planul modernizrii activitii, n creterea calitii serviciilor publice i n ceea ce privete satisfacia utilizatorilor se pot proiecta i utiliza chestionare prin intermediul crora se vor colecta informaii care s reflecte reaciile actorilor implicai (management, funcionari publici, utilizatori, personal IT, ceteni). Prezentarea coninutului machetelor i listelor de verificare pentru ntreg fluxul aferent misiunii de audit va fi detaliat n ghidul asociat acestui manual.
Glosar de termeni
Acceptarea riscului - Decizie luat de management de acceptare a unui risc. Analiza riscului - Utilizarea sistematic a informaiei pentru a identifica ameninrile i pentru a estima riscul. Aria de aplicabilitate a unui audit Domeniul acoperit de procedurile de audit care, n baza raionamentului auditorului i a Standardelor Internaionale de Audit, sunt considerate ca proceduri adecvate n mprejurrile date pentru atingerea obiectivului unui audit. Asigurare rezonabil (n contextul unei misiuni de audit) - Un nivel de asigurare adecvat, ridicat dar nu absolut, reflectat n raportul auditorului ca fiind o asigurare rezonabil cu privire la faptul c informaiile auditate nu conin greeli semnificative. Audit extern Un audit efectuat de un auditor extern. Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier etc. este n mod real cel care se pretinde a fi. Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate, aflate la distan. Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul informatic al entitii auditate, diferena de timp ntre momentul producerii evenimentelor urmrite de auditor i obinerea probelor de audit fiind foarte mic. Autentificare Actul care determin c un mesaj nu a fost schimbat de la momentul emiterii din punctul de origine. Un proces care verific identitatea pretins de un individ. Autoritate de certificare O organizaie investit pentru a garanta autenticitatea unei chei publice (PKI). Autoritatea de certificare cripteaz certificatul digital. Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor date) efectuat fie n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a evita pierderea, deteriorarea sau distrugerea informaiilor. Este o copie de siguran. Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor s navigheze pe Web. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, Mozilla. BSI (British Standards Institution) Instituia care a publicat standardele naionale britanice care au constituit baza evoluiei standardelor ISO 9001 (BS5750 sisteme de management al calitii) i ISO 17799 (BS 7799 managementul securitii informaiei). CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - Software care poate fi utilizat pentru interogarea, analiza i extragerea de fiiere de date i pentru producerea de probe de tranzacii pentru testele de detaliu. CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - calificare profesional oferit de Information Systems Audit and Control Association (ISACA) (Asociaia de Audit i Control al Sistemelor Informatice). Cloud Computing (configuraie de nori) - Stil de utilizare a calculatoarelor n care capabilitile IT se ofer ca servicii distribuite i permit utilizatorului s acceseze servicii bazate pe noile tehnologii, prin intermediul Internetului, fr a avea cunotine, expertiz sau control privind infrastructura tehnologic suport a acestor servicii. Confidenialitate Proprietate a informaiei care asigur c aceasta nu este fcut disponibil sau dezvluit persoanelor, entitilor sau proceselor neautorizate. Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru a permite proceselor cheie ale afacerii s continue operarea n urma unor cderi majore sau dezastre. Controale generale n sistemele informaionale computerizate - Politici i proceduri care se refer la sistemele informatice i care susin funcionarea eficient a controalelor aplicaiilor contribuind astfel la asigurarea unei funcionri adecvate i continue a sistemelor informatice. Controalele informatice
Pag. 201 din 214
generale includ, n mod obinuit, controale asupra securitii accesului la date i reele, precum i asupra achiziiei, ntreinerii i dezvoltrii sistemelor informatice. Controlul accesului - Proceduri proiectate s restricioneze accesul la echipamente, programe i datele asociate. Controlul accesului const n autentificarea utilizatorului i autorizarea utilizatorului. Autentificarea utilizatorului se realizeaz, n general, prin intermediul unui nume de utilizator unic, al un ei parole, al unui card de acces, al datelor biometrice. Autorizarea utilizatorului se refer la regulile de acces pentru a determina resursele informatice la care poate avea acces fiecare utilizator. Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea, de ctre conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n legtur cu atingerea obiectivelor entitii cu privire la credibilitatea raportrii financiare, la eficacitatea i eficiena operaiilor i la respectarea legilor i reglementrilor aplicabile. Controlul intern este compus din urmtoarele elemente: (a) Mediul de control; (b) Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv procesele de afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de control; i (e) Monitorizarea controalelor. Controale de aplicaie n sistemele informatice - Proceduri manuale sau automate care opereaz de obicei la nivelul proceselor ntreprinderii. Controalele de aplicaie pot fi de natur preventiv sau de detectare i sunt proiectate s asigure integritatea informaiilor. n mare parte, controalele de aplicaie se refer la procedurile folosite pentru a iniia, nregistra, procesa i raporta tranzaciile sau alte date financiare. Controlul dezvoltrii programelor - Proceduri menite s previn sau s detecteze modificrile inadecvate aduse programelor informatice care sunt accesate cu ajutorul terminalelor conectate online. Accesul poate fi restricionat prin controale cum ar fi folosirea unor programe operaionale separate sau a unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca modificrile efectuate online asupra programelor s fie documentate, controlate i monitorizate n mod adecvat. CRAMM (The CCTA Risk Analysis and Management Method) - Metod de management i analiz a riscului - este o metod structurat pentru identificarea i justificarea msurilor de protecie care vizeaz asigurarea unui nivel adecvat de securitate n cadrul sistemelor IT. Criptare (criptografie) - Procesul de transformare a programelor i informaiilor ntr-o form care nu poate fi neleas fr accesul la algoritmi specifici de decodificare (chei criptografice). Certificat digital - Conine semnturi digitale i alte informaii care confirm identitatea prilor implicate ntr-o tranzacie electronic, inclusiv cheia public. Declaraie de aplicabilitate - Declaraie documentat care descrie obiectivele de control i msurile de securitate care sunt relevante i aplicabile SMSI al organizaiei. Obiectivele de control i msurile sunt bazate pe rezultatele i concluziile analizei de risc i pe procesele de tratare a riscului, cerine legale sau de reglementare, obligaii contractuale i cerinele afacerii organizaiei pentru securitatea informaiei. Determinarea riscului - Pprocesul global de analiz i evaluare a riscului Disponibilitate Capacitatea de a accesa un sistem, o resurs sau un fiier atunci cnd este formulat o cerere n acest scop. Proprietatea informaiei de a fi accesibil i utilizabil la cerere de ctre o entitate autorizat Documentarea misiunii de audit - nregistrarea procedurilor de audit aplicate, a probelor de audit relevante, precum i a concluziilor la care a ajuns auditorul (termen cunoscut uneori i ca documente de lucru sau foi de lucru). Documentaia unei misiuni specifice este colectat ntr-un dosar de audit. Documentele de lucru - Materialele ntocmite de auditor i pentru uzul auditorului, sau obinute i pstrate de acesta, n corelaie cu derularea auditului. Documentele de lucru pot fi pe suport de hrtie, pe film, pe suport magnetic, electronic sau pe alte tipuri de suport pentru stocarea datelor. e-audit - Tip de audit pentru care prezena fizic a auditorului nu este necesar la entitatea auditat, acesta avnd la dispoziie toate informaiile oferite de o infrastructur ITC pentru audit. EDI - Electronic Data Interchange este termenul generic pentru transmisia structurat a tranzaciilor sau informaiilor comerciale de la un sistem la altul.
Pag. 202 din 214
e-guvernare - Schimbul online al informaiei autoritilor publice i a guvernului cu, i livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale. Guvernarea electronic presupune furnizarea sau obinerea de informaii, servicii sau produse prin mijloace electronice ctre i de la agenii guvernamentale, n orice moment i loc, oferind o valoare adugat pentru prile participante. e-sisteme - Sisteme bazate pe Internet i tehnologii asociate care ofer servicii electronice cetenilor, mediului de afaceri i administraiei: e-government, e-health, e-commerce, e-learning etc. EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt utilizate pentru a transfera fonduri dintr-un cont bancar n alt cont bancar utiliznd echipamente electronice n locul mediilor pe hrtie. Sistemele uzuale EFT includ BACS (Bankers Automated Clearing Services) i CHAPS (Clearing House Automated Payment System). Eantionarea n audit - Aplicarea procedurilor de audit la mai puin de 100% din elementele din cadrul soldului unui cont sau al unei clase de tranzacii, astfel nct toate unitile de eantionare s aib o ans de selectare. Aceasta i va permite auditorului s obin i s evalueze probe de audit n legtur cu unele caracteristici ale elementelor selectate pentru a formula o concluzie sau a ajuta la formularea unei concluzii n legtur cu populaia din care este extras eantionul. Eantionarea n audit poate utiliza fie o abordare statistic, fie una nonstatistic. Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate n vederea stabilirii importanei riscului. Eveniment de securitate a informaiilor - situaie identificat n legtur cu un sistem, un serviciu sau o reea care indic o posibil nclcare a politicii de securitate a informaiilor, un eec al ms urilor de protecie sau o situaie ignorat anterior, dar relevant din punct de vedere al securitii. Firewall - Combinaie de resurse informatice, echipamente sau programe care protejeaz o reea sau un calculator personal de accesul neautorizat prin intermediul Internetului, precum i mpotriva introducerii unor programe sau date sau a oricror alte programe de calculator neautorizate sau care produc daune. Frequently Asked Questions (FAQ) - Un termen care se refer la o list de ntrebri i rspunsuri furnizat de companii referitoare la produsele de software, web site etc. Frauda - Act intenionat ntreprins de una sau mai multe persoane din cadrul conducerii, din partea celor nsrcinai cu guvernarea, a angajailor sau a unor tere pri, care implic folosirea unor neltorii pentru a obine un avantaj ilegal sau injust. Gateway - Interconexiunea ntre dou reele cu protocoale de comunicare diferite. Guvernare (guvernare corporativ) - Descrie rolul persoanelor crora le este ncredinat supervizarea, controlul i conducerea unei entiti. Cei nsrcinai cu guvernarea sunt, n mod obinuit, rspunztori pentru asigurarea ndeplinirii obiectivelor entitii, pentru raportarea financiar i raportarea ctre prile interesate. n cadrul celor nsrcinai cu guvernarea se include conducerea executiv doar atunci cnd aceasta ndeplinete astfel de funcii. Guvernarea electronic - Schimbul online al informaiei guvernului cu, i livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale (definiie INTOSAI). HelpDesk - Punctul principal de contact sau interfaa dintre serviciile sistemului informatic i utilizatori. Help desk este punctul unde se colecteaz i se rezolv problemele utilizatorului. Home Page - Pagina prin care un utilizator intr n mod obinuit pe un web site. Aceasta conine i legturile (linkurile) cele mai importante ctre alte pagini ale acestui site. Hypertext - Un sistem de scriere i de afiare a textului care permite ca textul s fie accesat n moduri multiple, s fie disponibil la mai multe nivele de detaliu i care conine legturi la documente aflate n relaie cu acesta. Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea documentelor de tip hipertext (inclusiv pentru scrierea paginilor pentru http://www). Acest limbaj permite textului sa includ coduri care definesc font-ul, layout-ul, grafica inclus i link-urile de hypertext. Internet - Un ansamblu de calculatoare conectate n reea (la scar mondial) care asigur servicii de tiri, acces la fiiere, pota electronic i instrumente de cutare i vizualizare a resurselor de pe Internet. Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet.
Pag. 203 din 214
Incident - Un eveniment operaional care nu face parte din funcionarea standard a sistemului. Incident privind securitatea informaiei - un eveniment sau o serie de evenimente de securitate a informaiei care au o probabilitate semnificativ de a compromite activitile organizaiei i de a aduce ameninri la securitatea informaiei. Integritate - Proprietatea de a pstra acurateea i deplintatea resurselor. Instituia Suprem de Audit - Organismul public al unui stat care, indiferent de modul n care este desemnat, constituit sau organizat n acest scop, exercit n virtutea legii cea mai nalt funcie de audit n acel stat. Intranet - Versiunea privat a Internetului, care permite persoanelor din cadrul unei organizaii s efectueze schimburi de date, folosind instrumentele obinuite ale Internetului, cum sunt browserele. Log (jurnal de operaii) - O eviden sau un jurnal al unei secvene de evenimente sau activiti. Managementul configuraiei - Procesul de identificare i definire a componentelor de configuraie ntr-un sistem, de nregistrare i raportare a strii componentelor din configuraie i a solicitrilor de modificare i verificare a integritii i corectitudinii componentelor de configuraie. Managementul riscului - Activiti coordonate pentru ndrumarea i controlul unei organizaii lund n considerare riscurile. Managementul schimbrilor - Procesul de control i gestionare a solicitrilor de modificare a oricrui aspect al sistemului informatic (hardware, software, documentaie, comunicaii, fiiere de configurare a sistemului). Procesul de management al schimbrilor va include msuri de control, gestionare i implementare a modificrilor aprobate. Mediu de control - Include funciile de guvernare i de conducere, precum i atitudinile, contientizarea i aciunile celor nsrcinai cu guvernarea i conducerea entitii referitoare la controlul intern al entitii i la importana acestuia n entitate. Mediul de control este o component a controlului intern. Mediu informatizat - Politicile i procedurile pe care entitatea le implementeaz i infrastructura informatic (echipamente, sisteme de operare etc.), precum i programele de aplicaie utilizate pentru susinerea operaiunilor ntreprinderii i realizarea strategiilor de afaceri. Se consider c un astfel d e mediu exist n cazul n care n procesarea de ctre entitate a informaiilor financiare semnificative pentru audit este implicat un calculator, de orice tip sau dimensiune, indiferent dac acest calculator este operat de ctre entitate sau de o ter parte. Metode biometrice - Metode automate de verificare sau de recunoatere a unei persoane bazate pe caracteristici comportamentale sau fizice (de exemplu, amprente digitale, scrisul de mn i geometria facial sau retina), utilizate n controlul accesului fizic. Modem - O pies de echipament utilizat pentru convertirea unui semnal digital dintr -un calculator, n semnal analog pentru transmiterea ntr-o reea analogic (precum sistemul public de telefoane). Un alt modem aflat la captul de primire convertete semnalul analog n semnal digital. Networks [reele] - Interconectarea prin faciliti de telecomunicaie a calculatoarelor i a altor dispozitive. Ofier de securitate - Persoana responsabil s asigure c regulile de securitate ale organizaiei sunt implementate i funcioneaz. Pista de audit Un set cronologic de nregistrri care furnizeaz n mod colectiv proba documentar a prelucrrii, suficient pentru a permite reconstituirea, revizuirea i examinarea unei activiti. Planificarea continuitii - Planificarea efectuat pentru a asigura continuitatea proceselor cheie ale afacerii dup dezastre, cderi majore ale sistemelor sau n cazul imposibilitii procesrilor de rutin. Politica de securitate - Setul de reguli i practici care reglementeaz modul n care o organizaie gestioneaz, protejeaz i distribuie informaiile sensibile. Probe de audit - Totalitatea informaiilor folosite de auditor pentru a ajunge la concluziile pe care se bazeaz opinia de audit. Protocol - Standarde i reguli care determina nelesul, formatul i tipurile de date care pot fi transferate ntre calculatoarele din reea. Resurse - Orice prezint valoare pentru organizaie.
Pag. 204 din 214
Risc rezidual - Riscul care rmne dup tratarea riscului. Reea de arie larg (WAN) - O reea de comunicaii care transmite informaii pe o arie extins, cum ar fi ntre locaii ale ntreprinderii, orae sau ri diferite. Reelele extinse permit, de asemenea, accesul online la aplicaii, efectuat de la terminale situate la distan. Mai multe reele locale (LAN) pot fi interconectate ntr-o reea WAN. Reea local (LAN) - O reea de comunicaii care deservete utilizatorii dintr-o arie geografic bine delimitat. Reelele locale au fost dezvoltate pentru a facilita schimbul de informaii i utilizarea n comun a resurselor din cadrul unei organizaii, inclusiv date, programe informatice, depozite de date, imprimante i echipamente de telecomunicaii. Componentele de baz ale unei reele locale sunt mijloacele de trans misie i programele informatice, staiile de lucru pentru utilizatori i echipamentele periferice utilizate n comun. Router - Un dispozitiv de reea care asigur c datele care se transmit printr-o reea urmeaz ruta optim. Sectorul public Guvernele naionale, guvernele regionale (spre exemplu, cele la nivel de stat, provincie sau teritoriale), administraiile locale (spre exemplu, la nivel de ora, municipiu) i entitile guvernamentale aferente (spre exemplu, agenii, consilii, comisii i ntreprinderi). Secure Socket Layer (SSL) - O tehnologie bazat pe web care permite unui calculator s verifice identitatea altui calculator i permite conexiunile securizate. Securitatea informaiei - Pstrarea confidenialitii, integritii i a disponibilitii informaiei; n p lus, alte proprieti precum autenticitatea, responsabilitatea, non-repudierea i fiabilitatea pot fi de asemenea implicate. Server - O unitate de calcul plasat ntr-un nod al reelei care asigur servicii specifice utilizatorilor reelei (de exemplu, un print server asigur faciliti de imprimare n reea, iar un file server stocheaz fiierele utilizatorului). Servere de tip blade (lam) Servere bazate pe o tehnologie de mare densitate i pe o soluie constructiv de tip lam (construite pe o singur plac). Service level agreements - Acorduri sau contracte scrise ntre utilizatori i prestatorii de servicii, care documenteaz livrarea convenit a serviciilor IT. Acestea includ, de obicei, orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de rspuns, restricii i funcionalitate. Sistem de management al securitii informaiei (SMSI) - Partea din ntreg sistemul de management, bazat pe o abordare a riscului afacerii, folosit pentru a stabili, implementa, funciona, monitoriza, revizui, menine i mbunti securitatea informaiei. Sistemul de management include structuri organizaionale, politici, activiti de planificare, responsabiliti, practici, proceduri, procese i resurse. Sisteme informaionale relevante pentru raportarea financiar O component a controlului intern care include sistemul de raportare financiar i const din procedurile i nregistrrile stabilite pentru a iniia, nregistra, procesa i raporta tranzaciile entitii (precum i evenimentele i condiiile) i pentru a menine responsabilitatea pentru activele, datoriile i capitalurile proprii aferente. Software social - Software de tip social (social networking, social collaboration, social media and social validation) este avut n vedere de organizaii n procesul integrrii ntreprinderii. t-guvernare - Utilizarea tehnologiei comunicrii informaiei pentru a asigura (a permite) transformarea modului de lucru al guvernului, ntr-o manier centrat pe client. Tehnologii informatice verzi (ecologice) Sunt asociate cu evoluia blade server, prin reorientarea ctre produse din ce n ce mai eficiente care pot permite funcionarea n manier ecologic, avnd n vedere impactul asupra reelei electrice i a emisiilor de carbon. Test de parcurgere Un test de parcurgere implic urmrirea ctorva tranzacii pe parcursul ntregului sistem de raportare. TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al transmisiei / Protocol Internet]: un standard utilizat pe larg pentru transferul de date ntre calculatoarele n reea, inclusiv cele conectate la Internet. Tratarea riscului - Proces de selecie i implementare a unor msuri n vederea reducerii riscului.
Trojan horse (cal troian) - Program de calculator care realizeaz aparent o funcie util, dar realizeaz i funcii ascunse neautorizate (de exemplu, un program neautorizat care este ascuns ntr -un program autorizat i exploateaz privilegiile de acces ale acestuia). User profile (profilul utilizatorului) - O list de drepturi de acces ale unui anumit utilizator al sistemului. Virus - Sunt programe de calculator ru intenionate, autopropagabile care se ataeaz programelor executabile gazd. Worms (viermi) - Viermii sunt programe de calculator ru intenionate, care se pot replica fr ca programul gazd s poarte infecia. Reelele sunt vulnerabile la atacurile viermilor, un vierme care intra n nodul unei reele cauzeaz probleme locale n nod i trimite copii ale sale nodurilor vecine.
Referine bibliografice
[1] European Commission, Directiva 1999/93/CE privind un cadru comunitar pentru semntura electronic, http://www.eur-lex.europa.eu [2] European Commission, Directiva 2000/31/CE privind aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic, http://www.eur-lex.europa.eu [3] European Commission, Directiva 2002/19/CE privind accesul la reele de comunicaii electronice i la infrastructura asociat precum i interconectarea acestora, http://www.eur-lex.europa.eu [4] European Commission, Directiva 2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii i comunicaiilor electronice, http://www.eur-lex.europa.eu [5] European Commission, Directiva 460/2004/CE privind instituirea Ageniei Europene pentru Securitatea reelelor informatice i a datelor, http://www.eur-lex.europa.eu [6] European Commission, Directiva 854/2005/CE de instituire a unui program comunitar multianual de promovare a utilizrii n condiii de mai mare siguran a Internet-ului i a noilor tehnologii online, http://www.eur-lex.europa.eu [7] European Commission, Directiva 2006/123/CE privind serviciile pe piaa intern (Directiva Servicii), http://www.eur-lex.europa.eu [8] European Commission, Regulamentul (CE) nr. 808/2004 al Consiliului European din 21 aprilie 2004, privind Statisticile Comunitare referitoare la Societatea Informaional, http://www.eur-lex.europa.eu [9] European Commission, Regulamentul (CE) nr. 1099/2005 al Comisiei din 13 iulie 2005 de punere n aplicare a Regulamentului (CE) nr. 808/2004 al Parlamentului European i al Consiliului privind statisticile comunitare referitoare la Societatea Informaional, http://www.eur-lex.europa.eu [10] HG nr. 58/1998 pentru aprobarea Strategiei naionale de informatizare i implementare n ritm accelerat a societii informationale i a Programului de aciuni privind utilizarea pe scara larga i dezvoltarea sectorului tehnologiilor informatiei n Romnia [11] HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a Tehnologiei Informatiei n Romnia" [12] HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea administraiei publice [13] Legea nr. 455/ 2001 privind semntura electronic [14] HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semnatura electronic [15] Legea nr. 365/2002 republicat privind comerul electronic [16] Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date [17] Legea nr. 544/2001 privind liberul acces la informaiile de interes public [18] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor publice prin mijloace electronice
[19] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice. [20] HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional [21] HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr. 1.085/2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional [22] HG nr.1362/2004 privind nfiinarea Centrului Informatic Naional al Ministerului Administraiei i Internelor i operationalizarea Sistemului e-administraie [23] Legea nr. 506/ 2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n sectorul comunicaiilor electronice [24] HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de informaii n domeniul standardelor i reglementrilor tehnice, precum i al regulilor referitoare la serviciile societii informaionale ntre Romnia i statele membre ale Uniunii Europene,precum i Comisia European [25] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control managerial [26] Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic [27] OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la distan [28] OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de a furniza servicii n Romnia [29] HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a comunicaiilor electronice n band larg n Romnia pentru perioada 2009-2015 [30] HG nr. 195 din 9 martie 2010 privind aprobarea Strategiei naionale "e-Romnia" [31] Beate Schulte, Ulrike Peter, Jutta Croll, Iris Cornelssen, Methodologies to identify best practice in barrier-free web design, European Journal of ePractice No. 3 May 2008, ISSN: 1988-625X, www.e-practicejournal.eu [32] Cristiano Codagno, Trond Arne Undheim, Benchmarking eGovernment: tools, theory, and practice, European Journal of ePractice No. 4 August 2008, ISSN: 1988-625X, www.e-practicejournal.eu [33] Capgemini, The User Challenge Benchmarking The Supply Of Online Public Services 7th Measurement, 10 April 2008, http://ec.europa.eu/information_society/eeurope/i2010/docs/benchmarking/egov_benchmar k_2007.pdf [34] European Commission, eGovernment progress in EU 27+: Reaping the benefits, (2007), Brussels, August 2008, http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=3635 [35] European Commission, i2010 eGovernment Action Plan: Accelerating eGovernment in Europe for the Benefit of All, COM(2006), 173 final, Brussels
Pag. 208 din 214
[36] European Commission, Facing the Challenge: The Lisbon Strategy for Growth and Employment, Report of the High Level Group, Brussels. Retrieved 15 August 2008, http://ec.europa.eu/growthandjobs/pdf/kok_report_en.pdf [37] European Commission, eEurope 2005, An information society for all: An Action Plan to be presented in view of the Seville European Council, COM(2002) 263 final, Brussels. [38] Robert Deller and Veronique Guilloux, Determining relevance of best practice based on interoperability in European eGovernment initiatives, Journal of ePractice No. 4 August 2008, ISSN: 1988-625X, www.e-practicejournal.eu [39] ENISA, Work programme 2005 Information sharing is protecting ENISA EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY, Brussels, 25 February 2005 [40] European Commission, eEurope 2005: An information society for all. An Action Plan presented in view of the Sevilla European Council, 21/22 June 2002 [41] European Commission, Ministerial Conference - "ICT for an Inclusive Society, Ministerial declaration, Riga, Latvia June 2006 [42] European Commission, IDABC Work Programme, Fourth revision (2007), SECTION I Project of common interest. Horizontal measures [43] European Commission, I2010 e-Government Action Plan, Analysis of European target groups related to inclusive eGovernment, 2006 [44] OMB, Report to Congress on the benefits of the presidents e-government initiatives, Fiscal Year 2007, OMB, USA [45] Capgemini (2004) Online availability of public services: how is Europe progressing? web based survey on electronic public services report of the 5th measurement - october 2004, For: European Commission Directorate General for Information Society and Media 3 march 2005 [46] Capgemini (2006), Online Availability of Public Services: How Is Europe Progressing? - Web Based Survey on Electronic Public Services Report of the 6th Measurement - June 2006 [47] Cabinet Office (2002). Public Service Agreement Target Technical Note, Target 3, (http://www.cabinetoffice.gov.uk/reports/service-delivery/sda4.asp#target3) [48] Cabinet Office (2005). Transformational Government - Enabled by Technology http://www.cio.gov.uk/ [49] CapGemini (2007), The User Challenge Benchmarking The Supply Of Online Public Services; 7th Measurement (European Commission, Brussels) http://ec.europa.eu/informationsociety/eeurope/i2010/docs/benchmarking/egov_benchmark _2007.pdf [50] Commission of the European Communities (2005). i2010 A European Information Society for growth and employment SEC 717 [51] OECD (2003), The eGovernment imperative (OECD, Paris) [52] European Commission, Benchmarking eInclusion-Bruxelles-21 June 2006-i2010 BENCHMARKING http://europa.eu.int/information_society/eeurope/i2010/benchmarking/index_en.htm [53] Planul National de Dezvoltare, Guvernul Romniei, (National Strategic Reference Framework 2007 2013 draft April 2006) [54] Programul Complement ICT 2007-2013 www.mcti.ro
[55] XXX, Programul Operaional Sectorial Creterea competitivitii economice (POS CCE), Ministerul Economiei i Comerului,2006 [56] Carl Claunch and Dave Cearley, Top 10 Strategic Technology Areas for 2009, Gartner Symposium/2008 ITxpo, Orlando, 2008 [57] Sam Lubbe, ISACA, Documentation Standards for E-commerce Organisations, ISSN (1526-7407), INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 5, 2003, [58] Sam Lubbe, Documentation Standards for E-commerce Organisations, p.24, ISACA, INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 5, 2003, ISSN (1526-7407) [159 Morten Fangel, Managing Director & Chief Consultant, Fangel Consultants Ltd, Denmark, Systematic Planning and Evaluation of the Project Management Effort [60] David Mc Namee, Business Risk Assesment, The Institute of Internal Auditors, USA, 1998, www.theiia.org [61] Cristopher Fox, Paul Zonneveld, IT Control Objectives for Sarbanes Oxley: The Role of IT in the Design and Implementation of Internal Control over Financial Reporting, ISACA ITGI, 2006 [62] David Coderre, CAATs and other BEASTs for Auditors, 2005, www.isaca.org/esentialsbooks [63] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org [64] E-government in an audit perspective, Report final version, www.eurosai-it.org [65] e-Procurement and its effect on future audit approach, EUROSAI - ITWG, 2004, www.eurosai-it.org [66] Perspectives on the information exchange, into IT, nr. 39, www.intosai.org [67] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp [68] Risk Management Principles for Electronic Banking, Basel Committee on Banking Supervision, 2003, www.bis.org [69] ECBS, Security Guidelines for e-Banking. Application of Basel Risk Management Principles, European Committee for Banking Supervision, 2004, www.ecbs.org [70] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices and competencies, 2007, ITGI, ISBN 1-933284-12-9 [74] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4 [75] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public Sector, 2004 [76] C.A.F.R., Audit financiar 2006 Standarde. Codul privind conduita etic i profesional, 2006 [77] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i controlul intern caracteristici i considerente privind CIS [78] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat de calculator [79] GAO, Government Auditing Standards, GAO, United States Government Accountability Office, by the Comptroller General of the United States, July 2007 Revision, [80] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation, http:/www.theiia.org/eSAC [83] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems, http://www.csrc.nist.gov/publications
Pag. 210 din 214
[84] Dale Johnstore and Ellis Chung Yee Wong, Practicing Information Technology Auditing for Fraud, INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 1, 2008, ISSN (1526-7407) Referine tehnice [1] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control Professionals, ediia februarie 2010, www.isaca.org [2] ITGI, COBIT Control Objectives, Ediia 4.0, www.isaca.org [3] ITGI, IT Assurance Guide using COBIT, www.isaca.org [4] ITGI, COBIT Mapping Papers, www.isaca.org [5] ITGI, Aligning COBIT 4.1, ITIL V3, ISO/IEC 27001 for Business Benefit, www.isaca.org [6] ITGI, Implementation Guide: Using COBIT and Val IT, 2nd Edition. [7] ITGI, IT Assurance Guide: Using COBIT [8] COBIT mappings, www.isaca.org : COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1 COBIT Mapping: Mapping of COSO Enterprise Risk Management With COBIT 4.1 COBIT Mapping: Mapping of ISO/IEC 17799:2000 with COBIT, 2nd Edition COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT 4.1 COBIT Mapping: Mapping of ITIL With COBIT 4.1 COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1 COBIT Mapping: Mapping of PMBOK With COBIT 4.1 COBIT Mapping: Mapping of PRINCE2 With COBIT 4.1 COBIT Mapping: Mapping of SEIs CMM for Software With COBIT 4.1 COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.1 COBIT Mapping: Overview of International IT Guidance, 2nd Edition [9] ITGI, Val IT Framework 2.0, www.isaca.org [10] ITGI, Value Management Guidance for Assurance Professionals, www.isaca.org [11] ITGI, Using Val IT 2.0, www.isaca.org [12] ITGI, Val IT Getting Started with Value Management, www.isaca.org [13] ITGI, The Business Case Guide: Using Val IT 2.0, www.isaca.org [14] ITGI, Optimising Value Creation From IT Investments, www.isaca.org [15] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org [16] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
Pag. 211 din 214
[17] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices and competencies, 2007, ITGI, ISBN 1-933284-12-9 [18] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4 [19] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public Sector, 2004 [20] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i controlul intern caracteristici i considerente privind CIS [21] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat de calculator [22] GAO, Government Auditing Standards, GAO, United States Government Accountability Office, by the Comptroller General of the United States, July 2007 Revision [23] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation, http:/www.theiia.org/eSAC [24] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems, http://www.csrc.nist.gov/publications [25] www.isaca.org/cobit [26] www.isaca.org/valit [27] www.isaca.org/riskit [28]www.itgi.org
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n sectorul comunicaiilor electronice HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de informaii n domeniul standardelor i reglementrilor tehnice, precum i al regulilor referitoare la serviciile societii informaionale ntre Romnia i statele membre ale Uniunii Europene,precum i Comisia European OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control managerial Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la distan OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de a furniza servicii n Romnia HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a comunicaiilor electronice n band larg n Romnia pentru perioada 2009-2015 HG nr. 201/2010 privind organizarea i funcionarea Punctului de Contact Unic electronic (PCU electronic), HG nr. 195/ 2010 privind aprobarea Strategiei naionale "e-Romnia"
Directiva 1999/93/CE privind un cadru comunitar pentru semntura electronic; Directiva 2000/31/CE privind aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic; Directiva 2002/19/CE privind accesul la reele de comunicaii electronice i la infrastructura asociat, precum i interconectarea acestora; Directiva 2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii i comunicaiilor electronice; Directiva 460/2004/CE privind instituirea Ageniei Europene pentru Securitatea reelelor informatice i a datelor; Directiva 854/2005/CE de instituire a unui program comunitar multianual de promovare a utilizrii n condiii de mai mare siguran a Internet-ului i a noilor tehnologii online; Directiva 2006/123/CE privind serviciile pe piaa intern (Directiva Servicii).
ISSAI 5310
Standardele Internaionale ale Instituiilor Supreme de Audit, ISSAI, sunt distribuite de ctre Organizaia Internaional a Instituiilor Supreme de Audit, INTOSAI. Informaii pe site: www.issai.org
INTOSAI
IN TO S A I P ro f es si o n al St a n d a rd s C o mm i tt ee
PSCSecretariat
Rigsrevisionen Landgreven 4 P.O. Box 9009 1022 Copenhagen K Denmark Tel.:+45 3392 8400 Fax:+45 3311 0415 E-mail: info@rigsrevisionen.dk
INTOSAI
INTOSAI General Secretariat RECHNUNGSHOF (Austrian Court of Audit) DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA AUSTRIA Tel.: ++43 (1) 711 71 Fax: ++43 (1) 718 09 69
INTOSAI
Emis de Commitetul de Audit pentru Prelucrarea Datelor Electronice Organizaia International a Instituiilor Supreme de Audit Octombrie 1995
Cuprins
Volumul 1: Prezentare.............................................................................................................. 6 1.1 1.2 1.3 1.4 1.5 1.6 1.7 Prezentare ......................................................................................................... 7 Ce este securitatea Sistemului Informatic ............................................................. 7 Cadrul de lucru pentru securitatea informaiei ....................................................... 8 Abordare pe dou niveluri a revizuirii SSI ............................................................. 9 Abordarea top-down pentru revizuirea securitii informaiilor ............................... 10 Metoda detaliat privind securitatea sistemului informatic .................................... 11 Cum se utilizeaz abordarea pe dou niveluri pentru revizuirea
sistemului informatic .................................................................................................... 12 1.8 1.9 Cnd i cum se utilizeaz abordarea revizuirii top-down ...................................... 13 Cnd i cum se pot folosi metodele de securitate a informaiilor detaliate .............. 13 O abordare top-down ..................................................................................... 15
Introducere ...................................................................................................... 16 Procesul de evaluare a securitii sistemelor informatice ..................................... 16 Evoluia managementului informaiei................................................................ 16 Managementul securitii ................................................................................. 17 Echipa de securitate ......................................................................................... 17 Procesul ........................................................................................................... 17
Evaluarea ameninrilor i a riscurilor .............................................................. 19 Evaluarea impactului asupra afacerii................................................................ 20 Estimarea expunerii securitii ........................................................................ 20
Rezumatul evalurilor securitii ........................................................................ 21 Decizii privind securitatea i aciuni recomandate ................................................ 22 Etapele evalurii securitii sistemelor informatice .............................................. 22
ANEXA A Evoluia managementului informaiei ........................................................... 25 ANEXA B Procesul de evaluare a securitii sistemelor informatice............................... 26 ANEXA C - Declaraia privind sensibilitatea informaiilor i clasificarea securitii .............. 27 ANEXA F Diagrama ratei expunerii ............................................................................ 32 ANEXA H - Ameninri de baz i msuri de securitate .................................................. 33 ANEXA I - Cteva definiii ............................................................................................ 66 Volumul 3: O metod detaliat de securitate a sistemului informatic .............................. 70 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 Prezentare ....................................................................................................... 71 Infrastructura.................................................................................................... 72 Limite .............................................................................................................. 73 Echipa ............................................................................................................. 73 Ameninri / Vulnerabiliti ................................................................................. 74 Evaluare .......................................................................................................... 75 Cerina de securitate......................................................................................... 77 Contramsuri ................................................................................................... 77 Administrarea securitii .................................................................................... 78
Volumul 1: Prezentare
1.1
Prezentare
Utilizatorii ar trebui s citeasc aceast prezentare nainte de a se referi la alte volume referitoare la ghidul metodologic de revizuire a Sistemului de Securitate a Informaiei (SSI), publicat de INTOSAI. Scopul acestei prezentri de ansamblu este de a explica modul n care aceast metodologie este organizat i n ce mprejurri poate fi folosit: Ghidul metodologic de evaluare a SSI se aplic la orice mediu (mainframe, microcalculator sau reeaua local de microcalculatoare). Ghidul metodologic de revizuire a SSI este, de asemenea, aplicabil oricrui mediu informatizat (calculator mare, microcalculator sau reea local de microcalculatoare).
Ghidul metodologic de revizuire a SSI propune o abordare pe dou niveluri. Nivelul 1 furnizeaz Instituiilor Supreme de Audit (ISA), o metod de a face o revizuire manual simpl a sistemului informatic, n special atunci cnd resursele sun t limitate sau nevoile de raportare nu cer altceva (Volumul 2). Nivelul 2 furnizeaz o metod mult mai sofisticat, bazat pe valoarea financiar a expunerilor asociate cu securitatea informaiei (Volumul 3). Obiectivul principal al acestui ghid este de a asista ISA care au un astfel de mandat pentru a revizui programele implementate de diferite organizaii guvernamentale, sub aspectul sistemului de securitate a informaiei. Acesta poate fi, de aseme nea, utilizat de ctre ISA pentru a stabili programe de securitate eficiente i cuprinztoare, care s acopere sistemele informatice cheie n propria organizaie (ISA). Acesta nu este un ghid detaliat de audit de securitate: este o descriere a unei abordri structurate pentru evaluarea i gestionarea riscurilor n sistemele informatice.
1.2
Obiectivul unui program de securitate a sistemului informatic este acela de a proteja informaia organizaiei, prin reducerea riscului de pierdere a confidenialitii, integritii i disponibilitii informaiilor la un nivel acceptabil. Un bun program de securitate a informaiilor implic dou elemente majore: analiza de risc i managementul riscurilor. n faza de analiz de risc, se realizeaz un inventar al tuturor sistemelor informatice. Pentru fiecare sistem, se stabilete valoarea acestuia n cadrul organizaiei i se determin gradul n care organizaia este expus riscului. Managementul riscurilor, pe de alt parte, implic selectarea controalelor i msurilor de securitate care reduc expunerea organizaiei la risc la un nivel acceptabil.
7
Pentru a fi eficace, eficient i pentru a reflecta acceptarea unor semnificaii comune, managementul riscurilor trebuie s se fac ntr-un cadru de securitate, caz n care msurile de securitate a informaiei sunt completate de msuri referitoare la calculatoare, personal, activitatea administrativ, precum i msuri privind securitatea fizic (a se vedea Figura 1). Managementul riscurilor devine o problem a conducerii de vrf. Trebuie asigurat un echilibru ntre valoarea informaiei n cadrul organizaiei, pe de o parte, i costul msurilor de securitate privind personalul, activitile administrative i tehnologice, pe de alt parte. Msurile de securitate puse n aplicare trebuie s fie mai puin costisitoare dect daunele poteniale cauzate de pierderea confidenialitii, integritii i disponibilitii informaiei. Multe metodologii formale de analiz de risc existente pe pia necesit expertiz tehnic n domeniul tehnologiei informaiei i al controalelor relevante, precum i n ceea ce privete disponibilitatea spectrului de ameninri specifice, care ar putea fi dincolo de cunoaterea din cadrul multor oficii de audit, cel puin la nceput. Obiectivul este de a const itui, de-a lungul timpului, expertiza necesar i resursele.
Sisteme informatice Hardware / Software Administrativ Personal (Resurse umane) Nivel fizic
1.3
Securitatea informaiei este un element al unei infrastructuri de securitate i, ca atare, nu trebuie s fie examinat individual. Trebuie s existe un cadru de politici de securitate care se ocup de toate aspectele legate de securitatea fizic, securitatea personalului i de securitatea informaiilor. Trebuie s existe roluri i responsabiliti clare pentru utilizatori, ofieri de
8
securitate i Comitetul de direcie pentru sisteme informatice. Un program de securitate a informaiilor ar trebui s includ toate aspectele legate de sensibilitatea informaiilor organizaiei, inclusiv confidenialitatea, integritatea i disponibilitatea. Trebuie s existe un program de contientizare privind securitatea, care s informeze ntreg personalul cu privire la riscurile posibile i la expuneri, precum i la responsabilitile care i revin n calitate de deintor al informaiilor organizaiei. Referindu-ne la Figura 1, securitatea informaiilor este un set de msuri implementate la urmtoarele niveluri: fizic, personal, administrativ, calculator (hardware i software) i la nivelul sistemului informatic. Acestea trebuie s funcioneze n mod integrat. Securitatea informaiilor presupune un bun control al managementului i al deficienelor la orice nivel pentru a preveni ameninarea securitii la celelalte niveluri. n cazul n care politicile de securitate pentru personal, de exemplu, nu sunt bine concepute i puse n aplicare, securitatea informaiilor ar putea deveni foarte costisitoare sau aproape imposibil de susinut. Pe de alt parte, msurile minime de la toate nivelurile ar trebui s asigure un nivel minim de protecie a informaiilor, cu condiia ca riscul de securitate s fie rezonabil i acceptat de ctre conducere. Exist, de asemenea, situaii n care msurile de securitate la un anumit nivel s poat compensa deficiene de securitate din alt zon. Criptarea, de exemplu, adaug un strat suplimentar de protecie pentru confidenialitatea datelor i integritate chiar i n cazurile n care msurile de securitate fizic, de personal sau administrative pot fi slabe. Criptarea rmne una dintre ultimele forme de aprare care poate ajuta la prevenirea breelor care afecteaz confidenialitatea sau integritatea. n planificarea securitii informaiilor, valoarea informaiei pentru management i volumul acestor informaii relativ la alte tipuri de informaii trebuie s fie echilibrat n raport cu limitrile securitii de baz ale mediului. n multe departamente guvernamentale, dac nu sunt cerine extreme pentru manipularea de informaii cu caracter secret deosebit, pe un laptop protejat n mod adecvat, informaiile ar trebui s fie pur i simplu create i transportate ntr-o alt manier. Pentru acele departamente, costurile i constrngerile controalelor de securitate corespunztoare i msurile nu pot fi acceptabile, avnd n vedere volumul mic de informaii care are nevoie de o astfel de protecie.
1.4
Ghidul introduce o abordare pe dou niveluri a revizuirii sistemului de securitate a informaiei1. Accentul se pune pe utilizarea simului comun pentru a echilibra continuu costul msurilor de securitate care urmeaz s fie incluse n sistem cu valoarea informaiei manipulate n acest sistem2.
Aceast abordare este rezultatul unui efort comun depus de NAO-UK (National Audit Office of the UK) i de Oficiul Auditorului General al Canadei.
1
Securitatea este n mare msur de natur preventiv, cum ar fi asigurarea auto. Chiar dac cei mai muli oameni nu a fost implicai niciodat ntr-un accident de masina grav, ei nc au asigurare auto. Beneficiile nu sunt niciodat pe deplin realizate pn cnd nu are loc un accident. Securitatea "este o cheltuial legitim i necesar serviciilor de gestionare a informaiilor, i guvernul ar trebui s ia n considerare att costul de punere n aplicare a controalelor ct i costul potenial de a nu face acest lucru. Costurile de securitate ar trebui s fie proporionale cu necesitatea, i incluse n costurile ciclului de via al oricrui sistem informatic". (Oficiul Auditorului General al Canadei, Raport anual, 1990, capitolul 9, auditul securitii informaiil or).
2
Avnd n vedere resursele limitate ale multor instituii supreme de audit, se propune ca ISA s utilizeaz nti o viziune top-down manual de management al securitii informaiei. ISA trebuie s treac la a doua faz, o analiz foarte detaliat care vizeaz o evaluare financiar a expunerii la risc a informaiei, numai n cazul n care managementul are nevoie de precizie financiar pentru a susine deciziile sale sau dac expunerile tehnice specifice sunt n curs de examinare. Ambele metode de includ elemente de analiz a riscurilor i de gestionare a riscurilor (a se vedea Figura 2).
Managementul riscurilor
Aceast abordare pe dou niveluri furnizeaz Instituiilor Supreme de Audit opiuni n alegerea metodologiilor i o cale de migrare treptat de la o metodologie mai puin sofisticat la una foarte formalizat i consumatoare de resurse.
1.5
Metoda top-down este simpl, dar complet i poate ajuta Instituiile Supreme de Audit s ajung la concluzii cu privire la expunerile sistemului de securitate a informaiilor n curs de revizuire. Este nevoie de o perspectiv de sus n jos, top-down, a securitii informaiilor deoarece aceasta reflect: perspectiva conducerii de vrf asupra informaiei n ceea ce privete valoarea acesteia pentru organizaie, riscurile i expunerile sistemului de securitate i recomandrile care ar trebui s fie fcute. Aceast abordare permite auditorilor s-i concentreze atenia asupra sistemelor informatice cheie, n special asupra celor care prezint preocupri speciale de securitate. Metoda top-down se bazeaz pe evaluri calitative de risc pentru ameninrile posibile i pentru impactul acestora, n cazul n care s-au manifestat. Accentul este pus pe estimarea valorii informaiei sau datelor manipulate de sistemul informatic pentru management , i nu att
10
de mult pe valoarea tehnologiei n sine3. Pentru fiecare sistem informatic, valoarea informaiilor pentru organizaie, ameninrile i posibilele efecte sunt evaluate mai nti individual, apoi global pentru a determina un grad global de expunere la risc. Aceste evaluri sunt subiective i, de obicei, sunt exprimate n termeni de risc ridicat, mediu sau sczut, impact i expunere. Pe baza acestor evaluri, se fac recomandri managementului, cu privire la aciunile care trebuie ntreprinse sau cu privire la tipurile controalelor specifice i la msurile de securitate care trebuie implementate. Aceste recomandri sunt o parte a managementului de risc. Metoda top-down are mai multe avantaje. Este uor i ieftin de folosit. Aceasta este o metod manual i poate fi utilizat n orice ISA de ctre personalul cu experien n materie de controale de management i de informaii i sisteme informatice n general. Resursele interne de personal pot fi suficiente, fr a fi nevoie de pachete software sofisticate pentru a colecta date cu privire la sistemele informatice revizuite, pentru a obine statistici actualizate pertinente i pentru a produce analize foarte sofisticate i rapoarte. De obicei, este suficient un pachet de prelucrare a textelor. Foile de calcul tabelar pot ajuta n producerea de tabele de sintez. Cei mai avansai pot dori s utilizeze pachete care exploateaz funcionalitatea bazei de date pentru a colecta informaii i s produc, ulterior, rapoartele de analiz. n abordarea pe dou niveluri propus, privind securitatea sistemului informatic, metoda topdown este vzut ca un punct de decizie n cadrul metodei de ansamblu. n funcie de circumstanele revizuirii, SAI-urile pot fi satisfcute de rezultatele revizuirii sau pot decide s continue revizuirea cu proceduri mult mai sofisticate, n domenii de interes special sau n cazul n care msurile de securitate foarte tehnice sau foarte costisitoare ar putea s necesite justificarea managementului.
1.6
privind
securitatea
sistemului
Metodologiile detaliate utilizate n nivelul al doilea al abordrii propuse Instituiilor Supreme de Audit, reprezint un tip bine cunoscut de analiz i management al riscurilor bazat pe o analiz detaliat i cantitativ a activelor aferente sistemului informatic. Acestea ncearc s msoare impactul financiar net al expunerilor de securitate i a contramsurilor puse n aplicare. Furnizori din ntreaga lume vnd diferite pachete de analiz a securitii care permit o astfel de abordare. Metode cantitative de analiz a securitii sunt, de obicei, puse la dispoziie mpreun cu un pachet software de care va beneficia auditorul la introducerea datelor, calcularea expunerilor de securitate i raportarea cu privire la proiect. Aceste pachete de management al riscurilor constituie un ajutor de specialitate din partea furnizorilor si un suport de instruire pentru utilizatorii metodei.
Spre deosebire de metoda top-down, metodologiile detaliate, utilizate n al doilea nivel al abordrii propuse de acest ghid, cuantific ntr -o manier foarte detaliat ameninrile la adresa platformei de calculatoare pe care se execut sistemele informatice.
3
11
Volumul 3 descrie o versiune manual a unei metode detaliate de securitate a informaiei 4. Obiectivul este de a oferi SAI-urilor o imagine de ansamblu a unei metode care este cea mai utilizat i are ca suport un pachet de programe software. n contrast cu abordarea top-down, analiza cantitativ a securitii are ca scop evaluarea n termeni financiari, ntr-un mod foarte detaliat i structurat, a tuturor activelor i a tuturor ameninrilor posibile, precum i impactul acestora asupra sistemelor informatice implementate de ctre o organizaie. Prin interviuri i chestionare, sunt evaluate de ctre utilizatori posibilele efecte asupra informaiilor i clasificate pe o scal de la unu la zece, n funcie de gravitatea lor. n continuare, ateptrile privind pierderile anuale sunt calculate prin combinarea costurilor de nlocuire a activelor, a probabilitilor ameninrilor i a factorilor de ponderare a impactului. Cele mai multe dintre metodele de pe pia sunt n natur pe dou niveluri i variaz de la una la alta n concordan cu modul n care au fost obinute probabilitile, costurile i pierderile anuale cumulate anticipate. Alte diferene pot fi uurina n utilizarea metodei i tipul de suport oferit de ctre vnztor. Acestea sunt unele dintre problemele pe care aceast abordare pe dou niveluri ncearc s le abordeze. Utilizarea unor metode cantitative de analiz i de management ale riscurilor impune ca tabelele statisticilor riscurilor i costurile activelor s fie modificate n acord cu circumstanele specifice fiecrei ri.
1.7
Planificare. Planificarea revizuirii securitii este cheia succesului aciunii. Aceasta ar trebui s acopere urmtoarele elemente principale: Cunoaterea clientului i a mediului informatizat; Domeniul care face obiectul revizuirii: care sunt sistemele informatice, care sunt limitele logice, fizice sau geografice; Resurse disponibile: personal calificat sau consultani, bugete, termene; Disponibilitatea unor statistici fiabile privind ameninrile i a unor date referitoare la costuri, adecvate pentru condiiile locale; adaptarea valorilor implicite, dac este necesar; Cerinele de raportare: destinatarii raportului, contextul revizuirii (raportul anual, rapoartele speciale de uz intern/ extern etc), tipul recomandrilor necesare; Metoda de revizuire: abordarea top-down (de sus n jos), analize detaliate sau o combinaie a celor dou.
12
1.8
Abordarea top-down este metoda preferat utilizat pentru revizuire, deoarece satisface nevoile i capacitile multor instituii supreme de audit. Volumul 2 conine o descriere a metodei, inclusiv finalizarea pas cu pas a revizuirii securitii. O serie de formulare este prezentat n anexe. Formularele pot fi utilizate n form tiprit sau pe un calculator5. Cele mai importante formulare sunt Declaraia privind sensibilitatea informaiilor i clasificarea securitii (Anexa C), precum i formularul Impactul asupra afacerii i evaluarea ameninrilor (Anexa E). n funcie de circumstanele de revizuire a securitii, versiunile pe suport de hrtie ale acestor formulare pot fi completate de ctre proprietarii / utilizatorii de sisteme informatice n curs de revizuire i semnate de un funcionar desemnat de conducere. Acestea se constituie n documentaia permanent de evaluare a securitii pentru aceste sisteme. Disponibilitatea formularelor electronice simplific i uureaz adaptarea acestora la nevoile locale. Alte formulare, n cea mai mare parte foile de calcul, sunt folosite pentru a sintetiza rezultatele pentru mai multe sisteme informatice, pe un format centralizator.
1.9
Exist circumstane n care se impun revizuiri ale securitii informaiei mult mai detaliate i mai cuantificate. Acest lucru se va ntmpla n cazul n care instituiile supreme de audit dispun de resursele bugetare, tehnice i de personal necesare pentru a desfura analize detaliate sau n cazul n care cerinele de raportare dicteaz acest mod de abordare. nainte de a ncerca utilizarea unei metode de securitate a informaiilor detaliate, se recomand ca ISA s acorde o atenie deosebit urmtoarelor aspecte: Disponibilitatea expertizei sau accesul uor la expertiza din domeniul tehnologiei informaiei i al securitii informaiei; Disponibilitatea unei metodologii adecvate; Disponibilitatea unui pachet software suport bun: metodele de risc cantitative sunt foarte cuprinztoare i implic metodologii detaliate, care impun utilizarea unui calculator; pe de alt parte, pachetul software suport introduce, de obicei, complexitate inerent, care transform revizuirea detaliat a securitii ntr-o sarcin extrem de dificil; Bugetele pentru adaptarea sau personalizarea pachetului pentru mediul supus revizuirii: cteva luni de efort nu constituie o exagerare; Bugetele pentru instruire, avnd n vedere curba de nvare care poate fi destul de abrupt i costisitoare, mai ales n cazul n care trebuie s fie utilizai consultanii; Resurse financiare i de timp: revizuirile de securitate detaliate sau de amploare tind s fie de lung durat i consumatoare de resurse, i, Nevoia pentru o astfel de revizuire detaliat: exist o argumentaie care s susin c revizuirile detaliate, cantitative de securitate nu pot fi justificate pentru sistemele
Formularele sunt disponibile n format electronic i pot fi uor importate ntr-un mediu Windows.
13
informatice comerciale sau guvernamentale care nu sunt nici complexe, nici extrem de sensibile. Instituii supreme de audit, cum ar fi Oficiul Naional de Audit din Marea Britanie i Oficiul de Audit din Noua Zeeland au deja o lung experien n dezvoltarea i utilizarea metodelor de gestionare a riscurilor de securitate detaliate. Celelalte instituii supreme de audit pot dori s se consulte cu acestea nainte de a merge n aceast direcie. Pentru a utiliza aceste metode n mod eficient, instituiile supreme de audit trebuie s aib acces la personal calificat sau consultani n domeniul tehnologiei informaiei i n conceptele de securitate a informaiilor. La nivel mondial, sunt comercializate de ctre o serie de firme de consultan, pachete comerciale de gestionare a riscurilor, mpreun cu instruirea aferent n utilizarea metodologiei de baz. Exist mai multe pachete bine cunoscute de management al riscurilor. CRAMM, de exemplu, a fost dezvoltat pentru guvernul britanic, iar acum este comercializat ntreaga lume, prin diverse firme de consultan. n S.U.A., RiskWatch este un pachet bine cunoscut care utilizeaz un software de tip sistem expert pentru a efectua analiza i managementul riscurilor. Departamentul de Energie al SUA a dezvoltat pachetul Los Alamos Vulnerability Assessment (LAVA). Noua Zeeland are n curs de dezvoltare programul CATALYST, ntr-un mediu Windows, pentru a rspunde propriilor nevoi de analiz a securitii. Selecia unui astfel de pachet poate fi o chestiune de disponibilitate local, cost, suport tehnic dup cumprare, resurse necesare pentru personalizare la condiiile locale. Costul unuia dintre aceste pachete comerciale pentru o instituie suprem de audit este de aproximativ 6000 sau 10.000 USD. Acesta poate include, de asemenea, instruirea pentru una sau dou persoane. n toate cazurile, instituia suprem de audit trebuie s se asigure c statisticile de baz utilizate de ctre pachetul selectat sunt adecvate pentru condiiile locale. n alte cazuri, rezultatele ar putea reflecta condiiile existente numai n Europa sau n America de Nord.
14
Volumul 2
O abordare top-down Declaraia privind sensibilitatea informaiilor i clasificarea securitii pentru sistemele informatice
15
2.1
Introducere
Scopul acestui ghid este de a furniza o metodologie eficient pentru a asista n revizuirea sau n stabilirea unor politici i msuri de securitate adecvate n cadrul unei organizaii. Recunoscnd c cerinele de securitate trebuie s fie actualizate n mod regulat, ghidul furnizeaz, de asemenea, o documentaie simpl privind actualizarea i de raportarea. Ghidul descrie evaluarea securitii informatice din perspectiva managementului ntr-o organizaie guvernamental6. Organizaiile pot utiliza acest ghid pentru a fi asistate la elaborarea unui "inventar" de aplicaii informatice utilizate, la evaluarea sensibilitii i clasificrii securitii informaiilor i la finalizarea evalurii impactului riscurilor ameninrilor asupra afacerii. Persoana nsrcinat cu securitatea7 utilizeaza acest ghid ca o baz pentru evaluarea general a politicii i msurilor de securitate i pentru a face recomandri. Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a crea un proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a ajuta la revizuirea procesului de evaluare a securitii n alte organizaii guvernamentale. Acest ghid conine o abordare top-down la nivel nalt pentru securitatea informaiilor. Accentul se pune pe informaia transmis de diverse dispozitive electronice. n conformitate cu aceast abordare la nivel nalt, acest ghid calific ameninrile generate de cauze generale n locul rezultatelor acestora, cum ar fi cutremurele n loc de distrugerea pe care o pot aduce. O abordare bottom-up (de jos n sus) a securitii informaiilor, pe de alt parte, tinde s examineze fiecare activ de tip calculator pentru a detecta slbiciunile care pot crea expuneri avnd ca efect pierderile de informaii generate sau transportate de ctre aceste active. Avantajul folosirii abordrii top-down este acela c ajut managementul s se focalizeze i s se concentreze pe zonele cu probleme pentru aciunile viitoare. n unele cazuri, aceasta poate indica nevoia de munc suplimentar pentru a construi un studiu de fezabilitate pentru msurile de securitate extinse sau costisitoare. Deoarece metoda are ntotdeauna o viziune corporativ sau de management al securitii informaiilor, ea rmne flexibil i se poate ocupa att de probleme de politic, ct i de msuri de securitate.
2.2
2.2.1
n managementul informaiilor i aplicaiilor, o organizaie parcurge patru etape distincte: (a) managementul documentelor pe hrtie, (b) managementul tehnologiilor automatizate, (c) managementul resurselor informaionale ale companiei i (d) managementul utilizrii
n acest document organizaie se refer la orice departament sau agenie guvernamental sau de stat. "Aplicaie informatic" i "sistem informatic" sunt folosite alternativ.
6 7
A se vedea Anexa I pentru mai multe detalii privind infrastructura de securitate tipic pentru organizaiile guvernamentale.
16
strategice a informaiei (Anexa A). Provocrile induse de tehnologie i de securitate sunt minimizarea timpului i efortului cheltuite n fiecare etap i trecerea prin etape, ct mai bine posibil. n etapa de management al tehnologiilor automatizate, utilizatorii nu au ncredere n mod semnificativ n aplicaiile de pe calculator, dar ating o eficien notabil. La a treia etap, managementul resurselor informaionale ale organizaiei, securitatea informaiei devine o preocupare major din cauza dependenei semnificative de informaiile bazate pe calculator i a expunerilor generate de concentrarea informaiilor ntr-un singur loc (pe calculator).
2.2.2
Managementul securitii
Una dintre resursele cheie ale organizaiei este informaia. Primul pas pentru a pstra resursele de calcul n condiii de siguran este adoptarea unor politici i msuri de management al informaiei i administrativ care cuprind principiile unui bun management securitate: 1. Protecia/asigurarea securitii ar trebui s fie conform cu valoarea informaiilor care trebuie protejate; 2. Protecia securitii ar trebui s fie asigurat informaiilor ori de cte ori acestea sunt transmise pe diverse canale sau prelucrate; i 3. Protecia securitii ar trebui s fie continu, n toate situaiile.
2.2.3
Echipa de securitate
Sub conducerea persoanei responsabile cu securitatea calculatoarelor, este selectat o echip de securitate. Angajamentul deplin al conducerii este important n cazul n care echipa se angajeaz n realizarea obiectivelor sale. Responsabilitatea echipei este de a pune n aplicare politica de securitate stabilit de conducerea de nivel superior i de a identifica schimbrile care sunt necesare datorit evoluiilor n sistemele informatice ale organizaiei sau ameninrilor cu care se confrunt.
2.2.4
Procesul
Politicile de securitate sunt proiectate pentru a proteja informaiile n conformitate cu expunerile informaiilor. Msurile de securitate (standarde, proceduri, i instrumente) sunt baraje pentru protejarea informaiilor. Pentru a determina care sunt msurile specifice necesare, se desfoar procesul de evaluare a securitii sistemelor informatice (Anexa B), care implic: Declaraia de sensibilitate Evaluarea senzitivitii programului i aplicaiilor administrative (sisteme informatice) utilizate i determinarea clasificrii securitii n cadrul organizaiei. Confirmarea evalurii standardului organizaiei pentru aplicaii similare i, dup caz, completarea sau actualizarea unui formular Declaraia privind sensibilitatea informaiilor i clasificarea securitii (Anexa C). n cazul n care se dorete, recuperarea situaiilor de sensibilitate individuale n formularul Descriere sumar a sistemelor informatice (Anexa D).
17
Evaluarea impactului asupra afacerii Determinarea impacturilor posibile ale afacerii asupra organizaiei n cazul n care au fost dezvluite informaii, a fost compromis integritatea sau au fost perturbate servicii.
Evaluarea ameninrilor i a riscului Determinarea riscului i a probabilitii cu care ameninrile identificate ar putea s apar.
Clasificarea gradului de expunere a securitii Evaluarea intercorelat a ameninrilor i a impactului asupra afacerii pentru a determina expunerea global a organizaiei. Confirmarea evalurii standardului de securitate al organizaiei pentru aplicaii similare i, atunci cnd este cazul, confirmarea sau actualizarea formularului Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E).
Decizia privind securitatea i aciuni recomandate Completarea sau actualizarea formularului Rezumatul evalurilor securitii (Anexa G). Luarea deciziilor privind securitatea i formularea de recomandri pentru management, pentru a minimiza expunerile identificate i sublinierea tuturor deficienelor grave referitoare la politica de securitate.
2.3
Este important s se stabileasc un "inventar" complet al tuturor operaiunilor i aplicaiilor administrative (grupate sau specifice), aflate n uz i s se stabileasc n mod clar limitele sistemului/ sistemelor n curs de revizuire. Anexa I ofer o definiie a unei aplicaii. Din motive de securitate, aplicaii similare pot fi grupate mpreun, cum ar fi: procesare de text pentru scrisori, procesare de text pentru memorandum-uri de audit, foaie de calcul pentru analiza financiar, foaie de lucru tabelar pentru planificare etc. Aplicaiile sunt deinute de un grup sau de un individ. n cazul n care exist puine interaciuni ntre aplicaii, utilizatorii ieirilor din sistem pot fi uor de identificat. n sistemele puternic integrate, trebuie s fie convenit o grani artificial agreat de toate prile, inclusiv de managementul de vrf. Un grup poate solicita membrilor s completeze o Declaraie privind sensibilitatea informaiilor i clasificarea securitii (Anexa C), n vederea stabilirii un "inventar" al aplicaiilor utilizate i pentru a colecta datele necesare pentru consolidarea aplicaiilor similare. Este important ca formularul s fie revizuit i aprobat de ctre un manager principal al grupului. Aceasta ofer
18
asigurarea c toate evalurile reflect valoarea real a sistemului informatic pentru organizaie, ca ntreg. Prin completarea formularului Declaraia privind sensibilitatea informaiilor i clasificarea securitii (Anexa C), proprietarul evalueaz sensibilitatea informaii din punctul de vedere al disponibilitii, integritii i confidenialitii, estimeaz costurile de nlocuire i oportunitatea acestora, costurile directe i indirecte (ore, un curs mediu al dolarului i cheltuielile), i stabilete clasificarea securitii cerut. Formularul Declaraia privind sensibilitatea informaiilor i clasificarea securitii reprezint o documentare formal a evalurii. Formularul este, de asemenea, util pentru a documenta controalele specifice de integritate i procedurile (completitudinea, acurateea i autorizarea). Acesta ar trebui s fie pstrat ca document permanent i actualizat, dup cum este necesar. Acolo unde este cazul, i o dat finalizate, declaraiile individuale de sensibilitate sunt recuperate de conducerea de la nivelul grupului sau de la nivelul organizaiei ntr-o Descriere sumar a sistemelor informatice (Anexa D). Aceasta furnizeaz managementului o imagine de ansamblu asupra sistemelor aflate n responsabilitatea sa i asupra valorii informaiilor pe care acestea le vehiculeaz.
2.4
Formularul Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E) prevede o evaluare structurat a expunerilor de securitate la nivelului organizaiei. Evaluarea are trei componente distincte: riscul (probabilitatea) apariiei ameninrii, gradul de gravitate a impactului asupra afacerii i o rat de evaluare a expunerii. Primele dou componente sunt independente una de cealalt i pot fi evaluate n orice ordine. Impactul asupra afacerii i ameninrile sunt apoi evaluate mpreun pentru a ajunge la un grad (rating) global de expunere a securitii organizaiei.
2.4.1
Ameninri. Ce s-ar putea ntmpla. Ameninrile posibile sunt enumerate n Anexa E. O list mai detaliat, mpreun cu sugestiile pentru msuri de contracarare, este, de asemenea, disponibil n Anexa H. Anchetele privind securitatea raporteaz c peste 80% dintre ameninrile experimentate pe informaiile din calculator provin din interiorul organizaiei, defalcat dup cum urmeaz: 24% ca urmare a neateniei n aplicarea procedurilor, 26% din cauza instruirii neadecvate, iar 30% din cauza angajailor necinstii. Ar trebui s se acorde grij condiiilor locale, n cazul n care natura i importana ameninrii pot diferi considerabil de la o ar la alta. n unele cazuri, acest lucru poate nsemna o concentrare mai mare pe anumite tipuri de ameninri, definind n continuare unele dintre ameninri i contramsurile de adaptare la condiiile locale. Probabilitatea de apariie. anse ca ameninarea s se produc n viitor. Deoarece anumite ameninri i riscuri pot fi comune n ntreaga organizaie, ar trebui efectuat o evaluare general de ctre persoana responsabil cu securitatea sistemelor informatice i utilizat ca un
19
criteriu pentru evalurile individuale. Persoanele care efectueaz evaluri individuale trebuie s se concentreze doar asupra riscurilor care sunt relevante sau care ar putea fi diferite din cauza unor circumstane speciale. Pentru fiecare sistem informatic, ansa de apariie a ameninrilor individuale este evaluat ca fiind mare (major), medie sau mic (sczut). Dup ce toate ameninrile posibile asupra aplicaiei respective au fost identificate i evaluate, se face o judecat de valoare asupra riscului global. Pentru un sistem informatic dat, riscul global nu este rezultatul unei formule care amplific numrul ratelor de evaluri mari i sczute. O singur rat major a evalurii ntr-un domeniu critic poate conduce la o rat ridicat de ansamblu. Pe de alt parte, mai multe rate majore ale evalurii n zonele non-critice pot produce o rat global mediu spre sczut.
2.4.2
Deciziile de afaceri trebuie s fie fcute n raport cu valoarea informaiei. Pentru scopuri de securitate, aceste valori ale afacerii sunt exprimate ca impact asupra organizaiei n cazul n care informaiile au fost dezvluite, integritatea acestora a fost compromis sau a existat o ntrerupere de servicii. Impacturile posibile asupra afacerii sunt enumerate n Anexa E. n funcie de condiiile locale, pot fi determinate impacturi adiionale asupra afacerii. Pentru fiecare impact asupra afacerii, se iau decizii presupunnd c, n cazul n care a avut loc, consecinele ar fi foarte grave, grave sau mai puin grave. Sunt evaluate numai acele impacturi asupra afacerii legate de informaii. Dup ce au fost evaluate toate impacturile posibile, se face o evaluare global pentru aplicaii. Fiecare dintre aceste evaluri reprezint o judecat de valoare subiectiv a severitii fiecrui impact individual asupra organizaiei ca ntreg. n mod similar, dup evaluarea impacturilor individuale asupra organizaiei n cazul n care informaiile au fost divulgate, compromise sau devin indisponibile, se face evaluarea unui impact global de afaceri, dar nu pe baza unui cumul exact al acestor impacturi individuale, ci pe baza unei judeci de valoare a efectului de ansamblu asupra organizaiei. Aceste judeci de valoare sunt construite prin consens ntre diferitele pri interesate cheie. Pentru a fi acceptabile, este important ca evalurile de impact asupra afacerii i riscurile asociate ameninrilor s fie revizuite periodic i aprobate de conducerea executiv a grupului organizaional i de ctre persoana responsabil de securitatea calculatoarelor.
2.4.3
O evaluare a expunerii securitii este rezultatul combinrii dintre estimarea riscului ameninrii globale sau a probabilitii (mare, mediu, sczut), i estimarea impactului global asupra afacerii (foarte grav, grav, sau mai puin grav). Diagrama ratei expunerii, Anexa F, este folosit ca un ghid pentru clasificarea expunerilor ca mari medii, i sczute. Primul pas este de a evalua expunerea total pentru aplicaii ca un ntreg, n formularul Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E). n unele cazuri, pentru o evaluare general de ansamblu a riscurilor ameninrilor (coloana vertical), dar cu un impact general redus asupra afacerii (linia orizontal), Diagrama ratei
20
expunerii ar trebui s ne determine mai nti, s selectm cifra "4" ca intersecie. Acest lucru se traduce ntr-o rat medie de expunere. A se vedea legenda din Diagrama ratei expunerii pentru a observa cum clasificarea expunerii poate fi regrupat n rate de expunere sczute, medii sau ridicate. Ca un al doilea pas i pentru a identifica pentru care riscuri ale ameninrilor i impacturi asupra afacerii ar putea s fie direcionate aciunile managementului, se calculeaz o rat de expunere pentru aceste impacturi de afaceri care au fost evaluate. Acest lucru se face prin utilizarea Diagramei ratei expunerii, pentru a combina impactul individual al ratei de afaceri cu riscul de ansamblu identificat al ameninrii. Numerele obinute din Diagrama ratei expunerii sunt afiate pe liniile impactului relevant, n zona evalurii expunerii din Formularul E. Pentru claritate, numerele sunt afiate n coloanele Max, Med sau Low (maxim, mediu, sczut) corespunztoare. Ratele individuale de expunere la securitate medii sau ridicate ar putea deveni obiectul recomandrilor ctre conducere cu privire la reevaluarea impactului asupra afacerii sau la reducerea riscului de ameninare global, astfel nct s se reduc expunerea la securitate a organizaiei. Aceast evaluare constituie legtura dintre expunerile la securitate i deciziile i aciunile necesare privind securitatea.
2.5
Formularul Rezumatul evalurilor securitii (Anexa G) consolideaz informaii colectate i evaluate pe baza formularelor Declaraia privind sensibilitatea Informaiilor i clasificarea securitii (Anexa C), precum i Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E). Se elaboreaz rezumate pe grupuri separate pentru operaiunile de livrare a programelor i activitile administrative. Att formularele ct i rezumatele trebuie s fie pstrate ca documente de lucru i actualizate n mod regulat. Acestea ar trebui s fie revizuite i aprobate de ctre conducerea executiv adecvat. Rezumatele ofer managementului securitii o imagine de ansamblu a aplicaiilor aflate n utilizare. Pe baza acestor rezumate, mpreun cu evalurile aplicaiilor", persoana responsabil de securitatea sistemelor informatice evalueaz expunerile la securitate a organizaiei i recomand aciunile necesare pentru a minimiza expunerile identificate. Avnd n vedere natura schimbtoare a tehnologiei, procesul de revizuire a riscurilor poate evidenia, de asemenea, politici de securitate care nu mai sunt adecvate. Toate deficienele grave ale politicii sunt aduse la cunotina managementului de vrf, n raportul final, mpreun cu alte recomandri. n cazul n care, pentru un anumit program sau sistem informatic, rezultatele indic necesitatea unor recomandri mai precise, poate fi propus o revizuire mai detaliat, cu utilizarea unei analize cantitative mai profunde pentru a determina ce msuri de securitate sunt necesare sau pentru a evalua alternativele posibile. Pentru evaluarea securitii i n scopul planificrii prioritilor, evaluarea ameninrilor i nivelurilor de risc, a impactului asupra afacerii dac ameninarea a avut loc, i n cele din urm, evaluarea de ansamblu a expunerii organizaiei sunt foarte utile n stabilirea unor planuri de securitate pe termen lung, acceptabile.
21
2.6
Pentru fiecare evaluare a expunerii (formularul Evaluarea ameninrilor i a impactului asupra afacerii), se formuleaz o decizie de securitate i o recomandare de aciune pentru management. Relaia dintre o expunere o decizie de securitate i o aciune recomandat este descris n tabelul urmtor.
Nivel de expunere NALT (9,8,7) Decizia de securitate Controlul riscului Aciune recomandat Implementarea de politici i msuri adiionale (standarde, proceduri, instrumente) Implementarea de politici i msuri adiionale Schimbarea / mbuntirea procedurilor operaionale Schimbarea / mbuntirea procedurilor operaionale Obinerea unei acoperiri asiguratorii Fr schimbri / continuarea potrivit planificrii
MEDIU (6,5,4)
SCZUT (3,2,1)
n cazul n care trebuie s fie recomandate msuri specifice, Anexa H ofer o list cuprinztoare de aciuni care ar putea fi ntreprinse. Utilizat mpreun cu raionamentul profesional din punctul de vedere al costurilor, lista poate oferi baza pentru recomandarea controalelor specifice i a msurilor de securitate. Dup revizuirea de ctre persoana responsabil cu securitatea sistemelor informatice, raportului de securitate i recomandrile sunt transmise conducerii superioare prin intermediul comitetului director al sistemelor informatice pentru a ntreprinde aciuni.
2.7
Paii unei evaluri a securitii sistemelor informatice - sensibilitatea informaiilor i clasificarea securitii, evaluarea impactului asupra afacerii, evaluarea riscurilor i a ameninrilor, evaluarea expunerii securitii i decizia privind securitatea / aciunile recomandate - sunt prezentai n Anexa B. Etapele sunt:
22
1. Pentru aplicaiile proprii, fiecare grup organizaional evalueaz informaiile sale referitoare la sensibilitate i clasificarea securitii, sau, alternativ, confirm coninutul Declaraiei privind sensibilitatea informaiilor i clasificarea securitii i, dac este cazul, actualizeaz formularul, incluznd aprobarea corespunztoare. Anexa C Anexa D Declaraia privind sensibilitatea Informaiilor i clasificarea securitii Formular8 Descriere sumar a Sistemelor Informatice - Foaie de calcul
2. Pentru aplicatiile proprii, grupul organizaional evalueaz impactul asupra afacerii, precum i ameninrile i riscurile, sau, alternativ, confirm coninutul formularului Evaluarea ameninrilor i a impactului asupra afacerii i, dac este cazul, actualizeaz formularul, incluznd aprobarea corespunztoare.. Anexa E Anexa F Evaluarea ameninrilor i a impactului asupra afacerii - Foaie de calcul Diagrama ratei expunerii
3. Grupul organizaional pregtete un rezumat al evalurilor securitii aplicaiilor utilizate, n formatul furnizat. Anexa G Rezumatul evalurilor securitii - Foaie de calcul
4. Grupul organizaional trimite persoanei responsabile cu securitatea sistemelor informatice, pentru revizuire, o copie a rezumatului i cele dou formulare i, dac este cazul, se ntlnete cu persoana responsabil cu securitatea sistemelor informatice pentru a finaliza evaluarea securitii. Anexa G Anexa C Rezumatul evalurilor securitii - Foaie de calcul Declaraia privind sensibilitatea informaiilor i clasificarea securitii Formular
Dei dezvoltate ca foi de calcul, aceste formulare pot fi uor utilizate pe suport de hrtie.
23
Anexa E
5. Rezumatul este aprobat de ctre persoana responsabil cu securitatea calculatoarelor i, dup caz, rezumatul este examinat i aprobat de ctre directorul de securitate. Anexa G Rezumatul evalurilor securitii - Foaie de calcul
6. Rezumatul final este examinat i aprobat de ctre responsabilul executiv principal al grupului organizaional. Anexa G Rezumatul evalurilor securitii - Foaie de calcul
7. Persoana responsabil cu securitatea sistemelor informatice ia, dac este cazul, deciziile de securitate i ntreprinde aciunile recomandate managementului pentru a minimiza expunerea / expunerile identificat / identificate i raporteaz ofierului ef de securitate.
24
Stadiul 3
Stadiul 2
Eficien
25
Declaraia de senzitivitate
Evaluarea expunerii
Aciunea recomandat
Actualizare periodic
Fluxul procesului
26
Introducere Acest document poate fi utilizat n form tiprit sau ca un document Word, n funcie de circumstanele locale. n revizuirea top-down a securitii sistemelor informatice, acest document este utilizat n faza de analiz de risc, pentru a documenta sistemele informatice. Se completeaz un document per sistem.
Aplicaie :_______________________________________________ Data: _____________ (gruparea de aplicaii similare este acceptabil) Declaraie nou ___________________ Declaraie Modificat ____________________ Mediu informatizat: Micro _________ Mini _________ Calculatoare mari _____ Birou de service ________ Software utilizat: __________________________________________________________ 1. Numele filialei i, dac este cazul responsabilul Grupului pentru informaii (de exemplu, proprietarul) Filial: ________________________________________ Grup: ______________________ 2. n cazul n care aplicaiile au fost grupate, se va sri peste ntrebarea "Nr. total de tranzacii. n cazul n care este aplicabil, furnizai o descriere general a aplicaiei, incluznd sursa informaiilor, volumul i complexitatea prelucrrilor.
27
Surse volume de informaii Clieni sau beneficiari externi ________________ Program / Operaii ________________
Numr total. de tranzacii sau valoarea financiar a tranzaciilor _________________ Mrime fiier ________________ Numr de nregistrri ________________
Administrare ________________
3. Indicai scopul principal i orice alte scopuri secundare ale informaiei: Servicii pentru public _____________________ Funcie administrativ ______________ Luarea deciziilor ________________________ Funcie financiar _________________
4. Indicai utilizatorii primari i secundari ai informaiilor: Program _____ Administrator _____ Guvern _____ Public _____ Alii _____
5. Exist proceduri manuale i informatizate utilizate nainte, n timpul sau dup prelucrare pentru a asigura exhaustivitatea i exactitatea informaiilor? (INTEGRITATE)
28
Manuale Da / Nu
Informatizate Da / Nu
6. Care ar fi consecinele n cazul n care informaiile au fost divulgate accidental sau n mod deliberat? (CONFIDENIALITATE) Divulgare, pierdere sau deteriorare 1. Sentiment de culpabilitate fa de organizaie 2. Pierderea credibilitii pentru organizaie 3. Compromiterea informaiilor confideniale ale organizaiei 4. Compromiterea informaiilor clientului sau ale unei tere pri 5. Compromiterea informaiilor personale 6. Compromiterea informaiilor de interes naional Da / Nu
7. Care ar fi consecinele n cazul n care informaiile au fost modificate i / sau distruse accidental sau n mod deliberat? (DISPONIBILITATE, INTEGRITATE)
Divulgare, pierdere sau deteriorare Divulgare / Integritatea Informaiei 1. Sentiment de culpabilitate fa de organizaie 2. Pierderea credibilitii pentru organizaie
Da / Nu
Divulgare, pierdere sau deteriorare ntreruperea serviciilor 1. Plata cu ntrziere a facturilor / salariilor 2. Incapacitatea de a colecta venituri
Da / Nu
29
3. Compromiterea informaiilor confideniale ale organizaiei 4. Compromiterea informaiilor clientului sau ale unei tere pri 5. Compromiterea informaiilor personale 6. Compromiterea informaiilor de interes naional 7. Implicaii juridice / rspunderea pentru daune compensatorii i punitive
3. Perturbarea serviciilor ctre guvern 4. Perturbarea serviciilor ctre public 5. Perturbarea serviciilor interne
Exist proceduri de urgen pentru a asigura recuperarea informaiilor? (DISPONIBILITATE, INTEGRITATE) Proceduri de recuperare Back-up Stocare n alt locaie Alte metode Da / Nu Necunoscut Comentarii
8. Care este perioada de recuperare maxim pe care organizaia o poate tolera pentru indisponibilitatea aplicaiei sau a serviciului (n cazul n care este limitat pentru anumite perioade, indicai)? (DISPONIBILITATE) Ore ______ Zile _______ Saptamni ________ Luni ________ Comentariu: 9. Indicai gradul de sensibilitate a informaiilor (5: foarte critic; 4: critic; 3: sensibil; 2: oarecum sensibil; 1: non sensibil Disponibilitate ____________ Integritate ___________ Confidenialitate __________
30
10. Estimai costurile de oportunitate a nlocuirii informaiilor, att directe, ct i indirecte (ore, cheltuieli) Costuri de nlocuire Directe (timpul consumat cu restaurarea / recuperarea informaiilor, hardware i software) Indirecte (de exemplu, ntrzierile cauzate de alte sarcini, alte pri implicate n procesul de recuperare, oportuniti pierdute din cauza pierderii informaiilor etc.) Ore Cheltuieli
11. Indicai clasificarea / desemnarea securitii informaiei pentru pentru aceast aplicaie / sistem informatic:
% informaii _______________________Standarde de securitate de baz (neprecizate) _______________________Protejate (desemnate) _______________________Clasificate 100% ________________________________
Completat de: ____________________ Filiala / Grup: _________________ Informaii proprietar (de exemplu, directorul executiv) aprobat de __________ Data: _________ Grup de securitate aprobat de _____________________ Data: _________
31
Foarte grav 9 7 5
Grav 8 6 2
Rata expunerii:
Mare (9,8,7)
Medie (6,5,4)
Sczut (3,2,1)
32
Acest document ofer o list de ameninri i de contramsuri defalcate pe categorii de active. Aa cum a fost prezentat n seciunile anterioare, aceste ameninri corespund de multe ori unor vulnerabiliti. Contramsurile sunt controalele sau msurile de securitate care pot fi folosite pentru a corecta sau a minimiza slbiciunile de securitate. n text, menionarea aciunilor disciplinare ca o posibil contramsur de descurajare a aciunii necorespunztoare a personalului ar trebui s fie vzut ntr-un context mai larg. Msurile disciplinare ar trebui s fie avute n vedere sau utilizate numai atunci cnd alte msuri cum ar fi cele de sensibilizare i de formare nu au reuit s previn aciuni inacceptabile sau comportamentale. Soluii bune de securitate sunt cele pe care personalul le accept cu uurin. La sfritul listei a fost inclus un index pentru toate activele sau termenii pentru care au fost prezentate ameninrile i contramsurile. n text, pentru fiecare activ, au fost asignate urmtoarele semnificaii: T = Amenintare C = Contramsur (control sau msur de securitate)
33
Cuprins (ANEXA H)
Pagina
Hardware
Comunicaii Linii telefonice Porturi de intrare / ieire Modemuri Pot electronic Buletin electronic informativ Serviciul potal Cablajul reelei Calculatoare Terminale Microcalculatoare Staii de lucru fr disc Servere de fiiere Minicalculatoare i calculatoare mari Dispozitive de intrare Scanere Dispozitive de ieire Generale Burster Enveloper Imprimant cu laser Imprimant de impact Plotter Cozi de ieire Monitor pentru afiaj vizual Fotocopiator Main de scris Medii de memorare Fiiere de hrtie Medii magnetice amovibile Medii magnetice fixe Medii optice amovibile Medii optice fixe Microfilm / microfi
37 37 37 37 37 38 38 38 39 39 39 40 41 41 41 42 42 42 42 42 43 43 43 43 44 44 44 44 44 44 44 45 46 46 47
34
Resurse umane
Personal propriu General Personal cheie Personal pentru introducere date Personal pentru interogri Personal pentru manipularea ieirilor Programatori Analiti Personal pentru asigurarea suportului tehnic Programatori de sistem Personal pentru controlul schimbrilor Bibliotecar pentru mediile de stocare Personal pentru controlul accesului logic Personal pentru controlul accesului fizic Auditori Proprietarii datelor Utilizatorii datelor Custozi ai datelor Personal contractual Personal de ntreinere Consultani Persoane externe Vizitatori Intrui
47 47 47 48 48 48 48 49 49 50 50 51 51 51 51 51 52 52 52 53 53 53 53 53 54 54
Bunuri fizice
Cldiri Locaia / Sediul Camere cheie Introducere date / actualizare Prelucrare Imprimare Stocare Interogare Comunicaii Operarea aplicaiilor sistemului n mediul de producie Dezvoltarea aplicaiilor Funcii de sistem Instalaii Papetrie Gtitul i fumatul Papetrie valoroas Documentaie Software Hardware Proceduri
54 54 55 55 55 56 56 56 57 57 58 58 58 58 59 59 59 59 59 60 35
Planul de urgen Planurile etajelor Diagramele de cablare Dicionarul de date Mediu Aer condiionat Putere electric Ap Iluminat Hrtie Suporturi magnetice de Medii optice Papetrie
60 60 60 61 61 61 61 61 62 62 62 62 62 62
Deeuri
INDEX ALFABETIC
63
36
Hardware Comunicaii Linii telefonice T C T C Liniile telefonice pot fi tiate sau distruse. Configurarea unor linii alternative pentru conexiunile cheie. Liniile telefonice pot fi interceptate. Folosii linii private atunci cnd este posibil. Evitai rutarea liniilor cheie prin zone publice. Luai n considerare conducte sigilate pentru cabluri. Asigurai acele cablurile care ies din cladire prin subteran. Evitati s facei vizibile cablurile de date prin rutare separat sau etichetare Dac vei eticheta liniile telefonice, etichetai-le pe toate i nu doar liniile de comunicaii cheie. Luai n considerare criptarea pentru transmiterea informaiilor sensibile. Dac vei utiliza criptarea, luai n considerare urmtoarele: Criptai att cheile ct i datele. Folosii un algoritm de criptare care respect standardele industriale. Luai n considerare utilizarea cheilor de tip "o dat" pentru a limita posibilitatea de a afla orice cheie. Folosii chei avnd 6 caractere sau mai mult care s nu fie de tip cuvnt.
Porturi de intrare / ieire T C Controlul asupra funciilor este compromis prin schimbarea conexiunilor portului. Pstrai dulapurile cu conexiune n zone sigure n cazul n care v bazai pe funcii de restricionare pentru terminale conectate la anumite porturi.
Modemuri T C Modemurile pot fi utilizate pentru a obine accesul neautorizat la sistem. n general, nu ataai modemuri pentru a linii de tip dialin. Dac exist o nevoie de facilitatea dialin, asigurai accesul numai la un site central care este protejat prin firewall. Restricionai apelantul la aplicaiile foarte specifice, printr-un mediu de protecie. Furnizai apelantului sesiuni "terminal" i nu sesiuni "gazd" sau sesiuni de acces de la distan, deoarece acestea pot oferi accesul deschis la informaiile sensibile din microcalculator sau din reea. Luai n considerare utilizarea criptrii pentru transferul i stocarea datelor sensibile. Caracteristicile call-back sunt de obicei prea restrictive pentru auditori care sunt n mod constant n micare n mediu i pot provoca probleme administrative.
37
T C
Modemurile pot fi utilizate pentru transferul neautorizat de informaii n afara organizaiei. Pstrai numrul de modem-uri la un nivel minim, monitorizai folosirea liniilor pentru care modemurile sunt ataate, dezactivai liniile de modem n afara orelor de program.
Pota electronic T C Pota electronic poate fi utilizat pentru transferul neautorizat de informaii n afara organizaiei. Pstrai copii ale tuturor mesajelor de pot electronic trimise i pstrai nregistrrile aferente expeditorului i destinatarului. Nu facei verificri la faa locului cu privire la coninutul mesajelor de pot electronic. Folosii programe de cutare pentru a gsi cuvinte cheie n pota electronic Facei verificri ncruciate privind expeditorii i destinatarii pentru a stabili orice model suspect. [Avertisment: n unele ri, cenzurarea potei electronice poate fi ilegal sau poate face obiectul legislaiei speciale]. Buletin electronic informativ T C Buletinul electronic informativ poate fi utilizat ca un mijloc de a transmite informaii n afara organizaiei. Routai toate conexiunile la Buletinul electronic informativ printr-un punct central. Utilizai cititoare off-line pentru a extrage mesajele i rspunsurile la acestea. Acest lucru v va permite s monitorizai traficul la i de la Buletinul electronic informativ n acelai mod ca n cazul potei electronice. Software-ul ru intenionat coninnd virui sau troieni poate fi primit de la Buletinul electronic informativ. Toate cererile pentru descrcarea de fiiere de pe Buletinul electronic informativ ar trebui s fie dirijate printr-o unitate central de specialitate. Fiierele descrcate ar trebui s fie verificate cu atenie pentru detectarea viruilor etc
T C
Serviciul Potal T C Software ru intenionat a fost gsit pe discuri trimise prin pot. Introducerea unei proceduri care s instituie o sanciune disciplinar pentru cei care utilizeaz un disc nainte ca aceasta s fi fost testat de ctre personalul care asigur suportul tehnic. Serviciul potal poate fi folosit pentru a transmite informaii din organizaia dumneavoastr. nregistrai documentele i discurile care conin informaii sensibile i implementai proceduri pentru a controla copierea acestora.
T C
38
Cablajul reelei T C Cablurile de reea pot fi exploatate pentru a fura informaii sau pentru a introduce mesaje ilicite. Nu dirijai traseul cablurilor de reea prin zonele accesibile publicului. Luai n considerare utilizarea de conducte de cablu blocate. Examinai ntotdeauna lungimile de cablu, care au fost meninute de ingineri. Luai n considerare utilizarea criptrii pentru anumite pri din reea care transport informaii sensibile. Reelele pot fi vulnerabile la eec n cazul n care o seciune a cablrii acestora este rupt. Proiectai reeaua pentru a minimiza impactul eecului oricrei lungimi de cablu. Luai n considerare duplicarea cablrii pentru legturile cheie.
T C
Calculatoare Terminale T C Accesul neautorizat la date poate fi obinut de la tastatura unui microcalculator sau de la orice terminal dintr-o reea. Sistemul de operare i software-ul de aplicaie ar trebui s utilizeze identificarea i autentificarea pentru a se asigura c cererile de acces provin de la persoane fizice autorizate. Toate aciunile care ar putea avea un efect semnificativ asupra afacerii ar trebui s fac obiectul conectrii. Combinaia dintre identificare, autentificare i logare constituie baza pentru stabilirea rspunderii. n cazul n care parolele sunt utilizate pentru autentificare acestea ar trebui s aib o lungime de 6 sau mai multe caractere i ar trebui s nu se reconstituie n cuvinte din dicionar. Pentru a evita alegerea de parole triviale sau duplicat, este cel mai bine ca parolele s fie generate de calculator. Dac vei utiliza parole generate de calculator, este important ca acestea s fie pronunabile, astfel nct oamenii s i le poat aminti fr a le scrie. ncercai s utilizai o parol unic pentru fiecare individ n cazul n care este posibil. Mai multe parole sunt mai greu de reinut i poate determina oamenii s le scrie, fapt care constituie o bre a securitii. Parolele ar trebui s fie schimbate n mod regulat. Cu ct funciile pentru care parolele ofer acces sunt mai critice, cu att, parolele pentru acestea ar trebui s fie schimbate mai des. Pentru tranzaciile cheie, ar putea fi justificat utilizarea parolelor numai o dat. Motivul pentru schimbarea frecvent a parolelor / cheilor de criptare este acela de a reduce daunele care ar putea fi cauzate de ctre o persoan neautorizat care a gsit o parol. Un terminal care este lsat conectat la un sistem este o invitaie pentru cineva de a se substitui n operatorul care a fost conectat. Procedurile ar trebui s considere ca fiind o abatere disciplinar prsirea un terminal deblocat, conectat i nesupravegheat. Sistemul de operare / aplicaiile software ar trebui s deconecteze terminalele dup o scurt perioad de inactivitate sau s le blocheze automat, astfel nct orice activitate ulterioar s necesite reintrarea cu identificare i detalii de autentificare.
39
T C
T C
Datele cu caracter critic pot fi modificate prin orice conexiune local sau prin modem la sistemul informatic. Controalele de identificare i de autentificare contribuie ntr-o oarecare msur la reducerea riscului de modificri neautorizate ale datelor critice. Modificrile datelor cheie ar trebui s fie supuse confirmrii unui supraveghetor, n plus fa de controalele normale.
Microcalculatoare T C Microcalculatoarele sunt uor de furat. Marcai toate microcalculatoare i perifericele astfel nct codurile de identificare s nu poat fi terse. Pstrai un inventar al tuturor microcalculatoarelor i verificai-l n mod ciclic. Cumprai microcalculatoare cu un dispozitiv de blocare care dezactiveaz tastatura i previne violarea accesului. Introducei un sistem de logare la calculatoare n interiorul i din exteriorul cldirii. Agenii de paz trebuie s fie instruii s fac verificri la faa locului pentru a se asigura c personalul nu transport calculatoare, periferice sau consumabile din incinta organizaiei, fr autorizaie. Poziionai microcalculatoarele astfel nct acestea s nu fie vizibile din zonele publice. Microcalculatoarele pot deveni indisponibile din cauza pierderii cheilor acestora. Pstrai una dintre cheile de la fiecare microcalculator intr-un cabinet ncuiat, n zona de suport tehnic. Microcalculatoarele sunt deosebit de sensibile la software ru intenionat, cum ar fi virui i troieni, deoarece utilizatorul poate copia uor programele de pe calculator, folosind dischete. Software-ul ru intenionat poate fi, de asemenea, introdus accidental de pe dischete provenind din medii necontrolate, i de la medii de distribuie, cum ar fi distribuitori de software nregistrat pe CD-ROM. Implementai proceduri care s considere infraciune disciplinar folosirea oricrui program de pe un calculator, nainte ca acesta s fi fost testat de ctre personalul care asigur suport tehnic. Efectuai salvarea frecvent a datelor critice i a software-ului esenial. Personalul care asigur suport tehnic ar trebui s in evidena software-ului autorizat pentru utilizare pe fiecare staie de lucru i s efectueze controale inopinate la faa locului pentru a se asigura c personalul nu folosete software neautorizat. Luai msuri de precauie speciale pentru CD-ROM, deoarece acestea pot fi infectate de virus, la fel ca orice alte mijloace media, dar nu pot fi curate. Microcalculatoarele nu sunt, n general, rezistente la cderi. Elaborai i testai planuri de urgen pentru a face fa lipsei oricrui microcalculator care susine funciile critice.
T C T
T C
40
T C
Microcalculatoarele sunt utilizate i ntreinute de ctre utilizatori, mai degrab dect de personal de specialitate. Rezultatul este c nevoia de salvare i de securitate este adesea trecut cu vederea. Cumprai benzi de volum mare pentru calculatoarele utilizate, pentru a stoca volume mari de informaii volatile. Implementai proceduri de sensibilizare i organizai cursuri de formare pentru a contientiza personalul n legtur cu necesitatea copiilor de siguran, cu manipularea corect a echipamentelor i cu regulile privind securitatea. Microcalculatoarele pot fi folosite pentru a introduce software ilicit n reea, deoarece acestea au unitate de dischete. Permitei transferul fiierelor n reea numai n cazul n care aceasta este esenial. Facei imposibil transferul fiierelor "executabile". Implementai proceduri care s considere infraciune disciplinar pentru utilizatori, transferul de programe ctre sau din reea. Utilizai staii de lucru fr uniti de dischete, cu excepia cazului n care dischetele sunt eseniale.
T C
Staii de lucru fr disc T C Staiile de lucru pot fi mutate. Dac sistemul dvs. de control al accesului se bazeaz pe restricionarea funcii lor la terminale particulare, atunci va trebui s implementai proceduri care s interzic utilizatorilor s mute mainile din locurile unde au fost amplasate. Altfel, exist riscul ca un terminal s fi mutat dintr-o zon de siguran ntr-o zon mai puin sigur.
Servere de fiiere T C Calculatorul poate cdea, fcnd sistemul indisponibil. Implementarea procedurilor de backup i a unei strategii de recuperare n eventualitatea eecului unui server de fiiere. Trei exemplare ale copiei backup ar trebui s fie pstrate n interiorul locaiei n care funcioneaz sistemul i un exemplar, n afara locaiei. Natura i frecvena efecturii copiilor de backup va varia n funcie de caracterul critic al aplicaiilor susinute de serverul de fiiere. n multe cazuri, norma este de efectuare sptmnal a unui backup complet i de efectuare zilnic a backupurilor incrementale. Backup-uri automate se poate face n afara orelor de program, efectuarea backup-urilor complete fiind la fel de uoar ca i a celor incrementale. Dublarea memoriei de stocare i de prelucrare poate fi necesar pentru serverele de fiiere care suporta aplicaii critice.
Minicalculatoare i calculatoare mari T C Cderea calculatoarelor poate afecta mai muli utilizatori. Stabilirea i de testarea unei strategii de backup. Luai n considerare dublarea capacitii de depozitare i prelucrare pentru aplicaii cheie.
Dispozitive de intrare
41
Scanere T C Imaginile scanate ale documentelor sensibile pot rmne stocate n unitile de scaner partajate. Sfritul unei sesiuni de scanare prin scanarea unei pagini goale sau a unui document care nu este sensibil. Utilizatorii ar trebui s fie familiarizai cu funciile software -ului de scanare. tergerea fiierelor temporare create n timpul proc esului de scanare, de exemplu, fiierele de pe hard disk care au fost copiate pe o dischet.
Dispozitive de ieire Generale T C Dispozitivele de ieire pot radia semnale electromagnetice care pot fi decodificate de la distan. Parcarea interzis a vehiculelor n zonele adiacente camerelor folosite pentru producia de date sensibile. Luai n considerare necesitatea unui echipament de tip "furtun fonic". Luai n considerare instalarea de generatoare de zgomot alb pentru a masca semnalele de la echipamentele folosite pentru producia de material e sensibile. Dac dispozitivele de ieire sunt vizibile dintr-o zona public, atunci informaiile pot fi divulgate. Evitati poziionarea dispozitivelor de ieire, astfel nct personalul neautorizat / din exterior s nu poat citi ieirile.
T C
Burster9 T C Papetria (hrtia) stricat poate fi utilizat pentru un ctig financiar sau ca mijloc de a transmite informaii sensibile la exterior. Introducei un sistem de eviden pentru papetria sensibil. Exemplarele deteriorate ar trebui s fie semnate de ctre supervizor i trimise pentru distrugere / evacuare securizat. Bursterul conine multe piese n micare care sunt predispuse la deteriorare. Asigurai-v c bursterele sunt ntreinute n mod regulat. Stabilii proceduri alternative pentru aplicaiile critice care urmeaz s fie susinute ntrun alt mod dac un anumit burster nu mai funcioneaz.
T C
Burster dispozitiv care rupe o hrtie continu de imprimant n pagini individuale (separator de hrtie continu cu perforaii laterale)
42
Enveloper10 T C Enveloper-ul trebuie s fie setat la nceputul fiecrei execuii. Exist riscul ca papetria deteriorat s poat fi folosit pentru ctiguri financiare sau pentru a transmite informaii ctre exterior. Introducei un sistem de eviden pentru papetria sensibil. Ieirile stricate ar trebui s fi semnate de ctre un supervizor i mrunite. Cererile pentru duplicarea ieirilor stricate ar trebui s fie semnate de ctre supervizor.
Imprimanta cu laser T C T C Ieirea pe imprimanta cu laser poate fi deteriorat n cazul n care ansamblul nu funcioneaz corect. Introducerea de controale regulate de ieire pentru a se asigura c tonerul i hrtia sunt disponibile. Imprimantele laser pot fi setate pentru a imprima copii duplicat. Acest lucru poate fi nedorit n cazul n care informaia de ieire este sensibil. Asigurai-v c software-ul stabilete numrul de exemplare nainte de tiprirea fiecrei pagini.
Imprimanta de impact T C Plotter T C Plotterele pot produce informaii care induc n eroare n cazul n care peniele sunt uzate, lipsesc sau sunt ncrcate incorect. Asigurai-v c este desemnat personalul responsabil pentru punerea n funciune i meninerea plotterelor. Personalul desemnat trebuie s fie responsabil pentru controlul calitii produciei. Riboanele (panglicile) pot pstra imaginea caracterelor care au fost tiparite. Trimitei panglicile utilizate la aplicaii sensibile, la dispozitive de incinerare.
Cozi de ieire T C n reelele locale i n mediile cu minicalculatoare, procesul de imprimare a documentelor sensibile poate rmne n cozile de ieire, dintr-o varietate de motive. n cazul imprimrilor ntrerupte sau incomplete, asigurai-v c a fost tears coada de imprimare.
10
43
Monitor pentru afiaj vizual T C Monitoarele nesupravegheate pot dezvlui informaii sensibile pentru perso nalul neautorizat sau din exterior. Introducerea procedurilor de albire a ecranelor atunci cnd acestea nu sunt n uz. Personalul ar trebui, de asemenea, s blocheze tastatura atunci cnd se prsete staia de lucru. Unele produse software combin funciile de albire a ecranelor i de blocare a tastaturii.
Fotocopiator T C Fotocopiatoarele constituie un mijloc simplu pentru personalul intern sau pentru cei interesai din afar, s poat face copii neautorizate ale informaiilor sensibile. Introducei proceduri care s considere drept o abatere disciplinar copierea fr autorizare a ieirilor sensibile. Limitai numrul i locaia copiatoarelor ocazionale, astfel nct s poat fi monitorizat utilizarea. Ele nu ar trebui s fie situate n zonele n care sunt deinute informaii sensibile. Acestea ar trebuie s fie plasate ntr-o zon unde orice persoan care utilizeaz copiatorul s fie vizibil pentru restul personalului.
Main de scris T C Panglicile pentru mainile de scris pot reine o imagine a ceea ce a fost scris. Folosii numai maini de scris desemnate pentru materiale sensibile i trimitei panglicile pentru incinerare.
Medii de memorare Fiiere pe hrtie (dosare) T C T C Dosarele pot fi arse sau distruse de ap. Pstrai copii ale documentelor eseniale n dulapuri protejate de foc / ap i / sau n afara locaiei. Fiierele de hrtie pot fi utilizate pentru a sustrage informaii sensibile. Dosarele care conin informaii sensibile trebuie s fie nregistrate. Fiierele sensibile ar trebui s fie copiate numai de ctre personalul autorizat, ntr-o zon securizat. Implementai proceduri care consider drept o abatere disciplinar copierea neautorizat a fiierelor sensibile.
Medii magnetice amovibile T C Suporturile magnetice pot fi folosite pentru a transfera volume mari de date n afara organizaiei. Utilizai suporturi magnetice care poart sigla companiei. Implementai proceduri pentru toate mediile magnetice care urmeaz s fie introduse n /i /sau scoase n afara locaiei. Manipularea si depozitarea benzilor, dischetelor i hard-discurilor trebuie s fie supus unor proceduri similare cu cele referitoare la documentele pe hrtie.
44
Implementai proceduri care s considere infraciune disciplinar sustragerea de suporturi magnetice din locaie sau introducerea de suporturi magnetice n locaie, fr autorizaie. T C Dischetele sunt unul dintre mediile principalele de transmitere a viruilor de la un calculator la altul. Verificai, toate mediile magnetice formatate, la intrarea n locaie, dac sunt virusate. Verificai n mod deosebit discurile introduse n locaie de ingineri i studeni. Toate discurile care sunt verificate ar trebui s aib o etichet ataat cu sigla companiei i semntura celui care a efectuat testarea i data. Implementai proceduri care s considere drept infraciune disciplinar pentru personal utilizarea de dischete care nu au fost testate. Discurile floppy utilizate pstreaz informaiile chiar i atunci cnd fiierele sunt terse sau discurile reformatate. Dac dischetele sau cartuele de band sunt folosite pentru a stoca informaii sensibile, atunci ele ar trebui s fie marcate corespunztor i trata te ca un fiier nregistrat pe hrtie. Mediile magnetice, care au fost folosite pentru a stoca informaii sensibile ar trebui s fie "demagnetizate" / terse n condiii de securitate, nainte de a fi folosite pentru alte lucrri. Dac mediile magnetice se deterioreaz n timp ce depoziteaz date sensibile, atunci ele ar trebui s fie tratate ca deeuri confideniale i mrunite sau arse.
T C
Medii magnetice fixe T C Hard discurile pot conine cantiti foarte mari de informaii. Este uor s uitm c exist printre acestea i fiiere sensibile. Cnd un hard disk este folosit prima dat avnd destinaia de a conine informaii sensibile, acesta ar trebui s fie nregistrat. Acesta nu ar trebui s fie scos din registrul cu informaii sensibile pn cnd nu a fost inspectat de ctre un membru al personalului care asigur suport tehnic. Toate fiierele coninnd informaii sensibile trebuie s fie terse n condiii de securitate. Controlul accesului la microcalculatoare este mult mai puin riguros dect pentru un sistem n reea. Dac hard discurile microcalculatorului sunt folosite pentru a stoca informaii sensibile, exist un risc considerabil de modificare sau dezvluire neautorizat. Blocai microcalculatoarele atunci cnd acestea nu sunt n uz. Meninei nivelul de securitate al locaiei pentru a restriciona accesul la camerele n care sunt instalate microcalculatoarele. Luai n considerare instalarea pachetelor de control al accesului i al pachetelor de criptare a datelor pe calculatoarele folosite pentru a stoca informaii deosebit de sensibile. Luai n considerare utilizarea discurilor schimbabile, care pot fi nchise atunci cnd calculatorul nu este n uz.
C T C
Dac un hard disk care deine informaii sensibile se defecteaz, atunci ar trebui s fie distrus, n cazul n care nu poate fi ters n condiii de securitate. Discurile fixe se defecteaz. n cazul n care acestea stocheaz cantiti mari de date volatile, pierderile pot fi foarte serioase. Salvarea unui hard disk mare pe floppy disk-uri este att de consumatoare de timp, nct este puin probabil care personalul s o fac n mod regulat. Banda de backup de mare capacitate face copia rapid i uor. Instalai benzi de mare capacitate (tape streamer) pe calculatoarele care conin un volum mare de informaii volatile pe hard diskuri. Benzile de backup ar trebui s fie realizate n trei exemplare. Cel puin o copie de rezerv ar trebui s fie pstrat n afara locaiei. Aceasta ar trebui s fie rennoit ciclic. Benzile de backup ar trebui s fie stocate n siguran i marcate ca necesitnd condiii de securitate speciale, pentru a reflecta coninutul lor.
Medii optice amovibile T C T C Discurile optice sunt uor de ascuns i pot deine cantiti foarte mari de informaii. Discurile optice care dein informaii sensibile trebuie s fie numerotate n serie i nregistrate. Singura modalitate sigur de a le distruge este incinerarea. Pierderea parial sau total a datelor pe discuri optice poate aprea dac oricare suprafa a discului este zgriat Toate discurile optice ar trebui s fie manipulate cu grij extrem pentru a preveni zgrieturile care pot afecta calitatea de reflexie a discului i pot "ascunde" o mare parte a datelor. n cazul n care tabelul de alocare a fiierelor discului este afectat, discul ntreg poate deveni imposibil de citit.
Medii optice fixe T C T C Discurile optice conin un volum mare de informaii i de multe ori nu pot fi terse. Dac un disc optic se deterioreaz, acesta ar trebui s fie distrus. Volumele mari de date coninute pe discuri optice pot pune probleme pentru backup. Cu excepia cazurilor n care discurile optice dein date critice care nu se mai regsesc n alt parte, ele nu trebuie s fie duplicate sau salvate. Discurile optice dein, de obicei, informaii statice, cum ar fi materiale de referin sau programe software care sunt deja duplicate sau exist pe copiile de siguran. Dac nu acesta este cazul, iar informaia este critic, pot fi obinute duplicate sau informaiile pot fi puse pe discuri optice reinscriptibile. Copiile pot fi, de asemenea, fcute pe band, n mod obinuit. Sistemele moderne de backup pe band pot oferi acum backup-uri de ncredere de ordinul gigabyte. Strategiile normale de back-up se aplic pentru exemplarul stocat n alt locaie.
46
Microfilm / microfi T C Filmul i fia pot fi uor distruse de incendiu i pot fi pierdute sau furate. Nu v bazai niciodat pe o singur copie de film / fi a datelor cheie. Pstrai copiile arhivei ntr-o locaie la distan. Tratai fia / filmul n acelai mod cu fiierele nregistrate. Pstrai-le stocate n siguran i nregistrai data, ora i numele operatorului pentru cazul n care ar aprea probleme.
Resurse umane Personal propriu General T C Personalul poate fi necinstit sau poate fi supus antajului. Cnd personal nou ader la organizaie, facei investigaii de rutin pentru a se asigura c locurile anterioare de munc i istoria educaional pot fi verificate. Personalul cu acces la informaii cheie ar trebui s fie investigat mai bine, pentru a stabili orice antecedente penale sau sociale care ar putea favoriza situaiile n care o anumit persoan ar putea s fie necinstit sau s constituie obiect de antaj. Acordai o atenie deosebit istoricului financiar, implicrii n organizaii subversive, circumstanelor familiale, istoriei psihologice, precum i oricror dovezi privind abuzul de droguri / dependena. Verificrile ar trebui s fie repetate la intervale regulate. Programele de sensibilizare n domeniul securitii ar trebui s sublinieze necesitatea ca personalul s fie vigilent i s pun accent pe avantajul solicitrii sprijinului pentru el nsui sau pentru alii. Separarea inadecvat a responsabilitilor creeaz compromisul cu privire la orice individ care poate deveni mai vulnerabil, poate ispiti personalul s devin necinstit i poate duce la niveluri ridicate de eroare ale datelor de intrare / actualizare. Asigurai-v c exist o separare adecvat a sarcinilor ntre personalul responsabil pentru autorizare, introducere de date, chitane, facturi de plat, custodie a instrumentelor financiare, personalul de audit, analiti de sistem, programatori, personalul de control al schimbrii, personalul de control al accesului i bibliotecarii de informaii. Este mult mai probabil ca personalul s fac erori sau s-i depeasc limitele de autoritate n cazul n care rspunderea este inadecvat. Asigurai-v c sistemele dumneavoastr de informaii furnizeaz suficiente restricii pentru identificare, autentificare i logare pentru a putea fi stabilit rspunderea. Instruirea neadecvat n ceea ce privete procedurile operaionale i de urgen este o surs important de erori i disfuncionaliti de sistem. Asigurai-v c toate persoanele care se ocup cu sistemele informatice beneficiaz de formare suficient n domeniul procedurilor operaionale i de urgen, pentru a ndeplini cerinele impuse de responsabilitile i obligaiile care le revin.
47
T C
T C T C
T C
Persoanele aflate n poziie de autoritate pot transfera subordonailor sarcinile referitoare la autorizarea tranzaciilor n mediul informatizat, n condiiile n care acestea nu ar putea face acest lucru ntr-un sistem manual. Stabilirea schemelor adecvate de autorizare pentru documentele electronice. mbuntirea mediului de controale generale cu programe de educaie i de sensibilizare care mbuntesc contientizarea, implicarea managementului i supervizarea.
Personal cheie T C Personalul cheie, care joac un rol important datorit funciilor sau aptitudinilor speciale pe care le deine, poate absenta pentru o perioad lung de timp. Luai n considerare alocarea unui personal alternativ sau de rezerv pentru a nlocui personalului cheie n caz de nevoie.
Personal pentru introducere date T C Datele pot fi terse, modificate sau create incorect. Software-ul ar trebui s includ controale de validare pentru toate domeniile cheie, verificri privind identificarea i autentificarea. Luai n considerare introducerea autorizrii i verificarea pe loturi acolo unde este posibil.
Personal pentru interogri T C Orice persoan care a obinut drepturi de a efectua o interogare n cadrul sistemului ar putea deveni o surs de dezvluire neautorizat a informaiilor. Stabilirea rspunderii i supravegherea sunt principalele mijloace de aprare mpotriva divulgrii neautorizate. Sistemul poate ajuta prin marcare a n mod clar a ieirilor imprimate cu marcaje de confidenialitate corespunztoare i asigurarea faptului c acestea sunt direcionate printr-o seciune de control al ieirii care poate conecta orice ieire sensibil. Persoanele fizice ar trebui s aib drepturi de acces minime, n conformitate cu locurile proprii de munc. Orice ncercri de acces euate ar trebui s fie nregistrate i investigate de audit ul intern. n cazul n care verificarea total (100%) este impracticabil, ar trebui s fie selectat un eantion statistic pentru a garanta c testarea este distribuit uniform n timp. Auditul intern sau echipa de audit al sistemului informatic ar trebui s efectueze verificrile.
Personal pentru manipularea ieirilor T C Exist riscul ca personalul care manipuleaz ieirile din calculator s copieze ieirea,, s le piard sau s le dirijeze ctre personalul neautorizat / extern. Toate ieirile sensibile ar trebui s fie dirijate prin seciuni independente de manipulare a ieirilor, iar personalul implicat n manipularea ieirilor ar trebui s nu aib acces la copiatoare i nici dreptul s iniieze ieiri. Rolul unic al acestora ar trebui s fie acela de a nregistra producerea de ieiri sensibile i de a le dirija ctre destinatarul corect.
48
Programatori
T C
Programatorii ar putea compromite controalele sistemelor informatice din mediul de producie. Programatorii nu ar trebui s aib acces la sistemele informatice din mediul de producie. Personalului implicat n controlul schimbrilor ar trebui s fie responsabil pentru copierea de software nou din mediul de dezvoltare n sistemele informatice din mediul de producie. Programatorii ar putea introduce funcii contrafcute n software-ul lor, cum ar fi alterri ale timpului sau alterri logice. Programarea trebuie s fie modularizat. Fiecare component ar trebui s fie supus unei evaluri pentru a se asigura protecia mpotriva introducerii de funcii neintenionate prin proiect. Programele pot compromite integritatea sau disponibilitatea sistemelor informatice n cazul n care nu sunt testate temeinic. Toate programele trebuie s fie supuse verificrilor unitii de testare pentru a se asigura c rezultatul ateptat la ieire provine din intrrile validate. Testarea ar trebui s fie ntreprins de personal independent de programator i ar trebui s fie n mod oficial documentat ca parte a procedurilor de control al calitii. Odat ce o component a fost testat, programatorul ar trebui s nu mai aib acces la ea. Programele prost documentate pot fi dificil de meninut, ceea ce poate compromite integritatea sau disponibilitatea sistemelor informatice asociate. Documentaia ar trebui s fie inclus n procedurile de control al calitii. Nici o component n-ar trebui s fi treac controlul schimbrii pn cnd documentaia aferent nu este complet. Disponibilitatea sistemelor informatice ar putea fi compromis dac instruciunile de utilizare nu sunt n pas cu programele instalate n mediul de producie. Finalizarea modificrilor documentaiei de utilizare ar trebui s fie o condiie necesar pentru copierea unei componente noi n mediul de producie.
T C
T C
T C
T C Analiti T C
Disponibilitatea i integritatea pot fi compromise n cazul n care analitii fac erori de proiectare. Documentaia de proiectare ar trebui s includ specificaii care sunt inteligibile pentru clieni. Clienii ar trebui s fie obligai s semneze fiecare etap n procesul de proiectare. Prototipurile pot constitui un mijloc util de confirmare a cerinelor clientului, nainte de trecerea la proiectarea funcional complet. Analitii au o perspectiv mai larg privind interaciunea sistemelor informa tice dect programatorii. Exist riscul ca ei s exploateze nelegerea lor asupra sistemului i s eludeze controalele. Analistii nu ar trebui s aib acces la scrierea codului surs. Ei nu ar trebui s aib acces la compilatoare sau asambloare care le-ar permite s dezvolte propriile aplicaii.
49
T C
Analitii ar trebui s nu aib nici o autoritate de a iniia sau de a autoriza tranzaciile sensibile. Personal pentru asigurarea suportului tehnic T C Personalul care asigur suportul tehnic acioneaz n calitate de custozi ai informaiilor care aparin altora. Exist un risc ca acesta s poat iniia schimbri ale informaiilor sau ale programelor sau s produc ieiri neautorizate. Personalul care asigur suportul tehnic nu ar trebui s aib acces la compilatoare sau asambloare care le-ar permite s dezvolte propriile programe. Acetia ar trebui s nu aib acces la codul surs al sistemelor informatice aflate n mediul de producie. De multe ori, vnztorii de sisteme de operare furnizeaz faciliti puternice de dezvoltare, pentru modificarea n mod direct a programelor sau a datelor. Cerei informaii de la furnizori despre facilitile care pot fi utilizate pentru a eluda controalele de sistem i stocai-le offline. Utilizarea acestor faciliti ale sistemului ar trebui s solicite introducerea unei parole cunoscute numai de persoane autorizate. Bibliotecarul pentru mediile de stocare ar trebui s ia not de ocaziile cnd sunt emise utilitile restricionate. Toate utilizrile facilitilor restricionate ar trebui s fie nregistrate n jurnalul de operaii al sistemului (log) i personalul de audit intern / al sistemului ar trebui s revizuiasc jurnalele pstrate de supervizorul operaiilor i de bibliotecarul pentru mediile de stocare. Dac pachetul de control al accesului sistemului de operare este suficient de sofisticat pentru a impune accesul, copierea i executarea controalelor asupra facilitilor menionate, atunci acest mecanism poate fi preferat, mai degrab dect pstrarea offline a facilitilor. n cazul n care aceast soluie este adoptat, personalul de audit intern / de sisteme ar trebui s revizuiasc drepturile de acces la intervale regulate i s insiste ca utilizatorii privilegiai s aib parole proprii i s le schimbe frecvent. Parolele folosite pentru accesul la facilitile de modificare restricionate ar trebui s fie schimbate permanent.
Programatori de sistem T Programatorii de sistem sunt responsabili pentru meninerea mediului n care funcioneaz sistemul de operare. Aceasta va include sistemul de operare i, adiional, poate include software-ul de management de reea, sistemele de management al bazelor de date, software-ul de procesare a tranzaciilor i software-ul de management al stocrii. Activitatea programatorilor de sistem este de multe ori prost neleas, ceea ce ar putea duce la un control slab asupra activitilor lor. Programatori i de sistem ar putea distruge n mod deliberat sau accidental ntregul sistem. Programatorii de sistem nu ar trebui s aib acces la codul surs sau la structurile de date al sistemelor din mediul de producie. Ei nu ar trebui s aib acces la compilatoare sau asambloare n mediul de producie. Software-ul de control al accesului ar trebui s limiteze programatorii de sistem la fiierele pentru care au un motiv legitim de a le schimba. Toate activitile programatorilor de sistem ar trebui s fie nregistrate n jurnalul de operaii al sistemului (log). Programatorii de sistem nu ar trebui s aib acces la software-ul de control al accesului sau la fiierele de date.
50
Toate modificrile la software-ul sistemului de operare ar trebui s fie ntreprinse ntr-un mediu de dezvoltare i ar trebui s fie supuse unei revizuiri. n cazuri rare, cnd schimbrile de urgen trebuie s fie fcute fr un control de calitate formal, procesul de revizuire ar trebui s aib loc dup eveniment.
.
Personal pentru controlul schimbrilor T Personalul pentru controlul schimbrilor este responsabil pentru copierea programelor i a datelor din mediul de dezvoltare n mediul de producie. Exist un risc c acesta ar putea accesa abuziv mediul de producie, prin alterarea programelor sau a datelor din sistem. Personalul pentru controlul schimbrilor nu ar trebui s aib acces la instrumente de dezvoltare a programelor care s le permit compilarea programelor proprii. Activitile acestora ar trebui s fie atent monitorizate de ctre personalul de audit intern / al sistemelor.
Bibliotecarii pentru mediile de stocare sunt responsabili pentru meninerea i emiterea datelor i programelor offline. Dac ei au acces la sistem, exist riscul ca acetia s modifice informaiile pe care le controleaz. Bibliotecarii pentru mediile de stocare nu ar trebui s aib acces la orice software care s le permit s manipuleze coninutul mediilor de stocare aflate n sarcina lor.
Personal pentru controlul accesului logic T C Personalul pentru controlul accesului logic este responsabil pentru meninerea profilurilor de utilizator care determin cine are acces i la ce. Exist riscul ca acest personal s i aloce drepturi care sunt incompatibile cu funciile lor. Schimbrile pentru a accesa profilurile ar trebui s fie nregistrate n jurnalul de operaii al sistemului i personalul pentru controlul accesului ar trebui s fie n imposibilitatea de a comuta jurnalul pe log off sau s modifice coninutul acestuia. Personalul de audit intern / al sistemelor ar trebui s revizuiasc profilele acces acordnd o atenie deosebit drepturilor de acces ale utilizatorilor cu cunotine vaste i ale utilizatorilor care au acces, n special, la programe / date sensibile.
Personal pentru controlul accesului fizic T C Agenii de paz trebuie neaprat s aib acces la zonele sigure n afara orelor de program. Exist riscul c vor abuza de acest privilegiu. Personalul de securitate ar trebui s nu aib nici un drept de acces la sistemele informatice. Ieirile sensibile ar trebui s fie ncuiate departe n afara orelor de program i toate terminalele deconectate i oprite.
51
Auditori T C Auditorii cer s aib acces extins la sistemele informatice i la registrele de operaii ale sistemului. Exist pericolul ca auditorii s compromit integritatea sistemului, n mod intenionat sau accidental. Auditorii nu ar trebui s aib acces la scriere n alte zone dect n cea alocat lor. Acetia ar putea s aib acces n alte zone doar la citire, n funcie de nevoile de cunoatere.
Proprietarii datelor T Proprietarii unui set de informaii sau de date ar trebui s fie personalul care este responsabil pentru meninerea acestora. Proprietarii ar trebui s fie responsabili, n primul rnd, pentru asigurarea securitii datelor acestora. Exist riscul ca proprietarii s abuzeze de privilegiile lor. Separarea atribuiilor pentru personalul care cuprinde proprietarii ar trebui s asigure faptul c modificarea, distrugerea, crearea de ieiri sau de informaii sensibile necesit o cooperare a mai multor persoane.
Utilizatorii datelor T C Utilizatorii datelor au drepturi de acces la informaii acordate de ctre proprietarii datelor. Exist riscul c acetia vor depi autoritatea care le este conferit de ctre proprietari. Utilizatorilor de date ar trebui s li se acorde drepturile minime n conformitate cu nevoia lor legitim de a avea acces la informaii. Accesul la informaiile sensibile ar trebui s fie nregistrat n jurnalul de operaii al sistemului, i orice aciuni neobinuite s fie investigate.
Custozi ai datelor T Custozii de date sunt cei responsabili pentru meninerea infrastructurii care susine accesul la informaii i msurile de securitate prevzute de ctre proprietari. Exist riscul ca acetia s-i depeasc autoritatea prin distrugerea accidental sau deliberat, ca i prin dezvluire sau modificare a informaiilor aflate n grija lor. Custozii ar trebui s aib drepturi minime de acces la informaiile aflate n grija lor. Personalul de operare nu trebuie s fie capabil s citeasc sau s modifice informaii, n scopul de a menine accesul la acestea. Ei au nevoie doar s tie c procesul X, are nevoie de seturile de date A, B i C care sunt stocate pe dispozitivul Q. Nu este necesar sau de dorit pentru ei ca s cunoasc detalii cu privire la funcia procesului pe care acestea l susin. Clase speciale de custozi, cum ar fi programatorii de sistem, administratorii de date i administratorii de reea ar putea avea nevoie de acces la citire sau scriere pentru datele din mediul de producie. Informaiile deosebit de sensibile ar trebui s fie criptate, astfel ca acestea s nu fie dezvluite personalului care asigur suportul tehnic pe parcursul monitorizrii reelei sau al ntreinerii sistemului. Este recomandabil s se evite angajarea de personal n domeniul operrii care are cunotine de programare de sistem sau de aplicaii. Persoanele cu cunotine de
52
programare n cod main sunt deosebit de periculoase, deoarece acestea ar putea dezvolta programe mici, fr a utiliza un asamblor sau compilator. n cazul n care este posibil, facei imposibil pentru personalul de operare crearea unui fiier executabil. Aceasta este doar o opiune n cazul n care sistemul de operare poate distinge executabilul de alte fiiere, iar sistemul de control al accesului poate controla capacitatea utilizatorilor de a schimba statusul fiierelor pe care le creeaz sau le modific. Personal contractual Personal de ntreinere T C T C Inginerii de ntreinere au adesea o cunoatere intim a sistemului de operare, precum i a hardware-ului. Acest lucru le poate permite apoi s exploateze "uile ascunse" pentru a compromite securitatea. Inginerii de ntreinere nu ar trebui s fie lsai s lucreze nesupravegheai i nu ar trebui s li se permit s scoat n afara locaiei fiiere care conin informaii sensibile. Multe sisteme au "utilizatori de ntreinere", cu o parola implicit (default). Acest lucru poate fi utilizat pentru a obine accesul neautorizat la sistem. Cerei sfatul vnztorului cu privire la utilizatorii i parolele implicite i schimbai-le n mod regulat i, n special, dup fiecare vizit a inginerului de ntreinere.
Consultani T C Consultanii vor dobndi n mod inevitabil cunotine din interiorul organizaiei dumneavoastr. Consultanii trebuie s fie obligai s semneze un acord de nedivulgare. Dac ei au nevoie s acceseze sisteme deosebit de sensibile, atunci trebuie s fie supus procedurii de verificare(vetting). Schimbai parolele / identificatorul utilizatorului care sunt cunoscute de ctre consultant atunci cnd contractul nceteaz.
Persoane externe Vizitatori T C n cazul n care vizitatorii au permisiunea de a vedea domeniile n care exist informaii sensibile sau are loc prelucrarea, acest lucru ar putea compromite securitatea. Vizitatorii ar trebui s fie obligai s poarte ecusoane de identitate i personalul ar trebui s fie instruit s-i semnaleze pe cei pe care nu-i recunosc sau care nu poart un ecuson. n medii sigure, vizitatorii ar trebui s fie nsoii n permanen. inei vizitatorii departe de zonele sensibile. n cazul n care acetia au nevoie s vad informaii sensibile, cerei-le s semneze acorduri de non divulgare i asigurai-v c ei nu vd mai mult dect este necesar.
53
Intrui T C Intruii pot compromite confidenialitatea, integritatea i disponibilitatea sistemului informatic. Straturile multiple de securitate ofer cea mai bun protecie. Evitai publicitate a. Facei dificil penetrarea perimetrului de securitate. Instalai echipamente de detectare a intruilor. Blocai camerele care ofer acces la instalaiile sensibile. Utilizai controlul accesului pentru a face dificil utilizarea sistemelor informatice, chiar dac un intrus ctig acces la un terminal.
Bunuri fizice Cldiri Locaia / Sediul T C Exist riscul ca locaia/sediul s fie deteriorat/deteriorat fizic. Riscurile specifice care afecteaz locaia vor depinde de circumstanele locale. Planurile de urgen ar trebui s fie elaborate, acestea incluznd un plan pentru continuarea funciilor critice n caz de deteriorare sau distrugere a locaiei. Planurile de urgen ar trebui s fie testate anual. Intruii pot penetra locaia i ar putea compromite disponibilitatea, integritatea sau confidenialitatea sistemelor informatice. Nivelul fizic de securitate al locaiei ar trebui s fie n concordan cu valoarea medie a sistemelor informatice pe care le gzduiete. Aplicaiile deosebit de sensibile pot fi asigurate prin furnizarea unor niveluri mai ridicate de securitate pentru locaiile care le gzduiesc. Securitatea de baz a locaiei ar trebui s includ ageni de paz care monitorizeaz oamenii care intr i ies din cldire. Ferestrele de la parter ar trebui s fie ncuiate atunci cnd camerele nu sunt nesupravegheate i dotate cu sisteme de alarm pentru intrui Parcarea public nu ar trebui s fie permis n zonele adiacente instalaiilor critice. Uile de incendiu trebuie s se deschid spre exterior i s fie dotate cu uruburi de sticl i alarme legate la un panou de control central aflat n biroul poliitilor de securitate Locaiile care sunt folosite pentru a sprijini funciile critice, i care sunt bine mediatizate sunt deosebit de vulnerabile. Pstrai activele care susin funciile critice n locuri care nu atrag atenia. ncercai s evitai publicitatea inutil. n cazul n care detaliile din locaie devin cunoscute, sunt necesare msuri mai extinse de securitate pentru a compensa riscurile sporite. Locaiile din apropierea zonelor dens populate sunt mult mai susceptibile de a suferi de pe urma efectelor perturbaiilori civile. Locaia care gzduiete sistemul informatic cheie ar trebui s fie situat departe aglomeraiile urbane, dac este posibil.
54
T C
T C
T C
T C
Locaiile educaionale sunt deosebit de vulnerabile la furt i la tentativa de penetrare a sistemului. Controalele fizice i logice de acces sunt adesea slabe n locaiile educaionale. Asigurai-v c zonele care conin bunuri care sunt atractive i portabile sunt garantate pentru un nivel mai ridicat dect nivelul de baz. Rspunderii privind controalele ar trebui s i se acorde o prioritate nalt pentru sistemele cheie accesibile din locaiile educaionale.
Camere cheie Introducere date / actualizare T C Zonele n care informaiile sunt introduse sau meninute sunt puncte focale pent ru ameninrile la confidenialitatea i integritatea sistemelor informa tice. Zonele de introducere a datelor ar trebui, n cazul n care este posibil, s fie inaccesibile personalului care nu are o nevoie legitim de a merge acolo. Terminalele cu acces la facilitile restricionate referitoare la actualizarea informaiilor critice, nu ar trebui s fie vizibile din zonele publice. Ele nu ar trebui s fie lsat e nesupravegheate i conectate. Aplicaiile care actualizeaz informaii cheie ar trebui s nchid sesiunile n cazul n care nu a existat nici o activitate la tastatur timp de cteva minute. n cazul n care informaiile au implicaii pentru sistemele informatice cheie, aplicaia ar trebui s repete la intervale regulate identificarea i s fac verificri de autentificare iar toate modificrile care sunt fcute s fie nregistrate n jurnalul de operaii al sistemului. Pentru informaii deosebit de sensibile, luai n considerare ca la instalarea aplicaiei s se includ setri adecvate, astfel nct schimbrile s nu poat fi finalizate fr confirmarea din partea unei persoane autorizate.
Prelucrare T C T Zonele n care informaiile sunt procesate pot oferi oportuniti extinse de a corupe, perturba sau de obinere a accesului la sistemele informatice. Restricionai accesul prin punerea n aplicare a procedurilor de separare a atribuiilor, acolo unde este posibil. Calculatoarele mari au de multe ori cele mai exigente cerine de mediu. Acest lucru a dus la o izolare natural a echipamentelor cheie de personalul care nu este implicat n exploatarea acestora. La fel, calculatoarele mici au devenit mai puternice n momentul n care aplicaiile cheie au fost transferate pe ele. Calculatoarele mici pot opera de obicei, ntr-un mediu de birou obinuit. Utilizarea prelucrrii distribuite, n unele cazuri, a condus la dependena sistemelor informatice de un numr mare de calculatoare mici, dispersate geografic. Reducerea dimensiunilor calculatoarelor a condus la o neglijare a necesitii de a proteja echipamentele cheie, fcndu-le vulnerabile la abuzul fizic i la deteriorarea mediului. Calculatoarele care susin funcii cheie ar trebui s fie izolate fizic de mediul de birou. Luai n considerare necesitatea de a proteja sursa de alimentare a oricrui calculator care joac un rol esenial n sistemele informatice critice.
55
Imprimare T Ieirile sensibile ar trebui s fie dirijate prin zone sigure, astfel nct s poat fi monitorizate i, eventual, nregistrate n jurnalul de operaii al sistemului. n cazul materialelor financiare mobile, pierderea ar putea aprea de la furtul ieirii. n cazul n care valoarea ieirii const n necesitatea confidenialitii, de pierderi poate s fie responsabil cineva care a vzut pur i simplu ieirea, fr a o fi extras neaprat. Accesul la camerele utilizate pentru producia de informaii valoroase sau sensibile ar trebui s fie limitat la personalul care manipuleaz ieiri. Controlul accesului fizic i logic ar trebui s pun n aplicare separarea sarcinilor ntre cei responsabili pentru manipularea i nregistrarea ieirilor i cei responsabili pentru iniierea sau autorizarea acestora.
Stocare T C Zonele n care informaia este stocat pot prezenta o int atractiv pentru cineva care ncearc s obin acces neautorizat, deoarece o mulime de informaii sunt colectate mpreun. Informaiile sensibile ar trebui s fie stocate n arhive securizate / biblioteci. Accesul ar trebui s fie limitat la bibliotecari, care ar trebui s verifice autorizarea personalului care solicit accesul, iar informaiile emise s fie nregistrate n jurnalul de operaii al sistemului. ncrederea n copiile informaiilor arhivate unic v face vulnerabili n faa pierderii integritii i disponibilitii informaiilor. Adoptarea unei politici de backup care s garanteze c cel puin dou exemplare ale copiilor coninnd informaii cheie sunt deinute n locaii dispersate geografic. Integritatea arhivelor care pot fi citite automat trebuie s fie verificat la intervale regulate i orice arhiv pe mediu magnetic ar trebui s fie copiat (remprosptat) cel puin o dat la trei ani.
T C
Interogare T C Camerele n care se opereaz interogri sunt deosebit de vulnerabile la ameninrile care ar putea compromite disponibilitatea sau integritatea sistemelor informatice. Luai n considerare planurile de urgen care ar permite personalului care se ocup cu interogarea s continue satisfacerea cerinelor eseniale n cazul n care sistemele informatice sau hardware-ul suport al acestora au devenit indisponibile. Camerele care sunt utilizate ca centre de manipulare a interogrilor pot fi n mod particular vulnerabile la ameninrile la adresa confidenialitii informaiilor. Ar trebui stabilite proceduri care s precizeze condiiile pentru furnizarea fiecrei clase de informaii i a oricror nevoi de a nregistra emiterea de informaii. Accesul n zonele care se ocup cu interogrile sensibile ar trebui s fie restricionat. Software-ul ar trebui s deconecteze automat personalul, n cazul n care nu exist nici o activitate la tastatur ntr-un termen specificat.
T C
56
Rspunderea este un aspect esenial al controlului interogrilor. Poate fi la fel de important s se poat stabili ce au fcut indivizii i s se restricioneze activitile pe care acetia le pot ntreprinde. Aceasta poate reduce ameninrile la adresa confidenialitii n cazul n care facilitile de interogare sunt dispersate fizic. De exemplu, stabilii un grup de personal responsabil pentru a rspunde la toate interogrile referitoare la persoane fizice ale cror nume de familie ncep cu litere ntre A i D i alte grupuri responsabile pentru alte litere. Fragmentnd capacitatea de a accesa informaii i de a le aranja n ordine, se poate reduce vulnerabilitatea la abuzuri. Informaiile deosebit de sensibile, trebuie s solicite autorizarea de la un al doilea operator / supervizor, nainte de a fi dezvluite. Terminalele de interogare trebuie s fie situate astfel nct s nu poat fi privite din zonele publice i astfel nct operatorii s nu poat citi ecranele unii altora. Comunicaii T Camerele care gzduiesc cutiile cu conexiunile reelei, rafturile modemurilor, ramurile centralei telefonice sau dulapuri cu patch-uri ofer o oportunitate pentru personalul neautorizat pentru identificarea echipamentului asociat cu faciliti sensibile i perturbarea serviciului sau interceptarea sa. Cablurile i echipamentele de comunicaii ale sistemelor informatice nu ar trebui s fie etichetate ntr-o form care poate fi citit i identificat de om. Sunt de preferat etichete bazate pe un sistem de codificare a cablurilor. Cheia pentru sistemul de codificare ar trebui s fie ncuiat n alt birou. n cazul n care cablurile sunt etichetate, acestea ar trebui s fie toate etichetate pentru a face mai dificil de depistat traseul urmat de conexiunile cheie. Cutiile de jonciune, rafturile modemurilor i centralele telefonice ar trebui s fie securizate. Accesul ar trebui s fie limitat la personalul de ntreinere i la administratorii de reea.
Operarea aplicaiilor sistemului n mediul de producie T C Accesul la echipamente care ruleaz aplicaii n mediul de producie poate facilita eludarea msurilor concepute pentru a menine integritatea, disponibilitatea i confidenialitatea sistemelor. Camerele care gzduiesc echipamente care sunt elemente cheie ale sistemelor informatice din mediul de producie ar trebui s fie accesibile numai pentru personalul de operare. Separarea sarcinilor ar trebui s asigure c personalul de operare nu este n msur s genereze tranzacii, s proiecteze sau s dezvolte programe, sau s acceseze sau s genereze ieiri sensibile produse de sistemele pe care le opereaz. Aceasta din urm este simplificat dac ieirea sigur este posibil doar la dispozitivele din afara zonei de operare iar personalului de operare nu i este permis intrarea n zona unde se afl dispozitivele de ieire.
57
Dezvoltarea aplicaiilor T C Software-ul de aplicaie este potenial cel mai puternic mijloc de a compromite integritatea sistemelor informatice. Programatori sau alte persoane cu acces la mediul de dezvoltare pot introduce aciuni sub acoperire n sistem. Programatorii ar trebui s fie alocai s lucreze pe o baz modular. Fiecare modul trebuie s aib definite intrri i ieiri. Revizuirile proprii i de ctre unitatea de testare ar trebui s asigure protecia mpotriva introducerii de funcionaliti sub acoperire. Personalul de control al schimbrii trebuie s fie separat de programatorii de aplicaii att fizic, ct i managerial. Accesul la camerele care sunt utilizate pentru dezvoltarea de aplicaii ale unor sisteme sigure ar trebui s fie limitat la programatori. Analitilor i personalului de control al schimbrii nu ar trebui s li se permit accesul. Controalele stricte privind rspunderea i un sistem de control al versiunilor puternic ar trebui s garanteze c exist ntotdeauna o nregistrare despre cine a fcut, ce i cnd s-a fcut. Instrumentele de dezvoltare ar trebui s fie indisponibile n afara orelor de program.
Funcii de sistem T C Sistemele de diagnosticare i instrumentele de gestionare pot fi folosite pentru a intercepta traficul n reea i a eluda controalele. Accesul ar trebui s se limiteze la terminalele desemnate i controalele privind rspunderea s fie folosite pentru a monitoriza utilizarea n aceeai msur ca i pentru programatorii de aplicaii. Accesul fizic la terminalele sistemului ar trebui s fie limitat la personalul care asigur suportul tehnic i acesta ar trebui s lucreze de preferin n perechi.
Instalaii T C Alimentarea cu curent electric este o resurs cheie pentru sistemele informatice. Perturbaiile sursei de energie ar putea distruge informaii i, n caz de supratensiune, hardware-ul care suport sistemul. Toate activele sistemului informatic ar trebui s aib surse de alimentare capabile s elimine vrfurile de tensiune duntoare echipamentelor. Echipamentele cheie, cum ar fi serverele de fiiere vor avea nevoie de o unitate de alimentare neintreruptibil pentru a se asigura c acestea pot, cel puin s se opreasc n siguran, n cazul unei ntreruperi a alimentrii. Accesul la camerele cu instalaii ar trebui s fie limitat la personalul de ntreinere.
Papetrie T C Formularele goale pot fi eseniale pentru operarea continu a unor sisteme. Licenele i certificatele sunt dou exemple. Distrugerea stocurilor ar perturba serviciul. Pstrarea copiilor backup ale formularelor eseniale ar trebui s se fac n orice locaie de prelucrare aflat la distan i la o locaie alternativ n cadrul locaiei principale. Stocurile ar trebui s fie inute la acelai nivel de securitate ca stocul principal i depozitarul ar trebui s verifice periodic exhaustivitatea / gradul de utilizare pentru stocurile de rezerv.
58
Gtitul i fumatul T C Gtitul T i fumatul sunt principalele surse de indisponibilitate a sistemului informatic, ca urmare a incendiilor pe care le pot provoca. Att fumatul ct i gtitul trebuie s fie interzise n zonele adiacente activelor cheie. Camerele n care sunt permise ar trebui s fie prevzute cu echipamente de stingere a incendiilor. n special, scrumiere i pubele speciale ar trebui s fie utilizate n ncperile n care fumatul este permis.
Papetrie valoroas T C Papetria care poate fi utilizat pentru un ctig financiar sau ca baz pentru a obine drepturi, cum ar fi permisele de trecere n alb, ordinele de plat sau cecurile, reprezint o int atractiv pentru furt. Papetria sensibil ar trebui s fie numerotat n serie i pstrat ntr-un depozit ncuiat. Depozitarii ar trebui s rspund pentru orice probleme, inclusiv pierderi. Depunei eforturi pentru a se asigura c poate fi ntreprins o reconciliere, care s stabileasc rspunderea pentru toate utilizrile, n ceea ce privete emiterea autorizat i alterarea. Camerele de depozitare pentru papetria valoroas ar trebui s fie securizate i accesibile numai personalului responsabil desemnat.
Documentaie Software T Documentaia este esenial n cazul n care software-ul trebuie s fie meninut. Exist riscul ca aceasta s fie pierdut, distrus sau furat. Ar putea fi o motivaie puternic pentru furt n cazul n care software-ul efectueaz funcii care au o valoare comercial sau pentru divulgarea informaiilor brevetate sau sensibile. Documentaia ar trebui s fie examinat ca parte a procedurilor de control al calitii. Odat ce a fost aprobat, copiile nregistrate ar trebui s fie ndosariate de ctre personalul de control al schimbrii. Copiile de siguran ale documentaiei sistemului din mediul de producie trebuie s fie inute ntr-o locaie aflat la distan. Documentaia sistemelor sensibile trebuie s fie tratat similar cu un fiier nregistrat. Copiile ar trebui s fie numerotate, copierea interzis, iar emiterile s se fac n funcie de nevoia de cunoatere. Copiile ar trebui s fie ncuiate atunci cnd nu sunt utilizate.
Hardware T C Activele de tip sistem informatic sunt adesea atractive, portabile i uor de deteriorat. Un inventar complet al tuturor activelor materiale ale sistemului informatic ar trebui s fie pstrat, meninut i auditat.
59
T C
Manuale pentru hardware sunt rar necesare, dar eseniale n ocaziile n care acestea sunt necesare. Acestea sunt adesea dificil de nlocuit i pot conine informaii care ar fi de folos unei persoane care intenioneaz s se infiltreze sistem. Pstrai manualele hardware n biblioteci ncuiate sau n zone sigure. Problemele legate de manuale ar trebui s fie nregistrate, n special n cazul n care se acord aprobarea de a lua manualul n alt camer dect aceea care adpostete echipamentul. Pstrai copii ale manualelor hardware eseniale ntr-o locaie la distan.
Proceduri T C Ghidurile de proceduri furnizeaz personalului informaii eseniale care pot fi furnizate i altor persoane, oferind o imagine de ansamblu, care ar trebui protejat, n legtur cu modul n care lucreaz sistemele. Ghidurile de proceduri ar trebui s fie eliberate nominal persoanelor fizice, nregistrate i pstrate n siguran. Toate manualele ar trebui s fie marcate pe fiecare pagin pentru confidenialitate, iar manualele sensibile ar trebui s aib instruciuni pe fiecare pagin, care s reflecte clar c nu este permis copierea. Pstrai copii ale manualelor de proceduri n afara locaiei.
Planul de urgen T Prin natura lor, planurile de urgen sunt necesare rar i ntr-un moment cnd organizaia este sub stres. Exist un risc ca acestea s devin perimate sau pot fi indisponibile atunci cnd apare o situaie de urgen. n plus, acestea pot fi de folos pentru cineva care intenioneaz s perturbe serviciile. Planurile de urgen ar trebui s fie revizuite i testate la intervale regulate, n fiecare an n cele mai multe situaii, dar mai frecvent n cazul n care disponibilitatea este foarte critic. Copii ale seciunilor relevante ar trebui s fie inute n siguran n locaiile de backup.
Planurile etajelor T C Planurile etajelor sunt documente extrem de utile pentru un intrus potenial. Pstrai desenele arhitecturale ncuiate. Acest lucru este deosebit de important n cazul n care desenele au suprapuse informaii funcionale.
Diagramele de cablare T Diagramele de cablare sunt eseniale pentru meninerea siste melor n reea. Pierderea acestora ar putea compromite capacitatea de a menine sistemele informa tice sau de a diagnostica defectele de reea. Diagramele sunt, de asemenea, foarte utile pentru oricine care are interes n infiltrare sau n ntreruperea serviciilor informatice furnizate de reea. Diagramele de reea trebuie s fie elaborate i actualizate ori de cte o nou rutare sau conexiune este introdus. Copii ale diagramelor de cablare trebuie s fie pstrate n locaiile de backup pentru a facilita recuperarea n cazul n care locaia principal este deteriorat.
60
Accesul la diagramele de cablare ar trebui limitat la personalul cu un interes legitim n managementul cablrii / administrarea reelei. Dicionarul de date T Dicionarul de date ar trebui s ofere un index al structurii tuturor sistemelor informatice permanente. Este un instrument esenial pentru dezvoltarea sistemelor informatice noi. Acesta poate fi un ajutor de nepreuit pentru toi cei care doresc sa se infiltreze in sistemele informatice. Integrai ntreinerea dicionarului de date cu procedurile de control al schimbrii pentru a se asigura c acesta reflect structura actual a datelor deinute de sisteme le informatice. Pstrai copii n locaii aflate la distan. Meninei un registru al copiilor documentelor care sunt derivate din dicionarul de date i tratai extrasele sensibile n mod similar cu fiierele nregistrate.
Mediu Aer condiionat T C Calculatoarele mari i perifericele lor au adesea cele mai exigente cerine de mediu. Lipsa asigurrii condiiilor de mediu specificate de productor poate duce la indisponibilizarea calculatoarelor i la dispute legate de ntreinere. Configurarea un program de ntreinere periodic a echipamentelor eseniale de aer condiionat. Luai n considerare necesitatea echipamentelor de aer condiionat de rezerv, pentru cazul n care activele cheie ar putea fi afectate devenind indisponibile.
Putere electric T C Ap T C Unele calculatoare mari necesit rcire cu ap. ntreruperea alimentrii cu ap poate duce la deteriorarea grav a calculatorului. Asigurai-v c alimentarea continuarea cu ap se afl sub controlul personalului de exploatare i nu al personalului de ntreinere a cldirii. Personalul de ntreinere nu trebuie s comute din neatenie oprirea livrrilor de ap rece, n timpul perioadelor de vacan / n afara orelor de program. Luai n considerare livrrile de rezerv de ap rece sau oprirea automat a calculatoarelor dependente n cazul ntreruperii furnizrii. Sisteme informatice pot fi afectate negativ de reducerea sau creterea tensiunii sau a frecvenei surselor de alimentare. Toate calculatoarele trebuie s fie protejate prin prevenirea excesului de putere. Activele cheie ar trebui s fie protejate prin surse nentreruptibile.
61
Iluminat T C ntunericul poate perturba grav planurile pentru situaiile de urgen. Luai n considerare necesitatea unor surse de iluminat de rezerv.
Deeuri Hrtie T C Sistemele informatice produc de multe ori cantiti substaniale de deeuri de hrtie. Acestea pot fi o surs de scurgere a informaiilor din organizaie. Toate ieirile pe hrtie trebuie s fie marcate n condiii de securitate, dup caz. Luai n considerare mrunirea materialelor de sensibilitate deosebit. Sacii cu "deeuri confideniale" ar trebui s fie utilizai pentru materialul depozitat n vederea incinerrii. Securitatea deeurilor este adesea trecut cu vederea. Un sac de deeuri care conine materiale care au fost puse ntr-un dosar nregistrat trebuie s fie supus aceluiai nivel de securitate care ar fi fost aplicat dosarului.
Suporturi magnetice T C Suporturile magnetice pstreaz fragmente ale fiierelor care au fost copiate chiar i dup ce fiierele au fost terse. Deeurile de suporturi magnetice ar trebui s fie terse n condiii de securitate, demagnetizate sau distruse.
Medii optice T C Mediile optice nu pot fi terse, de obicei, definitiv. Incinerarea este cel mai bun mod de a distruge deeurile dispozitivel or optice de stocare.
Papetrie T C Deeurile papetriei coninnd informaii financiare pot fi utilizate ilicit. Documentele financiare pe hrtie nvechite ar trebui s fie n mod oficial anulate i eliminate ca deeuri confideniale. Asigurai-v c nregistrrile contabile in seama de eliminarea papetriei prenumerotate.
62
____________________
INDEX
Pagina Aer condiionat Analiti Ap Auditori Bibliotecar pentru mediile de stocare Buletin electronic informativ Bunuri fizice Burster Cablajul reelei Calculatoare Camere cheie Cldiri Comunicaii Consultani Cozi de ieire Custozi ai datelor Deeuri Dezvoltarea aplicaiilor Diagramele de cablare Dicionarul de date Dispozitive de ieire Dispozitive de intrare Documentaie Documentaie hardware Documentaie software Enveloper Fiiere de hrtie Fotocopiator 61 49 61 51 51 38 54 42 39 39 55 54 37 53 43 52 62 58 60 61 42 42 59 59 59 43 44 44
63
Funcii de sistem Gtitul i fumatul Hrtie Hardware Iluminat Imprimant cu laser Imprimant de impact Imprimare Instalaii Interogare Introducere date / actualizare Intrui Linii telefonice Locaia / Sediul Main de scris Medii de memorare Medii magnetice amovibile Medii magnetice fixe Medii optice Medii optice amovibile Medii optice fixe Mediu Microcalculatoare Microfilm / microfi Minicalculatoare i calculatoare mari Modemuri Monitor pentru afiaj vizual Operarea aplicaiilor sistemului n mediul de producie Papetrie deeuri Papetrie Papetrie valoroas Persoane externe Personal cheie
58 59 62 37 62 43 43 56 58 56 55 54 37 54 44 44 44 45 62 46 46 61 40 47 41 37 44 57 62 58 59 53 48
64
Personal contractual Personal de ntreinere Personal pentru asigurarea suportului tehnic Personal pentru controlul accesului fizic Personal pentru controlul accesului logic Personal pentru controlul schimbrilor Personal pentru introducere date Personal pentru interogri Personal pentru manipularea ieirilor Personal propriu Planul de urgen Planurile etajelor Plotter Porturi de intrare / ieire Pot electronic Prelucrare Proceduri Programatori Programatori de sistem Proprietarii datelor Putere electric Resurse umane Scanere Servere de fiiere Serviciul potal Software documentaie Staii de lucru fr disc Stocare Suporturi magnetice de Terminale Utilizatorii datelor Vizitatori
53 53 50 51 51 51 48 48 48 47 60 60 43 37 38 55 60 49 50 52 61 47 42 41 38 59 41 56 62 39 52 53
65
Clasificarea informaiilor Informaii nedesemnate: informaiile nedesemnate sau neclasificate n nici un mod, n cazul n care garaniile privind practicile normale unui bun management sunt suficiente. Informaii care sunt disponibile publicului. De exemplu: raportarea timpului, programarea personalului, manuale i publicaii, administrarea general, capitole lansate, poziii lansate, avize eliberate etc. Informaii desemnate: informaii, alte dect cele referitoare la interesul naional, care sunt desemnate ca avnd nevoie de protecie. Informaiile clasificate: informaii referitoare la interesul naional. Sistem informatic / Aplicaie "Aplicaia aferent unui software specific care este destinat desfurrii unor lucrri specifice. Orice set de pai urmat de desfurarea unor activiti financiare, administrative sau privind programul." De exemplu, un sistem de conturi pentru pli. ntr-un mediu cu microcalculatoare, aplicaiile pot fi foarte simple, cum ar fi un raport n WordPerfect - tastare, stabilirea formatului i activiti de tiprire sau complexe, un program de audit asistat de calculator (CAAT) - ncrcarea datelor clientului, extragerea eantioanelor, analiza rezultatelor i mostre de imprimare a eantioanelor sau a rezultatelor. Software-ul folosit, cum ar fi programele CAAT, Lotus, sau WordPerfect, nu ar trebui s fie confundat cu aplicaiile software-ului eantionarea n audit. Numele unei aplicaii este de obicei o combinatie a software-ului utilizat i a aplicaiei dezvoltate, cum ar fi: CAAT pentru audit, analiza financiar Lotus etc. n scopul evalurii securitii, aplicaii similare pot fi grupate mpreun. Controlul accesului logic" i rspundere, ca parte a unui sistem de securitate Controlul accesului logic, folosind ID-urile i parolele, impune accesul limitat la date pe baza utilizatorului individual. Acest lucru este realizat printr-un sistem de securitate care determin ceea ce utilizatorul poate accesa i poate face, meninnd rspunderea prin crearea unei piste de audit care nregistreaz utilizarea calculatorului de ctre utilizator. Controlul accesului, ca orice alt control, nu este considerat eficace i fiabil, cu excepia cazului n care poate fi demonstrat c acesta funcioneaz n concordan cu scopul pentru care a fost implementat i poate fi monitorizat. O pist de audit servete ca dovad c msurile de control al accesului lucreaz aa cum s-a intenionat i ofer mijloacele de a investiga neregulile i de a identifica domeniile n care controalele ar putea fi mbuntite. ntr-un sistem de securitate
66
informatic, pista de audit este un fiier istoric creat i protejat de sistemul auditat prin controale bazate pe parol i criptare. Utilizarea unei piste de audit este transparent pentru utilizator. n cadrul multor sisteme de securitate, administratorul de securitate are acces la fiierele istorice coninnd pista de audit, ale tuturor utilizatorilor. Utilizatorii individuali au acces n citire numai la fiierul propriu coninnd pista de audit. Necesitatea de a cunoate principiul Un principiu fundamental al politicii de securitate este de a restriciona accesul la date si la active celor care au nevoie de un astfel de acces, ceea ce presupune definirea specificaiilor de partajare a datelor i activelor. ntr-un mediu informatizat, aceasta implic controlul accesului fizic i / sau logic (sistem de securitate) la date i active. De exemplu, ntr-un birou de audit, utilizatorii protejeaz clientul, informaiile administrative i de audit pentru a preveni accesul accidental la citire, modificare sau tergere a informaiilor. Sensibilitatea informaiilor: Disponibilitate: calitatea sau starea informaiilor, serviciilor, sistemelor i programelor de a fi disponibile n timp util ("la nivelul organizaiei"). Confidenialitate: calitatea sau condiia de a fi sensibile ("se poate provoca un prejudiciu n cazul n care informaiile sunt divulgate"). Integritate: calitatea sau condiia de a fi corecte i complete ("se poate provoca un prejudiciu n cazul n care informaia este alterat, incorect sau incomplet") Evaluarea expunerii securitii O evaluare a expunerii securitii este rezultatul combinrii unui studiu de impact asupra afacerii cu riscul unei ameninri / evaluarea probabilitii. O evaluare a expunerii securitii este clasificat ca: Major: impact considerabil, extrem - probabilitate rezonabil. Acele evenimente care au probabilitate suficient de apariie i un impact puternic asupra afacerii astfel nct este prudent s se ia msuri preventive i de recuperare. Ateptarea privind daunele este suficient de mare nct nu este cazul s se insiste pe previziuni precise de probabilitate. Mediu: impact semnificativ - probabilitate necunoscut. Impactul asupra afacerii este de aa natur nct ar trebui luate msuri. Este necesar o trecere n revist a ameninrilor i a probabilitii acestora, pentru a reduce ameninrile la un nivel uor de gestionat. Min (Sczut): impact redus - orice probabilitate. Categoria i ce dac. Dac se ntmpl, nu va cost att de mult. Dac v simii confortabil c potenialul pentru prejudiciu este sczut, acestea sunt ameninri pe care le aceptai. Nu este nevoie s se efectueze analize de probabilitate detaliate.
67
Infrastructura de securitate De obicei, n multe organizaii guvernamentale, sub titluri similare sau diferite, administrarea securitii este delegat n felul urmtor: Ofier de securitate ef: un manager executiv care are responsabilitatea general pentru securitate n cadrul organizaiei. El menine legtur cu toate celelalte entiti guvernamentale i este pe deplin rspunztor pentru toate chestiunile de securitate din cadrul organizaiei sale. Director de securitate: unul dintre manageri cu autoritate delegat de director de securitate, care are responsabilitatea administrrii tuturor chestiunilor de securitate zilnice, din cadrul organizaiei. Persoana responsabil de securitatea informatic: un manager principal, cu autoritate delegat de la ofierul de securitate ef i de raportare ctre directorul de securitate, care are responsabilitatea zilnic pentru administrarea securitii tehnologiei informaiei n cadrul organizaiei. Echipa de securitate: O echip format din persoane fizice construit, dac este posibil, ca o seciune transversal a organizaiei. Echipa are nevoie de sprijinul deplin i angajamentul conducerii superioare s efectueze examinarea securitii i s obin acceptarea rezultatelor sale. De exemplu, este de preferat ca reprezentantul utilizatorilor s fie un membru influent al comunitii utilizatorilor i s fie liderul echipei. Este mult mai probabil ca utilizatorii i conducerea superioar s accepte recomandrile privind securitate de la echip, ntruct acetia sunt de obicei suspicioi n ceea ce privete rapoartele elaborate de "specialiti tehnici".
O politic de securitate a companiei, aprobat de conducere, este pus n aplicare pentru a sprijini strategia sistemului informatic care, n sine, se bazeaz pe misiunea i obiectivele identificate n declaraia de politic a corporaiei. De obicei, de asemenea, un Comitet director pentru sisteme informatice, prezidat de un director executiv, joac un rol important n a se asigura c toate sistemele informatice din cadrul organizaiei sunt elaborate i utilizate n conformitate cu obiectivele i strategiile corporative. Comitetul director pentru sisteme informatice supravegheaz implementarea politicii privind sistemele informatice i a politicii de securitate. Principii de management al securitii 1. Protecia securitii trebuie s fie n concordan cu sensibilitatea datelor care trebuie protejate; 2. Protecia securitii ar trebui s nsoeasc datele ori de cte ori acesta sunt transferate sau prelucrate; i 3. Protecia securitii trebuie s fie continu, n toate situaiile.
68
Aceste principii sunt implementate prin determinarea sensibilitii datelor din punctul de vedere al integritii, confidenialitii i disponibilitii i prin aplicarea unor elemente specifice unei scheme de securitate, care include persoane, dispozitive fizice, practici i proceduri, hardware, software, aplicaii, i elemente de protecie de tip back-up.
69
70
3.1
Prezentare
3.1.1
Obiectivul unui program de securitate a sistemului informatic este de a reduce riscul de pierdere a confidenialitii, integritii i disponibilitii informaii lor la un nivel acceptabil. Scopul unei metode de securitate a sistemului informatic este de a facilita stabilirea unui program de securitate cuprinztor i eficient, care s acopere toate sistemele informatice cheie. Metoda ar trebui s ajute utilizatorii s stabileasc un nivel de securitate proporional cu cerinele lor. Gsirea unui nivel adecvat de securitate implic analiza de risc i managementul riscurilor11. Analiza de risc este utilizat pentru a stabili gradul n care sistemele informatice sunt expuse la riscuri. Aceasta presupune examinarea ameninrilor cu care se confrunt sistemele informatice, estimarea frecvenei cu care acestea sunt de ateptat s apar i apoi evaluarea impactului pe care organizaia l-ar suferi dac ameninrile ar aprea. "Expunerea" este calculat prin combinarea evalurii a impactului i a frecvenei estimate a ameninrii. Managementul riscului implic alegerea celei mai ieftine contramsuri care reduce expunerea organizaiei la risc la un nivel acceptabil. Contramsurile sunt msurile luate de ctre organizaie pentru a reduce frecvena unei ameninri sau pentru a reduce impactul ameninrilor atunci cnd apar. Evaluarea este cheia pentru stabilirea unui nivel corespunztor de securitate, iar utilizatorii sunt eseniali pentru evaluare. Rezult c grupurile de utilizatori trebuie s fie stabilite ntr-un stadiu incipient. Fiecare sistem poate fi evaluat fcnd referire la utilizatorii si. Un sistem cu nici un utilizator sau unul n care utilizatorii nu acord nici o valoare informaiilor primite, nu are nici o valoare i nu merit s fie meninut, cu att mai puin securizat. n cazul n care sistemele nu se confrunt cu ameninri, atunci nu sunt necesare msuri de securitate. Metoda ar trebui s ajute la identificarea ameninrilor la adresa
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
11
Adaptat dup o metodologie elaborat de Oficiul Naional de Audit, Marea Britanie, acest document are ca scop numai de a oferi o descriere general a unei metode cantitative detaliate de analiz a riscurilor care este utilizat n diverse moduri de cele mai multe pachete de analiz de risc comerciale. Este recomandat folosirea unui pachet software mpreun cu aceast metod de analiz detaliat a riscului.
71
confidenialitii, integritii sau disponibilitii sistemelor informatice. Acest lucru implic identificarea tuturor componentelor care trebuie s fie n funciune, n cazul n care utilizatorii trebuie s continue s primeasc un serviciu de ncredere i apoi caut evenimentele care ar putea afecta n mod negativ fiecare component. Aceasta implic, de asemenea, identificarea modalitilor de scurgere a informaiilor din fiecare component a sistemului informatic. 3.1.7 Odat ce valoarea unui sistem i ameninrile cu care acesta se confrunt au fost stabilite poate fi formulat o cerin de securitate. Aceasta va lua forma unei liste de msuri care sunt necesare pentru a reduce riscurile cu care se confrunt utilizatorii, la un nivel acceptabil. Punerea n aplicare a acestor msuri i meninerea lor este sarcina personalului care alctuiete infrastructura de securitate. Stadiile unei metode de securitate a sistemului informatic sunt: (1) Stabilirea unei politici de securitate (2) Construirea infrastructurii de securitate (3) Identificarea sistemelor informatice (4) Identificarea ameninrilor / punctelor slabe (5) Evaluarea sistemelor (6) Evaluarea cerinelor de securitate pentru fiecare sistem informatic (7) Implementarea i meninerea unui program de securitate i a unor proceduri coerente cu politica de securitate
3.1.8
3.2
3.2.1
Infrastructura
Politica de securitate ar trebui s reflecte strategia legat de sistemul informatic, care ar trebui s se bazeze pe misiunea i obiectivele identificate n declaraia de politic corporativ. Nu este oportun s se nceap proiectarea unei strategii de securitate a sistem informatic naintea strategiei corporative sau a celei a sistemelor informatice. Consiliul de conducere ar trebui s elaboreze o politic de securitate. Politica ar trebui s fie aprobat de ctre eful organizaiei. Un ofier de securitate (CIO) ar trebui s fie numit pentru a supraveghea implementarea politicii de securitate. Dac avei, sau planificai a avea, sisteme informatice extinse ar trebui s se nfiineze un Comitet director pentru sisteme informatice. Un membru al consiliului de conducere ar trebui s prezideze acest comitet. Rolul comitetului director pentru sisteme informatice este de a asigura c strategia sistemului informatic se dezvolt n conformitate cu obiectivele corporative i faptul c strategia de securitate trebuie meninut actualizat. Ar trebui s fie desemnat un ofier de securitate al sistemului informatic i s se ia n considerare instituirea unui Grup de securitate a sistemului informatic. Securitatea sistemului informatic este o specialitate. Rolul grupului de securitate este de a aciona ca un punct central pentru activitatea de dezvoltare a sistemului de securitate. Declaraia privind politica de securitate ar trebui s ofere un cadru pentru programele de securitate cu care se confrunt fiecare sistem informatic important.
72
3.2.2
3.2.3
Organizaiile mari produc adesea linii directoare de securitate, care stabilesc n detaliu standardele de securitate. Liniile directoare sunt menite s ajute personalul s traduc cerinele politicii de securitate ntr-un program de securitate pentru sistemele proprii. 3.2.4 Procedurile de operare pentru securitate (POS) iau forma unor manuale care ofer detalii cu privire la procedurile necesare pentru a sprijini programul de securitate. POS sunt deosebit de importante, ntruct multe msuri de securitate sunt ineficiente, cu excepia cazului n care personalul nelege i respect procedurile suport. Instruirea personalului i programele de contientizare sunt o parte esenial a infrastructurii de securitate. Organizaia ar trebui s includ instruiri pentru contientizarea n domeniul securitii, ca parte a iniierii personalului, i continuarea acestora cu cursuri de perfecionare la intervale regulate. Folosirea de afie, brouri i manuale poate consolida n continuare principalele elemente ale programului de securitate.
3.2.5
3.3
3.3.1
Limite
Prima etap n orice revizuire de securitate a sistemului informatic este de a stabili limitele sistemului supus revizuirii. Acest lucru poate fi realizat prin identificarea unei comuniti de utilizatori. n cazul n care exist o interaciune redus ntre sistemele informatice, este destul de uor ca utilizatorii ieirilor din sistem s poat fi identificai. n sistemele puternic integrate trebuie agreat o grani artificial, n scopul meninerii revizuirii la o scar rezonabil. Este important s se obin angajamentul managementului de vrf pentru revizuire i, n special, pentru a se asigura c acesta este de acord cu limitele propuse. n mod ideal, ar trebui s se nceap cu un model complet al informaiei din organizaie pe baza cruia s aib loc revizuirea. Acest model ar trebui s prezinte fluxul de informaii att n cadrul organizaiei ct i ntre organizaie i cei din afar. Acest model poate aciona ca baz pentru un program de securitate a sistemului informatic, care va acoperi toate sistemele cheie atunci cnd se va finaliza.
3.3.2
3.3.3 3.3.4
3.4
3.4.1
Echipa
Prima manifestare a angajamentului conducerii superioare privind sistemul de securitate a informaiilor ar trebui s fie instituirea unui Grup de securitate a sistemului informatic. Grupul de securitate trebuie s fie responsabil pentru implementarea politicii de securitate stabilite de ctre conducere i pentru identificarea modificrilor necesare, n contextul evoluiei sistemelor informatice ale organizaiei sau ameninrilor cu care se confrunt.
73
3.4.2
n cazul n care constatrile unei revizuiri trebuie s fie acceptate n ntreaga organizaie, este important s se asigure c echipa de securitate este construit, pe ct posibil, ca o seciune extins, transversal a organizaiei. Acest lucru este deosebit de important dac efectuai revizuirea din poziia unui consultant extern. Echipa de audit intern ar trebui s aib o nelegere profund asupra sistemelor informatice din cadrul organizaiei i va avea un rol important n garantarea faptului c recomandrile de securitate sunt implementate n mod eficient. Echipa de securitate poate fi capabil s foloseasc dosarele de lucru de audit intern pentru a nelege sistemele informatice din cadrul organizaiei, dar este puin probabil c membrii structurii de audit intern vor dori s joace un rol activ ntruct acest lucru ar compromite independena lor n etapa de revizuire. Utilizatorii unui sistem informatic au un rol cheie n explicarea modului n care sistemul funcioneaz i n valorificarea informaiilor obinute de la acesta. Cooperarea utilizatorilor este esenial pentru ca programul de securitate a informaiilor s fie implementat cu succes. Este mult mai probabil ca utilizatorii s accepte recomandrile privind securitatea, n cazul n care un membru influent al comunitii utilizatorilor este un membru al echipei. Reprezentantul utilizatorilor este, de multe ori, un ef de echip bun, pentru a da asigurri att conducerii, ct i utilizatorilor care sunt adesea profund suspicioi fa de rapoartele elaborate de "specialiti tehnici". n cazul n care sistemul informatic este puternic, atunci ar trebui s fie inclus n echip un analist de sistem, pentru a ajuta la explicarea modului n care funcioneaz sistemul informatic i pentru a consilia cu privire la o metod clar i consecvent de documentare a fluxurilor de informaii. Specialitii n securitatea calculatoarelor nu pot fi solicitai n cazul n care sistemul este simplu, dar pentru sisteme informatice complexe va fi nevoie de ajutorul lor, att n evaluarea ameninrilor la adresa sistemului, ct i n formularea contramsurilor.
3.4.3
3.4.4
3.4.5
3.4.6
3.5
3.5.1
Ameninri / Vulnerabiliti
Prima etap n evaluarea ameninrilor cu care se confrunt un sistem este de a stabili lanul de active care sunt implicate n furnizarea informaiilor, pentru fiecare utilizator major. Amintii-v obiectivele de securitate a informaiilor (de confidenialitate, integritate i disponibilitate) i gndii-v la toate punctele din sistem n care oricare dintre aceste obiective ar putea fi compromise. Lista activelor va fi mai lung pentru o aplicaie n reea dect pentru un calculator neconectat. Un procesor de texte funcional pe un calculator neconectat va fi vulnerabil prin ecran, imprimant, tastatur i prin orice dispozitiv de stocare, cum ar fi floppy discuri, benzi sau hrtie. Un sistem n reea ar putea fi vulnerabil n multe alte puncte, inclusiv terminale, imprimante, echipamente de telecomunicaii legate la reea, cabla jul reelei, discurile centrale i locale. Creai un formular pentru fiecare activ sau grup de active pe care le identifica i i apoi ntocmii o list a tuturor evenimentelor care ar putea compromite integritatea,
74
3.5.2
disponibilitatea sau confidenialitatea sistemelor informatice care sunt conectate la activ. Pentru fiecare eveniment va trebui s facei o estimare a probabilitii evenimentului care ar putea avea loc. Acest lucru poate fi foarte dificil, dac nu au existat evenimente n istoria sistemelor informatice ale organizaiei. Statistici actuariale12 din companiile de asigurri v pot ajuta s facei o estimare realist a frecvenei evenimentelor neobinuite. Indiferent de abordarea adoptat, va exista un element de incertitudine. nregistrrile din experiena trecut se refer numai la evenimentele detectate, privind securitatea sistemului; securitatea sistemului ar fi putut fi compromis, fr a fi fost detectate evenimente. n plus, nu exist nici o garanie c evenimentele vor avea loc cu aceeai frecven pe care au avut-o n trecut. 3.5.3 Raionamentul privind frecvena preconizat a evenimentelor care ar putea compromite securitatea sistemelor informatice joac un rol important n justificarea costurilor msurilor necesare pentru a proteja sistemul. Dac nu obinei angajamentul conducerii superioare privind strategia pe care o adoptai pentru evaluarea frecvenei evenimentelor, este puin probabil s obinei angajamentul acesteia cu privire la recomandrile formulate. Dac exist deja msuri puse n aplicare pentru a reduce probabilitatea ca sistemul informatic s fie compromis, ar trebui s luai not de ele i s facei o evaluare a costurilor anuale de meninere a acestora, precum i a efectelor pe care considerai c le vor avea asupra frecvenei evenimentelor care ar putea afecta n mod negativ sistemele informatice. Aceste informaii pot fi folosite mai trziu pentru a decide dac msurile existente ar trebui nlocuite cu altele mai eficiente.
3.5.4
3.6
3.6.1
Evaluare
Analiza ameninrilor i vulnerabilitilor sistemului se finalizeaz cu o list de evenimente care ar putea afecta negativ sistemul informatic. Ar fi trebuit s convenii o frecven ateptat pentru fiecare eveniment. Urmtoarea etap este discutarea impactul fiecrui eveniment cu utilizatorii. Valorile pe care utilizatorii le identific pentru impactul fiecrei ameninri vor fi utilizate ca parte a justificrii costurilor msurilor de securitate. Este important ca efectele s poat fi exprimate n termeni financiari i s fie evaluate pe o baz consistent. Multe efecte care pot rezulta din compromiterea unui sistem informatic nu au un impact financiar direct. n aceste cazuri este necesar s se construiasc scale care pot fi folosite pentru a traduce impactul non-financiar n termeni financiari. Distribuiile pe o scal cheie a pierderilor financiare ar putea arta ca mai jos:
3.6.2
3.6.3
12
75
Pierdere13 10m+ (14 4m-10m 2m-4m 1m-2m 500,000-1m 250,000-500,000 100,000-250,000 50,000-100,000 10,000-50,000 1,000-10,000
Puncte 10 9 8 7 6 5 4 3 2 1
3.6.4 O alt scal aplicabil s-ar putea referi la siguran personal: Rezultat Pierderi de mai mult de 100 de viei Pierderi de mai mult de 50 de viei Pierderi de mai mult de 25 de viei Pierderi de mai mult de 10 viei Pierderi de mai mult de 5 viei Pierderi ntre 1-5 viei Pierderea unei viei Pierderea vederii sau a mai mult de 2 membre Pierderea unui membru sau a auzului Prejudicii minore 3.6.5 Puncte 10 9 8 7 6 5 4 3 2 1
Scalele de mai sus sunt cu titlu de exemplu. Ar putea fi construite mai mule, cum ar fi: rspunderea juridic, disconfort politic i ntreruperi organizaionale. Scalele pe care le construii ar trebui s fie n concordan unele cu altele i ar trebui s le acopere pe toate cele cu impact semnificativ care ar putea rezulta din pierderi ale sistemelor informatice ale organizaiei. Dup ce scalele au fost convenite cu managementul de vrf, putei trece la intervievarea utilizatorilor sistemelor informatice. Ar trebui s le cerei s ia n considerare impactul fiecruia dintre evenimentele identificate n timpul analizei ameninrilor / vulnerabilitilor. Ei pot fi capabili s identifice impactul pentru mai multe scale. Fii ateni pentru a evita dublarea calculului. Dac distrugerea de informaii ar putea duce la pierderea unei viei i acest lucru ar putea conduce la un caz n instan cu daune de 100.000 care trebuie acordate, dar
3.6.6
13
n acest document, simbolul lira sterlin poate fi substituit cu orice unitate monetar naional. Domeniile de scar se pot adapta la moneda fiecrei ri iar nivelele de semnificaie pot fi convenite.
14
76
numai 5.000 alte cheltuieli, atunci ar trebui s nscriei 4 pe scara de siguran personal, care ar fi echivalat cu o valoare de 175,000 pe scara pierderilor financiare. Adugarea de alte cheltuieli de 5000 la aceste valori, va conduce la o pierdere total, n termeni financiari de 180,000 , echivalent cu un scor total de 4 pe scara pierderilor financiare. 3.6.7 Cnd ai intervievat utilizatorili cheie ai sistemului, ai avut o serie de scoruri. Scorurile ar putea avea nevoie s fie ajustate de ctre managementul de vrf, n cazul n care impacturile identificate de ctre utilizatori sunt considerate nerezonabile. Scorul pentru un eveniment poate fi apoi stabilit prin compilarea unei liste a tuturor impacturilor identificate de ctre utilizatori pentru fiecare eveniment.
3.7
3.7.1
Cerina de securitate
Cerina de securitate este o declaraie care exprim ct de mare este valoarea cheltuielilor pentru protecia fiecrui activ n sistem. Acest lucru este derivat din evaluarea i frecvena evalurilor pentru fiecare eveniment advers. Evalurile utilizatorului ar trebui s fie transformate n valori financiare, prin utilizarea punctului de median al scalei financiare. Frecvenele ar trebui s fie exprimate n termenii numrului de ori n care evenimentul este de ateptat s apar n fiecare an. Acesta va fi mai mic dect unu, n cazul n care un eveniment este rar. Colectai toate efectele identificate de ctre utilizatori pentru fiecare eveniment i excludei dublurile. Dac adugai apoi valorile financiare ale impacturilor i nmulii cu frecvena evenimentului vei obine ateptarea privind pierderile anuale (APA), pentru un eveniment particular, care afecteaz un activ particular. Calculul APA trebuie s fie repetat pentru fiecare eveniment care ar putea afecta negativ, n mod semnificativ, fiecare activ care este conectat la oricare dintre sistemele informatice n curs de revizuire. Atunci cnd acest proces a fost finalizat, activele pot fi sortate dup APA. Lista sortat ar trebui s constituie baza pentru un plan de aciune pentru dezvoltarea programului de securitate.
3.7.2
3.8
3.8.1
Contramsuri
Cerina de securitate va evidenia activele care reprezint un risc semnificativ pentru confidenialitatea, integritatea sau disponibilitatea sistemelor informa tice n curs de revizuire. Contramsurile sunt msurile luate pentru a reduce frecvena ameninrilor asupra activelor sistemului informatic sau a impactului, atunci cnd apar ameninri. Ar trebui s ncepei prin instalarea contramsurilor pentru a proteja activele cu cea mai mare APA. Luai n considerare msurile care ar putea fi aplicate pentru a reduce frecvena sau impactul evenimentelor cu potenial de a avea cel mai mare impact. Detectai costurile acestora, inclusiv cele cu formarea, ntreinerea i perturbaiile pe care le-ar putea cauza. Dup ce ai evaluat msurile care pot fi introduse , evaluai reducerea APA care ar fi de ateptat s fie atins.
77
3.8.2
3.8.3
O singur contramsur, cum ar fi introducerea unui agent de paz la intrarea n locaie, poate reduce APA asociat cu multe evenimente care ar afecta un numr mare de active. Va trebui s v asigurai c toate beneficiile asociate msurii sunt reflectate n cazul introducerii fiecrei msuri. Pentru fiecare contramsur pstrai o list a impactului evenimentelor/activelor ale cror APA sunt afectate i amploarea schimbrilor preconizate. Odat ce ai identificat contramsurile care ar reduce cel mai mare APA la nivelul urmtorului APA, ar trebui s comutai atenia la urmtorul eveniment / activ din list. De fiecare dat cnd selectai o contramsur, va trebui s adaptai indicatorii APA la orice alte evenimente / active, care sunt afectate de contra msur. Pe msur ce v deplasai n jos n list, valorile APA rmase vor fi tot mai mici. Ar trebui s v oprii atunci cnd APA rmase sunt sub pragul pe care credei c l va accepta managementul. Recomandrile pentru management ar trebui s evidenieze acele contramsuri care dau cea mai mare reducere APA la cel mai mic cost. Managementul poate decide s accepte riscul oricrui eveniment care afecteaz orice activ din sistemul informatic, dar ar trebui s fac acest lucru n mod explicit, prin prisma analizei APA, astfel nct s fie contient de amploarea riscurilor pe care le accept. Dac managementul decide s nu implementai o contramsur, atunci va trebui s reajustai lista APA, utiliznd lista de impact pentru contramsur.
3.8.4 3.8.5
3.8.6
3.9
3.9.1
Administrarea securitii
Odat ce o list de msuri de contracarare a fost agreat, acestea vor trebui s fie transferate n programele de securitate i procedurile de securitate operaionale. Grupul de securitate a sistemului informatic ar trebui s fie responsabil pentru implementarea contramsurilor selectate. Auditul intern ar trebui s revizuiasc documentele de lucru privind evaluarea i gestionarea riscurilor i s monitorizeze implementarea i eficacitatea contramsurilor selectate. Programul i procedurile de securitate vor trebui s fie actualizate pentru a ine seama de schimbrile intervenite n mediul de securitate i al sistemelor informatice. Grupul de securitate a sistemului informatic ar trebui s se informeze cu privire la evoluiile din domeniul securitii sistemul informatic i s fie informat cu privire la toate evoluiile semnificative n sistemele informatice ale organizaiei. Acesta ar trebui s monitorizeze n permanen necesitatea actualizrii programului de securitate.
3.9.2
3.9.3
78
Glosar succint
Terminologia referitoare la riscul privind securitatea poate varia foarte mult n funcie de diferite coli de gndire. n mod similar, n funcie de metodologia utilizat, impactul i vulnerabilitile pot fi evaluate n prezena unor protecii existe nte sau n absena oricror protecii.
15
79