REVISTA CARIERE, NO. 279, AUGUST 2022 REVISTA CARIERE, NO. 279, AUGUST 2022 Citește-te acum
Cover Story

Chestionar Sarbanes-Oxley

iulie 14, 2004 00:00
▪ de
Continuam prezentarea catorva intrebari si problematici din cadrul chestionarului COBIT, pe care fiecare organizatie il poate urmari pentru a obtine o imagine preliminara a infrastructurii de control IT si pentru a identifica problemele si slabiciunile din cadrul acesteia. Chestionarul complet este disponibil pe site-ul de Internet al ISACA www.isaca.org

Monitorizare. (Monitoring)

Sunt identificate doua tipuri de activitati de monitorizare: monitorizare continua si evaluari separate. Acestea din urma pot include urmatoarele tipuri de activitati:

  • audit intern;
  • audit extern;
  • evaluari de atacuri si penetrari ale sistemului de securitate intern si extern;
  • analize independente de performante si capacitate.

Monitorizarea continua presupune urmatoarele tipuri de activitati:

  • monitorizarea centralizata a operatiunilor IT;
  • monitorizarea centralizata a sistemelor de securitate;
  • identificarea controalelor slabe si corectia acestora;
  • supervizarea personalului IT.

Exista dezvoltata documentatie pentru toate procesele, activitatile si controalele IT semnificative? Este aceasta periodic revizuita?

Aceasta este una dintre responsabilitatile managementului IT, ignorata partial in anumite organizatii. La modul ideal, fiecare proces IT ar trebui sa fie documentat sub forma unor proceduri, care sa descrie cat mai detaliat obiectivele, responsabilitatile, operatiunile si succesiunea acestora etc. Unui salariat nou ii va fi destul de greu sa se familiarizeze si sa utilizeze o aplicatie dezvoltata local, in lipsa unui manual de utilizare si a descrierii procedurilor de lucru. In aceeasi maniera, un programator proaspat angajat pentru actualizarea si intretinerea aceleiasi aplicatii dezvoltate in-house, va intampina serioase dificultati in intelegerea codului sursa, in lipsa documentatiei. In plus, documentatia IT trebuie sa fie periodic revizuita, iar modificarile survenite in cadrul proceselor IT, semnalate in cadrul acesteia. O organigrama a retelei neactualizata cu noii parametrii de securitate poate fi inselatoare pentru Security Officer sau pentru evaluarea implementarii unui nou subsistem informatic.

Exista un plan de mentinere si urmarire a calitatii referitor la activitatile IT? Este acesta adresat atat cadrului si proceselor generale IT, cat si proiectelor specifice sau dedicate?

Planul de calitate specifica in mod clar activitatile de control care trebuie efectuate pentru a satisface cerintele si obiectivele?

Pentru a verifica parametrii de calitate ai proceselor si activitatilor IT, firmele apeleaza in general la auditori externi specializati. Organizatiile extinse includ in cadrul departamentului de Audit Intern, personal specializat IT in masura sa evalueze incadrarea parametrilor de calitate. Este greu de crezut ca personalul responsabil cu calitatea va avea competenta necesara sa auditeze de pilda implementarea corecta a firewall-ului extern si configurarea routerelor. El va putea insa sa evalueze foarte corect respectarea procedurilor zilnice de monitorizare a logurilor din firewall, cat si orice alt set de proceduri si politici interne IT.

Informatiile si fisierele de date au fost identificate si clasificate? Au fost identificati proprietarii datelor? Au fost setate responsabilitatile asupra integritatii datelor?
/ Managementul IT monitorizeaza performantele si nivelul de capacitare a sistemelor informatice si retelei?

Monitorizarea performantelor si nivelul de capacitare a sistemelor informatice reprezinta una dintre activitatile importante ale departamentului IT, mai ales prin impactul pe care il poate avea scaderea acestora. Imaginati-va un server de fisiere cu hardurile pline intr-o zi de inchidere de bilant contabil sau o aplicatie mare consumatoare de resurse a carei baza de date a „crapat” datorita lipsei de spatiu, a memoriei de lucru insuficiente sau a unui procesor prea lent.

Exista o procedura prin care managementul IT sa contrabalanseze in timp util scaderea parametrilor de performanta sau a capacitatilor retelei?

O arhitectura modularizata si flexibila, coroborata cu o planificare eficienta a resurselor, ar trebui sa permita unui administrator sa corecteze rapid scaderea parametrilor de performanta. Un upgrade de memorie planificat din timp sau adaugarea unui procesor ar trebui sa fie previzionate prin analizarea si urmarirea continua a „thread”-urilor si a testelor tipice de „benchmark”.

Sunt luate in calcul planificarea si capacitarea resurselor in cadrul fazelor de proiectare si design al sistemelor?

Achizitionarea unui sistem de aplicatii fara a se analiza parametrii hardware minimali, capacitatea comunicatiilor sau necesitatile de securitate poate induce riscuri majore ca aceasta sa nu fie functionala.

Organizatia monitorizeaza schimbarile survenite in cadrul legislativ referitoare la practicile si controalele IT?

Exista in cadrul organizatiei un departament cu functiuni de evaluare si audit al proceselor IT?

Planul de audit se bazeaza pe o analiza a riscurilor potentiale induse de IT. Acopera acesta toate ariile de audit IT (control general, control de aplicatii, standarde de dezvoltare de aplicatii etc)?

In cazul implementarii unor noi sisteme financiare, care au legatura cu sistemul de raportare financiar, managementul IT ia in considerare si o opinie independenta inainte de implementare?

Articole de acelasi autor
REVISTA CARIERE, NO. 279, AUGUST 2022 REVISTA CARIERE, NO. 279, AUGUST 2022 Citește-te acum