Dodaj nowy
  Najnowsze
  Wyróżnione
RSS   Śledź przez RSS

Komentarze:

  • ~Radek Kaczorek

    Wydaje się, że pojęcie audyt zostało użyte w niewłaściwym kontekście. Jako, że audytorem jestem od wielu lat pozwolę sobie na komentarz. Rzecz pierwsza i podstawowa jest taka, że rolą audytu w znaczeniu użytym w artykule jest ocena skuteczności procesów zarządzania. Robi się to przez ocenę procesów zarządzania i dokumentacji, ale i ocenę działania tych procesów. Oznacza to że prawdziwy audyt nie skupia się wyłącznie na dokumentacji, a certyfikatów nie przyznaje się za to, że stosowane procedury są w jak najlepszym porządku tylko za to że są w porządku i działają. Takie podejście jest wymagane przez międzynarodowe standardy audytu (np. IIA, ISACA) obowiązujące wszystkich profesjonalnych audytorów.
    Warto przy tym zauważyć, że dobre procedury, które działają powinny zapobiegać sytuacjom, o których pisze autor. Bałagan w danych jest skutkiem źle zaprojektowanych, albo nie działających procedur. Podobnie jak problemy związane z odejściem pracownika. Dobre procedury powinny zapewniać uniezależnienie działania procesu od pracownika i jego wiedzy. Przykładowo osoba zastępująca kolegę, która przenosi dane na swój komputer ewidentnie działa niezgodnie z procedurą. Co więcej procedura i zastosowane w niej środki pozwalają na to, żeby skopiować dane które powinny być chronione, a na to ktoś albo pozwolił albo nie zadbał o odpowiednią ochronę. W przypadkach użytych jako przykłady nie ma szans na jakąkolwiek certyfikację. To są zwyczajnie błędy w zarządzaniu i żaden audytor nie poświadczy, że są zgodne z jakimkolwiek standardem czy normą (w przypadku zarządzania bezpieczeństwem informacji ISO 27001) albo dobrymi praktykami. Jeśli jest inaczej to takiego audytora trzeba pozwać do sądu za niedochowanie staranności zawodowej.
    Zupełnie odmienną sprawą jest to, że w artykule używa się pojecia audyt w kontekście „sprawdź, gdzie żyją Twoje dane”. Niewątpliwie jest to rodzaj analizy ale z audytem nie ma nic wspólnego. Analiza taka może być dobrym przykładem na kontroli zarządczej polegającej na wykrywaniu odchyleń od procedur przetwarzania danych. Z wyników takiej analizy trzeba umieć też skorzystać. Największa ich wartość to możliwość wyciągnięcia wniosków i wprowadzenie zmian w kontroli zarządczej np. przez dodatkowe mechanizmy zapobiegające powtórzeniu się takiej sytuacji w przyszłości. O tym natomiast managerowie często zapominają. A systemy zarządzania trzeba utrzymywać i konserwować jak każdą maszynę. Czasem trzeba poprawić żeby działało dobrze.
    Dlatego właśnie audyt zarządzania bezpieczeństem informacji nie jest sztuką dla sztuki. Akceptowanie źle wykonanego audytu takie jest, bo traktowanie audytu jako szansy otrzymania laurki a nie wykorzystanie go jako narzędzia zarządzania jest sztuką dla sztuki. Jako audytor bardzo żałuję, że tak niewielu polskich managerów umie skorzystać z audytu jako narzędzia zarządzania. Niestety nadal pokutuje u nas postrzeganie audytu jako kontroli która może przynieść konsekwencje, a nie sposobu na poprawę działania i pomoc w zrozumieniu ryzyka. Jest coraz lepiej więc nie tracę nadziei.

    21-11-2011, 01:32

    Odpowiedz
    odpowiedz
Brak danych. Sprawdź później :)
RSS  
Chwilowo brak danych. Sprawdź później :)


« strona główna  -  do góry ^

Stopka 

© 1998-2026 Dziennik Internautów Sp. z o.o.

Partnerzy 

Autobaza.pl