Calitatea de membru ISACA expiră la data de 31 decembrie a anului calendaristic.

Plata cotizaţiilor de membru trebuie efectuată anual până la data de 15 ianuarie.

Facturile pentru reînnoirea calităţii de membru sunt pregătite şi trimise prin poştă de către sediul central ISACA International la începutul lunii octombrie. Pentru cei care nu şi-au reînnoit statul până la data de 15 ianuarie, la sfârşitul acestei luni sunt trimise facturile iniţiale iar facturile finale la mijlocul lunii martie.

La finalul lunii aprilie se pierde calitatea de membru ISACA.

ISACA va continua să accepte reînnoiri până la data de 31 mai, dar acestea nu vor mai fi procesate on-line. În cazul în care un membru îşi reînnoieşte statutul după această dată (doar prin excepţie ISACA acceptă reînnoiri după 31 mai) trebuie să trimită plata, prin telefon, fax sau e-mail.

În luna mai, este transmis către membrii care nu şi-au reînnoit statutul un sondaj de părăsire a Asociaţiei.

După data de 1 Iunie, reînnoirea calităţii de membru se face conform calendarului şi tarifelor aplicabile noilor membri.

Gain Insight on Pressing Identity and Access Management Topics

Join ISACA on Tuesday, 25 October 2011 for this month’s FREE, live eSymposium: A Holistic Approach to Identity and Access Management.  Identity and access management continues to be a rising concern among enterprises. Our industry experts will analyze a variety of issues ranging from identity theft, identity and access management in the cloud, automation of access authority, and the next generation of identity systems. Earn up to 3 continuing professional education (CPE) hours.  Register to hear our experts discuss these crucial topics and answer your questions live!

ISACA eSymposium:  A Holistic Approach to Identity and Access Management
Date: Tuesday, 25 October 2011
Time: 11:00 AM – 2:00 PM EDT / 15:00 – 18:00 UTC

Click here to register and for a complete program overview.

eSymposium Frequently Asked Questions (FAQs)
All live events are archived for on-demand viewing. Detailed information on the ISACA eSymposium—including registration information, on-demand (archive) viewing instructions, and an explanation of CPE credits—can be found by visiting the ISACA web site.

Best Regards,
The ISACA eLearning Team

Pe noul site isaca.ro, autentificarea se face prin intermediul unui plugin care interoghează un set de servicii web (webservices) puse la dispoziție de ISACA International special pentru acest scop. Prin intermediul acesui modul, site-ul isaca.ro preia credențialele pe care le furnizați pe isaca.ro și le verifică (pre-criptate și prin conexiune ssl) cu un serviciu web furnizat de isaca.org. Răspunsul primit de la isaca.org conține atât confirmarea credențialelor, cât și confirmarea apartenenței la chapter și alte câteva date suplimentare pe care modulul nostru le preia și le folosește pentru a vă crea profilul de membru pe isaca.ro (adresa email, nume, designation, etc). Credențialele sunt păstrate (metoda cache) și local, în baza de date, doar sub formă de hash, pentru a permite autentificarea locală atunci când serviciul web al isaca.org nu ar fi funcțional.

Principalul avantaj este eliminarea completă a necesității de înregistrare și verificare manuală locală, sistemul permițând acum accesul membrilor instantaneu, fără preînregistrare, preaprobare sau validare, așa cum făceam pe site-ul vechi.

Mai mult, având în vedere că accesul autentificat (automat) la site este permis doar membrilor ISACA “in good standing”, putem să publicăm materialele desemnate “doar pentru membri site-ului” care sunt practic accesibile astfel doar membrilor verificați implicit ai Asociației.

Acest material este accesibil oricărui vizitator al site-ului, dar vă invităm să vă spuneţi părerea pe un material separat, adresat şi vizibil exclusiv membrilor, evident numai după ce v-aţi autentificat în prealabil în site.

Dacă aveţi dificultăţi cu accesul la site vă invităm să ne contactaţi la adresa de contact isaca.ro cu detalii cât mai precise asupra problemelor întâlnite.

Avem companii “certificate” în varii sisteme/domenii, avem şi oameni “certificaţi”. Cu certificare sau fără, ştim/cunoaştem întotdeauna despre un subiect ceea ce credem că ştim/cunoaştem?

Vă întreb: care este beneficiul real al unei certificări? Bacalaureatul este o “certificare”? Dar licenţa? Există o diferenţă fundamentală între “certificări”? Dar o carte citită şi înţeleasă poate fi o ”certificare”?

Ce am învăţat din prima experienţă legată de o certificare? În primul rând, ca la orice curs, am fost obligat să urmez o structură. Să învăţ după o abordare structurată şi nu după nevoile mele de moment. În al doilea rând am descoperit că ”nu ştiam”. Prin urmare mi-am umplut “goluri” de cunoaştere. Nu mi-a plăcut însă prea mult. Cea mai mare parte a întrebărilor a făcut apel la memorie. E firesc dacă mă gândesc că era vorba de sarcini exacte, bine definite, pe care trebuie să le execuţi. Prima mea certificare a fost “tehnică”.

Mai important mai “valoros” decât examenul de certificare consider însă a fi “procesul de pregătire”: cum înveţi şi mai ales ce înveţi. Există însă certificări în care apar trei elemente noi pe lângă promovarea examenului de testare a cunoștințelor: aderarea la un Cod de etică profesională; dovedirea unui număr de ani de experiență practică; un proces de educare profesională continuă după obținerea certificării.

 Certificările ISACA sunt certificări profesionale. Sunt instrumente prin care fiecare dintre noi își îmbunătățește “profesionalismul”. Şi ţine doar de resorturile noastre interne dacă dorim să respectăm “profesia”.

În baza prevederilor art. 2 şi art. 7 alin. (1) şi (10) din Statutul Comisiei Naţionale a Valorilor Mobiliare adoptat prin OUG nr. 25/2002, aprobată şi modificată prin Legea nr. 514/2002, cu modificările şi completările ulterioare,

în temeiul Hotărârilor Parlamentului României nr. 69/12.09.2007, nr. 71/03.10.2007 şi nr. 2/14.01. 2010,

având în vedere prevederile Regulamentului CNVM nr.5/2010 privind utilizarea sistemului de conturi globale, aplicarea mecanismelor cu și fără prevalidarea instrumentelor financiare, efectuarea operațiunilor de împrumut de valori mobiliare, a celor de constituire a garanțiilor asociate acestora și a tranzacțiilor de vânzare în lipsă, cu modificările și completările ulterioare;

având în vedere prevederile Instrucţiunii C.N.V.M. nr.2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare, cu modificările şi completările ulterioare;

având în vedere adresa Asociației Administratorilor de Fonduri din România, înregistrată la C.N.V.M sub nr. 27980/20.09.2011;

în cadrul şedinţei din data de 27.09.2011, Comisia Naţionala a Valorilor Mobiliare, dispune:

• Art.1. Se suspendă aplicarea prevederilor Instrucțiunii nr. 2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Națională a Valorilor Mobiliare, cu modificările și completările ulterioare, până la 31 martie 2012.
• Art. 2. Se suspendă aplicarea Dispunerii de măsuri a C.N.V.M. nr. 19/29.11.2010, până la 31 martie 2012.
• Art. 3. Rapoartele de audit IT transmise la C.N.V.M. de entitățile autorizate, reglementate și supravegheate de C.N.V.M. în conformitate cu Instrucțiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Națională a Valorilor Mobiliare, cu modificările și completările ulterioare și cu Dispunerea de măsuri a C.N.V.M. nr. 19/29.11.2010 își păstrează valabilitatea.
• Art.4. Prezenta dispunere de măsuri intră în vigoare la data publicării acesteia în Buletinul electronic al C.N.V.M. pe site-ul www.cnvmr.ro

PREŞEDINTE,

Prof. univ. dr. Gabriela ANGHELACHE

Aceste cursuri interactive vă vor oferi informaţiile şi resursele necesare pentru a vă pregăti în vederea certificărilor de mai sus. Cursurile vor include studii de caz, discuţii interactive orientate pe informaţiile necesare pentru pregătirea candidaţilor pentru examenele de certificare CISA, CISM şi CRISC şi vor dura 3-4 zile.

Dacă doriţi să participaţi la unul din aceste cursuri, vă rugăm să ne transmiteţi prin e-mail intenţia de participare la adresa cont…@isaca.ro până la data de 31 octombrie 2011.

Vă rugăm să includeţi în cererea dumneavoastră: numele, membership ID (daca sunteți membru), funcția/compania, adresa de contact şi numărul de telefon.

Pentru mai multe detalii legate de cursurile de mai sus îi puteţi contacta direct pe membrii din conducerea ISACA RO responsabili cu organizarea acestor cursuri:

CISA – Andrei Ionescu, CISA Coordinator andr…@isaca.ro

CISM – Catalin Ţigănilă, CISM Coordinator cata…@isaca.ro

CRISC – Mircea Costache, Education Chair mirc…@isaca.ro

NOTĂ:  În cazul în care nu vor fi suficiente cereri de înscriere pentru un anumit curs, există posibilitatea de a renunţa la organizarea cursului respectiv.

Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (en. ENISA) este o agenţie Europeană, un centru de excelenţă, pentru statele membre şi instituţiile europene, ce activează în domeniul securităţii rețelelor și a datelor. Agenţia facilitează contacte între instituțiile europene, statele membre precum si actori din zona privată, şi industrie.

În cursul acestui an ENISA a lansat o ediţie on-line actualizată a “Rapoartelor de ţara” cu privire la securitatea reţelelor şi a datelor (en. NIS – Network and Information Security). “Rapoartele de ţară” oferă o privire de ansamblu unică a peisajului actual al securităţii reţelelor şi datelor, în cele 27 de state membre ale UE şi cele trei ţări din Spaţiul Economic European (SEE: Islanda, Liechtenstein şi Norvegia).

Publicaţia constată că ţările europene prezintă o structura foarte variată în modul în care acestea sunt pregătite să răspundă criminalităţii informatice şi atacurilor informatice. Actualizate şi extinse pentru această a treia ediţie, “Rapoartele de ţară” oferă o imagine de ansamblu şi rapoarte detaliate, separat privind cele 30 de ţări menţionate mai sus.

Aceste rapoarte oferă o prezentare generală a principalelor activităţi cu privire la securitatea reţelelor şi a datelor, interacţiunile părţilor interesate, mecanisme de schimb de informaţii, platforme de cooperare, tendinţe, bune practici, studii de caz şi date specifice pentru fiecare ţară în parte. Fiecare raport naţional evidenţiază arii ca: strategia de ţară privind securitatea reţelelor şi a datelor,  cadrul legal de reglementare şi politicile importante, principalele părţi interesate şi a mandatului lor precum şi roluri şi responsabilităţi pe plan naţional cu privire la securitatea reţelelor şi a datelor.

O constatare generală sugerează că majoritatea ţărilor fac eforturi majore în realizarea de progrese în acest domeniu. Cazurile de succes cu privire la securitatea reţelelor şi a datelor – în domenii precum gestionarea incidentelor de securitate şi raportarea lor, managementul riscului,  rezilienţa reţelei, confidenţialitate şi încredere, creşterea gradului de conştientizare – sunt prezentate ca sursă de inspiraţie pentru alţii.

Mai multe detalii pe site-ul ENISA.

În cursul acestui an, ISACA International Chapter Support Committee a felicitat ISACA România pentru pagina de internet şi a oferit filialei noastre distincția de bronz pentru anul 2010 în clasamentul internațional.

Distincțiile sunt acordate site-urilor exemplare care urmăresc “cele mai bune practici” ISACA, conformitate, comunicarea informaţiei, serviciile pentru membri, noutăţi, cât şi alte prezentări.

În fiecare an ISACA International Chapter Support Committee revizuiește toate paginile web care sunt legate de website-ul ISACA International.

Pe parcursul evaluării website-ul ISACA Romania a obținut un punctaj maxim la prezentarea beneficiilor pe care le au membrii organizației şi prezentarea evenimentelor organizate de Filiala locală. Ariile care necesită îmbunătățire sunt cele care fac referire la serviciile oferite: articole, facilităţile de download, newsletter, etc.

Pentru acest an, ISACA Romania a pregătit noua versiune a paginii web locale isaca.ro pentru a răspunde mai bine nevoilor membrilor, cerinţelor ISACA și care să aducă mai aproape, informații și date de interes tuturor vizitatorilor website-ului.

eSymposia este o serie de evenimente online, interactive şi gratuite pentru membri ISACA. În cadrul acestor întâlniri virtuale sunt adresate o serie largă de subiecte de interes pentru comunicate.

La sfârşitul sesiunii, participanţii au ocazia să adreseze întrebari prezentatorului şi să rezolve un mic test pentru obţinerea celor 3 credite CPE.

Nu pierdeţi evenimentul eSymposia din 25 Octombrie 2011, care se desfăşoara între 18.00 şi 21.00 ora României.

ISACA eSymposia: A Holistic Approach to Identity and Access Management

Data:  25 Octombrie 2011

Ora:   18:00-21:00 (Romania)

Benefits: 3 CPE Credits

 Click aici  pentru a va înregistra la acest eveniment.

De exemplu, atât auditorii interni cât şi cei externi caută să identifice care sunt pierderile materiale sau erorile din cadrul raportărilor financiare ca urmare a neregulilor descoperite în cadrul sistemului auditat. Orice afirmaţie făcută de auditor trebuie însă susţinută de probe sau dovezi. Datorită naturii testelor la care se face apel, există riscul ca CISA să eşueze în încercarea de a identifica erorile reale sau potenţiale din cadrul sistemului. Acesta este riscul auditării.

AICPA, organizaţia ce grupează auditorii externi din SUA, a elaborat în 1988 un model de calcul al riscului auditării[1]:

RA = RI * RC * RD, unde

RA= riscul auditării/de audit;

RI= riscul inenrent;

RC=riscul controlului;

RD=riscul detectării.

Acest model rămîne valabil şi în cazul auditului sistemelor informaţionale[2]. În manual de pregătire pentru examenul CISA se menţionează că auditorul de sisteme informaţionale trebuie să estimeze riscul de audit pentru a aloca în mod corespunzător resursele în timpul misiunii.

Riscul inerent reprezintă disponibilitatea unei zone supusă auditării de a conţine erori pornind de la ipoteza că nu există controale interne. Erorile pot fi materiale, individuale sau orice altă combinaţie posibilă.

De exemplu, riscul inerent asociat securităţii sistemului de operare de pe un server de baze de date este mare atît timp cît modificarea sau divulgarea datelor ca urmare a speculării eventualelor bug-uri/configurări greşite pot să aibă ca efect pierderea avatajului deţinut de organizaţie pe piaţă. Dacă în schimb discutăm de o staţie de lucru, acest risc poate fi considerat redus atît timp cît respectiva staţie nu rulează aplicaţii considerate critice pentru organizaţie.

Atât timp cât erorile potenţiale din cadrul unei singure componente a sistemului informaţional se pot propaga în întreaga organizaţie şi asupra tuturor utilizatorilor, în majoritatea sistemelor informaţionale acest risc este considerat ridicat.

În evaluarea riscului inerent, auditorul trebuie să aibă în vedere atât controalele considerate dominante[3] în zona supusă auditării cât şi pe cele de detaliu/fond[4]. Excepţie de la această abordare face situaţia în care evaluarea auditorului vizează în exclusivitate controalele dominante din cadrul sistemului. În ceea ce priveşte controalele dominate ce acţionează în zona supusă evaluării, auditorul trebuie să aibă în vedere :

• integritatea, experienţa şi cunoştinţele conducătorilor compartimentului de specialitate;
• schimbările intervenite la nivelul conducerii compartimentului;
• presiunile la care sunt supuşi managerii acestui compartiment (termenele “strânse” ale proiectelor în derulare etc.);
• domeniul de activitate al organizaţiei şi natura sistemului informaţional (planuri privind trecerea la comerţul electronic, soluţii ERP sau lipsa acestora etc);
• factori care afectează domeniul tehnologiilor informaţionale la scară mondială (apariţia unor tehnologii noi, lipsa specialiştilor care să deţină noile cunoştinţe);
• gradul de influenţă al terţilor asupra controalelor (outsourcing, accesarea directă a sistemului de către clienţi/terţi);
• disponibilitatea informaţiilor din auditările precedente.

La nivelul controalelor detaliate/de fond, auditorul trebuie să ţină cont de :

• complexitatea sistemului;
• nivelul intervenţiilor manuale în sistem;
• disponibilitatea la pierderi sau furt a componentelor controlate de către sistem (evidenţa stocurilor, salarizarea);
• apariţia perioadelor de vârf în timpul auditării (închiderile de lună).

Riscul controlului reprezintă riscul ca o eroare care poate să apară în zona supusă auditării să nu fie prevenită sau detectată şi corectată de către sistemul de control intern într-o perioadă rezonabilă de timp.

De exemplu, riscul pe care îl implică revizia manuală a jurnalelor sau a tabelelor de audit realizate de un server Oracle va fi considerat mare datorită volumului mare de informaţii înmagazinate în aceste jurnale şi a uşurinţei cu care se greşeşte în aceste situaţii. Pe de altă parte riscul controlului asociat procedurilor formalizate de validare a datelor este considerat redus datorită continuităţii acestui control şi a testelor efectuate anterior dării în exploatare a aplicaţiei.

Auditorul va atribui cel mai mare nivel riscului controlului cu excepţia situaţiilor în care:

• au fost identificate controale interne relevante;
• aceste controale au fost evaluate ca fiind în funcţiune;
• controalele au fost testate şi s-a dovedit că funcţionează în mod corespunzător.

 Riscul detecţiei reprezintă riscul ca un test independent/de fond efectuat de către auditor să nu detecteze o eroare care există în zona supusă auditării.

De exemplu, riscul detecţiei asociat identificării punctelor slabe ale securităţii unei aplicaţii va fi mare atât timp cât logurile/jurnalele pentru întreaga perioadă supusă auditării nu vor fi disponibile în totalitate în momentul efectuării verificării. Pe de altă parte, riscul detecţiei asociat identificării existenţei unui plan de refacere în caz de dezastre, va fi considerat redus atât timp cât existenţa acestui document este uşor de verificat.

Pentru a determina numărul testelor independente/de fond care trebuie efectuate, auditorul trebuie să ţină cont de:

• nivelul la care a fost evaluat riscul inerent;
• concluziile la care a ajuns în urma efectuării testelor de conformitate.

Aici mai intervine şi riscul eşantionării/noneşantionării. Riscul auditului este invers proporţional cu ceea ce statistica definişte ca fiind gradul de încredere. Un risc de acceptare incorectă de 5% este echivalent cu a spune că a fost asociat un grad de încredere de 95%. Altfel spus, ca auditor pot afirma că sunt 95% sigur că eşantionul analizat reprezintă populaţia sau că există o şansă de 5% ca eşantionul să nu reprezinte populaţia.

În concluzie, putem spune că, dacă riscul inerent şi riscul controlului au fost evaluate la un nivel mare, atunci auditorul trebuie să obţină cât mai multe probe prin efectuarea testelor independente/de fond!

[1] Accounting Principles and Auditing Standards

[2] IS Audit Guidelines – www.isaca.org/ Standards & Guidelines

[3] Controalele dominate sunt controalele generale, proiectate cu scopul de a administra şi a monitoriza sistemul informaţional şi care afectează toate activităţile acestuia

[4 ]Controalele detaliate sunt controalele efectuate asupra achiziţiei/dezvoltării, implementării şi întreţinerii sistemului informaţional. În componenţa lor intră controalele aplicaţiilor şi controalele generale care nu sunt considerate dominante.