Chestionar Sarbanes-Oxley
Monitorizare. (Monitoring)
Sunt identificate doua tipuri de activitati de monitorizare: monitorizare continua si evaluari separate. Acestea din urma pot include urmatoarele tipuri de activitati:
- audit intern;
- audit extern;
- evaluari de atacuri si penetrari ale sistemului de securitate intern si extern;
- analize independente de performante si capacitate.
Monitorizarea continua presupune urmatoarele tipuri de activitati:
- monitorizarea centralizata a operatiunilor IT;
- monitorizarea centralizata a sistemelor de securitate;
- identificarea controalelor slabe si corectia acestora;
- supervizarea personalului IT.
Exista dezvoltata documentatie pentru toate procesele, activitatile si controalele IT semnificative? Este aceasta periodic revizuita?
Aceasta este una dintre responsabilitatile managementului IT, ignorata partial in anumite organizatii. La modul ideal, fiecare proces IT ar trebui sa fie documentat sub forma unor proceduri, care sa descrie cat mai detaliat obiectivele, responsabilitatile, operatiunile si succesiunea acestora etc. Unui salariat nou ii va fi destul de greu sa se familiarizeze si sa utilizeze o aplicatie dezvoltata local, in lipsa unui manual de utilizare si a descrierii procedurilor de lucru. In aceeasi maniera, un programator proaspat angajat pentru actualizarea si intretinerea aceleiasi aplicatii dezvoltate in-house, va intampina serioase dificultati in intelegerea codului sursa, in lipsa documentatiei. In plus, documentatia IT trebuie sa fie periodic revizuita, iar modificarile survenite in cadrul proceselor IT, semnalate in cadrul acesteia. O organigrama a retelei neactualizata cu noii parametrii de securitate poate fi inselatoare pentru Security Officer sau pentru evaluarea implementarii unui nou subsistem informatic.
Exista un plan de mentinere si urmarire a calitatii referitor la activitatile IT? Este acesta adresat atat cadrului si proceselor generale IT, cat si proiectelor specifice sau dedicate?
Planul de calitate specifica in mod clar activitatile de control care trebuie efectuate pentru a satisface cerintele si obiectivele?
Pentru a verifica parametrii de calitate ai proceselor si activitatilor IT, firmele apeleaza in general la auditori externi specializati. Organizatiile extinse includ in cadrul departamentului de Audit Intern, personal specializat IT in masura sa evalueze incadrarea parametrilor de calitate. Este greu de crezut ca personalul responsabil cu calitatea va avea competenta necesara sa auditeze de pilda implementarea corecta a firewall-ului extern si configurarea routerelor. El va putea insa sa evalueze foarte corect respectarea procedurilor zilnice de monitorizare a logurilor din firewall, cat si orice alt set de proceduri si politici interne IT.
Informatiile si fisierele de date au fost identificate si clasificate? Au fost identificati proprietarii datelor? Au fost setate responsabilitatile asupra integritatii datelor?
/ Managementul IT monitorizeaza performantele si nivelul de capacitare a sistemelor informatice si retelei?
Monitorizarea performantelor si nivelul de capacitare a sistemelor informatice reprezinta una dintre activitatile importante ale departamentului IT, mai ales prin impactul pe care il poate avea scaderea acestora. Imaginati-va un server de fisiere cu hardurile pline intr-o zi de inchidere de bilant contabil sau o aplicatie mare consumatoare de resurse a carei baza de date a “crapat” datorita lipsei de spatiu, a memoriei de lucru insuficiente sau a unui procesor prea lent.
Exista o procedura prin care managementul IT sa contrabalanseze in timp util scaderea parametrilor de performanta sau a capacitatilor retelei?
O arhitectura modularizata si flexibila, coroborata cu o planificare eficienta a resurselor, ar trebui sa permita unui administrator sa corecteze rapid scaderea parametrilor de performanta. Un upgrade de memorie planificat din timp sau adaugarea unui procesor ar trebui sa fie previzionate prin analizarea si urmarirea continua a “thread”-urilor si a testelor tipice de “benchmark”.
Sunt luate in calcul planificarea si capacitarea resurselor in cadrul fazelor de proiectare si design al sistemelor?
Achizitionarea unui sistem de aplicatii fara a se analiza parametrii hardware minimali, capacitatea comunicatiilor sau necesitatile de securitate poate induce riscuri majore ca aceasta sa nu fie functionala.