auditor-IT-ISO

Ne-am obișnuit să vedem, de la mediile academice până la medii sociale, cum este promovată, pe toate canalele media societatea informațională. Există numeroase organizații care se angajează în realizarea acestei societăți informaționale. Sunt emise teorii, se crează programe, se finalizează obiective, se evaluează riscuri și nu în ultimul rând se definește utilitatea societății informaționale. Se dezvoltă un întreg glosar de termeni și funcții asociate care cu scopul de a contribui la realizarea unor obiective stabilite. Toate acestea pentru a sluji dezvoltarea economică, crearea unei valori adăugate și obținerea în acest fel a unei justificări pentru toate aceste eforturi.

 

Utilizarea informației doar pentru profit economic imediat nu conduce, așa cum se dorește, la societatea informațională. Poate că în unele domenii societatea va beneficia de tehnologizare la nivel înalt dar acest lucru, repet, nu conduce la societatea informațională. Din acest motiv economicul va fura startul și pentru un profit imediat va utiliza tehnologii înalte, își va crea un avantaj competitiv, iar societatea nu va beneficia de acest avantaj în timp real.

 

Societatea informațională are o șansă să devină realitate numai dacă va fi independentă de factori economici, sociali sau de altă natură și să se proiecteze construcția ei pornind de la elementul de bază și anume informația. Pentru moment societatea încă nu a emis o definiție a informației care să fie unanim recunoscută. Fiind produsul unei anumite pregătiri tehnice și pe baza unei experiențe profesionale, împreună cu dorința mea de a promova o anumită profesie, următoarea definiție a informației s-ar putea dovedi corectă sau cel puțin este utilă demersului meu.

 

informația = un concept abstract, cu caracter universal, dar care are un înțeles, o semnificație.

 

Cu alte cuvinte, pot spune că, informația este prezentă în jurul nostru la nivel universal, este independentă de anumiți factori și are o semnificație care o face utilă.

 

Pentru  a fi mai explicit voi expune următoarea situație. În jurul meu există o mulțime de informații. Un producător îmi oferă un traductor (pe care îl denumește termometru), o scară cu unități de măsură, manual de utilizare, etc. Utilizând acest traductor constat că semnificația informației este că in jurul meu temperatura este de 38. Un alt producător îmi oferă un alt traductor (pe care îl denumește termometru) împreună cu o altă scară cu unități de masură. După utilizare temperatura indicată pe al doilea traductor este de 5. De asemenea personal dispun de propriul meu traductor, propria mea scara cu unități de măsură și propriul meu rezultat indicat. În consecință după utilizarea propriului traductor rezultatul a fost “cald”.

 

Din perspectiva profesiei de auditor independent, pe care mai mult o promovez dar pe care o exercit prea putin, am să expun un punct de vedere la situația prezentată mai sus. Putem considera informația pe care o analizăm că este unica și dintr-un anumit punct de vedere este. Pe baza unui standard (ISO 27001) și a unui cadru de lucru (COBIT) consider în continuare că informația are următoarele caracteristici sau criterii de evaluare:

– integritate având în vedere exactitatea și completitudinea informației inclusiv sub aspectul validității ei

– disponibilitate având în vedere posibilitatea de a accesa informația în orice moment inclusiv sub aspectul asigurării echipamentelor necesare, continuității funcționării și a siguranței cum este procesată informația

– încredere având în vedere furnizarea de informații adecvate care să conducă la o înțelegere corectă a semnificației pentru a lua decizii corecte

– realitatea existenței având în vedere că informația există este pertinentă și relevantă inclusiv sub aspectul furnizării ei în timp real într-o formă corectă, consistentă și utilizabilă

– confidențialitate având în vedere autorizarea accesului la informație inclusiv sub aspectul protejării, dezvăluirii sau funizării neautorizate a informațiilor

– eficiență având în vedere realizarea criteriilor pe baza utilizării optime de resurse

– conformitate în vederea respectării legislației, standardelor, normelor, etc.

 

În continuare să identificăm procesele care au loc. Primul proces este cel prin care informația din starea inițială (starea naturală) este procesată automat/electronic (tehnologia informației/information technology/IT) și prezintă informația, într-o anumită formă. Al doilea proces este citirea informației, procesarea ei și conștientizarea informației. Al treilea proces este luarea unei decizii. Procesul numărul patru este cel de înregistrare, protejare și furnizare a informației.

 

Indiferent că analizăm un sistem informațional complex sau o funcție, tranzacție, operație simplă din cadrul unui sistem observăm că informația este procesată și că i se pot asocia 2 stări. Informația de intrare ca stare înainte de procesare și informația de ieșire ca stare după procesare. Idiferent de numărul de procesări informația trebuie să păstreze intacte cele 7 caracteristici ale informației. Dacă analiza unui proces conduce la identificarea unor riscuri asociate, este necesară o metodă de tratare a riscurilor pentru reducerea acestor riscuri.

 

Fără a intra în detalii, care fac deliciul acestei profesii, pot fi implementate numeroase soluții pentru ca riscurile reziduale să fie la un nivel care să nu fie suspectat că poate conduce la nerealizarea unor obiective ale organizației sau luarea unor decizii eronate.

 

Informația, indiferent de starea in care se află, indiferent de formă, indiferent de suportul pe care se găsește, pentru a determina existența unei societăți informaționale trebuie să îndeplinească cele 7 caracteristici/criterii. Pentru ca societatea informațională să capete contur este necesară procesarea de volume mari de informații, din domenii diverse.

 

O altă definiție, care încă nu și-a găsit recunoșterea globală, este a termenului “date”. O definiție pe care o consider utilă ar putea fi următoarea:

 

date = un volum de informații care beneficiază de un criteriu de filtrare sau este asociat un criteriu de filtrare

 

În situația de mai sus dacă asociem timpul informației cu semnificația temperaturii și creăm un volum de date pe o perioadă de 10 ani, putem extrage, în sensul previzionării ori în sensul deducției, o nouă informație.

Cu certitudine putem clasifica informațiile în funcție de o multitudine de puncte de vedere. Astfel identificăm noi criterii de filtrare, putem crea noi volume de informații, putem dezvolta noi suporturi sau forme de existență a informațiilor.

 

Societatea informațională, sistemele informaționale au ca element constitutiv informația care este strâns legată de suportul său ori forma ori starea sa. Protecția informației include protecția suportului, formei, stării sau  a oricărui aspect în care informația există. Acesta este motivul pentru care standardul ISO 27001 consideră informația un activ al organizațiilor, activ care trebuie protejat.

 

La fel vă recomand și eu. Protejați informația. Este extrem de volatilă. Și nu întotdeauna veți reuși să o recuperați.