31.3.09

Obnova kontinuiteta

Prije svega, dugujem ispriku stalnim čitateljima ovih stranica. Prošlo je puno vremena od zadnjeg teksta na ovim stranicama. Nisam, naravno, izgubio polet, već sam bio prilično zaokupljen na nekoliko projekata, pa su ove stranice, nekako, završile u drugom planu. Uskoro će biti nešto više riječi o ovim projektima, a posebno ću opisati rad na razvoju aplikacije za upravljanje informacijskim rizicima. Osim na projektima, sudjelovao sam i u nekoliko događaja i javnih skupova. Krajem veljače sam na redovitim mjesečnim sastancima hrvatskog ogranka ISACA-e predstavio metodu za upravljanje rizicima - MEHARI, a u najfriškijem sjećanju je i prošlotjedno sudjelovanje na prvoj konferenciji internih revizora u Opatiji, u organizaciji Hrvatskog instituta internih revizora. HIIR je, pored hrvatskog ogranka ISACA-e, jedina stručna organizacija koja se, među ostalim, bavi i revizijom informacijskih sustava.

Glavnu riječ u planiranju, organizaciji, a naročito vođenju stručnog programa konferencije u Opatiji imali su sami revizori. Organizacijski dio nije nimalo podbacio, a stručni dio bio je osobito zanimljiv, naročito onaj koji se odnosio se na reviziju informacijskih sustava.

Borea je održala jednu veoma zanimljivu i dobro posjećenu radionicu o korištenju CAATT alata IDEA. Radionica se bazirala na stvarnom primjeru iz poslovne prakse i u, preko 120 minuta, predstavili smo glavne analitičke mogućnosti softvera IDEA.

Također, održao sam i prezentaciju koja se odnosila na jedno od najpodcjenjenijih područja informacijske sigurnosti - upravljanje log zapisima. Ova tematika podjednako je zanimljiva i stručnjacima za sigurnost kao i revizorima informacijskih sustava. Revizorima je zanimljiva iz dva razloga. Prvo, revizija svakog imalo osjetljivijeg informacijskog sustava mora uključivati i reviziju procesa upravljanja log zapisima. Drugi razlog leži u činjenici da log zapisi sadrže brojne informacije o radu i korištenju informacijskog sustava. Ove informacije se moraju svakako sagledati u situacijama kada se izvodi detaljna analiza pojedinih sigurnosnih mjera odnosno kada se testira provedba predviđenih postavki.

Konferencija u Opatiji pokazala je veliko zanimanje za problematiku revizije informacijskih sustava, što nimalo ne čudi s obzirom na sve prisutnije regulatorne zahtjeve. Raduje što su sudionici konferencije bili spremni podijeliti svoja razmišljanja u ovom dijelu struke koje se, u našem okruženju, tek treba etablirati.