ISACA International annuncia i nuovi standard; disponibile il draft della procedura di revisione per la crittografia.

Il numero di novembre di Globalcommuniquè, la newsletter mensile dell’ Information Systems Audit and Control Association, si apre con l’annuncio che è in corso la revisione degli otto standard attuali di IS Auditing, http://www.isaca.org/standards, e che nel corso del 2005 saranno resi pubblici i nuovi aggiornamenti.

Lo standard framework

È utile ricordare che il framework di Audit proposto da ISACA si articola in tre livelli:

1. gli standard veri e propri che sono i requisiti obbligatori (mandatory) per l’IS auditing e reporting;
2. le guideline che forniscono modelli ed esempi per applicare gli standard;
3. le procedure che forniscono un ulteriore livello di approfondimento delle linee guida che non sono obbligatorie in senso stretto ma che vanno applicate, viceversa, secondo la sensibilità dell’auditor.

Come regola generale tutti gli standard sono rivisti ogni 5 anni al fine di renderli attuali e colmare eventuali gap che si dovessero creare rispetto agli impegni professionali effettivi.

ISACA ha deciso che quattro nuovi standard che saranno resi pubblici entro la fine del 2004; essi riguardano:

1. la IT Governance;
2. l’utilizzo del Risk Assessment nella pianificazione di Audit;
3. le verifiche relative a irregolarità amministrative ed atti illegali;
4. le problematiche di Audit Evidence.

Sono già in cantiere, inoltre, le redazioni di numerose IS Auditing Guideline quali:

• Information Access Privacy;
• Follow-up;
• Responsibility, Authority e Accountability;
• Using Internet Communications.

Mentre per quanto riguarda le procedure si sta lavorando su:

• EFT;
• Change Control;
• VPN.

Valutazione dei controlli e management delle metodologie di crittografia.

Tra le procedure già rilasciate in draft per la discussione pubblica fra gli associati e gli interessati segnaliamo quella relativa alla gestione dei sistemi di cifratura,, http://www.isaca.org/AMTemplate.cfm?Section=Standards,_Guidelines,_Procedures_for_IS_Auditing&Template=/ContentManagement/ContentDisplay.cfm&ContentID=13674; essa è stata resa pubblica, in versione provvisoria, il primo aprile 2004.

La procedura è divisa in tre parti:

1. un’introduzione alla crittografia che riassume i concetti fondamentali, riporta i riferimenti a CobiT e precisa i contenuti dell’ Encryption Risk Assessment;
2. una guida alle problematiche legali e normative che confronta le legislazioni “liberali” di alcuni paesi europei (Francia, Finlandia, Irlanda e Spagna) con quelle di altre nazioni, come USA, Canada e Russia che invece hanno regolamentazioni più restrittive;
3. la checklist vera e propria di riferimento.

Di seguito riportiamo un passo tratto dalla checklist (traduzione dall’inglese a cura dell’autore).

Aspetto da considerare: organizzazione e management

Procedure di verifica consigliate: ·

• verificare che esistano procedure o politiche scritte che comprendano una chiara definizione dei ruoli e delle responsabilità per le attività di controllo più importanti quali la generazione delle chiavi, la gestione delle modifiche, lo storage, il recovery e la cancellazione delle chiavi;
• accertare che esistano procedure scritte che definiscano quali dati sono considerati critici e richiedono di essere cifrati; accertarsi che per tali dati sia indicato quando e come la cifratura deve essere applicata; verificare che sia indicato se la cifratura debba essere applicata alle informazioni registrate sui database o alle informazioni che devono essere trasmesse via Internet.

Link ed approfondimenti

Suggerimenti ed osservazioni possono essere mandate via email a: standards@isaca.org, faxate a: +1.847.253.1443 o inviate per posta a: ISACA International Headquarters, all’attenzione del Direttore delle ricerche sugli standard.

Per approfondire il tema della crittografia:

RSA Laboratories' Frequently Asked Questions About Today's Cryptography, Version 4.1

http://www.rsasecurity.com/rsalabs/node.asp?id=2152