"На бодлива крава Бог рога не дава"
народна поговора
"Аве не я разбирам аз таз поговорка и тва си е ... нещо ми звучи алогично"
реплика от форум
Чудна работа! Доста одити сме гледали, но само на одитите по сигурността на информацията има одитори, които се държат като бодливи крави, за които Господ е забравил да се погрижи.
Ами, да! При одит на системи за сигурност на информацията бодливите крави имат рога!
Особено остри са рогата на одитори, болни от баналната одиторска зараза - рископатията.
Рископатията е производно професионално заболяване на основното заболяване - "одитизъм".
Най-лоша е комбинацията одитизъм с гарнитури на рископатия. А тази комбинация най-ярко се проявява при системите за някаква сигурност (на информацията, на труда, екологична ... )
Как се познава рископатът? Профил на типичния рископат...
1) Рископатът е убеден, че само той е разбрал какво точно иска стандартът. Всички други, които са го чели, не са постигнали неговото ниво на "разбиране" и са се заблудили с грешни представи. Той не само е чел добре стандарта, но е ходил на изпит и даже е взел изпита!
2) Рископатът е разбрал добре стандарта, защото в миналото той е имал най-най-добрия от всички професионален IT background. А "бекграундите" на други хора? Те не са важни ...
Това е причината понякога да се стигне до диаметрално разминаване в преценките на два рископата. Всеки от тях е толкова убеден и така те убеждава в нещо, че, за да се отървеш, си готов и да се съгласяваш. Първо с единия, а после и с втория.
3) Рископатът, когато е при вас и започва да ви одитира, за което вие му плащате, вижда изведнъж златна възможност с един куршум да спечели поне две ползи - да предпази и да демонстрира. Да предпази ... показва загриженост за вашата фирма и система и едва ли не спасява не само фирмата, но и светът. Да демонстрира ... Какво демонстрира? Компетентност, разбира се. Започва да ви обяснява неща, които не ви трябва да знаете или, по-лошо, неща които и без друго знаете.
4) Рископатът не осъзнава, че не всичко му е позволено. Той ще се опита да проникне във фирмата ви като заобиколи по някакъв начин бариерите на физическия достъп и ще се гордее с това, че е цъфнал някъде, където не сте го очаквали. Или ще поиска по телефона да му пратите мейл с доклада от оценка на рисковете или плана за обработка на рисковете, или декларацията за приложимост, макар и да знае много добре, че стандартът изисква тези документи да са защитени и в системите те са класифицирани с ниво на поверителност, изключващо изнасяне.
5) Рископатът получава пълна реализация и удовлетворение, когато седне да ви измисля нови рискове, които вие не сте се сетили да определите. Той ги измисля, убеждава ви, че сте ги пропуснали и ви налага да си ги включите в системата. Не се интересува вие какво мислите. Не си дава сметка, че в стандарта е казано "Организацията трябва да определи ... ", а не той.
6) Рископатът се втренчва жестоко в контролите, обявени в декларацията за изключване. Тук той получава максимално възможното удовлетворение, "одиторски оргазъм", когато ви докаже, че неоснователно сте изключили еди какво си... И ви извива ръцете да си го включите. И вие се предавате, защото отдавна се знае, че с одитор спор не се води!
7) Рископатът е мнителен и то повече от бай Вълчо Камарашев, който си купуваше салам в една стара ТВ реклама. Не му стига едно доказателство за нещо, а иска и още. Иска най-вече записи, макар да знае (дали?) че в стандарта за одити дефиницията за "доказателство" включва "излагане на факти" и "друга информация", освен записи.
8) Рископатът пише работните си записки, че даже и доклада си на чужд език и говори ползвайки изобилно чуждици ... "Ако към месиджъ има атачнат дроуинг, вие ще си го даунлоудните, за да ви е ОК за митинга с мениджмънта". Чуждиците, почти винаги, са англосаксонски. Никога не са русизми, турцизми или нещо с френски или немски произход...
9) Рископатът ...
10) Рископатът ...
Ще оставим две позиции празни, защото животът е богат и рано или късно ще видим или ще научим нещо, което ще допълни с още две характеристики богатия профил на нашия рископат
Няма коментари:
Публикуване на коментар