W dniu 2012-03-21 11:24, Andrzej Jarzabek pisze:
> On Mar 21, 7:39 am, zażółcony<r...@c...pl> wrote:
>> W dniu 2012-03-20 21:26, Andrzej Jarzabek pisze:
>>
> [...]
>>> zamiast czekać na wybuch i trupy lepiej wprowadzić przepisy, które
>>> praktycznie by uniemożliwiały taką strategię lub narażały firmę na
>>> znaczne kary nawet jeśli wybuchu nie będzie.
>>
>> I tu masz rację. Ale środkiem do osiągnięcia takiego celu nie
>> jest imo certyfikowanie specjalistów, ale certyfikowanie
>> procesów produkcyjnych i ich produktów w konkretnym biznesie.
>
> A ja uważam, że sie na tym nie znasz, i nie masz żadnych danych
> upoważniających do takiego twierdzenia.
>
> Żeby nie było, ja też się na tym nie znam, ale ja też nie twierdzę, że
> certyfikację należy wprowadzić. Ja tylko twierdzę, że należy (państwo
> czy organizacje ponadpaństwowe powinny) zebrać dane, zrobić analizę i
> jeśli wyjdzie, że (w jakichśtam sytuacjach, w jakimśtam zakresie)
> warto wprowadzić uprawnienia zawodowe, to należy wprowadzić
> uprawnienia zawodowe (być może w połączeniu z innymi środkami).

Nie znam się na szpitalach czy samolotach, ale znam się
nieco na systemach bankowych i ochronie danych osobowych.

Systemy bankowe formalnie stoją na dwóch filarach:
1. Ustawy (np. ustawa bankowa, ustawa o ochronie danych osobowych,
ustawa o rachunkowości ...), za którymi stoją instytucje nadzorcze
lub usługowo-nadzorcze, takie jak np GIODO, KNF, KNB, BIK, BIG,
generalnie wszystko, co jest na linii bank-państwo
2. Niezależne instytucje finansowe, które dostarczają własne
usługi, certyfikaty, standardy, np. Visa, ISO itp itd.

Jakość zapewnia się np. poprzez:
- wymogi raportowania (masa raportów miesięcznych, kwartalnych, rocznych
...)
- poprzez audyty, np. audyt ksiąg i systemów informatycznych zajmujących
się ich obsługą (np. badanie, czy kredyty
krótkoterminowe są księgowane na przeznaczonych do tego kontach,
czy oprocentowanie rzeczywiste i koszty kredytów
są liczone zgodnie z ustawą itp itd) dokonywany przez biegłego
księgowego (tak, ten musi mieć mocne papiery)
lub np. audyt PCI dokonywany na zlecenie Visa, związany z
certyfikowaniem Visa (w ramach audytu m.in. badana jest
cała infrastruktura teleinformatyczna, która przetwarza
pełne numery kart płatniczych i miejsca, przez które
te numery mogą potencjalnie 'wyciekać'
- poprzez walidację danych w interfejsach międzysystemowych,
np. we wsadach wysyłanych do BIK, w danych o przelewach
zewnętrznych.
- ... zapewne znajdą się jeszcze inne sposoby ...

Jak wsad do BIKu przekracza ułamek procenta dopuszczalnych
błędów (np. trywialnych typu niedozwolony znak w adresie
lub dużo bardziej złożonych związanych z niezgodnościami
sum kontrolnych itp) to nie ma 'ale' tylko z miejsca
wlatuje gruba kara finansowo, np. 50k zeta za trefny wsad
miesieczny.

Nikogo na zewnątrz nie interesuje, czy programiści/projektanci
mają certyfikaty, czy mają pojęcie o rachunkowości, czy
znają ustawę o ochronie danych osobowych, czy znają
specyfikację wsadu do BIK - przychodzi audyt, coś
nie pasuje - do widzenia - kara albo utrata certyfikatu,
lub w najlepszym wypadku obniżenie warningu i przejście
'warunkowe', na zasadzie: macie rok na poprawienie
sytuacji, jak nie do lecicie, utrata prawa do posługiwaniem
się logo Visa/MasterCard/... czy nawet sprawa w sądzie
za łamanie ustawy o ochronie danych.

W interesie firmy jest, by sobie zatrudniała specjalistów,
którzy udźwigną to wszystko. Więcej: żaden specjalista
nie da rady, muszą być rozwiązania systemowe, w które
cała organizacja się angażuje.

I tyle.