Processo di controllo del sistema informativo (4 passaggi)

Alcune delle principali fasi coinvolte nel processo di revisione del sistema di informazione sono le seguenti:

L'audit è un'attività di valutazione svolta da persone che non sono attivamente coinvolte nell'esecuzione dell'attività in corso di valutazione. Mira alla prevenzione e all'individuazione dell'abuso delle risorse aziendali. L'audit del sistema informativo viene eseguito da professionisti che non sono solo esperti in merito alle complesse problematiche del sistema informativo, ma sanno anche come metterli in relazione con il business.

Cortesia dell'immagine: legacy.bentley.edu/files/uga-information-systems.jpeg

L'audit del sistema informativo è condotto per valutare i sistemi di informazione e suggerire misure per migliorare il loro valore per l'azienda. L'audit del sistema di informazione può essere utilizzato come uno strumento efficace per la valutazione del sistema di informazione e il controllo dell'abuso di computer.

Il processo di audit del sistema informativo prevede quattro passaggi:

1. Misurazione della vulnerabilità del sistema di informazione:

Il primo passo nel processo di controllo del sistema di informazione è l'identificazione della vulnerabilità di ciascuna applicazione. Laddove la probabilità di abuso di computer è elevata, vi è una maggiore necessità di un audit del sistema di informazione su tale applicazione. La probabilità di abuso di computer dipenderebbe dalla natura dell'applicazione e dalla qualità dei controlli.

2. Identificazione delle fonti di minaccia:

La maggior parte delle minacce di abusi informatici provengono dalle persone. Il revisore del sistema d'informazione dovrebbe identificare le persone che potrebbero rappresentare una minaccia per i sistemi d'informazione. Queste persone comprendono analisti di sistema, programmatori, operatori di data entry, fornitori di dati, utenti, fornitori di hardware, software e servizi, specialisti della sicurezza informatica, utenti di PC, ecc.

3. Identificazione di punti ad alto rischio:

Il prossimo passo nel processo di audit del sistema di informazione è identificare le occasioni, i punti o gli eventi in cui il sistema informativo può essere penetrato. Questi punti possono essere quando una transazione viene aggiunta, modificata o cancellata. Il punto del punto ad alto rischio può anche essere l'occasione in cui un file di dati o di programma viene modificato o l'operazione è difettosa.

4. Controlla l'abuso di computer:

L'ultimo passaggio del processo consiste nell'eseguire la verifica di potenziali punti elevati tenendo conto delle attività delle persone che potrebbero abusare del sistema informativo per le applicazioni che sono altamente vulnerabili.

Ambito di audit:

L'audit del sistema informativo può comprendere quasi tutte le risorse dell'infrastruttura IT. Pertanto, comporterà la valutazione dell'hardware, dell'applicazione del software, delle risorse di dati e delle persone. Tuttavia, una delle risorse più importanti che attirano l'attenzione di un auditor del sistema di informazione è il software applicativo.

Audit del software applicativo:

L'audit del software applicativo viene effettuato allo scopo di stabilire se:

a) La procedura e i metodi stabiliti per lo sviluppo di una domanda sono stati effettivamente seguiti;

b) Un adeguato controllo è stato integrato nel software applicativo; e

c) Sono previsti controlli adeguati nel processo di manutenzione del software.

Gli obiettivi di una revisione dettagliata della domanda devono essere influenzati dal metodo di approvvigionamento del software. È così perché la vulnerabilità del software applicativo per il software personalizzato è diversa da quella del software pronto all'uso.

Revisori del sistema informativo:

Un auditor del sistema di informazione è il collegamento tra il team di sviluppo del software e il management. Il suo ruolo è diverso dall'analista di sistema che interagisce per aiutare nello sviluppo del software applicativo. Il revisore dei sistemi informativi valuta la revisione di ogni progetto per conto della direzione.

Il revisore del sistema di informazione è associato direttamente dallo studio di fattibilità del progetto di sviluppo del sistema di informazione alla fase di attuazione. Di fatto, il revisore del sistema di informazione fornisce il permesso di attuazione dopo aver debitamente esaminato e valutato il pacchetto software.