Processo de Auditoria do Sistema de Informação (4 Passos)

Algumas das principais etapas envolvidas no processo de auditoria do sistema de informações são as seguintes:

Auditoria é uma atividade de avaliação realizada por pessoas que não estão ativamente envolvidas na execução da atividade sob avaliação. Visa a prevenção e detecção de abuso dos recursos corporativos. A auditoria do sistema de informação é realizada por profissionais que não apenas são bem versados ​​nas complexas questões do sistema de informações, mas também sabem como relacioná-los ao negócio.

Imagem Cortesia: legacy.bentley.edu/files/uga-information-systems.jpeg

A auditoria do sistema de informação é realizada para avaliar os sistemas de informação e sugerir medidas para melhorar seu valor para o negócio. A auditoria do sistema de informação pode ser utilizada como uma ferramenta eficaz para avaliação do sistema de informação e controle do abuso do computador.

O processo de auditoria do sistema de informação envolve quatro etapas:

1. Medir a vulnerabilidade do sistema de informação:

O primeiro passo no processo de auditoria do sistema de informação é a identificação da vulnerabilidade de cada aplicação. Onde a probabilidade de abuso de computadores é alta, há uma necessidade maior de uma auditoria do sistema de informações desse aplicativo. A probabilidade de abuso de computadores dependeria da natureza da aplicação e da qualidade dos controles.

2. Identificação de fontes de ameaça:

A maioria das ameaças de abuso de computadores é das pessoas. O auditor do sistema de informação deve identificar as pessoas que possam representar uma ameaça aos sistemas de informação. Essas pessoas incluem analistas de sistemas, programadores, operadores de entrada de dados, provedores de dados, usuários, fornecedores de hardware, software e serviços, especialistas em segurança de computadores, usuários de PC, etc.

3. Identificação de pontos de alto risco:

O próximo passo no processo de auditoria do sistema de informação é identificar as ocasiões, pontos ou eventos em que o sistema de informação pode ser penetrado. Esses pontos podem ser quando uma transação é adicionada, alterada ou excluída. O ponto do ponto de alto risco também pode ser a ocasião em que um arquivo de dados ou de programa é alterado ou a operação está com defeito.

4. Verifique se há abuso de computador:

O último passo no processo é conduzir a auditoria de pontos de alto potencial mantendo a visão das atividades das pessoas que poderiam abusar do sistema de informação para os aplicativos que são altamente vulneráveis.

Âmbito da Auditoria:

A auditoria do sistema de informação pode abranger quase todos os recursos da infraestrutura de TI. Assim, envolverá avaliação de hardware, aplicação de software, recursos de dados e pessoas. No entanto, um dos recursos mais importantes que atraem a atenção de um auditor do sistema de informação é o software aplicativo.

Auditoria de software de aplicativo:

A auditoria de software aplicativo é realizada com o objetivo de estabelecer se:

a) O procedimento e os métodos estabelecidos para o desenvolvimento de uma aplicação foram realmente seguidos;

b) Controle adequado foi incorporado ao software aplicativo; e

c) Controles adequados são fornecidos no processo de manutenção do software.

Os objetivos de uma revisão detalhada da aplicação devem ser influenciados pelo método de aquisição do software. É assim porque a vulnerabilidade do software aplicativo para softwares feitos sob medida é diferente daquela do software pronto.

Auditores do Sistema de Informação:

Um auditor do sistema de informações é o elo entre a equipe de desenvolvimento de software e o gerenciamento. Sua função é diferente do analista de sistemas que interage para ajudar no desenvolvimento de software aplicativo. O auditor do sistema de informações avalia a revisão de cada projeto em nome da administração.

O auditor do sistema de informação é associado desde o estudo de viabilidade do projeto de desenvolvimento do sistema de informação até o estágio de implementação. Na verdade, o auditor do sistema de informações fornece a autorização para implementação após a devida revisão e avaliação do pacote de software.