EDP audit (o audit dei sistemi informativi)

di Giovanni Battisti.

Con il termine “EDP audit” (detto anche IT audit, ovvero information technology audit, o IS audit, information system audit) si identifica l’attività di analisi del processo di elaborazione dei dati, dall’origine del dato all’archiviazione del risultato dell’elaborazione [1], finalizzata ad evidenziare gli interventi necessari per garantire che l’elaborazione sia corretta.
In particolare, l’attività deve verificare i presidi di sicurezza adottati per garantire la:
  • riservatezza dei dati (prevenzione dall’utilizzo indebito di informazioni – riservate – da chi non ne ha un bisogno operativo);
  • integrità dei dati (protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni);
  • disponibilità dei dati (prevenzione della non accessibilità delle risorse e delle informazioni, ai legittimi utilizzatori, quando informazioni e risorse servono).
Come si può intuire, l’ambito di interesse di un’attività di EDP audit non riguarda pertanto solamente gli aspetti di hardware e software di un sistema, ma si estende ad aspetti organizzativi e gestionali.
A titolo esemplificativo e sicuramente non esaustivo, dovranno essere verificate:
  • le modalità di organizzazione e di gestione della struttura addetta alle attività di EDP;
  • le misure adottare a protezione delle risorse, hardware e software, dell’azienda (indipendentemente dalla loro collocazione fisica);
  • le procedure adottate per lo sviluppo, la manutenzione o la correzione di eventuali anomalie dei sistemi gestionali e delle applicazioni aziendali;
  • le procedure adottate per la gestione operativa delle applicazioni aziendali (es. procedure di back up serale);
  • … e così via, secondo l’effettiva realtà aziendale (ad esempio, presenza di contratti di outsourcing di servizi informatici, erogazione di servizi via web, necessità di garantire un servizio cosiddetto h24 ecc.).
Generalmente, i controlli da porre in essere nel corso di un EDP audit sono distinti in controlli di tipo generale, relativi all’aspetto gestionale e alle modalità di sviluppo e di manutenzione delle applicazioni informatiche ed in controlli di tipo specifico, che interessano il contenuto delle applicazioni informatiche.

Un’interessante panoramica sull’EDP audit è fornita nell’articolo “Information technology audit” (in inglese) su wikipedia.



-----
[1] Nel processo di elaborazione dei dati si possono isolare le seguenti macro fasi: origine del dato, input o inserimento del dato sul sistema, trasmissione dei dati, elaborazione, output o risultato dell’elaborazione, archiviazione dei dati e dell’output.

Commenti

Post più popolari