Resta aggiornato!

Ricevi gli aggiornamenti direttamente al tuo indirizzo e-mail o tramite il tuo feed reader.

02 agosto 2006

EDP audit (o audit dei sistemi informativi)

di Giovanni Battisti.

Con il termine “EDP audit” (detto anche IT audit, ovvero information technology audit, o IS audit, information system audit) si identifica l’attività di analisi del processo di elaborazione dei dati, dall’origine del dato all’archiviazione del risultato dell’elaborazione [1], finalizzata ad evidenziare gli interventi necessari per garantire che l’elaborazione sia corretta.
In particolare, l’attività deve verificare i presidi di sicurezza adottati per garantire la:
  • riservatezza dei dati (prevenzione dall’utilizzo indebito di informazioni – riservate – da chi non ne ha un bisogno operativo);
  • integrità dei dati (protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni);
  • disponibilità dei dati (prevenzione della non accessibilità delle risorse e delle informazioni, ai legittimi utilizzatori, quando informazioni e risorse servono).
Come si può intuire, l’ambito di interesse di un’attività di EDP audit non riguarda pertanto solamente gli aspetti di hardware e software di un sistema, ma si estende ad aspetti organizzativi e gestionali.
A titolo esemplificativo e sicuramente non esaustivo, dovranno essere verificate:
  • le modalità di organizzazione e di gestione della struttura addetta alle attività di EDP;
  • le misure adottare a protezione delle risorse, hardware e software, dell’azienda (indipendentemente dalla loro collocazione fisica);
  • le procedure adottate per lo sviluppo, la manutenzione o la correzione di eventuali anomalie dei sistemi gestionali e delle applicazioni aziendali;
  • le procedure adottate per la gestione operativa delle applicazioni aziendali (es. procedure di back up serale);
  • … e così via, secondo l’effettiva realtà aziendale (ad esempio, presenza di contratti di outsourcing di servizi informatici, erogazione di servizi via web, necessità di garantire un servizio cosiddetto h24 ecc.).
Generalmente, i controlli da porre in essere nel corso di un EDP audit sono distinti in controlli di tipo generale, relativi all’aspetto gestionale e alle modalità di sviluppo e di manutenzione delle applicazioni informatiche ed in controlli di tipo specifico, che interessano il contenuto delle applicazioni informatiche.

Un’interessante panoramica sull’EDP audit è fornita nell’articolo “Information technology audit” (in inglese) su wikipedia.



-----
[1] Nel processo di elaborazione dei dati si possono isolare le seguenti macro fasi: origine del dato, input o inserimento del dato sul sistema, trasmissione dei dati, elaborazione, output o risultato dell’elaborazione, archiviazione dei dati e dell’output.
Etichette:

0 commenti:

Posta un commento

Iscriviti a: Commenti sul post (Atom)