Proceso de Auditoría del Sistema de Información (4 Pasos)

Algunos de los pasos principales involucrados en el proceso de auditoría del sistema de información son los siguientes:

La auditoría es una actividad de evaluación realizada por personas que no participan activamente en la realización de la actividad en evaluación. Su objetivo es la prevención y detección del abuso de los recursos corporativos. La auditoría del sistema de información es llevada a cabo por profesionales que no solo están bien versados ​​en los problemas complejos del sistema de información, sino que también saben cómo relacionarlos con el negocio.

Cortesía de imagen: legacy.bentley.edu/files/uga-information-systems.jpeg

La auditoría del sistema de información se realiza para evaluar los sistemas de información y sugerir medidas para mejorar su valor para el negocio. La auditoría del sistema de información se puede utilizar como una herramienta eficaz para evaluar el sistema de información y controlar el abuso de la computadora.

El proceso de auditoría del sistema de información implica cuatro pasos:

1. Medición de la vulnerabilidad del sistema de información:

El primer paso en el proceso de auditoría del sistema de información es la identificación de la vulnerabilidad de cada aplicación. Cuando la probabilidad de abuso de la computadora es alta, existe una mayor necesidad de una auditoría del sistema de información de esa aplicación. La probabilidad de abuso de la computadora dependerá de la naturaleza de la aplicación y la calidad de los controles.

2. Identificación de fuentes de amenaza:

La mayoría de las amenazas de abuso informático son de la gente. El auditor del sistema de información debe identificar a las personas que podrían representar una amenaza para los sistemas de información. Estas personas incluyen analistas de sistemas, programadores, operadores de ingreso de datos, proveedores de datos, usuarios, proveedores de hardware, software y servicios, especialistas en seguridad informática, usuarios de PC, etc.

3. Identificación de puntos de alto riesgo:

El siguiente paso en el proceso de auditoría del sistema de información es identificar las ocasiones, puntos o eventos en los que se puede penetrar el sistema de información. Estos puntos pueden ser cuando se agrega, modifica o elimina una transacción. El punto de alto riesgo también puede ser la ocasión cuando se cambia un archivo de datos o programa o la operación es defectuosa.

4. Compruebe si hay abuso de computadora:

El último paso en el proceso es llevar a cabo la auditoría de puntos de alto potencial, manteniendo la visión de las actividades de las personas que podrían abusar del sistema de información para las aplicaciones que son altamente vulnerables.

Alcance de la auditoría:

La auditoría del sistema de información puede abarcar casi todos los recursos de la infraestructura de TI. Por lo tanto, implicará la evaluación del hardware, la aplicación de software, los recursos de datos y las personas. Sin embargo, uno de los recursos más importantes que atrae la atención de un auditor de sistemas de información es el software de aplicación.

Auditoría de software de aplicación:

La auditoría del software de la aplicación se lleva a cabo con el objetivo de establecer si:

a) Se siguieron realmente los procedimientos y métodos establecidos para desarrollar una solicitud;

b) Se incorporó un control adecuado al software de la aplicación; y

c) Se proporcionan controles adecuados en el proceso de mantenimiento del software.

Los objetivos de una revisión detallada de la aplicación estarán influenciados por el método de adquisición del software. Esto es así porque la vulnerabilidad del software de aplicación para software personalizado es diferente de la del software ya hecho.

Auditores de Sistemas de Información:

Un auditor del sistema de información es el vínculo entre el equipo de desarrollo de software y la administración. Su función es diferente del analista de sistemas que interactúa para ayudar en el desarrollo del software de la aplicación. El auditor del sistema de información evalúa la revisión de cada proyecto en nombre de la gerencia.

El auditor del sistema de información está asociado desde el estudio de factibilidad del proyecto de desarrollo del sistema de información hasta la etapa de implementación. De hecho, el auditor del sistema de información otorga la autorización para la implementación después de la debida revisión y evaluación del paquete de software.