CONTROL INTERNO Y AUDITORIA DE SISTEMAS DE INFORMACINControla que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijadas por el rea de informtica, as como los requerimientos legales.La Auditora de Sistemas de informacin es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema automatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organizacin y utiliza eficientemente los recursos.

CONTROL INTERNO. DEFINICIN Y TIPOSCualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.La tipologa tradicional de los controles informticos es:Controles Preventivos: para tratar de evitar el hecho.Controles Detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento.Controles Correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS Documentacin necesaria para conocer la configuracin del sistema:Entorno de red: esquema de red, descripcin de la configuracin del hardware y software de telecomunicaciones, control de red, situacin general de los computadores que soportan actividades crticas y consideraciones acerca de la seguridad de la red.Configuracin del computador base: soporte fsico, entorno del sistema operativo, bibliotecas de programas y conjuntos de datos.Entorno de aplicaciones: procesos, transacciones y sistemas de gestin de base de datos.Productos y Herramientas: software para el desarrollo de programas.Seguridad del computador base: identificacin y verificacin de usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc.

METODOLOGAS PARA LA EVALUACIN DE SISTEMAS DE INFORMACINAnlisis de riesgos (evaluacin de riesgos y recomendacin de acciones en base al costo-beneficio de las mismas) y auditora de sistemas de informacin (nivel de exposicin por falta de controles). Todos los riesgos que se presentan en un entorno informtico podemos:EVITARLOS: Por ejemplo, no construir instalaciones fsicas en ambientes propensos a inundaciones o incendios.TRANSFERIRLOS: Outsourcing de sistemas.REDUCIRLOS: Sistemas de deteccin y extincin de incendios.ASUMIRLOS: Que es lo que se hace si no se controla el riesgo en absoluto.

DEFINICIONES BSICASAMENAZA: una persona o cosa vista como posible fuente de peligro. Ejemplos: inundacin, incendio, robo de datos, sabotaje, falta de procedimientos de emergencia, divulgacin de datos, implicaciones con la ley, aplicaciones mal diseadas, gastos incontrolados, etc.VULNERABILIDAD: Situacin creada por la falta de controles, con la que la amenaza pudiera acceder y afectar. Ejemplo: falta de controles lgicos, inexistencia de soportes de almacenamiento, falta de separacin de entornos con el sistema, etc.RIESGO: Probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. Ejemplos: El sistema puede quedar fuera de lnea 5 minutos cada 24 horas por las cadas en la fuente elctrica.EXPOSICIN O IMPACTO: Evaluacin del efecto del riesgo en trminos econmicos, imagen de la empresa, etc.

FUNCIONES DE LA AUDITORA DE SISTEMAS DE INFORMACINVerificacin del control interno, tanto de aplicaciones como de los sistemas informticos.Anlisis de la gestin de los sistemas de informacin desde el punto de vista de riesgo de seguridad y nivel de efectividad.Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de las aplicaciones.Auditora de riesgo operativo (informacin y seguridad).Verificacin del nivel de continuidad de las operaciones.Anlisis del estado de arte tecnolgico de las instalaciones y de las consecuencias empresariales que un desfase tecnolgico puede acarrear.Diagnstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de la organizacin.

Fuente: PIATTINI, MARIO y EMILIO DEL PESO. 2001. Auditoria Informtica 2da Edicin, Editorial RA-MA. Espaa.