1/6

CONTROL INTERNO Y AUDITORIA DE SISTEMAS DE

INFORMACIN
Controla que todas las actividades de
sistemas de informacin sean realizadas
cumpliendo los procedimientos,
estndares y normas fijadas por el rea
de informtica, as como los
requerimientos legales.
La Auditora de Sistemas de informacin es el proceso de
recoger, agrupar y evaluar evidencias para determinar si
un sistema automatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los fines de la
organizacin y utiliza eficientemente los recursos.
2/6
CONTROL INTERNO. DEFINICIN Y TIPOS
Cualquier actividad o accin realizada
manual y/o automticamente para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.
La tipologa tradicional de los controles informticos es:
Controles Preventivos: para tratar de evitar el hecho.
Controles Detectivos: cuando fallan los preventivos para
tratar de conocer cuanto antes el evento.
Controles Correctivos: facilitan la vuelta a la normalidad
cuando se han producido incidencias.
3/6
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
Documentacin necesaria para conocer la configuracin del sistema:
Entorno de red: esquema de red, descripcin de la configuracin del
hardware y software de telecomunicaciones, control de red, situacin
general de los computadores que soportan actividades crticas y
consideraciones acerca de la seguridad de la red.
Configuracin del computador base: soporte fsico, entorno del
sistema operativo, bibliotecas de programas y conjuntos de datos.
Entorno de aplicaciones: procesos, transacciones y sistemas de
gestin de base de datos.
Productos y Herramientas: software para el desarrollo de programas.
Seguridad del computador base: identificacin y verificacin de
usuarios, control de acceso, registro e informacin, integridad del
sistema, controles de supervisin, etc.
4/6
METODOLOGAS PARA LA EVALUACIN DE SISTEMAS DE
INFORMACIN
Anlisis de riesgos (evaluacin de riesgos y
recomendacin de acciones en base al costo-
beneficio de las mismas) y auditora de sistemas
de informacin (nivel de exposicin por falta de
controles).
Todos los riesgos que se presentan en un entorno
informtico podemos:
EVITARLOS: Por ejemplo, no construir
instalaciones fsicas en ambientes propensos a
inundaciones o incendios.
TRANSFERIRLOS: Outsourcing de sistemas.
REDUCIRLOS: Sistemas de deteccin y
extincin de incendios.
ASUMIRLOS: Que es lo que se hace si no se
controla el riesgo en absoluto.
5/6
DEFINICIONES
BSICAS
AMENAZA: una persona o cosa vista como
posible fuente de peligro. Ejemplos: inundacin,
incendio, robo de datos, sabotaje, falta de
procedimientos de emergencia, divulgacin de
datos, implicaciones con la ley, aplicaciones mal
diseadas, gastos incontrolados, etc.
VULNERABILIDAD: Situacin creada por la falta
de controles, con la que la amenaza pudiera
acceder y afectar. Ejemplo: falta de controles
lgicos, inexistencia de soportes de
almacenamiento, falta de separacin de entornos
con el sistema, etc.
RIESGO: Probabilidad de que una amenaza llegue
a acaecer por una vulnerabilidad. Ejemplos: El
sistema puede quedar fuera de lnea 5 minutos
cada 24 horas por las cadas en la fuente elctrica.
EXPOSICIN O IMPACTO: Evaluacin del efecto
del riesgo en trminos econmicos, imagen de la
empresa, etc.
6/6
FUNCIONES DE LA AUDITORA DE SISTEMAS DE INFORMACIN
Verificacin del control interno, tanto de aplicaciones como de los
sistemas informticos.
Anlisis de la gestin de los sistemas de informacin desde el punto de
vista de riesgo de seguridad y nivel de efectividad.
Anlisis de la integridad, fiabilidad y certeza de la informacin a
travs del anlisis de las aplicaciones.
Auditora de riesgo operativo (informacin y seguridad).
Verificacin del nivel de continuidad de las operaciones.
Anlisis del estado de arte tecnolgico de las instalaciones y de las
consecuencias empresariales que un desfase tecnolgico puede
acarrear.
Diagnstico sobre el grado de cobertura que dan las aplicaciones a
las necesidades estratgicas y operativas de la organizacin.