FINALIDAD : Mantener un nivel satisfactorio de seguridad y control sobre todas las personas que tienen acceso a los servicios de tiempo compartido, as como integridad fisica y lgica de la red. ALCANCE : Verificacin del diseo, uso y seguridad de la Red de Area Local (LAN) AREAS DE APLICACION F.l ADMINISTRACION DE REDES NTCISA La acninistracin se debe asegurar que cualquier red de area loca[ (LAN) utilizada por la administracin sea disellada apropiadamente y que su uso sea controlado adecuadamente Requerimientos Documentacin completa de la Red LAN . Diagrama de Instalacin Diagrama de accesos y Administracin de recursos de la red Tiempo Promedio : 19 Horas Elaborado por: Ana Luisa RaqueHanndez y Marlms PbaNsvarro. 111 Asmorado por: hg. Javia A l a r a PROGRAMAS DE AUDITORIA PARA LA ADMINISTRACION DE REDES SlTiUCION: AREA : UbOU DE PORMUWCION 1 1 HECHO POR : 111 Verificar que la configuracin de la red (LAN) instalada sea la apropiada a las necesidades de la institucin. Examinar que la instalacin de la red (LAN) sea completa y cumpla con los requerimientos mnimos para la seguridad de las operaciones de comunicacin que se efectan. Comprobar que el acceso al Hardware compartido ( impresores, CD-Rom, etc) 1 1 sea controlado para su uso. 1 F.2 SEGURIDAD EN LA RED NTCISA La q&ninistracin debe de garantizar que han sido implementados todos los controles adecuados para ,t.. . . . pr0"196f ionar tanto integridady seguridad logica, as como tambien seguridadfsica i' Iiqgrsrimientos Documentos de Controles de las redes LAN Procedimientos de acceso . Procedimientos de pasword Tiempo Promedio : 39 Horas Elaborado por: Ana Luisa Roque Hanbdez y Marlene Pez Navarro. 112 Aserorado por: Ing. Javier Al- PROGRAMAS DE AUDITORIA PARA SEGURIDAD DE RED CHA DE FORMULACION: 1 1 Veficar que cada mensaje sea indentificado por medio de la contrasea del usuario individual, la terminal y el nmero de secuencia del mensaje individual. Examinar las tablas de verificacin del acceso de terminales, personas, base de datos, y programas. Tales tablas deben de estar en reas protegidas de la memoria. Asegurese de que todos los datos y programas de comunicacin se almacenen en reas protegidas de la memoria o en almacenamiento en disco. Verificar que se realicen revisiones tcnicas utilizadas para la prueba de validacin de la operacin del Hardware y Software, a fin de asegurar su integridad. La prueba, incluyendo la del personal, debe revelar desviaciones con respecto a la operacin especificada. Constatar la utilizacin de controles de seguridad fsicos a lo largo de toda la red de comunicacin de datos. Esto incluye el empleo de : - Cerraduras - Protecciones - Chapas - Alarmas - Detectores y - medidas administrativas para porteger las instalaciones fisicas, redes de comunicacin de datos y el equipo de . - comunicacin de datos relacionados 1 rW.a Luisa Rape Hanbdez y Marlene Pau Savanu 113 usuario que especifiquen propiamente las Elaborado par: Ana Luisa Roque Hanndez y hladaie PBa Navarro. 114 &esorado por: Lng Javier Al a r a G. SISTEMAS EXPERTOS FINALIDAD : Evaluar la adquisicin y uso de los sitemas expertos en la institucin, as como el entrenamiento del personal usuario. ALCANCE : Evaluacin del control interno en el desarrollo de Sistemas Expertos y de operaciones AREAS DE APLICACION G.l DESARROLLO DE SISTEMAS EXPERTOS NTCISA Se deben implementar controles a travs de la administracin para la seleccin de aplicaciones, diseo, adquisicin de la base de conocimiento yprueba de los sistemas expertos Requerimientos b Manual de usuario . Manual de diseo . Polticas de adquisicin de la base de conocimientos. Tiempo Promedio : 19 Horas Elaborado por: Ana Luisa Roque Hmindez y MarleieP&a Navano. 115 Asaorado pw: Ing Javk Alanon PROGRAMAS DE AUDITORIA PARA EL DESARROLLO DE SISTEMAS EXPERTOS ~ I ~ C H A D E FORMULACION: I 1 HECHO POR : 1 Verificar que la administracin controle efectivamente la adquisicin de sistemas expertos. 2 Constatar que la seleccin del sistema experto sea en base a las necesidades de la institucin y no a objetivos personales. Asegurarse de que el manejo de la base de conocimientos sea la apropiada para no subutilizar el sistema. G.2 OPERACIONES EN SISTEMAS EXPERTOS NTCISA Los controles sobre los sistemas expertos deben ser similares a los controles establecidos para las operacin de t&s los sistemas Particulmente, se le debe dar importancia al mantenimiento y al acceso a los sistemas expertos tanto como el entrenamiento de personas que usan el sistema. Requerimientos F Controles de Acceso . Manual de usuario . Manual de operaciones Plan de seguridad Tiempo Promedio : 45 Horas Elaborado por: Ana Luisa Roque Hmndm y Marlme Prez Navarro. 116 Asesorado por: Ing Javier Al arm PROGRAMAS DE AUDITOIUA PARA OPERACIONES EN SISTEMAS EXPERTOS Constatar la existencia de polticas de seguridad para el acceso a los Sistemas Expertos. Evale que se realicen controles para prevenir ingresos no autorizados a la base de datos de conocimientos. Verificar la integridad de la base de conocimientos. I I I I Evaluar los controles para prevenir la destmccin accidental de los datos contenidos en la base de conocimiemtos y sus archivos asociados. Verifique la existencia de controles de recuperacin, para restaurar la base de conocimientos en caso de una falleN electrica o prdida de informacin. Constatar la existencia de procedimientos para el entrenamiento del usuario en la operacin de los sitemas expertos. Verificar que los usuarios entiendan el sistema y esten preparados para utilizarlo A continuacin se presenta un cuestionario para la evaluacin del rea : Elaborado por: Ana Luisa Roque Hanhdez y Marleie PBa Navarro. 117 Assorado por: Ing. Javier Al- REALIZADO POR FECHA DE REALIZACION: 1 1 !. Se consideran el equipo fisico y el medio de almacenamiento deben asignarse para lograr el uso mas eficiente del sistema? ! Se desarrollan normas para el manejo del sistema por parte del centro de operaciones? - - -- - - - . Si se desarrollan normas , cules de las siguientes se consideran ? - Controles del operador? ( ) - Acciones a seguir por el operador en caso de intenupcin del sistema? ( ) -Procedimiento de reinicio? ( ) Respaldo del sistema (Base de Conocimientos) FECHA DE REVISION: -1- Elaborado par: Ana Luisa Roque Henbndci y Marlaie PSa Na v m. 118 Asesorado por: Ing Javier Alarm H. CONTROLES EN DISEOS DE APLICACIONES A TRACES DE COMITES NTCISA Se refiere alanalisis de sistema y su disefio a travs de grupos de trabajo enfre usuarios y tcnicos a& de determinar las transaciones u operaciones a sistematizar por la entidad as como sus objetivos FINALIDAD Analizar la creacin de nuevos sistemas o la modificacin de los ya existentes para adecuarlos a las necesidades por medio de comits de administracin y seleccin de proyectos. ALCANCE Evaluacin de los comits de administracin y seleccin de proyectos y de los diseos de proyectos a fin de evaluar las transacciones y operaciones a sistematizar, as como sus objetivos. AREAS DE APLICACION H.1 INVOLUCRAMIENTO DE LA ADMINISTRACION NTCIS A Por cada proyecto de diseo de aplicaciones a travs de comite, se debe designar un miembro clave de los directivos usuarios en el equipo de trabajo y documentarse objetivos especlficos del nuevo sistema a disear. Requerimientos Listado de miembros del comit b Documentacin de los nuevos sistemas modificados Elaborado por: Ana Luisa Roqw Hemndez y Marhe Pkez Navarro. 119 Asesorado por: Iris Javier Al- Tiempo Promedio : 32 Horas PROGRAMAS DE ADITORIA PARA EL INVOLUCRAMIENTO DE LA ADMINISTRACION Examinar la lista de los miembros del comit para determinar si existe un miembro clave de los directivos usuarios en el equipo de trabajo, con experiencia en comits. Determinar cul es el tipo de comit utilizado para revisar y seleccionar los proyetos de desarrollo, y as verificar que se adecue a las necesidades de la institucin. Ejemplos de comits son : a) Comit directivo b) Comit de Sistemas de Informacin C) Comit del grupo de usuarios Determinar si las solicitudes de los proyectos surgen por un solo evento o una situacin recurrente, para evaluar su aprobacin. Verificar que la solicitud del proyecto incluya los nombres de varias personas involucradas con las que se pueda hacer contacto para obtener ms informacin en la investigacin preliminar. Verificar que la solicitud del proyecto contenga los detalles del problema , como por ejemplo: Qu tan significativo es?, cul cree el usuario que es la solucin?, cmo ayudaran los sistema?. Elaborado por: Ana Luisa Roque Ha n S n h y Marlsie PBez Navarro. 120 Asesorado por: hg. Javier Alar- V d c a que dentro de las polticas del comit exista la rotacin de los miembros en forma escalonada , es decir que entren nuevos participantes en diferentes momentos, para que estos no sobrepasen su periodo de trabajo de seis a doce meses. Investigar si los analistas en la investigacin preliminar realizan lo siguiente : 1. Aclarar y entender la peticin del proyecto 2.Determinar el tamao del proyecto 3.Sealar los costos y beneficios de las alternativas apropiadas 4.Determinar la factibilidad tcnica y operativa de los enfoques alternativos 5.Informar los hallazgos a la gerencia con recomendaciones y subrayando las aceptacines o rechazo de la propuesta. Para determinar el alcance del estudio v su factibilidad H.3 PROYECTO EN EL DISENO DE APLICACIONES POR JUNTAS NTCISA La administracin debe establecer procedimentos que garanticen que se lleven a cabo las actividades apropiadas durante las sesiones del comit y que se mantiene toda la documentacibn necesaria. Requerimientos . Actas de sesiones del comite Documentos de Proyectos Tiempo Promedio : 32 Horas Elaboradopor. Ana Luisa Roque Hw ndu y Marleie P&ez Navami. 122 Asaorado por: ing Javier Alaran PROGRAMAS DE AUDITORlA PARA PROYECTO EN EL DISEO DE APLICACIONES ADJUNTAS 1. Verificar la existencia de btacoras o libros de asistencia y control de las diferentes actividades y problemas analizados 2. Revisar las actas levantadas en las sesiones del comit para examinar que las actividades realizadas sean las apropiadas 3. Examinar que la documentacin que posee el comit est completa para la revisin de cada proyecto Determinar si la documentacin de los proyectos que posee el comit es utilizada para las pmebas de factibilidad del proyecto , es decir para determinar la posibilidad de que el sistema sea benfico Indagar si se estudian las tres pruebas de factibilidad : operativa, tcnica y financiera en cada proyecto. -Las pmebas de factibilidad operativa cuestionan si el sistema trabajar cuando se instale y desarrolle -La prueba de factibilidad tcnica examina si todos los aspectos son factibles -La pmeba de factibilidad financiera cuestiona si los beneficios financieros dan o exceden los costos financieros Elaborado por: h a Luisa Roque Hanndez y Marlme Prez Navarro. 123 Asaorado por: hg Javier Alarmn A continuacin se presenta un cuestionario que ayudar a probar la factibilidad de un proyecto REALIZADO POR FECHA DE REALIZACION: 1 FACTIBlLIDAD OPERATWA 1. Existe apoyo suficiente para el proyecto por parte de la gerencia?Tambin de los usuarios? 2. Si el sistema actual gusta y se usa, al grado de que las personas no ven ninguna razn para cambiarlo, puede haber resistencia ? 3. Se han involucrado los usuarios en la planeacin y desarrollo? 4. Causar dao el sistema propuesto? 5. Dar como resultado prdida de control en almina rea? 6. Disminuir la rapidez del trabajo en algunas I I I FACTIBILIDAD TECNICA 7. Existe la tecnologa necesaria ( o puede adquirirse) para hacer lo que se sugiere ? 8. Tiene el equipo propuesto la capacidad tcnica para almacenar los datos requeridos y utilizarlos en el nuevo sistema ? -- 9. Existen garantas tcnicas de exactitud, conahiiidad, facilidad de acceso y seguridad en los datos ? Elaborado por: Ana Luisa RoqueHwBndez y Marlsie P k Navarro. 124 Assorado por: hg. Javir Alarcm FACTlBILIDAD FIXANCIERA En el Area de Factibilidad financiera y econmicas los analistas de sistemas se plantean durante la investigacin preliminar estimaciones sobre: l . El costo de llevar a cabo una investigacin completa de sistemas 2. El costo de hardware y software para el tipo de aplicacin considerado 3. Los beneficios en fonna de reduccin de costos O menos errores costosos 1. El costo si nada cambia ( si el sistema no se desarrolla) 1 1 ViSADO POR : C FECHA DE REVISION: - - Elsbondopor: Ana Luisa Rque Hwbndez y Marlene Pm K w m . 125 h a d o por: ing Jawa Mar-