Compilacion de Preguntas Seguridad Informatica

COMPILACION DE PREGUNTAS SEGURIDAD INFORMATICA EXAMEN CISA

1. Un auditor de SI, al realizar una revisión de los controles de una aplicación, aplicación, descubre una debilidad en el software software del sistema, lo que podría afectar materialmente la aplicación. El auditor de SI debe: . !acer caso omiso de estas debilidades de control como una revisión del software software del sistema est" m"s all"del

alcance de esta revisión  #. $levar a cabo una detallada revisión del software del sistema % reportar las debilidades de control &. Incluir en el informe una declaración de que la auditoría se limitó a una revisión de los controles de la aplicación

recomendar una detallada revisión del '. (evisar los controles relevantes del sistema de software % recomendar una software del sistema.  )o se espera que el auditor deba *acer caso omiso de las debilidades de control sólo porque est"n fuera fue ra del alcance de una revisión actual. dem"s, la realización de una detallada revisión de softwa sof tware re de sis sistem temas as  puede obstaculizar  la a+ a+en enda da de la auditoría % el aud audito itor  r  puede  puede no ser  tcnicamente competente para *acer  *acer tal tal revisión en este momento. Si *a% deficiencias de control que *an sido descub descubiertos iertos por  por el el auditor , deben deben ser revelados. -ediante la emisión de un descar+o de responsabilidad, esta respon responsabilid sabilidad ad  podría no aplicarse. or lo tanto , la opción adecuada sería revisar los revisar  los controles del sistema de software % recomendar un software de sistemas detallados detallados para  para los que se pueden recomendar recursos recomendar recursos adicionales. /. $a razón para tener controles tener controles en un entorno SI: . el entorno manual se mantiene sin cambios, pero las funciones de control implementadas implementadas pueden  pueden ser diferentes. #. el entorno manual se mantiene sin cambios, por lo tanto, las funciones de control implementadas  pueden ser diferentes &. el entorno manual se mantiene sin cambios, pero las funci funciones ones de contro controll implementadas ser"n los mismos '. el entorno manual se mantiene sin cambios, % las funciones de control implementadas tambin ser"n los mismos $os ob0etivos de control interno aplicables a todas las "reas, %a sea sea manual o automatizado. !a% ob0etivos adicionales que se deben alcanzar en alcanzar  en el medio ambiente es, en comparación con el medio ambiente manual. b0eti b0etivos vos de contr control ol comunes se man mantie tienen nen sin cam cambio bioss, tanto en el med medio io ambiente es % el medio ambiente manual, aunque la aplicación de las funciones de control puede control puede ser 

diferente en el medio ambiente es,  por e0emplo, la adecuación de  bac2up 3 recuperación en un ob0etivo de control interno com4n com4n para  para IS I S % el medio ambiente ambiente manual. El ob0etivo específico es el control  puede ser  ser  para  para respaldar  adecuadamente se+ se+uri uridad dad de los arc* arc*ivo ivoss  para permitir la recuperación adecuada. Esto se puede lo+rar mediante lo+rar  mediante la aplicación de procedimientos de  procedimientos de control adecuados, como la polític políticaa de continuidad de ne+ocio , en el departamento de SI . or lo tanto, la aplicación de las funciones de control  puede ser diferente en el medio ambiente es. ero los ob0etivos de control comunes en un entorno IS se mantienen sin cambios desde un entorno manual. 5. 6&u"l de los si+uientes tipos de ries+os supone una ausencia de controles de compensación en el "rea que est" siendo revisado . El ries+o de control #. El ries+o de detección &. El ries+o in*erente. '. El ries+o de muestreo

El ries+o que e7iste un error que podría que podría ser el ser  el material o si+nificativa cuando se combina con otros errores encontrados durante la auditoría, no e7istiendo controles de compensación relacionados, es el ries+o in*erente. El ries+o de control es el ries+o de que e7iste un error materi error  material al que no se se pueden  pueden  prevenir o  prevenir  o detectar  detectar en en forma oportuna por oportuna por el sistema de controles internos. El ries+o de detección es el ries+o cuando un auditor de SI utiliza un procedimiento de prueba insuficiente % lle+a a la conclusión de que no e7isten errores materiales, cuando lo *acen. -uestreo de ries+o es el ries+o de que se *acen suposiciones incorrectas sobre las características de una una población  población de la que se toma una muestra. 8. Un auditor est" auditor  est" llevando a cabo pruebas cabo  pruebas de auditoría sustantivas de un nuevo módulo de cuentas  por cobrar . El auditor tiene auditor tiene una a+enda mu% apretada % conocimientos inform"ticos limitados. 6&u"l sería la tcnica de auditoría -E9(  -E9( utilizar  utilizar en en esta situación . $os datos de prueba. #. Simulación Simulación paralela  paralela &. Instalación de prueba inte+rado '. -ódulo de auditoría Embebidos $os datos de prueba utiliza un con0unto de transacciones *ipotticas  para verificar  la ló+ica del

diferente en el medio ambiente es,  por e0emplo, la adecuación de  bac2up 3 recuperación en un ob0etivo de control interno com4n com4n para  para IS I S % el medio ambiente ambiente manual. El ob0etivo específico es el control  puede ser  ser  para  para respaldar  adecuadamente se+ se+uri uridad dad de los arc* arc*ivo ivoss  para permitir la recuperación adecuada. Esto se puede lo+rar mediante lo+rar  mediante la aplicación de procedimientos de  procedimientos de control adecuados, como la polític políticaa de continuidad de ne+ocio , en el departamento de SI . or lo tanto, la aplicación de las funciones de control  puede ser diferente en el medio ambiente es. ero los ob0etivos de control comunes en un entorno IS se mantienen sin cambios desde un entorno manual. 5. 6&u"l de los si+uientes tipos de ries+os supone una ausencia de controles de compensación en el "rea que est" siendo revisado . El ries+o de control #. El ries+o de detección &. El ries+o in*erente. '. El ries+o de muestreo

El ries+o que e7iste un error que podría que podría ser el ser  el material o si+nificativa cuando se combina con otros errores encontrados durante la auditoría, no e7istiendo controles de compensación relacionados, es el ries+o in*erente. El ries+o de control es el ries+o de que e7iste un error materi error  material al que no se se pueden  pueden  prevenir o  prevenir  o detectar  detectar en en forma oportuna por oportuna por el sistema de controles internos. El ries+o de detección es el ries+o cuando un auditor de SI utiliza un procedimiento de prueba insuficiente % lle+a a la conclusión de que no e7isten errores materiales, cuando lo *acen. -uestreo de ries+o es el ries+o de que se *acen suposiciones incorrectas sobre las características de una una población  población de la que se toma una muestra. 8. Un auditor est" auditor  est" llevando a cabo pruebas cabo  pruebas de auditoría sustantivas de un nuevo módulo de cuentas  por cobrar . El auditor tiene auditor tiene una a+enda mu% apretada % conocimientos inform"ticos limitados. 6&u"l sería la tcnica de auditoría -E9(  -E9( utilizar  utilizar en en esta situación . $os datos de prueba. #. Simulación Simulación paralela  paralela &. Instalación de prueba inte+rado '. -ódulo de auditoría Embebidos $os datos de prueba utiliza un con0unto de transacciones *ipotticas  para verificar  la ló+ica del

 pro+rama % el control interno en un corto tiempo % por un por un auditor con auditor con el fondo mínimo de ;I. En una simulación paralela simulación  paralela, los resultados producidos por  producidos  por un un pro+rama real se comparan con los resultados de un pro+rama escrito para el auditor de SI < esta tcnica puede tcnica  puede llevar muc*o tiempo % requiere conocimientos de ;I . Una instalación de prueba inte+rado, permite que los datos de prueba para ser  evaluados continuamente cuando las transacciones se procesan en línea< esta tcnica es muc*o tiemp tie mpo o % requiere con conocim ocimien ientos tos de ;I. Un mód módulo ulo de aud audito itoría ría incrustado es un mó módu dulo lo  pro+ramado que se inserta en un pro+rama de aplicación  para poner a prueba los contro controles< les< esta tcnica es muc*o tiempo % requiere conocimientos de ;I.

=. El propósito principal de pruebas de pruebas de conformidad es comprobar si: . controles se implementan se+4n lo prescrito. #. la documentación es correcta % actual &. Se ofrece acceso a los usuarios se+4n lo especificado '. Se proporcionan los procedimientos de validación de datos (espuesta :

ruebas de cumplimiento se realizan principalmente realizan principalmente para  para verificar si verificar si los controles, a elección por la administración, se implementan. >erificación de documentos no est" directamente relacionada con las pruebas de cumplimiento. >erificar si se proporciona acceso a los usuarios es un e0emplo de las  pruebas de cumplimiento. rocedimientos de validación de datos son parte de los controles de aplicación. rueba si estos se establecen como par"metros como par"metros % traba0ar como traba0ar como se prev es la prueba de conformidad.

?. 6&u"l de las si+uientes opciones describe me0or las me0or las primeras  primeras etapas de una auditoría es . $a observación de las instalaciones clave de la or+anización #. Evaluando el entorno SI &. $a comprensión de los procesos de ne+ocio % la revisión aplicable al entorno. '. (evisión (evisión previa  previa es informes de auditoría $a comprensión de los procesos de ne+ocio % el medio ambiente aplicable a la crítica es m"s representativa de lo que ocurre desde el principio, en el transcurso de una auditoría. tras opciones se refieren a actividades que ocurre en realidad dentro de este proceso.

@. El documento utilizado por la por la alta dirección de las or+anizaciones para autorizar la función de auditoria de SI es el:

. plan .  plan de auditoría a lar+o plazo #. estatuto de auditoría. &. planificación de la auditoría metodolo+ía '. minutos del comit directivo

El estatuto de auditoría describe la autoridad +eneral, el alcance % las responsabilidades de la función de auditoría para auditoría para lo+rar los ob0etivos de auditoría establecidos en el mismo. Este documento sirve como un instrumento para la dele+ación de autoridad para la función de auditoría de SI. lanificación de la auditoría a lar+o plazo se refiere a aquellos aspectos del plan del plan de auditoría que se ven afectados por afectados por la estrate+ia de ;I de la or+anización % el medio ambiente . lanificación de la auditoría comienza sólo despus de que el estatuto de auditoría *a sido aprobado por el por  el m"s alto nivel de +estión. $as metodolo+ías de planificación de auditoría se deciden en base al an"lisis tanto a lar+o como a cuestiones de auditoría a corto plazo. $as actas de los comits de dirección deben abordar la abordar  la aprobación del estatuto de auditoría, pero no es el conductor que conductor que los dele+ados autoridad.

A. ntes de informar de los resultados de una auditoría a la alta dirección, un auditor de SI debe: . &onfirmar  &onfirmar los los *allaz+os con los auditados #. reparar  reparar un un resumen e0ecutivo % enviarla +estión auditada &. 'efinir  'efinir recomendaciones recomendaciones % presentar los resultados al comit de auditoría '. btener un acuerdo de la entidad fiscalizada en los resultados % las acciones que deban tomarse. l trmino de una auditoría, un auditor de auditor de SI debe discutir con los auditados los ob0etivos de la auditoría por auditoría  por el traba0o realizado, la prueba % las tcnicas de evaluación utilizados % los resultados de esas pruebas esas  pruebas que llevaron a conclusiones. El auditor tambin debe obtener el acuerdo 3 desacuerdo del auditado en relación con los resultados % las acciones que el auditor  planea  planea tomar .

9. Si bien el desarrollo de un programa de auditoría basado en el riesgo, cuál de las siguientes sería el auditor es más probable que se centran en? A). Negocio procesa B). crítico aplicaciones de TI C). Obeti!os Corporati!os estrategias

"). negocio #$. %Cuál de las siguientes es una prueba de auditoría sustanti!a? &). 'eri(cacin de que un c*eque de gestin se *a reali+ado regularmente B). Obser!ando que los identi(cadores de usuario  contrase-as son requeridos para (rmar en el equipo C). e!isar in/ormes anuncio en!íos cortos de los bienes recibidos D). Revisión de un balance de comprobación de edad de las cuentas por cobrar. 11. 6&u"l de las si+uientes tareas se realiza por la misma persona en un centro de servicio 3 equipo de procesamiento de información bien controlada B dministración de la se+uridad % la +estión #B peraciones para & % el desarrollo del sistema &B El desarrollo del sistema % la +estión del cambio D) El desarrollo del sistema y el mantenimiento de sistemas 1/. 'ónde adecuada se+re+ación de funciones entre las operaciones % la pro+ramación no son alcanzables, el auditor de SI debe buscar: A) ontroles de om!ensai"n #B controles administrativos &B controles correctivos 'B controles de acceso

15. &u"l de los si+uientes se incluirían en una plan estrat+ico de SI B Especificaciones para la compra de *ardware planificado #) An$lisis de los %&t&ros o'(etios de ne*oio &B lazos para pro%ectos de desarrollo 'B b0etivos presupuestarios anuales del departamento de SI

#0. %Cuál de los siguientes se incluirían en una 1S plan estrat2gico? &). 1speci(caciones para las compras de *ard3are plani(cados B). Análisis de los objetivos de negocio futuras C). Obeti!o /ec*as para los obeti!os presupuestarios proectos de desarrollo "). anuales para el departamento de SI

#4. 5a responsabilidad más importante de un o(cial de seguridad de los datos en una organi+acin es6 A). recomendar y supervisar las políticas de seguridad de datos. B). promo!iendo conciencia de la seguridad dentro de la organi+acin. C). establecen los procedimientos de las políticas de seguridad de TI. "). administrar los controles de acceso /ísico  lgico.

#7. %Cuál de las siguientes opciones describe meor el proceso de plani(cacin estrat2gica de un departamento de TI?

&). 1l departamento de TI tendrá en planes de corto alcance o de largo alcance en /uncin de los planes  obeti!os más amplios de la organi+acin. 1l plan estrat2gico del departamento B). 5a TI debe ser el tiempo  orientado a proectos, pero no es tan detallada como para atender  audar a determinar las prioridades para satis/acer las necesidades del negocio. ). !a plani"cación a largo pla#o para el departamento de $% debe reconocer objetivos de la organi#ación& los avances tecnológicos y los re'uisitos reglamentarios. "). 5a plani(cacin a corto pla+o para el departamento de TI no tiene que ser integrado en los planes a corto pla+o de la organi+acin a los a!ances tecnolgicos impulsarán el departamento de TI planes muc*o más rápido que los planes de la organi+acin.

+,- Un a&ditor est$ a&ditando los ontroles relatios a la resisi"n de los em!leados- .C&$l de los si*&ientes es el as!eto m$s im!ortante !ara ser reisado/

&. 1l personal de la empresa relacionadas son noti(cados acerca de la terminacin B. I" de usuario  las contrase-as de los empleados se *an eliminado C. 5os detalles de los empleados se *an eliminado de los arc*i!os de nmina acti!os propiedad de la empresa ". proporcionado al empleado se *a !uelto. Respuesta( B 1l maor riesgo es el acceso lgico a la in/ormacin por un empleado despedido. 1sta /orma de acceso es posible si no se *an eliminado el identi(cador de usuario  la contrase-a del empleado despedido. Si el I" de usuario no está des*abilitado o eliminado, es posible que el empleado sin !isitar /ísicamente la empresa puede acceder a la in/ormacin. 1l potencial de la p2rdida en la cuenta de acceso a la in/ormacin es muc*o más alto, en comparacin con el pago del salario  la retencin de la propiedad de la compa-ía.

01- Al reisar &n a&erdo de niel de seriio !ara &n entro in%orm$tio e2ternali3ado &n a&ditor de SI de'e determinar !rimero 4&e5 . el costo propuesto para los servicios es razonable. -ecanismos de se+uridad #. se especifican en el acuerdo. &. los servicios en el acuerdo se basa en un an"lisis de las necesidades del ne+ocio. '. cceso auditoría al centro de cómputo est" permitida en virtud del acuerdo. Res!&esta5 C $a primera consideración en la revisión del acuerdo es ase+urar que el ne+ocio est" pidiendo los

servicios m"s apropiados para satisfacer sus necesidades de ne+ocio. 'ebe *aber evidencia de que ellos *an considerado que servicios son necesarios, tanto en el presente como en el futuro. El costo es importante Copción B, %a que el ne+ocio puede estar pa+ando por niveles de servicios que no son

necesarios o no son apropiadas, pero no es de primera importancia. mbos, acceso de auditoría Copción 'B % de se+uridad ob0etivos, en lu+ar de los mecanismos de se+uridad Copción #B, son temas que deben ser considerados como parte de la revisión, pero no son de primera importancia. 0+- El !rini!al 'ene%iio de la normali3ai"n de 'ases de datos es el si*&iente5 . minimización de la redundancia de la información en las tablas necesarias para satisfacer las

necesidades de los usuarios. #. capacidad de satisfacer a m"s consultas. &. ma7imización de la inte+ridad de la base de datos, proporcionando información en m"s de una tabla. '. minimización del tiempo de respuesta m"s r"pido a travs del procesamiento de la información. Res!&esta5 A $a normalización si+nifica la eliminación de datos redundantes. or lo tanto, el ob0etivo de la normalización de bases de datos relacionales es minimizar el volumen de la información mediante la eliminación de datos redundantes en tablas, de forma r"pida tramitación de las solicitudes de los usuarios % el mantenimiento de la inte+ridad de datos. -a7imizar el volumen de la información est" en contra de las re+las de normalización. Si determinada información se proporciona en las tablas de diferencia, el ob0etivo de la inte+ridad de los datos puede ser violado porque una tabla puede ser  actualizada % no en otros. $as re+las de normalización abo+an almacenar datos en una sola tabla,  por lo tanto, reducir al mínimo el tiempo de respuesta m"s r"pido a travs del procesamiento de la información. 00- .C&$l de las si*&ientes to!olo*6as de red !ro!oriona la red&ndania mayor en el aso de la %alla de &n nodo/ . -alla #. Estrella &. nillo '. autob4s Res!&esta5 A En la confi+uración de malla, los dispositivos est"n conectados con muc*as intercone7iones

redundantes entre nodos de la red, con lo que, obtenindose la ma%or redundancia en el caso de que uno de los nodos falla, en la que el tr"fico de red caso puede ser rediri+ido a otro nodo. En confi+uración de estrella, cada estación est" relacionada con el e0e principal. El principal centro establece la cone7ión entre las estaciones por el mensa0e o la conmutación de línea. or lo tanto, el fallo de un nodo resultado en la interrupción de la red. En la confi+uración de anillo, todos los nodos est"n conectados entre sí de formación de un círculo< or lo tanto, el fallo de un nodo resulta en la interrupción de la red. En confi+uración de bus, todos los dispositivos est"n vinculados a lo lar+o de una línea de comunicación con dos puntos finales llamados la columna vertebral< or lo tanto, el fallo de un nodo resulta en la interrupción de la red. 07- desem!e8o Un endedor 9 del ontratista ontra los a&erdos de niel de seriio de'e ser

eal&ado !or la5 . cliente. #. contratista. &. de terceros. Destión de '. contratista. Res!&esta5 A Sólo el cliente debe evaluar el desempeo del proveedor en un acuerdo de nivel de servicio CS$B.

Esto *ace que el cliente confía en el servicio prestado por el proveedor. Sin embar+o, la decisión de qu medir debe ser decidida por el cliente % el proveedor. 0:- C&ando la a&ditor6a de &n sistema o!eratio de main%rame; lo 4&e
determinar cu"les fueron los a0ustes de los par"metros en el momento el sistema se +eneró o creado Ca menudo denominada la car+a del pro+rama inicial o I$B. unque los resultados de este e0ercicio tambin se pueden evaluar a4n m"s por la discusión con el vendedor, la evaluación de la documentación % consulta de los pro+ramadores de sistemas, estas acciones no, por sí mismos, establecer funciones de control específicas.

25.. Al llevar a cabo una auditoría de seguridad de base de datos cliente / servidor, el auditor debería darle prioridad a:  A. B. C. D.

utilidades del sistema. generadores de programas de aplicación. Documentación de la seguridad del sistema. acceso a los procedimientos almacenados.

RESPUESTA: A

Utilidades del sistema pueden permitir cambios no autoriados a e!ectuar a los datos de la base de datos cliente"servidor. #n una auditoría de seguridad de base de datos, los controles sobre esas utilidades serían la principal preocupación del auditor .$eneradores de programas de aplicación son una parte intrínseca de la tecnología cliente"servidor, % el auditor de evaluarían los controles sobre los generadores de derec&os de acceso a la base de datos en lugar de su disponibilidad. Documentación de 'eguridad debe ser restringida a personal de seguridad autoriado, pero esto no es una preocupación principal, ni el acceso a los procedimientos almacenados.

2(. )Cu*l de las siguientes opciones permitiría +ue una empresa amplíe su intranet a travs de -nternet de sus socios de negocio  A. B. C. D.

red privada virtual 013 Cliente"'ervidor Acceso tele!ónico 1roveedor de servicios de red

RESPUESTA: A

4a tecnología 01 permite a los socios eternos para +ue participen de !orma segura en la etranet mediante redes p6blicas como el transporte o la red privada compartida. Debido al ba7o costo, el uso de redes p6blicas -nternet3 como medio de transporte es el principal mtodo. 01s se basan en tcnicas de t6nel / encapsulación, +ue permiten al protocolo de -nternet -13 realiar una variedad de di!erentes protocolos por e7emplo, 'A, -18, etB#U-.3 Cliente"servidor no se ocupa de la ampliación de la red de socios de negocios es decir, cliente" servidores se re!iere a un grupo de e+uipos dentro de una organiación conectada por una red de comunicaciones, donde el cliente es la m*+uina de petición % el servidor es la m*+uina suministradora.3 Un proveedor de servicios de red puede proporcionar servicios a una red privada compartida por la prestación de servicios de -nternet, pero no etendió la intranet de una organiación. 29. Un procedimiento de auditoria para el monitoreo de &ardare debería ser:  A. -n!ormar sobre la disponibilidad del sistema. B. -n!ormar sobre el costo"bene!icio. C. -n!ormar sobre el tiempo de respuesta. D. -n!orme sobre la utiliación de la base de datos.

RESPUESTA: A

Un auditor de '-, mientras +ue los procedimientos de vigilancia de &ardare auditoría revisar* los in!ormes de disponibilidad del sistema. -n!ormes de costo" bene!icio son revisados durante el estudio de !actibilidad. -n!ormes en tiempo de respuesta se relacionan con las aplicaciones, no con el &ardare. 4os in!ormes de utiliación de bases de datos se revisan para comprobar el uso óptimo de la base de datos en toda la organiación.

2;. #l dispositivo +ue conectan dos redes al m*s alto nivel del marco -'<"<'- es decir, la capa de aplicación3 es una  A. 1uerta de enlace B. =outer C. 1uente D. Brouter  Respuesta: A 4a puerta de enlace se utilia para conectar dos redes +ue utilian protocolos di!erentes en las capas in!eriores a travs del cual se establece la conectividad a saber !ísica, de enlace de datos, redes % capas de transporte. =outer es un dispositivo de capa de red para el +ue las dos redes de coneión deben tener el mismo protocolo de capa de red. 1uente opera en la capa de enlace de datos. Debe tener protocolos de capa de enlace de datos, tales como >o?en =ing, #t&ernet, en uso, tanto en las redes. Brouter es esencialmente un puente con algunas !unciones de enrutamiento.

2@. )Cu*l de las siguientes a!irmaciones relativas a las redes de conmutación de pa+uetes es la correcta  A. 1a+uetes para un mensa7e dado +ue via7an por el mismo camino. B. 4as contraseas no puede ser embebido dentro del pa+uete. C. 4ongitudes de pa+uetes son variables % cada pa+uete contiene la misma cantidad de in!ormación. D. #l costo cobrado por la transmisión se basa en pa+uetes, de distancia o ruta recorrida. Respuesta: D

D es la respuesta correcta, %a +ue los costos de transmisión se basan en los pa+uetes transmitidos, no a la distancia o la ruta recorrida. Contraseas % otros datos se pueden colocar dentro de un pa+uete de la toma de la opción B incorrecta. 4as opciones A % C no son correctas por+ue un mensa7e completo se divide en unidades de transmisión pa+uetes3, +ue se enrutan individualmente a travs de la red.

. Un auditor al revisar una red utiliada para las comunicaciones por -nternet, eaminar* en primer lugar la:  A. valide de contraseas cambiar ocurrencias. B. ar+uitectura de la aplicación cliente"servidor. C. ar+uitectura de la red % el diseo. D. protección !ireall % servidor pro%. Respuesta: C

#l primer paso en la auditoría de una red es entender la ar+uitectura % el diseo de la red. #sto proporcionaría una visión global de la red de las empresas % su conectividad. #ste ser* el punto de partida para la identi!icación de las di!erentes capas de in!ormación % la ar+uitectura de acceso a travs de las distintas capas, como servidores pro%, servidores de seguridad % aplicación de cliente / servidor. 0alide =evisión de los cambios de contrasea se realia como parte de las pruebas de con!irmación. . )Cu*l de las siguientes E#F<= proporciona control de acceso a los datos de nómina +ue se procesa en un servidor local  A. =egistro de acceso a la in!ormación personal B. contrasea separada para las transacciones sensibles C. 'o!tare restringe las reglas de acceso al personal autoriado D. 'istema limita las &oras de acceso en apertura Respuesta: C

4a seguridad del servidor % el sistema debe de!inirse para permitir el acceso del personal autoriado 6nicamente a la in!ormación sobre el personal cu%os registros +ue mane7an en el día a día. 4a opción A es un buen control en el +ue va a permitir el acceso a analiar si eiste la preocupación de +ue no eiste el acceso no autoriado. 'in embargo, no impedir* el acceso. 4a opción B, restringir el acceso a transacciones sensibles, sólo restringir el acceso a parte de los datos. o va a impedir el acceso a otros datos. 4a opción D, el acceso al sistema es restringido en &oras de apertura, sólo restringe cuando puede producirse el acceso no autoriado, % no impediría dic&o acceso en otros m omentos.

2. )Cu*l de las siguientes preocupaciones sobre la seguridad de un mensa7e electrónico se abordarían mediante !irmas digitales  A. lectura no autoriada B. =obo C. 4a copia no autoriada D. 4a alteración Respuesta: D

Una !irma digital inclu%e un total de &as& ci!rado del tamao del mensa7e, %a +ue !ue transmitida por su autor. #ste &as& %a no sería eacta si el mensa7e !ue posteriormente alterado, lo +ue indica +ue se &abía producido la alteración. 4as !irmas digitales no identi!ican o previenen ninguna de las otras opciones. 4a !irma sería ni evitar ni disuadir la autoriada lectura, copia o robo.

. #l mtodo m*s e!ica para limitar el dao de un ata+ue de un virus de so!tare es:  A. Controles de so!tare. B. 1olíticas, normas % procedimientos. C. Controles de acceso lógico D. #st*ndares de comunicación de datos. =espuesta: A 4os controles de so!tare en !orma de programas de detección % eliminación de virus son la manera mtodo m*s e!ica para detectar % eliminar virus. 4as políticas, normas % procedimientos son importantes, por+ue son basados en las personasG sin embargo, se consideran generalmente menos e!icaces +ue los controles de so!tare. 4as opciones C % D, no son relevantes para la detección de virus.

H. )Cu*l de los siguientes determina me7or +ue eisten protocolos de ci!rado % autenticación completos para proteger la in!ormación mientras se transmite  A. Una !irma digital con ='A &a sido implementada. B. 'e est* traba7ando en el modo de t6nel con los servicios 7erar+uiados de AI % #'1 C. 'e utilian certi!icados digitales con ='A. D. 'e est* traba7ando en el modo de transporte, con los servicios 7erar+uiados de AI % #'1

=espuesta: B

 #l modo de t6nel proporciona ci!rado % autenticación del pa+uete -1 completo. 1ara lograr esto, el AI encabeado de autenticación3 % #'1 +ue encapsula la carga 6til de seguridad3 se anidan al pa+uete -1. #l modo de transporte proporciona protección primaria para las capas m*s altas de los protocolos, esto es, la protección se etiende al campo de datos carga 6til3 de un pa+uete -1. 4os otros dos mecanismos proporcionan autenticación e integridad.

5. )Cu*l de las siguientes resultaría m*s adecuado para garantiar la con!idencialidad de las transacciones iniciadas a travs de -nternet  A. Jirma digital B. #st*ndar de ci!rado de datos D#'3 C. =ed privada virtual 013 D. Ci!rado de clave p6blica

=espuesta: D #l ci!rado es la 6nica manera de garantiar las transacciones por -nternet son con!idenciales, % de las opciones disponibles, el uso de ci!rado de clave p6blica es el me7or mtodo. 4as !irmas digitales asegurar*n +ue la transacción no se cambia % no puede ser repudiado, pero no garantian la con!idencialidad.

(. #l ob7etivo principal de un !ireall es proteger a:  A. 'istemas internos de amenaas eternas. B. 'istemas eternos de amenaas internas. C. 'istemas internos de amenaas internas. D. 'í mismo. =espuesta: A #l Jireall se coloca en el punto donde la red interna se conecta con el mundo eterior e -nternet. Act6a como un guardia de seguridad de la red, lo protege contra ata+ues maliciosos desde !uera de la red de la organiación. #amina pa+uetes +ue entran % +ue salen de la red interna, evita el ingreso de pa+uetes maliciosos % niega el acceso a los recursos pro&ibidos en -nternet para los usuarios internos. 4os pa+uetes cu%as direcciones -1 origen % destino re!erirse a los &osts dentro de la misma red no se envían !uera de la red % por lo tanto no representan una amenaa a la seguridad.

9. )Cu*l de los siguientes es un e7emplo de la tcnica biomtrica !isiológica  A. #scaneo de mano. B. #scaneo de vo. C. #scaneo de !irma. D. Eonitoreo de teclas. =espuesta: A 4a biometría !isiológica se basa en la medición de los datos derivados de la medición directa de una parte del cuerpo &umano. 4as opciones B, C % D son e7emplos de la biometría de comportamiento.

;. Un auditor acaba de completar una revisión de una organiación +ue tiene una unidad central % un entorno cliente"servidor en el +ue todos los datos de producción residen. )Cu*l de las siguientes debilidades sería considerado el m*s grave  A. #l o!icial de seguridad tambin sirve como el administrador de base de datos DBA3. B. Controles de contrasea no son administrados por el entorno cliente/servidor.  C. o eiste un plan de continuidad del negocio para aplicaciones no críticas del sistema main!rame.

D. 4a ma%oría de las 4A no respaldan discos !i7os de servidor de arc&ivos con regularidad. =espuesta: B 4a ausencia de controles de contrasea en el cliente"servidor donde residen los datos de producción es la debilidad m*s crítica. >odas las dem*s conclusiones, mientras +ue son debilidades de control, no tienen el mismo impacto desastroso.

@. Una organiación propone la instalación de un inicio de sesión 6nico +ue da acceso a todos los sistemas. 4a organiación debe tener en cuenta +ue:  A. Acceso E*imo autoriado sería posible si una contrasea se da a conocer. B. 4os derec&os de acceso del usuario serían limitadas por los par*metros de seguridad adicionales. C. la carga de traba7o del administrador de seguridad aumentaría. D. Derec&os de acceso del usuario se incrementarían. =espuesta: A 'i una contrasea se da a conocer al inicio de sesión 6nico est* &abilitado, eiste el riesgo de +ue el acceso no autoriado a todos los sistemas sea posible. 4os derec&os de acceso del usuario deben permanecer sin cambios por el inicio de sesión 6nico como par*metros adicionales de seguridad no se aplican necesariamente. Uno de los bene!icios previstos de inicio de sesión 6nico es +ue la administración de seguridad se simpli!icaría % un aumento de la carga de traba7o es poco probable.

H. Un sitio eb de comercio electrónico B"to"C como parte de su programa de seguridad de la in!ormación +uiere monitorear, detectar % prevenir actividades de &ac?ing % alertar al administrador del sistema cuando se producen actividades sospec&osas. Cu*l de los siguientes componentes de la in!raestructura podría ser utiliado para este propósito  A. 4os sistemas de detección de intrusiones B. 4os corta!uegos C. =outers D. ci!rado asimtrico =espuesta: A 4os sistemas de detección de intrusiones detectan la actividad de intrusos basado en las reglas de intrusión. #s capa de detectar tanto, la actividad de intrusión eterna e interna % enviar un

mensa7e de alarma autom*tica. 4os corta!uegos % routers evitan las comunicaciones no deseadas % bien de!inidas entre las redes internas % eternas. #llos no tienen ning6n sistema de mensa7ería de alarmas autom*ticas.

H Durante una auditoría de acuerdo mutuo de recuperación de desastres entre dos empresas, el auditor de '- estaría principalmente preocupado por:  A. 4a solide del an*lisis de impacto. B. 4a compatibilidad entre el &ardare % so!tare. C. Di!erencias entre las políticas % procedimientos de '-. D. Jrecuencia de las pruebas del sistema. Respuesta: B.

1ara +ue el acuerdo mutuo sea e!ica, el &ardare % so!tare deben ser compatibles en ambos sitios. 1ara garantiar esto los procesos de estar en su lugar. 4a opción D, la !recuencia de las pruebas del sistema, es una preocupación, pero la raón para considerar esto es +ue se pone a prueba la compatibilidad de &ardare % so!tare. 4a opción A es un problema cuando se eamina el proceso de plani!icación, no el acuerdo de reciprocidad. 4a opción C no es un problema %a +ue la organiación puede tener di!erencias en las políticas % procedimientos % aun así pueden ser capaces de e7ecutar sus sistemas en caso de un desastre. H2. Un auditor de '- descubre +ue el plan de continuidad del negocio de una organiación prev un sitio de procesamiento alterno +ue se adapta al cincuenta por ciento de la capacidad de procesamiento primario. #n base en esto, )cu*l de las siguientes acciones debería tomar el auditor de '-  A. o &acer nada, por+ue por lo general, menos del veinticinco por ciento de todo el proceso es !undamental para la supervivencia de una organiación % la capacidad de copia de seguridad, por lo tanto, es adecuado. B. -denti!icar las aplicaciones +ue podrían ser procesados en el sitio alternativo % desarrollar procedimientos manuales en copia de seguridad de otro proceso. C. Asegurarse de +ue las aplicaciones críticas se &an identi!icado % +ue el sitio alternativo podría procesar todas las solicitudes. D. 'e recomienda +ue la instalación de procesamiento de in!ormación organice un sitio de procesamiento alterno con la capacidad de mane7ar al menos el setenta % cinco por ciento de procesamiento normal. Respuesta C:

4os planes de continuidad de negocios deben proporcionar medidas para la recuperación de los sistemas críticos, no necesariamente para todos los sistemas. >al ve sólo el cincuenta por ciento de los sistemas de la empresa son !undamentales. 1or lo tanto, la evaluación cuidadosa de los sistemas críticos % los re+uisitos de capacidad debe ser parte de la evaluación del plan realiada por el auditor. H. )Cu*l de los siguientes componentes de un plan de continuidad del negocio es principalmente la responsabilidad del departamento de -'  A. Desarrollar el plan de continuidad de negocio. B. 'elección % aprobar una estrategia de continuidad de negocio plan. C. Declarar un desastre. D. =estaurar los datos % sistemas de la '- despus de un desastre. Respuesta D:

4a opción correcta es restaurar los sistemas % los datos despus de un desastre. #l Departamento de >- de una organiación es responsable de restaurar los sistemas % los datos despus de un desastre, en el momento m*s temprano posible. 4a alta

dirección de la organiación es responsable de desarrollar el plan de continuidad de negocio para la organiación. >ambin son responsables de seleccionar % aprobar la estrategia para el desarrollo e implementación de un plan de continuidad de negocio detallado. 4a organiación debe identi!icar a una persona en la gerencia como responsable de declarar un desastre. Aun+ue est* involucrada en todos los tres componentes, pero no es responsable de ellos.

44. %Cuál de los siguientes temas deben ser incluidos en el plan de continuidad del negocio? &. 1l personal necesario para mantener las /unciones críticas del negocio en el corto, mediano  largo pla+o B. 1l potencial para que ocurra un desastre natural, como un terremoto C. e!entos desastrosos que a/ectan a las /unciones de procesamiento de sistemas de in/ormacin  de los usuarios (nales ". 8n riesgo análisis que considera un mal /uncionamiento de sistemas, eliminacin accidental de arc*i!os u otros /allos espuesta6 & "onde no eiste un plan de continuidad de negocio uni(cado, el plan para el procesamiento de sistemas de in/ormacin debe ampliarse para incluir la plani(cacin de todas las unidades que dependen de /unciones de procesamiento de sistemas de in/ormacin. :ero, en la /ormulacin de un plan de continuidad de negocio a /ondo, una cuestin mu importante a considerar es el personal que se requiere para mantener las /unciones críticas del negocio con el tiempo, *asta que la organi+acin está en pleno /uncionamiento de nue!o. Otra cuestin importante es la con(guracin de las instalaciones de negocios, por eemplo, escritorios, sillas, tel2/onos, etc., que serán necesarios para mantener las /unciones críticas del negocio en el corto, mediano  largo pla+o. 5a opcin B es incorrecta, a que tiene que !er con lo que un buen plan de continuidad de negocio !a a tener en cuenta en caso de e!entos catastr(cos que ocurren. 1sto podría ser considerado como un subconunto de un plan de continuidad de negocio, pero no tiene el mismo impacto que el personal necesario  capacitado para lle!ar a cabo en caso de un desastre natural. 5a opcin C es incorrecta porque, al igual que en el caso de desastres naturales, esto podría ser considerado como un subconunto de un plan de continuidad de negocio, pero no tiene el mismo impacto que el personal necesario  capacitado para lle!ar a cabo en el caso de un desastre que a/ectaría /unciones de procesamiento de in/ormacin de sistemas  usuarios (nales. 5a opcin & sería el tema  las opciones B  C sería la causa para implementar el plan de continuidad del negocio. 5a opcin " es incorrecta porque se trata de interrupciones en el ser!icio que tiene sus raíces en el mal /uncionamiento de los sistemas; pero de nue!o, esto sería otro aspecto tratado en el plan de continuidad de negocio, pero no es un tema principal incluido en 2l. 47. 1n una auditoría de un plan de continuidad de negocio, %cuál de los siguientes *alla+gos es que más preocupan? &.
se reali+a, la organi+acin no puede ser capa+ de recuperar los datos cuando sea necesario durante un desastre; por lo tanto, la empresa puede perder su acti!o más !alioso  puede no ser capa+ de recuperarse de la catástro/e. 5a p2rdida a causa de la /alta de seguro se limita al !alor de los acti!os. Si el manual BC: no se actuali+a, la empresa puede encontrar el manual de BC: no plenamente pertinentes para la recuperacin en caso de desastre. Sin embargo, la recuperacin podría ser toda!ía posible. . Clasi(cacin de los sistemas de in/ormacin es esencial en la plani(cacin de la continuidad del negocio. %Cuál de los siguientes tipos de sistemas no pueden ser reempla+ados por m2todos manuales? Sistema &. sistema crítico B. Sistema 'ital C. sistema sensible ".
4. 8n auditor debe participar en6 &. obser!ando pruebas del plan de recuperacin de desastres. B. el desarrollo del plan de recuperacin de desastres C. mantener el plan de recuperacin de desastres. ". re!isar los requisitos de recuperacin de desastres de los contratos con los pro!eedores. espuesta6 & 1l auditor de SI debe estar siempre presente cuando los planes de recuperacin de desastres se ponen a prueba, para asegurar que el ensao cumple los obeti!os necesarios para los procedimientos de restauracin  recuperacin son e(caces  e(cientes, al in/ormar sobre los resultados seg@n corresponda. 5os auditores pueden estar in!olucrados en la super!isin del desarrollo del plan, pero es poco probable que participar en el proceso de desarrollo real. "el mismo modo, una auditoría de mantenimiento plan puede ser lle!ado a cabo, pero el auditor normalmente no tendría ninguna responsabilidad por el mantenimiento real. 8n auditor de SI se le puede pedir a comentar di!ersos elementos de un contrato de pro!eedor, pero, de nue!o, esto no es siempre el caso. 4A. 5a !entana de tiempo de recuperacin de la capacidad de procesamiento de la in/ormacin se basa en la6 &. criticidad de los procesos a/ectados. B. calidad de los datos a procesar. C. naturale+a del desastre. ". aplicaciones que se basan main/rame. espuesta6 & 5a criticidad de los procesos que se !en a/ectados por el desastre es la base para el cálculo de la !entana de tiempo de recuperacin. 5a calidad de los

datos a procesar  la naturale+a del desastre no son la base para determinar la !entana de tiempo. &l ser una aplicacin de main/rame no de sí mismo proporciona una !entana de base de tiempo.

8F. 'urante una auditoría de ;I de un +ran banco, un auditor observa que nin+4n e0ercicio formal de evaluación de ries+os se *a llevado a cabo por las distintas aplicaciones de ne+ocios para lle+ar a su importancia relativa % requisitos de tiempo de recuperación. El ries+o de que el banco est" e7puesto a es que el: . plan de continuidad del ne+ocio no puede *aber sido calibrado para el ries+o relativo que la interrupción de cada aplicación supone para la or+anización. #. plan de continuidad del ne+ocio no inclu%a todas las aplicaciones relevantes %, por tanto, pueden carecer de inte+ridad en trminos de su cobertura. &. impacto en el ne+ocio de un desastre puede no *aber sido entendido con precisión  por la dirección. '. plan de continuidad del ne+ocio puede carecer de una propiedad efectiva por los  propietarios de ne+ocios de este tipo de aplicaciones. Res!&esta5 A La !rimera y %&ndamental !aso !ara desarrollar &n !lan de ontin&idad de ne*oio es &n e(eriio de eal&ai"n de ries*o 4&e anali3a los diersos ries*os 4&e &na or*ani3ai"n en%renta y el im!ato de la %alta de dis!oni'ilidad de las a!liaiones indiid&ales- Sei"n :-,-+-0 de la norma #S >>,, ?Norma de In%ormai"n de Gesti"n de la Se*&ridad) a%irma 4&e @&n !lan estrat=*io; 'asado en la eal&ai"n de ries*os ade&ada; ser$ desarrollado !ara en%o4&e *lo'al de la ontin&idad del ne*oio-@

=G. 6&u"l de los si+uientes es necesario tener por primera vez en el desarrollo de un  plan de continuidad de ne+ocio . clasificación basada en el ries+o de los sistemas #. Inventario de todos los activos &. $a documentación completa de todos los desastres '. $a disponibilidad de *ardware % software

(espuesta:  Un sistema de clasificación basado en el ries+o bien definido para todos los activos %  procesos de la or+anización es uno de los componentes m"s importantes para la

inicialización de los esfuerzos de planificación de continuidad del ne+ocio. Un sistema  bien definido de clasificación basado en el ries+o podría a%udar a identificar la criticidad de cada uno de los procesos clave % los activos utilizados por la or+anización. Esto a%udaría a la f"cil identificación de los activos % los procesos clave para ser ase+urado % los planes que se *acen para recuperar estos procesos % activos como mu%  pronto despus de un desastre. Se requiere de inventario de los activos críticos % no todos los activos para iniciar un plan de continuidad del ne+ocio. $a documentación completa de todos los desastres no es un requisito previo para iniciar un plan de continuidad de ne+ocio, en lu+ar varios desastres son considerados al desarrollar el plan % sólo el que tiene un impacto en la or+anización se abordan en el plan. $a disponibilidad de *ardware % software no es necesario para iniciar el desarrollo de un  plan< Sin embar+o, se considera la *ora de desarrollar el plan detallado de acuerdo con la estrate+ia adoptada =1.6 $os planes de prueba de aplicaciones son desarrollados en cual es las si+uientes fases del ciclo de vida del desarrollo de sistemas CS'$&B . 'iseo #. ruebas &. (equisito '.'esarrollo

(espuesta:  'esarrollar planes de prueba para los diversos niveles de la prueba es una de las actividades clave durante la fase de diseo de desarrollo de aplicaciones. $os planes de  prueba se utilizan en las pruebas de software real.

=/. 6&u"l de las si+uientes pruebas confirman que el nuevo sistema puede funcionar en su entorno de destino  . Sociabilidad  #. (e+resión &. >alidación  '. )e+ro (espuesta:  $a sociabilidad prueba se utiliza para confirmar que el nuevo o modificado sistema

 puede operar en su entorno de destino sin impactar adversamente en el sistema e7istente. $as pruebas de re+resión es el proceso de volver a e0ecutar una parte de un escenario de prueba o plan de pruebas para ase+urar que los cambios o correcciones no *an introducido nuevos errores. $as pruebas de validación se utiliza para probar la funcionalidad del sistema contra el requisito detallada para +arantizar que el software que *a sido construido es trazable a los requisitos del cliente. ruebas de ca0a )e+ro e7amina al+unos aspectos del sistema durante las pruebas de inte+ración con poco respeto por la estructura ló+ica interna del software.

=5. $a persona m"s adecuada para presidir el comit de dirección para un pro%ecto de desarrollo de sistemas con un impacto si+nificativo en una zona de ne+ocios sería el: . nalista de ne+ocios #. director de información. &. director del pro%ecto. '. +erente de nivel e0ecutivo

(espuesta: ' El presidente del comit de dirección debe ser una persona de alto nivel Cdirector de nivel e0ecutivoB con la autoridad para tomar decisiones relativas a la los requerimientos del ne+ocio, recursos, prioridades % los resultados del sistema. El director de información C&IB normalmente no sería la silla, aunque el &I o su representante sería un miembro para dar su opinión sobre las estrate+ias amplias de or+anización. El director del pro%ecto % el analista de ne+ocios no tienen un nivel apropiado de autoridad dentro de la or+anización.

=8. El ob0etivo principal de llevar a cabo una e0ecución en paralelo de un nuevo sistema consiste en: . verificar que el sistema ofrece la funcionalidad empresarial requerida. #. validar el funcionamiento del nuevo sistema en contra de su predecesor. &. resolver cualquier error en las interfaces de pro+rama % arc*ivos. '. verificar que el sistema puede procesar la car+a de producción.

(espuesta: # El ob0etivo de correr paralela es verificar que el nuevo sistema produce los mismos

resultados que el sistema anti+uo. $a verificación de la funcionalidad es a travs de las  pruebas de aceptación, mientras que los errores en la resolución de los pro+ramas se lleva a cabo a travs de las pruebas del sistema. >erificación de que el sistema puede mane0ar la car+a de producción puede ser un resultado secundario de una carrera en  paralelo, pero no es el ob0etivo principal. Si fuera el propósito principal, sería una  prueba de esfuerzo, probablemente e0ecute en el entorno de prueba.

==. $os procedimientos de control de cambios para evitar la corrupción del alcance durante un pro%ecto de desarrollo de la aplicación se deben definir durante: . diseo. #. viabilidad. &. implementación. '. definición de requisitos

(espuesta:  $os procedimientos de control de cambios son por lo +eneral com4n para aplicaciones dentro de una or+anización< Sin embar+o, los procedimientos de control de cambios específicos de la aplicación se definir"n durante la fase de diseo de S'$& % deben  basarse en los módulos del software. $as otras opciones son incorrectas. Es demasiado  pronto para definir los procedimientos de control de cambios durante la fase de viabilidad, % tambin sería demasiado tarde durante la fase de implementación % despus de la aplicación de software.

=?. 6&u"l de los si+uientes es m"s probable de ase+urar que un pro%ecto de desarrollo de software cumpla con los ob0etivos del ne+ocio . -antenimiento de re+istros de cambio de pro+rama #. 'esarrollo de un plan de pro%ecto identificar todas las actividades de desarrollo &. $iberación de aplicación cambia en momentos específicos del ao '. articipación de los usuarios en la especificación del sistema % la aceptación

(espuesta: ' articipación de los usuarios efectiva Copción 'B es el factor m"s crítico para ase+urar que la solicitud cumple con los ob0etivos de ne+ocio. $as opciones , # % & son las *erramientas de +estión de pro%ectos % tcnicas % no son de ellos mismos mtodos para

+arantizar que los ob0etivos de ne+ocio se cumplen por el sistema de aplicación.

=@. 6&u"l de las si+uientes es una medida de tamao de un sistema de información  basado en el n4mero % la comple0idad de las entradas, salidas % arc*ivos de un sistema A- P&nto de %&ni"n ?FP)

#. ;cnica de pro+rama de revisión de la evaluación CE(;B &. 'iseo r"pido de aplicaciones C('B '. -todo del &amino &rítico C&-B

=A. 'urante la auditoría de la fase de requisitos de adquisición de software, el auditor debe: . Evaluar la viabilidad del calendario del pro%ecto. #. Evaluar los procesos de calidad propuestos por el vendedor. &. se+urar que el me0or paquete de software es adquirido. D- Reisar la inte*ridad de las es!ei%iaiones-

=F. El propósito de los pro+ramas de depuración es: . +enerar datos aleatorios que se puedan utilizar para probar los pro+ramas antes de su aplicación. #. prote+er, durante la fase de pro+ramación, cambios v"lidos que puedan ser sobrescritos por otros cambios. &. definir los costes de desarrollo % mantenimiento de pro+ramas que se inclu%en en el estudio de factibilidad. D- *aranti3ar 4&e el !ro*rama de terminaiones anormales y de%etos de odi%iai"n de !ro*ramas son detetados y orre*idos-

?G. 6&u"l de los si+uientes atributos de software se refiere al -E9( mantenimiento de software . (ecursos necesarios para realizar las modificaciones especificadas. #. Esfuerzo necesario para utilizar la aplicación del sistema. &. (elación entre el rendimiento del software % los recursos necesarios. D- El &m!limiento de las neesidades del &s&ario-

?1. El +obierno de I; ase+ura que una or+anización adopte su estrate+ia I; con: A- O'(etios de la em!resa- 

#. b0etivos de I;.  &. b0etivos de la auditoría.  '. b0etivos de Hinanzas.

?/. Una validación que ase+ura los datos de entrada que corresponden a límites razonables predeterminados o tasas de ocurrencia, se conoce como: A- Beri%iai"n de ra3ona'ilidad-

#. &omprobación de validez. &. >erificación de E7istencia. '. >erificación límite.

?5. 6'urante cu"l de los si+uientes pasos en el proceso de rein+eniería de ne+ocios debería el equipo de evaluación comparativa traba0ar 0unto al socio de benc*mar2in+ A- O'serai"n

#. lanificación &. n"lisis

'. daptación

?8. 6&u"l de los si+uientes procedimientos deben aplicarse para a%udar a +arantizar la inte+ridad de las transacciones de entrada a travs del intercambio electrónico de datos CE'IB A- Conteo de se*mentos inte*rados al on(&nto de transaiones aan3adas-

#. Un re+istro de la cantidad de mensa0es recibidos, verificados periódicamente con el creador transacción. &. Una pista de auditoría electrónica para la rendición de cuentas % el se+uimiento. '. peraciones de reconocimiento recibidas en el re+istro de los mensa0es E'I enviados.

- Una &tilidad est$ dis!oni'le !ara at&ali3ar las ta'las r6tias en aso de inonsistenia de datos- Esta &tilidad se !&ede e(e&tar en el s6m'olo del sistema o!eratio o omo &na de las o!iones de men; en &na a!liai"n- El me(or ontrol !ara miti*ar el ries*o de mani!&lai"n no a&tori3ada de datos es5

. eliminar el software de utilidad e instalarlo cuando sea necesario. #- !ro!orionar aeso a seriios !'lios en 'ase a la neesidad de &sar-

&. proporcionar acceso a la utilidad de +estión de usuarios '. definir el acceso de manera que la utilidad sólo puede ser e0ecutado en la opción de men4.

(espuesta: # Software de utilidad en este caso es un pro+rama de corrección de datos para corre+ir cualquier inconsistencia en los datos. Sin embar+o, esta utilidad se puede utilizar para sobrepaseo actualización incorrecta de las tablas directamente. or lo tanto, el acceso a esta utilidad debe restrin+irse en base a la necesidad de utilizar % de un re+istro se debe +enerar de forma autom"tica cada vez que se e0ecuta esta utilidad. $a alta dirección

debe revisar este re+istro periódicamente. Eliminación de la utilidad e instalarlo cuando sea necesario puede no ser factible en la pr"ctica %a que no *abría tiempo de retardo. El acceso a los servicios p4blicos no debe ser proporcionado a la +estión de usuarios. 'efinición de acceso para que la utilidad se pueda e0ecutar en una opción de men4  puede no +enerar un re+istro.

- Al llear a a'o &na reisi"n de !roeso de rein*enier6a de ne*oios; &n a&ditor enontr" 4&e &n ontrol !reentio lae
. informar a la +estión del *allaz+o % determinar si la administración est" dispuesta a aceptar el potencial ries+o importante de no tener que prevenir control. #. determinar si un control detective *a reemplazado el control preventivo durante el  proceso % si es así, no informa de la eliminación del control preventivo. &. recomendamos que ste % todos los procedimientos de control que e7istían antes de que se rediseó el proceso se incluir"n en el nuevo proceso. '. desarrollar un enfoque de auditoría continua para controlar los efectos de la eliminación del control preventivo.

(espuesta:  $a opción  es la me0or respuesta. $a +estión debe ser informada inmediatamente para determinar si est"n dispuestos a aceptar el potencial ries+o importante de no tener ese control preventivo en el lu+ar. $a e7istencia de un control de detective en lu+ar de un control preventivo por lo +eneral aumenta los ries+os que puede ocurrir un problema material.  menudo, durante un #( muc*os controles no valor a+re+ado ser"n eliminados. Esto es bueno, a menos que aumenten el ne+ocio % los ries+os financieros. El auditor puede desear supervisar o recomendar que la +estión de supervisar el nuevo  proceso, pero esto deba *acerse sólo despus de la administración *a sido informado %

acepta el ries+o de no tener el control preventivo en el lu+ar.

>- .C&$l de los si*&ientes es &n o'(etio de ontrol de salida/

. -antenimiento de re+istros de lotes precisos #. &umplimiento del procesamiento por lotes &. contabilidad apropiada para los rec*azos % e7cepciones '. utorización de cambios de arc*ivos

(espuesta: & E7cepciones % rec*azos son productos de salida que deben tenerse en cuenta por los controles de salida adecuados. $as opciones , # % ' son los ob0etivos de control de entrada. - En &n sistema 4&e re*istra todas las &entas !or o'rar de &na em!resa; las &entas !or o'rar se !&'lian a diario- C&$l de las si*&ientes ser6a ase*&rar 4&e los saldos de &entas !or o'rar son inalterada entre !&'liaiones/

. Dama de &*eques #. &onteos de (e+istro &. secuencia de verificación '. (untorun totales de control

(espuesta: ' (untorun totales de control son los totales de los campos clave  en este caso, el total de los saldos a cobrar  tomar cuando se publican las cuentas por cobrar. Si los totales se calculan % se comparan con saldo anterior, esto sería detectar alteraciones entre  publicaciones. mbos recuentos de re+istros % secuencia de verificación sólo se detectarían re+istros faltantes. Ellos no se detectan situaciones en las que se alteran los re+istros, pero el n4mero de re+istros no se *an modificado. &*eques (an+e sólo se detectan cuando los saldos son fuera de un ran+o de valores predeterminado % no cambios en los saldos dentro de esos ran+os.

,- .C&$l de los si*&ientes es el tema m$s im!ortante !ara el a&ditor en &n !roeso de rein*enier6a de ne*oios del !royeto ?#PR) ser6a/

. $a prdida de la +erencia media, que a menudo es el resultado de un pro%ecto #(  #. Jue los controles se dan +eneralmente ba0a prioridad en un pro%ecto de #(  &. El considerable impacto ne+ativo que la protección de la información podría tener en #(  '. El ries+o de fracaso debido a la +ran ma+nitud de la tarea por lo +eneral realizado en un pro%ecto de #( 

Res!&esta5 #

$os controles deben ser dados de alta prioridad durante un pro%ecto de #(, por lo tanto, esto sería una preocupación para el auditor de si no se consideran adecuadamente  por la dirección. El *ec*o de que los mandos medios se pierde, como se indica en la opción , no es necesariamente un problema, siempre % cuando los controles est"n en su lu+ar. $as opciones & % ' no tienen nin+una relevancia para un pro%ecto de #(.

>1- Para &m!lir on riterios !reiamente de%inidos; &$l de las si*&ientes t=nias de a&ditor6a ontin&a ser6a me(or identi%iar transaiones !ara a&ditar/

. Sistemas de &ontrol de arc*ivos de (evisión de uditoría % -ódulos de auditoría incorporado C#UH)' 3 E-B #. Simulación continua e intermitente C&ISB &. Instalaciones de rueba Inte+rada CI;HB '. +anc*os de auditoría

Res!&esta5 #

Simulación continua e intermitente C&ISB es un con0unto moderadamente comple0a de  pro+ramas que durante un proceso de e0ecución de una transacción, simula la e0ecución de la instrucción de su aplicación.  medida que se introduce cada transacción, el simulador decide si la transacción cumple con ciertos criterios predeterminados % si es así, audita la transacción. Si no, el simulador de espera *asta que se encuentra con la si+uiente transacción que cumple los criterios. Danc*os uditorías que son de ba0a comple0idad se centran en las condiciones específicas en lu+ar de criterios detallados en la identificación de las transacciones para su revisión. I;H es incorrecto debido a que su atención se centra en la prueba frente a datos en tiempo real. K el foco #UH)' 3 E- est" en los controles frente a los datos.

>+- En &n en%o4&e de a&ditor6a 'asado en el ries*o; &n a&ditor de SI; adem$s de los ries*os; ser6an in%l&eniados !or5

. la disponibilidad de &;. #. +estión de representación &. estructura or+anizativa % las responsabilidades del traba0o. '. la e7istencia de controles internos % operativos

Res!&esta5 D

$a e7istencia de controles internos % operativos tendr" una influencia sobre la posición del auditor de la auditoría. En un enfoque basado en el ries+o que el auditor no es sólo un partido basado en el ries+o, sino tambin en los controles internos % operativos, así como el conocimiento de la empresa % el ne+ocio. Este tipo de decisión de evaluación del ries+o puede a%udar a relacionar el an"lisis de costobeneficio del control para el ries+o conocido, permitiendo opciones pr"cticas. $a naturaleza de las tcnicas de an"lisis disponibles % las representaciones de la administración, tiene poco impacto en el enfoque de auditoría basado en el ries+o. unque la estructura % responsabilidades or+anizacionales de traba0o deben ser consideradas, no se consideran directamente a menos de que afecten a los controles internos % operativos.

>0- La medida en 4&e se reo*er$n datos d&rante &na a&ditor6a de SI de'e determinar; en 'ase a la5

. disponibilidad de información crítica % necesaria. #. $a familiaridad de auditor con las circunstancias. &. $a capacidad de auditado para encontrar las pruebas pertinentes. '. propósito % alcance de la auditoría.

Res!&esta5 D

El +rado en el que se reco+er"n los datos durante una auditoría de SI debe estar relacionado directamente con el alcance % el ob0etivo de la auditoría. Una auditoría con un propósito limitado % alcance resultaría mu% probablemente en menos de recopilación de datos, que una auditoría con un propósito % alcance m"s amplio. El alcance de una auditoría de SI no debe verse limitada por la facilidad de obtener la información o por la familiaridad del auditor con el "rea que est" siendo auditada. (eco+er toda la evidencia requerida es un elemento necesario de una auditoría IS % el alcance de la auditoría no debe estar limitado por la capacidad de la entidad auditada para encontrar las pruebas  pertinentes.

@5. $a principal venta0a de un enfoque de auditoría continua es que: . no requiere un auditor de reunir pruebas sobre la fiabilidad del sistema, mientras que el procesamiento se lleva a cabo. #. requiere que el auditor de la revisión % se+uimiento de inmediato en toda la información recopilada. &. puede me0orar la se+uridad del sistema cuando se utiliza en entornos de tiempo compartido que procesan un +ran n4mero de transacciones

'. no depende de la comple0idad de los sistemas inform"ticos de una or+anización. (espuesta: & El uso de tcnicas de auditoría continua, en la actualidad puede me0orar la se+uridad del sistema cuando se utiliza en entornos de tiempo compartido que procesan un +ran n4mero de transacciones, pero de0an un rastro de papel escaso. $a opción  es incorrecta, %a que el enfoque de auditoría continua a menudo requiere un auditor de reunir pruebas sobre la fiabilidad del sistema, mientras que el procesamiento se lleva a cabo. $a opción # es incorrecta, %a que un auditor normalmente revisaría % se+uimiento solamente en deficiencias materiales o errores detectados. $a opción ' es incorrecta %a que el uso de tcnicas de auditoría continua no depende de la comple0idad de los sistemas inform"ticos de una or+anización. @8. 6&u"l de los si+uientes controles de entrada de datos proporciona la -K( se+uridad que los datos se introduzcan correctamente . Usando la verificación llave #. $a se+re+ación de la función de entrada de datos de entrada de datos de verificación. &. El mantenimiento de un re+istro 3 re+istro que detalla la *ora, fec*a, iniciales del empleado 3 id de usuario % pro+reso de varios preparación de datos % tareas de verificación. '. dición de dí+itos de control. (espuesta:  >erificación de clave o unoauno la verificación producir" el ma%or +rado de confianza de que los datos introducidos son libres de errores. Sin embar+o, esto podría ser poco  pr"ctico para +randes cantidades de datos. $a se+re+ación de la función de entrada de datos de verificación de la entrada de datos es un control de entrada de datos adicional,  pero no se refiere a la precisión. El mantenimiento de un re+istro 3 re+istro que detalla la *ora, fec*a, iniciales del empleado 3 I' de usuario % el pro+reso de diversas tareas de  preparación de datos % verificación, proporciona una pista de auditoría. Un dí+ito de control se aade a los datos para ase+urar que los datos ori+inales no *an sido alterados. Si un dí+ito de control se teclea mal, esto llevaría a aceptar los datos incorrectos, sino que sólo se aplican a los elementos de datos que tienen un dí+ito de control.

Software de monitoreo @=. $a capacidad se utiliza para ase+urar: . el m"7imo uso de la capacidad disponible. #. que las futuras adquisiciones responden a las necesidades de los usuarios. &. el uso simult"neo por un +ran n4mero de usuarios. '. continuidad de las operaciones eficientes (espuesta: ' Software de monitoreo de capacidad muestra el uso real de los sistemas en línea frente a su capacidad m"7ima. El ob0etivo es permitir que el personal de soporte de software  para ase+urar que la operación eficiente, en la forma de los tiempos de respuesta, se mantiene en el caso de que utilice comienza a acercarse a la capacidad m"7ima disponible. Sistemas )unca se debe permitir operar a su m"7ima capacidad. Software de monitoreo tiene por ob0eto impedir esto. unque los informes de software pueden ser utilizados para apo%ar un caso de ne+ocio para las adquisiciones futuras, no sería  proporcionar información sobre el efecto de las necesidades de los usuarios % no ase+uraría el uso concurrente del sistema por los usuarios, que no sea para destacar los niveles de acceso de los usuarios.

@?. 6&u"l de las si+uientes e7posiciones asociadas a la cola de impresión de los informes sensibles para la impresión en línea sería un auditor de considerar como el m"s serio . $os datos sensibles pueden ser leídos por los operadores. #. $os datos pueden ser modificados sin autorización. &. &opias no autorizadas de informes se pueden imprimir  '. $a salida puede ser perdido en caso de fallo del sistema. (espuesta: &  no ser controlada, la cola de impresión para la impresión en línea puede permitir copias a imprimir. $os arc*ivos de impresión es poco probable que est disponible para la lectura en línea por los operadores. $os datos sobre los arc*ivos de cola no son m"s f"ciles de modificar sin la autoridad que cualquier otro arc*ivo. Deneralmente *a% una

menor amenaza de acceso no autorizado a los informes confidenciales en caso de un fallo del sistema.

@@. 6&u"l de los si+uientes tipos de servidores de se+uridad sería me0or prote+er una red de un ataque de Internet . ro%ectado subred firewall #. plicación +atewa% de filtrado. &. El filtrado de paquetes del router. '. uerta de entrada a nivel de &ircuito. (espuesta:  Un firewall subred filtrada proporcionaría la me0or protección. El router de detección  puede ser un router comercial o un nodo con capacidades de enrutamiento % la capacidad de permitir o evitar el tr"fico entre redes o nodos basados en direcciones,  puertos, protocolos, interfaces, etc. pasarelas de nivel de aplicación son mediadores entre dos entidades que quieren comunicarse, tambin conocido como puertas de acceso de pro7%.El nivel de aplicación CapoderadoB traba0a a nivel de aplicación, no sólo a nivel de paquete. $a pro%ección controla a nivel de paquete, direcciones, puertos, etc, pero no ve el contenido del paquete. Un router el filtrado de paquetes e7amina el encabezado de cada paquete o los datos que via0an entre Internet % la red corporativa.

@A. $a aplicación de una fec*a de retención sobre un arc*ivo se ase+urar" de que: . los datos no se pueden leer *asta la fec*a se establece. #. datos no se borrar" antes de esa fec*a &. copias de se+uridad no se conservan despus de esa fec*a. '. se diferencian los con0untos de datos que tienen el mismo nombre. (espuesta: # $a fec*a de retención se ase+urar" de que un arc*ivo no puede ser sobrescrita antes *a  pasado esa fec*a. $a fec*a de la retención no afectar" la capacidad de leer el arc*ivo. Se esperaría que las copias de se+uridad para tener una fec*a de retención diferente %, por tanto, bien pueden ser retenidos despus de que el arc*ivo *a sido sobrescrito. $a fec*a de creación, no la fec*a de retención, se diferenciar" arc*ivos con el mismo nombre.

@F. Una firma di+ital contiene un resumen de mensa0e a: . mostrar si el mensa0e *a sido alterado despus de la transmisión #. definir el al+oritmo de cifrado. &. confirmar la identidad del emisor. '. *abilitar la transmisión de mensa0e en un formato di+ital. (espuesta:  El resumen del mensa0e se calcula % se inclu%e en una firma di+ital para probar que el mensa0e no *a sido alterado. 'ebe ser el mismo valor que un nuevo c"lculo realizado sobre recibo. )o define el al+oritmo o *abilitar la transmisión en formato di+ital % no tiene nin+4n efecto sobre la identidad del usuario, estando allí para ase+urar la inte+ridad en lu+ar de identidad.

AG. 6&u"l de los si+uientes sería el me0or mtodo para ase+urar que los campos críticos en un re+istro maestro se *an actualizado correctamente . &o revisado. #. &ontrol total. &. (azonabilidad revisado. '. Un informe de antes % despus del mantenimiento (espuesta: ' Un antes % despus del informe de mantenimiento es la me0or respuesta porque una revisión visual proporcionaría la verificación m"s positiva que la actualización fue correcta.

+-Un entorno TCP 9 'asada en IP est$ e2!&esta a Internet.C&$l de los si*&ientes me(or ase*&ra 4&e e2isten !rotoolos de i%rado y a&tentiai"n om!letos !ara !rote*er la in%ormai"n mientras se transmite/ A- El tra'a(o se
se*&ridad de ena!s&lai"n ?ESP)#- Una %irma di*ital on RSA
RSPTA5 A El modo de tnel on se*&ridad IP !ro!oriona i%rado y a&tentiai"n del !a4&ete IP om!leto- Para lo*rar esto; el AH ?ena'e3ado de a&tentiai"n) y ESP ?4&e ena!s&la la ar*a til de se*&ridad) los seriios se !&eden anidar- Las o!iones # y C !ro!orionan a&tentiai"n e inte*ridad- Seriios TCP no !ro!orionan i%rado y a&tentiai"n-

0-Para eitar 4&e los sistemas in%orm$tios de &na or*ani3ai"n se onierta en !arte de &n ata4&e distri'&ido de dene*ai"n de seriio; los !a4&etes IP 4&e ontienen direiones 4&e se indian omo enr&tar !&ede aislarse !or5 A- esta'leer el %iltrado de tr$%io saliente#- !ermitiendo el 'lo4&eo de di%&si"nC- limitando los seriios !ermitidosD- s&!erisi"n del rendimiento de la redRSPTA5 A Ro&ters !ro*ramadas on el %iltrado de tr$%io saliente; aen !a4&etes de salida 4&e onten*an direiones de otro 4&e de la or*ani3ai"n del &s&ario; inl&idas las direiones de ori*en 4&e no se !&eden enr&tar- #lo4&eo de transmisi"n se !&ede
sistemas de la em!resaSin em'ar*o; esto no a a aislar los !a4&etes 4&e no se !&eden enr&tarS&!erisi"n del rendimiento de la red es &na manera de ontrolar el rendimiento del sistema de intr&siones !oteniales so're &na 'ase a tiem!o real y !odr6a ay&dar a identi%iar a los olmenes de tr$%io in&s&ales-

7-Un a&ditor
RSPTA5 D Las !r&e'as de !enetrai"n es &na t=nia &tili3ada !ara imitar &n
:-Un a&ditor de reali3ar &na reisi"n de ontrol de aeso a las teleom&niaiones de'en o&!a !rini!almente de la5 A- mantenimiento de re*istros de aeso de &so de arios re&rsos del sistema#- a&tori3ai"n y a&tentiai"n del &s&ario antes de oneder el aeso a los re&rsos del sistemaC- la !rotei"n ade&ada de los datos almaenados en los seridores mediante i%rado & otros medios-

D- sistema de rendii"n de &entas y la a!aidad de identi%iar las terminales !ara aeder a los re&rsos del sistema-

-Una or*ani3ai"n est$ onsiderando la one2i"n de &n sistema 'asado en PC r6tio !ara la Internet.C&$l de las si*&ientes ser6a !ro!orionar la me(or !rotei"n ontra la !irater6a/ A- Una !&erta de enlae de niel de a!liai"n #- Un seridor de aeso remoto C- Un seridor !ro2y D- esaneo de !&ertos

RSPTA5 A Una !&erta de enlae de niel de a!liai"n es la me(or manera de !rote*erse ontra la !irater6a; ya 4&e !&ede de%inir on detalle las re*las 4&e desri'en el ti!o de &s&ario o la one2i"n 4&e est$ o no est$ !ermitido- Se anali3a en detalle ada !a4&ete; no s"lo en a!as &no al &atro del modelo OSI; sino tam'i=n a!as de ino a siete; lo 4&e si*ni%ia 4&e reisa los omandos de ada !rotoolo de niel s&!erior ?HTTP; FTP; SNMP; et-) Para &n ontrol remoto seridor de aeso
al*&na manera)- Por e(em!lo; el !&erto de @Pin*@ ?!etii"n de eo) !odr6a ser 'lo4&eado y las direiones IP estar6a dis!oni'le !ara la a!liai"n y la ae*ai"n; !ero no 4&iso res!onder a @Pin*@-

- Si &na 'ase de datos se resta&ra &tili3ando de ima*en anterior ertederos; .donde se de'e reiniiar el !roeso des!&=s de &na interr&!i"n/ A- Antes de la ltima transai"n #- Des!&=s de la ltima transai"n C- La !rimera transai"n des!&=s de la ltima !&nto de ontrol D- La ltima transai"n antes del ltimo !&esto de ontrol

RSPTA5 A Si antes se &tili3an im$*enes; la ltima transai"n en el ertedero no
>-.C&$l de las si*&ientes es &na !r$tia 4&e de'e ser inor!orado en el !lan !ara !ro'ar los !roedimientos de re&!erai"n de desastres/ A- Initar a la !artii!ai"n del liente#- Inol&rar a todo el !ersonal t=nioC- Gire *erentes de re&!erai"nD- Instale o!ia de se*&ridad almaenado loalmente-

RSPTA5 C Gestores de re&!erai"n de'en ser rotados !ara *aranti3ar la e2!erienia del !lan de re&!erai"n se e2tiende-

Los lientes !&eden estar im!liados !ero no neesariamente en todos los asos- No todo el !ersonal t=nio de'e estar inol&rado en ada !r&e'a- Co!ia de se*&ridad remota o %&era de las instalaiones se de'e &tili3ar siem!re-

-Una *ran adena de tiendas on EFT en dis!ositios de !&nto de enta tiene &n !roesador entral de om&niaiones !ara onetar a la red 'anaria- .C&$l de los si*&ientes es el !lan de re&!erai"n de desastres MEKOR !ara el !roesador de om&niaiones/ A- Almaenamiento %&era del sitio de las o!ias de se*&ridad todos los d6as #- Proesador en el sitio en es!era AlternatiaC- La instalai"n de enlaes de om&niai"n d&!le2 D- Alternatia !roesador de resera en otro nodo de red

RSPTA5 D

Tener &n !roesador de resera alternatia en otro nodo de red ser6a la me(or- La %alta de dis!oni'ilidad del !roesador de om&niaiones entrales interr&m!ir6a todo el aeso a la red 'anaria 4&e res<a en la interr&!i"n de las o!eraiones de todas las tiendas- Esto !odr6a de'erse a la %alta de e4&i!o; el !oder o las om&niaiones- Almaenamiento %&era del sitio de las o!ias de se*&ridad no ay&dar6a ya EFT tiende a ser &n !roeso en l6nea y %&era de las instalaiones de almaenamiento no reem!la3ar$n el !roesador dis%&nional- La !roisi"n de &n sitio !roesador alternatio estar6a 'ien si se tratara de &n !ro'lema del e4&i!o; !ero no ser6a de ay&da si el a!a*"n %&e a&sado !or el !oder; !or e(em!lo- La instalai"n de enlaes de om&niai"n d!le2 ser6a m$s ade&ado si %&era s"lo el enlae de om&niai"n 4&e
AF. 6&u"l de las si+uientes es una característica de la tecnolo+ía orientada a ob0etos que  permite un ma%or +rado de se+uridad sobre los datos . $a *erencia.

#. lmacenamiento din"mico. &. Encapsulación. L '. El polimorfismo

FG. En la aplicación de un paquete de software de aplicación, 6&u"l de las si+uientes  presenta el ries+o -K(

. >ersiones de software m4ltiples incontrolados. #. ro+ramas de códi+o que no est"n sincronizados con el códi+o ob0eto. C- Par$metros inorretamente esta'leidos- 

'. $os errores de pro+ramación.

F1. 6&u"l de los si+uientes controles serían m"s eficaces para +arantizar que el códi+o fuente de la producción % el códi+o ob0eto se sincronizan

. Suelte para liberar informes de ori+en % la comparación de ob0etos. #. Software de control de biblioteca para restrin+ir los cambios en el códi+o fuente. &. (estrin+ir el acceso al códi+o fuente % el códi+o ob0eto. D- Fe
F/. 'urante una revisión posterior a la implementación de un sistema de +estión de recursos empresariales, un auditor de SI de realizaría:

A- Reise la on%i*&rai"n de ontrol de aeso- 

#. Eval4e las pruebas de Interfaz.

&. (evise la documentación detallada del diseo. '. Eval4e las pruebas del sistema.

F5. 6&u"l de los si+uientes tipos de control est" diseado para proporcionar la capacidad de verificar los datos % valores de re+istro a travs de las etapas de procesamiento de la aplicación

. &ontrol por ran+os. #- Gesti"n y e(e&i"n total- 

&. &ontroles de límite en cantidades calculadas. '. informes de e7cepción.

F8. El me0or mtodo para probar la e7actitud de un c"lculo de un sistema de impuestos es a travs de:

. (evisión visual detallada % an"lisis del códi+o fuente de los pro+ramas de c"lculo. #- Rereando la l"*ia del !ro*rama &tili3ando el so%tare de a&ditor6a *enerali3ado !ara al&lar los totales mens&ales- 

&. reparando las transacciones simuladas para procesar % comparar los resultados con los resultados predeterminados. '. 'ia+ramas de flu0o autom"tico % el an"lisis del códi+o fuente de los pro+ramas de c"lculo.

F=. Destión IS recientemente *a informado al auditor IS de su decisión de desactivar ciertos controles de inte+ridad referencial en el sistema de nómina para proporcionar a los usuarios un +enerador de informes m"s r"pido. $o m"s probable es aumentar el ries+o de:

. $a entrada de datos de usuarios no autorizados. #- Un em!leado no e2istente siendo !a*ado- 

&. Un empleado recibiendo un aumento no autorizado. '. 'uplicar la entrada de datos por los usuarios autorizados.

F?. 6&u"l de los si+uientes pares de funciones no deberían combinarse para  proporcionar adecuada separación de funciones

. #ibliotecario de cinta % operador de computadora. #- Pro*ramai"n de a!liaiones y entrada de datos- 

&. nalista de sistemas % administrador de base de datos. '. dministrador de se+uridad % +arantía de calidad.

9. 8n IS auditor quien está re!isando los manuales de eecucin de aplicaciones esperaría que contengan6 . 'etalles de documentos de ori+en #- C"di*os de error y s&s aiones de re&!erai"n

&. 'ia+ramas de flu0o de la ló+ica del pro+rama % arc*ivos definidos '. &ambios en los re+istros para el códi+o fuente de la aplicación.

FA. 6&u"l de las si+uientes funciones de SI puede ser realizada por el mismo individuo, sin comprometer el control o violar la separación de funciones . nalista de &ontrol de ;raba0o % ro+ramador de plicaciones. #. perador rincipal % ro+ramador de Sistemas. C- Administrador de ontrol de la alidad y el?los) Cam'io9Pro'lemas-

'. ro+ramador de Sistemas % plicaciones.