COMPILACION DE PREGUNTAS SEGURIDAD INFORMATICA EXAMEN CISA
1. Un auditor de SI, al realizar una revisión de los controles de una aplicación, aplicación, descubre una debilidad en el software software del sistema, lo que podría afectar materialmente la aplicación. El auditor de SI debe: . !acer caso omiso de estas debilidades de control como una revisión del software software del sistema est" m"s all"del
alcance de esta revisión #. $levar a cabo una detallada revisión del software del sistema % reportar las debilidades de control &. Incluir en el informe una declaración de que la auditoría se limitó a una revisión de los controles de la aplicación
recomendar una detallada revisión del '. (evisar los controles relevantes del sistema de software % recomendar una software del sistema. )o se espera que el auditor deba *acer caso omiso de las debilidades de control sólo porque est"n fuera fue ra del alcance de una revisión actual. dem"s, la realización de una detallada revisión de softwa sof tware re de sis sistem temas as puede obstaculizar la a+ a+en enda da de la auditoría % el aud audito itor r puede puede no ser tcnicamente competente para *acer *acer tal tal revisión en este momento. Si *a% deficiencias de control que *an sido descub descubiertos iertos por por el el auditor , deben deben ser revelados. -ediante la emisión de un descar+o de responsabilidad, esta respon responsabilid sabilidad ad podría no aplicarse. or lo tanto , la opción adecuada sería revisar los revisar los controles del sistema de software % recomendar un software de sistemas detallados detallados para para los que se pueden recomendar recursos recomendar recursos adicionales. /. $a razón para tener controles tener controles en un entorno SI: . el entorno manual se mantiene sin cambios, pero las funciones de control implementadas implementadas pueden pueden ser diferentes. #. el entorno manual se mantiene sin cambios, por lo tanto, las funciones de control implementadas pueden ser diferentes &. el entorno manual se mantiene sin cambios, pero las funci funciones ones de contro controll implementadas ser"n los mismos '. el entorno manual se mantiene sin cambios, % las funciones de control implementadas tambin ser"n los mismos $os ob0etivos de control interno aplicables a todas las "reas, %a sea sea manual o automatizado. !a% ob0etivos adicionales que se deben alcanzar en alcanzar en el medio ambiente es, en comparación con el medio ambiente manual. b0eti b0etivos vos de contr control ol comunes se man mantie tienen nen sin cam cambio bioss, tanto en el med medio io ambiente es % el medio ambiente manual, aunque la aplicación de las funciones de control puede control puede ser
diferente en el medio ambiente es, por e0emplo, la adecuación de bac2up 3 recuperación en un ob0etivo de control interno com4n com4n para para IS I S % el medio ambiente ambiente manual. El ob0etivo específico es el control puede ser ser para para respaldar adecuadamente se+ se+uri uridad dad de los arc* arc*ivo ivoss para permitir la recuperación adecuada. Esto se puede lo+rar mediante lo+rar mediante la aplicación de procedimientos de procedimientos de control adecuados, como la polític políticaa de continuidad de ne+ocio , en el departamento de SI . or lo tanto, la aplicación de las funciones de control puede ser diferente en el medio ambiente es. ero los ob0etivos de control comunes en un entorno IS se mantienen sin cambios desde un entorno manual. 5. 6&u"l de los si+uientes tipos de ries+os supone una ausencia de controles de compensación en el "rea que est" siendo revisado . El ries+o de control #. El ries+o de detección &. El ries+o in*erente. '. El ries+o de muestreo
El ries+o que e7iste un error que podría que podría ser el ser el material o si+nificativa cuando se combina con otros errores encontrados durante la auditoría, no e7istiendo controles de compensación relacionados, es el ries+o in*erente. El ries+o de control es el ries+o de que e7iste un error materi error material al que no se se pueden pueden prevenir o prevenir o detectar detectar en en forma oportuna por oportuna por el sistema de controles internos. El ries+o de detección es el ries+o cuando un auditor de SI utiliza un procedimiento de prueba insuficiente % lle+a a la conclusión de que no e7isten errores materiales, cuando lo *acen. -uestreo de ries+o es el ries+o de que se *acen suposiciones incorrectas sobre las características de una una población población de la que se toma una muestra. 8. Un auditor est" auditor est" llevando a cabo pruebas cabo pruebas de auditoría sustantivas de un nuevo módulo de cuentas por cobrar . El auditor tiene auditor tiene una a+enda mu% apretada % conocimientos inform"ticos limitados. 6&u"l sería la tcnica de auditoría -E9( -E9( utilizar utilizar en en esta situación . $os datos de prueba. #. Simulación Simulación paralela paralela &. Instalación de prueba inte+rado '. -ódulo de auditoría Embebidos $os datos de prueba utiliza un con0unto de transacciones *ipotticas para verificar la ló+ica del
diferente en el medio ambiente es, por e0emplo, la adecuación de bac2up 3 recuperación en un ob0etivo de control interno com4n com4n para para IS I S % el medio ambiente ambiente manual. El ob0etivo específico es el control puede ser ser para para respaldar adecuadamente se+ se+uri uridad dad de los arc* arc*ivo ivoss para permitir la recuperación adecuada. Esto se puede lo+rar mediante lo+rar mediante la aplicación de procedimientos de procedimientos de control adecuados, como la polític políticaa de continuidad de ne+ocio , en el departamento de SI . or lo tanto, la aplicación de las funciones de control puede ser diferente en el medio ambiente es. ero los ob0etivos de control comunes en un entorno IS se mantienen sin cambios desde un entorno manual. 5. 6&u"l de los si+uientes tipos de ries+os supone una ausencia de controles de compensación en el "rea que est" siendo revisado . El ries+o de control #. El ries+o de detección &. El ries+o in*erente. '. El ries+o de muestreo
El ries+o que e7iste un error que podría que podría ser el ser el material o si+nificativa cuando se combina con otros errores encontrados durante la auditoría, no e7istiendo controles de compensación relacionados, es el ries+o in*erente. El ries+o de control es el ries+o de que e7iste un error materi error material al que no se se pueden pueden prevenir o prevenir o detectar detectar en en forma oportuna por oportuna por el sistema de controles internos. El ries+o de detección es el ries+o cuando un auditor de SI utiliza un procedimiento de prueba insuficiente % lle+a a la conclusión de que no e7isten errores materiales, cuando lo *acen. -uestreo de ries+o es el ries+o de que se *acen suposiciones incorrectas sobre las características de una una población población de la que se toma una muestra. 8. Un auditor est" auditor est" llevando a cabo pruebas cabo pruebas de auditoría sustantivas de un nuevo módulo de cuentas por cobrar . El auditor tiene auditor tiene una a+enda mu% apretada % conocimientos inform"ticos limitados. 6&u"l sería la tcnica de auditoría -E9( -E9( utilizar utilizar en en esta situación . $os datos de prueba. #. Simulación Simulación paralela paralela &. Instalación de prueba inte+rado '. -ódulo de auditoría Embebidos $os datos de prueba utiliza un con0unto de transacciones *ipotticas para verificar la ló+ica del
pro+rama % el control interno en un corto tiempo % por un por un auditor con auditor con el fondo mínimo de ;I. En una simulación paralela simulación paralela, los resultados producidos por producidos por un un pro+rama real se comparan con los resultados de un pro+rama escrito para el auditor de SI < esta tcnica puede tcnica puede llevar muc*o tiempo % requiere conocimientos de ;I . Una instalación de prueba inte+rado, permite que los datos de prueba para ser evaluados continuamente cuando las transacciones se procesan en línea< esta tcnica es muc*o tiemp tie mpo o % requiere con conocim ocimien ientos tos de ;I. Un mód módulo ulo de aud audito itoría ría incrustado es un mó módu dulo lo pro+ramado que se inserta en un pro+rama de aplicación para poner a prueba los contro controles< les< esta tcnica es muc*o tiempo % requiere conocimientos de ;I.
=. El propósito principal de pruebas de pruebas de conformidad es comprobar si: . controles se implementan se+4n lo prescrito. #. la documentación es correcta % actual &. Se ofrece acceso a los usuarios se+4n lo especificado '. Se proporcionan los procedimientos de validación de datos (espuesta :
ruebas de cumplimiento se realizan principalmente realizan principalmente para para verificar si verificar si los controles, a elección por la administración, se implementan. >erificación de documentos no est" directamente relacionada con las pruebas de cumplimiento. >erificar si se proporciona acceso a los usuarios es un e0emplo de las pruebas de cumplimiento. rocedimientos de validación de datos son parte de los controles de aplicación. rueba si estos se establecen como par"metros como par"metros % traba0ar como traba0ar como se prev es la prueba de conformidad.
?. 6&u"l de las si+uientes opciones describe me0or las me0or las primeras primeras etapas de una auditoría es . $a observación de las instalaciones clave de la or+anización #. Evaluando el entorno SI &. $a comprensión de los procesos de ne+ocio % la revisión aplicable al entorno. '. (evisión (evisión previa previa es informes de auditoría $a comprensión de los procesos de ne+ocio % el medio ambiente aplicable a la crítica es m"s representativa de lo que ocurre desde el principio, en el transcurso de una auditoría. tras opciones se refieren a actividades que ocurre en realidad dentro de este proceso.
@. El documento utilizado por la por la alta dirección de las or+anizaciones para autorizar la función de auditoria de SI es el:
. plan . plan de auditoría a lar+o plazo #. estatuto de auditoría. &. planificación de la auditoría metodolo+ía '. minutos del comit directivo
El estatuto de auditoría describe la autoridad +eneral, el alcance % las responsabilidades de la función de auditoría para auditoría para lo+rar los ob0etivos de auditoría establecidos en el mismo. Este documento sirve como un instrumento para la dele+ación de autoridad para la función de auditoría de SI. lanificación de la auditoría a lar+o plazo se refiere a aquellos aspectos del plan del plan de auditoría que se ven afectados por afectados por la estrate+ia de ;I de la or+anización % el medio ambiente . lanificación de la auditoría comienza sólo despus de que el estatuto de auditoría *a sido aprobado por el por el m"s alto nivel de +estión. $as metodolo+ías de planificación de auditoría se deciden en base al an"lisis tanto a lar+o como a cuestiones de auditoría a corto plazo. $as actas de los comits de dirección deben abordar la abordar la aprobación del estatuto de auditoría, pero no es el conductor que conductor que los dele+ados autoridad.
A. ntes de informar de los resultados de una auditoría a la alta dirección, un auditor de SI debe: . &onfirmar &onfirmar los los *allaz+os con los auditados #. reparar reparar un un resumen e0ecutivo % enviarla +estión auditada &. 'efinir 'efinir recomendaciones recomendaciones % presentar los resultados al comit de auditoría '. btener un acuerdo de la entidad fiscalizada en los resultados % las acciones que deban tomarse. l trmino de una auditoría, un auditor de auditor de SI debe discutir con los auditados los ob0etivos de la auditoría por auditoría por el traba0o realizado, la prueba % las tcnicas de evaluación utilizados % los resultados de esas pruebas esas pruebas que llevaron a conclusiones. El auditor tambin debe obtener el acuerdo 3 desacuerdo del auditado en relación con los resultados % las acciones que el auditor planea planea tomar .
9. Si bien el desarrollo de un programa de auditoría basado en el riesgo, cuál de las siguientes sería el auditor es más probable que se centran en? A). Negocio procesa B). crítico aplicaciones de TI C). Obeti!os Corporati!os estrategias
"). negocio #$. %Cuál de las siguientes es una prueba de auditoría sustanti!a? &). 'eri(cacin de que un c*eque de gestin se *a reali+ado regularmente B). Obser!ando que los identi(cadores de usuario contrase-as son requeridos para (rmar en el equipo C). e!isar in/ormes anuncio en!íos cortos de los bienes recibidos D). Revisión de un balance de comprobación de edad de las cuentas por cobrar. 11. 6&u"l de las si+uientes tareas se realiza por la misma persona en un centro de servicio 3 equipo de procesamiento de información bien controlada B dministración de la se+uridad % la +estión #B peraciones para & % el desarrollo del sistema &B El desarrollo del sistema % la +estión del cambio D) El desarrollo del sistema y el mantenimiento de sistemas 1/. 'ónde adecuada se+re+ación de funciones entre las operaciones % la pro+ramación no son alcanzables, el auditor de SI debe buscar: A) ontroles de om!ensai"n #B controles administrativos &B controles correctivos 'B controles de acceso
15. &u"l de los si+uientes se incluirían en una plan estrat+ico de SI B Especificaciones para la compra de *ardware planificado #) An$lisis de los %&t&ros o'(etios de ne*oio &B lazos para pro%ectos de desarrollo 'B b0etivos presupuestarios anuales del departamento de SI
#0. %Cuál de los siguientes se incluirían en una 1S plan estrat2gico? &). 1speci(caciones para las compras de *ard3are plani(cados B). Análisis de los objetivos de negocio futuras C). Obeti!o /ec*as para los obeti!os presupuestarios proectos de desarrollo "). anuales para el departamento de SI
#4. 5a responsabilidad más importante de un o(cial de seguridad de los datos en una organi+acin es6 A). recomendar y supervisar las políticas de seguridad de datos. B). promo!iendo conciencia de la seguridad dentro de la organi+acin. C). establecen los procedimientos de las políticas de seguridad de TI. "). administrar los controles de acceso /ísico lgico.
#7. %Cuál de las siguientes opciones describe meor el proceso de plani(cacin estrat2gica de un departamento de TI?
&). 1l departamento de TI tendrá en planes de corto alcance o de largo alcance en /uncin de los planes obeti!os más amplios de la organi+acin. 1l plan estrat2gico del departamento B). 5a TI debe ser el tiempo orientado a proectos, pero no es tan detallada como para atender audar a determinar las prioridades para satis/acer las necesidades del negocio. ). !a plani"cación a largo pla#o para el departamento de $% debe reconocer objetivos de la organi#ación& los avances tecnológicos y los re'uisitos reglamentarios. "). 5a plani(cacin a corto pla+o para el departamento de TI no tiene que ser integrado en los planes a corto pla+o de la organi+acin a los a!ances tecnolgicos impulsarán el departamento de TI planes muc*o más rápido que los planes de la organi+acin.
+,- Un a&ditor est$ a&ditando los ontroles relatios a la resisi"n de los em!leados- .C&$l de los si*&ientes es el as!eto m$s im!ortante !ara ser reisado/
&. 1l personal de la empresa relacionadas son noti(cados acerca de la terminacin B. I" de usuario las contrase-as de los empleados se *an eliminado C. 5os detalles de los empleados se *an eliminado de los arc*i!os de nmina acti!os propiedad de la empresa ". proporcionado al empleado se *a !uelto. Respuesta( B 1l maor riesgo es el acceso lgico a la in/ormacin por un empleado despedido. 1sta /orma de acceso es posible si no se *an eliminado el identi(cador de usuario la contrase-a del empleado despedido. Si el I" de usuario no está des*abilitado o eliminado, es posible que el empleado sin !isitar /ísicamente la empresa puede acceder a la in/ormacin. 1l potencial de la p2rdida en la cuenta de acceso a la in/ormacin es muc*o más alto, en comparacin con el pago del salario la retencin de la propiedad de la compa-ía.
01- Al reisar &n a&erdo de niel de seriio !ara &n entro in%orm$tio e2ternali3ado &n a&ditor de SI de'e determinar !rimero 4&e5 . el costo propuesto para los servicios es razonable. -ecanismos de se+uridad #. se especifican en el acuerdo. &. los servicios en el acuerdo se basa en un an"lisis de las necesidades del ne+ocio. '. cceso auditoría al centro de cómputo est" permitida en virtud del acuerdo. Res!&esta5 C $a primera consideración en la revisión del acuerdo es ase+urar que el ne+ocio est" pidiendo los
servicios m"s apropiados para satisfacer sus necesidades de ne+ocio. 'ebe *aber evidencia de que ellos *an considerado que servicios son necesarios, tanto en el presente como en el futuro. El costo es importante Copción B, %a que el ne+ocio puede estar pa+ando por niveles de servicios que no son
necesarios o no son apropiadas, pero no es de primera importancia. mbos, acceso de auditoría Copción 'B % de se+uridad ob0etivos, en lu+ar de los mecanismos de se+uridad Copción #B, son temas que deben ser considerados como parte de la revisión, pero no son de primera importancia. 0+- El !rini!al 'ene%iio de la normali3ai"n de 'ases de datos es el si*&iente5 . minimización de la redundancia de la información en las tablas necesarias para satisfacer las
necesidades de los usuarios. #. capacidad de satisfacer a m"s consultas. &. ma7imización de la inte+ridad de la base de datos, proporcionando información en m"s de una tabla. '. minimización del tiempo de respuesta m"s r"pido a travs del procesamiento de la información. Res!&esta5 A $a normalización si+nifica la eliminación de datos redundantes. or lo tanto, el ob0etivo de la normalización de bases de datos relacionales es minimizar el volumen de la información mediante la eliminación de datos redundantes en tablas, de forma r"pida tramitación de las solicitudes de los usuarios % el mantenimiento de la inte+ridad de datos. -a7imizar el volumen de la información est" en contra de las re+las de normalización. Si determinada información se proporciona en las tablas de diferencia, el ob0etivo de la inte+ridad de los datos puede ser violado porque una tabla puede ser actualizada % no en otros. $as re+las de normalización abo+an almacenar datos en una sola tabla, por lo tanto, reducir al mínimo el tiempo de respuesta m"s r"pido a travs del procesamiento de la información. 00- .C&$l de las si*&ientes to!olo*6as de red !ro!oriona la red&ndania mayor en el aso de la %alla de &n nodo/ . -alla #. Estrella &. nillo '. autob4s Res!&esta5 A En la confi+uración de malla, los dispositivos est"n conectados con muc*as intercone7iones
redundantes entre nodos de la red, con lo que, obtenindose la ma%or redundancia en el caso de que uno de los nodos falla, en la que el tr"fico de red caso puede ser rediri+ido a otro nodo. En confi+uración de estrella, cada estación est" relacionada con el e0e principal. El principal centro establece la cone7ión entre las estaciones por el mensa0e o la conmutación de línea. or lo tanto, el fallo de un nodo resultado en la interrupción de la red. En la confi+uración de anillo, todos los nodos est"n conectados entre sí de formación de un círculo< or lo tanto, el fallo de un nodo resulta en la interrupción de la red. En confi+uración de bus, todos los dispositivos est"n vinculados a lo lar+o de una línea de comunicación con dos puntos finales llamados la columna vertebral< or lo tanto, el fallo de un nodo resulta en la interrupción de la red. 07- desem!e8o Un endedor 9 del ontratista ontra los a&erdos de niel de seriio de'e ser
eal&ado !or la5 . cliente. #. contratista. &. de terceros. Destión de '. contratista. Res!&esta5 A Sólo el cliente debe evaluar el desempeo del proveedor en un acuerdo de nivel de servicio CS$B.
Esto *ace que el cliente confía en el servicio prestado por el proveedor. Sin embar+o, la decisión de qu medir debe ser decidida por el cliente % el proveedor. 0:- C&ando la a&ditor6a de &n sistema o!eratio de main%rame; lo 4&e
determinar cu"les fueron los a0ustes de los par"metros en el momento el sistema se +eneró o creado Ca menudo denominada la car+a del pro+rama inicial o I$B. unque los resultados de este e0ercicio tambin se pueden evaluar a4n m"s por la discusión con el vendedor, la evaluación de la documentación % consulta de los pro+ramadores de sistemas, estas acciones no, por sí mismos, establecer funciones de control específicas.
25.. Al llevar a cabo una auditoría de seguridad de base de datos cliente / servidor, el auditor debería darle prioridad a: A. B. C. D.
utilidades del sistema. generadores de programas de aplicación. Documentación de la seguridad del sistema. acceso a los procedimientos almacenados.
RESPUESTA: A
Utilidades del sistema pueden permitir cambios no autoriados a e!ectuar a los datos de la base de datos cliente"servidor. #n una auditoría de seguridad de base de datos, los controles sobre esas utilidades serían la principal preocupación del auditor .$eneradores de programas de aplicación son una parte intrínseca de la tecnología cliente"servidor, % el auditor de evaluarían los controles sobre los generadores de derec&os de acceso a la base de datos en lugar de su disponibilidad. Documentación de 'eguridad debe ser restringida a personal de seguridad autoriado, pero esto no es una preocupación principal, ni el acceso a los procedimientos almacenados.
2(. )Cu*l de las siguientes opciones permitiría +ue una empresa amplíe su intranet a travs de -nternet de sus socios de negocio A. B. C. D.
red privada virtual 013 Cliente"'ervidor Acceso tele!ónico 1roveedor de servicios de red
RESPUESTA: A
4a tecnología 01 permite a los socios eternos para +ue participen de !orma segura en la etranet mediante redes p6blicas como el transporte o la red privada compartida. Debido al ba7o costo, el uso de redes p6blicas -nternet3 como medio de transporte es el principal mtodo. 01s se basan en tcnicas de t6nel / encapsulación, +ue permiten al protocolo de -nternet -13 realiar una variedad de di!erentes protocolos por e7emplo, 'A, -18, etB#U-.3 Cliente"servidor no se ocupa de la ampliación de la red de socios de negocios es decir, cliente" servidores se re!iere a un grupo de e+uipos dentro de una organiación conectada por una red de comunicaciones, donde el cliente es la m*+uina de petición % el servidor es la m*+uina suministradora.3 Un proveedor de servicios de red puede proporcionar servicios a una red privada compartida por la prestación de servicios de -nternet, pero no etendió la intranet de una organiación. 29. Un procedimiento de auditoria para el monitoreo de &ardare debería ser: A. -n!ormar sobre la disponibilidad del sistema. B. -n!ormar sobre el costo"bene!icio. C. -n!ormar sobre el tiempo de respuesta. D. -n!orme sobre la utiliación de la base de datos.
RESPUESTA: A
Un auditor de '-, mientras +ue los procedimientos de vigilancia de &ardare auditoría revisar* los in!ormes de disponibilidad del sistema. -n!ormes de costo" bene!icio son revisados durante el estudio de !actibilidad. -n!ormes en tiempo de respuesta se relacionan con las aplicaciones, no con el &ardare. 4os in!ormes de utiliación de bases de datos se revisan para comprobar el uso óptimo de la base de datos en toda la organiación.
2;. #l dispositivo +ue conectan dos redes al m*s alto nivel del marco -'<"<'- es decir, la capa de aplicación3 es una A. 1uerta de enlace B. =outer C. 1uente D. Brouter Respuesta: A 4a puerta de enlace se utilia para conectar dos redes +ue utilian protocolos di!erentes en las capas in!eriores a travs del cual se establece la conectividad a saber !ísica, de enlace de datos, redes % capas de transporte. =outer es un dispositivo de capa de red para el +ue las dos redes de coneión deben tener el mismo protocolo de capa de red. 1uente opera en la capa de enlace de datos. Debe tener protocolos de capa de enlace de datos, tales como >o?en =ing, #t&ernet, en uso, tanto en las redes. Brouter es esencialmente un puente con algunas !unciones de enrutamiento.
2@. )Cu*l de las siguientes a!irmaciones relativas a las redes de conmutación de pa+uetes es la correcta A. 1a+uetes para un mensa7e dado +ue via7an por el mismo camino. B. 4as contraseas no puede ser embebido dentro del pa+uete. C. 4ongitudes de pa+uetes son variables % cada pa+uete contiene la misma cantidad de in!ormación. D. #l costo cobrado por la transmisión se basa en pa+uetes, de distancia o ruta recorrida. Respuesta: D
D es la respuesta correcta, %a +ue los costos de transmisión se basan en los pa+uetes transmitidos, no a la distancia o la ruta recorrida. Contraseas % otros datos se pueden colocar dentro de un pa+uete de la toma de la opción B incorrecta. 4as opciones A % C no son correctas por+ue un mensa7e completo se divide en unidades de transmisión pa+uetes3, +ue se enrutan individualmente a travs de la red.
. Un auditor al revisar una red utiliada para las comunicaciones por -nternet, eaminar* en primer lugar la: A. valide de contraseas cambiar ocurrencias. B. ar+uitectura de la aplicación cliente"servidor. C. ar+uitectura de la red % el diseo. D. protección !ireall % servidor pro%. Respuesta: C
#l primer paso en la auditoría de una red es entender la ar+uitectura % el diseo de la red. #sto proporcionaría una visión global de la red de las empresas % su conectividad. #ste ser* el punto de partida para la identi!icación de las di!erentes capas de in!ormación % la ar+uitectura de acceso a travs de las distintas capas, como servidores pro%, servidores de seguridad % aplicación de cliente / servidor. 0alide =evisión de los cambios de contrasea se realia como parte de las pruebas de con!irmación. . )Cu*l de las siguientes E#F<= proporciona control de acceso a los datos de nómina +ue se procesa en un servidor local A. =egistro de acceso a la in!ormación personal B. contrasea separada para las transacciones sensibles C. 'o!tare restringe las reglas de acceso al personal autoriado D. 'istema limita las &oras de acceso en apertura Respuesta: C
4a seguridad del servidor % el sistema debe de!inirse para permitir el acceso del personal autoriado 6nicamente a la in!ormación sobre el personal cu%os registros +ue mane7an en el día a día. 4a opción A es un buen control en el +ue va a permitir el acceso a analiar si eiste la preocupación de +ue no eiste el acceso no autoriado. 'in embargo, no impedir* el acceso. 4a opción B, restringir el acceso a transacciones sensibles, sólo restringir el acceso a parte de los datos. o va a impedir el acceso a otros datos. 4a opción D, el acceso al sistema es restringido en &oras de apertura, sólo restringe cuando puede producirse el acceso no autoriado, % no impediría dic&o acceso en otros m omentos.
2. )Cu*l de las siguientes preocupaciones sobre la seguridad de un mensa7e electrónico se abordarían mediante !irmas digitales A. lectura no autoriada B. =obo C. 4a copia no autoriada D. 4a alteración Respuesta: D
Una !irma digital inclu%e un total de &as& ci!rado del tamao del mensa7e, %a +ue !ue transmitida por su autor. #ste &as& %a no sería eacta si el mensa7e !ue posteriormente alterado, lo +ue indica +ue se &abía producido la alteración. 4as !irmas digitales no identi!ican o previenen ninguna de las otras opciones. 4a !irma sería ni evitar ni disuadir la autoriada lectura, copia o robo.
. #l mtodo m*s e!ica para limitar el dao de un ata+ue de un virus de so!tare es: A. Controles de so!tare. B. 1olíticas, normas % procedimientos. C. Controles de acceso lógico D. #st*ndares de comunicación de datos. =espuesta: A 4os controles de so!tare en !orma de programas de detección % eliminación de virus son la manera mtodo m*s e!ica para detectar % eliminar virus. 4as políticas, normas % procedimientos son importantes, por+ue son basados en las personasG sin embargo, se consideran generalmente menos e!icaces +ue los controles de so!tare. 4as opciones C % D, no son relevantes para la detección de virus.
H. )Cu*l de los siguientes determina me7or +ue eisten protocolos de ci!rado % autenticación completos para proteger la in!ormación mientras se transmite A. Una !irma digital con ='A &a sido implementada. B. 'e est* traba7ando en el modo de t6nel con los servicios 7erar+uiados de AI % #'1 C. 'e utilian certi!icados digitales con ='A. D. 'e est* traba7ando en el modo de transporte, con los servicios 7erar+uiados de AI % #'1
=espuesta: B
#l modo de t6nel proporciona ci!rado % autenticación del pa+uete -1 completo. 1ara lograr esto, el AI encabeado de autenticación3 % #'1 +ue encapsula la carga 6til de seguridad3 se anidan al pa+uete -1. #l modo de transporte proporciona protección primaria para las capas m*s altas de los protocolos, esto es, la protección se etiende al campo de datos carga 6til3 de un pa+uete -1. 4os otros dos mecanismos proporcionan autenticación e integridad.
5. )Cu*l de las siguientes resultaría m*s adecuado para garantiar la con!idencialidad de las transacciones iniciadas a travs de -nternet A. Jirma digital B. #st*ndar de ci!rado de datos D#'3 C. =ed privada virtual 013 D. Ci!rado de clave p6blica
=espuesta: D #l ci!rado es la 6nica manera de garantiar las transacciones por -nternet son con!idenciales, % de las opciones disponibles, el uso de ci!rado de clave p6blica es el me7or mtodo. 4as !irmas digitales asegurar*n +ue la transacción no se cambia % no puede ser repudiado, pero no garantian la con!idencialidad.
(. #l ob7etivo principal de un !ireall es proteger a: A. 'istemas internos de amenaas eternas. B. 'istemas eternos de amenaas internas. C. 'istemas internos de amenaas internas. D. 'í mismo. =espuesta: A #l Jireall se coloca en el punto donde la red interna se conecta con el mundo eterior e -nternet. Act6a como un guardia de seguridad de la red, lo protege contra ata+ues maliciosos desde !uera de la red de la organiación. #amina pa+uetes +ue entran % +ue salen de la red interna, evita el ingreso de pa+uetes maliciosos % niega el acceso a los recursos pro&ibidos en -nternet para los usuarios internos. 4os pa+uetes cu%as direcciones -1 origen % destino re!erirse a los &osts dentro de la misma red no se envían !uera de la red % por lo tanto no representan una amenaa a la seguridad.
9. )Cu*l de los siguientes es un e7emplo de la tcnica biomtrica !isiológica A. #scaneo de mano. B. #scaneo de vo. C. #scaneo de !irma. D. Eonitoreo de teclas. =espuesta: A 4a biometría !isiológica se basa en la medición de los datos derivados de la medición directa de una parte del cuerpo &umano. 4as opciones B, C % D son e7emplos de la biometría de comportamiento.
;. Un auditor acaba de completar una revisión de una organiación +ue tiene una unidad central % un entorno cliente"servidor en el +ue todos los datos de producción residen. )Cu*l de las siguientes debilidades sería considerado el m*s grave A. #l o!icial de seguridad tambin sirve como el administrador de base de datos DBA3. B. Controles de contrasea no son administrados por el entorno cliente/servidor. C. o eiste un plan de continuidad del negocio para aplicaciones no críticas del sistema main!rame.
D. 4a ma%oría de las 4A no respaldan discos !i7os de servidor de arc&ivos con regularidad. =espuesta: B 4a ausencia de controles de contrasea en el cliente"servidor donde residen los datos de producción es la debilidad m*s crítica. >odas las dem*s conclusiones, mientras +ue son debilidades de control, no tienen el mismo impacto desastroso.
@. Una organiación propone la instalación de un inicio de sesión 6nico +ue da acceso a todos los sistemas. 4a organiación debe tener en cuenta +ue: A. Acceso E*imo autoriado sería posible si una contrasea se da a conocer. B. 4os derec&os de acceso del usuario serían limitadas por los par*metros de seguridad adicionales. C. la carga de traba7o del administrador de seguridad aumentaría. D. Derec&os de acceso del usuario se incrementarían. =espuesta: A 'i una contrasea se da a conocer al inicio de sesión 6nico est* &abilitado, eiste el riesgo de +ue el acceso no autoriado a todos los sistemas sea posible. 4os derec&os de acceso del usuario deben permanecer sin cambios por el inicio de sesión 6nico como par*metros adicionales de seguridad no se aplican necesariamente. Uno de los bene!icios previstos de inicio de sesión 6nico es +ue la administración de seguridad se simpli!icaría % un aumento de la carga de traba7o es poco probable.
H. Un sitio eb de comercio electrónico B"to"C como parte de su programa de seguridad de la in!ormación +uiere monitorear, detectar % prevenir actividades de &ac?ing % alertar al administrador del sistema cuando se producen actividades sospec&osas. Cu*l de los siguientes componentes de la in!raestructura podría ser utiliado para este propósito A. 4os sistemas de detección de intrusiones B. 4os corta!uegos C. =outers D. ci!rado asimtrico =espuesta: A 4os sistemas de detección de intrusiones detectan la actividad de intrusos basado en las reglas de intrusión. #s capa de detectar tanto, la actividad de intrusión eterna e interna % enviar un
mensa7e de alarma autom*tica. 4os corta!uegos % routers evitan las comunicaciones no deseadas % bien de!inidas entre las redes internas % eternas. #llos no tienen ning6n sistema de mensa7ería de alarmas autom*ticas.
H Durante una auditoría de acuerdo mutuo de recuperación de desastres entre dos empresas, el auditor de '- estaría principalmente preocupado por: A. 4a solide del an*lisis de impacto. B. 4a compatibilidad entre el &ardare % so!tare. C. Di!erencias entre las políticas % procedimientos de '-. D. Jrecuencia de las pruebas del sistema. Respuesta: B.
1ara +ue el acuerdo mutuo sea e!ica, el &ardare % so!tare deben ser compatibles en ambos sitios. 1ara garantiar esto los procesos de estar en su lugar. 4a opción D, la !recuencia de las pruebas del sistema, es una preocupación, pero la raón para considerar esto es +ue se pone a prueba la compatibilidad de &ardare % so!tare. 4a opción A es un problema cuando se eamina el proceso de plani!icación, no el acuerdo de reciprocidad. 4a opción C no es un problema %a +ue la organiación puede tener di!erencias en las políticas % procedimientos % aun así pueden ser capaces de e7ecutar sus sistemas en caso de un desastre. H2. Un auditor de '- descubre +ue el plan de continuidad del negocio de una organiación prev un sitio de procesamiento alterno +ue se adapta al cincuenta por ciento de la capacidad de procesamiento primario. #n base en esto, )cu*l de las siguientes acciones debería tomar el auditor de '- A. o &acer nada, por+ue por lo general, menos del veinticinco por ciento de todo el proceso es !undamental para la supervivencia de una organiación % la capacidad de copia de seguridad, por lo tanto, es adecuado. B. -denti!icar las aplicaciones +ue podrían ser procesados en el sitio alternativo % desarrollar procedimientos manuales en copia de seguridad de otro proceso. C. Asegurarse de +ue las aplicaciones críticas se &an identi!icado % +ue el sitio alternativo podría procesar todas las solicitudes. D. 'e recomienda +ue la instalación de procesamiento de in!ormación organice un sitio de procesamiento alterno con la capacidad de mane7ar al menos el setenta % cinco por ciento de procesamiento normal. Respuesta C:
4os planes de continuidad de negocios deben proporcionar medidas para la recuperación de los sistemas críticos, no necesariamente para todos los sistemas. >al ve sólo el cincuenta por ciento de los sistemas de la empresa son !undamentales. 1or lo tanto, la evaluación cuidadosa de los sistemas críticos % los re+uisitos de capacidad debe ser parte de la evaluación del plan realiada por el auditor. H. )Cu*l de los siguientes componentes de un plan de continuidad del negocio es principalmente la responsabilidad del departamento de -' A. Desarrollar el plan de continuidad de negocio. B. 'elección % aprobar una estrategia de continuidad de negocio plan. C. Declarar un desastre. D. =estaurar los datos % sistemas de la '- despus de un desastre. Respuesta D:
4a opción correcta es restaurar los sistemas % los datos despus de un desastre. #l Departamento de >- de una organiación es responsable de restaurar los sistemas % los datos despus de un desastre, en el momento m*s temprano posible. 4a alta
dirección de la organiación es responsable de desarrollar el plan de continuidad de negocio para la organiación. >ambin son responsables de seleccionar % aprobar la estrategia para el desarrollo e implementación de un plan de continuidad de negocio detallado. 4a organiación debe identi!icar a una persona en la gerencia como responsable de declarar un desastre. Aun+ue est* involucrada en todos los tres componentes, pero no es responsable de ellos.
44. %Cuál de los siguientes temas deben ser incluidos en el plan de continuidad del negocio? &. 1l personal necesario para mantener las /unciones críticas del negocio en el corto, mediano largo pla+o B. 1l potencial para que ocurra un desastre natural, como un terremoto C. e!entos desastrosos que a/ectan a las /unciones de procesamiento de sistemas de in/ormacin de los usuarios (nales ". 8n riesgo análisis que considera un mal /uncionamiento de sistemas, eliminacin accidental de arc*i!os u otros /allos espuesta6 & "onde no eiste un plan de continuidad de negocio uni(cado, el plan para el procesamiento de sistemas de in/ormacin debe ampliarse para incluir la plani(cacin de todas las unidades que dependen de /unciones de procesamiento de sistemas de in/ormacin. :ero, en la /ormulacin de un plan de continuidad de negocio a /ondo, una cuestin mu importante a considerar es el personal que se requiere para mantener las /unciones críticas del negocio con el tiempo, *asta que la organi+acin está en pleno /uncionamiento de nue!o. Otra cuestin importante es la con(guracin de las instalaciones de negocios, por eemplo, escritorios, sillas, tel2/onos, etc., que serán necesarios para mantener las /unciones críticas del negocio en el corto, mediano largo pla+o. 5a opcin B es incorrecta, a que tiene que !er con lo que un buen plan de continuidad de negocio !a a tener en cuenta en caso de e!entos catastr(cos que ocurren. 1sto podría ser considerado como un subconunto de un plan de continuidad de negocio, pero no tiene el mismo impacto que el personal necesario capacitado para lle!ar a cabo en caso de un desastre natural. 5a opcin C es incorrecta porque, al igual que en el caso de desastres naturales, esto podría ser considerado como un subconunto de un plan de continuidad de negocio, pero no tiene el mismo impacto que el personal necesario capacitado para lle!ar a cabo en el caso de un desastre que a/ectaría /unciones de procesamiento de in/ormacin de sistemas usuarios (nales. 5a opcin & sería el tema las opciones B C sería la causa para implementar el plan de continuidad del negocio. 5a opcin " es incorrecta porque se trata de interrupciones en el ser!icio que tiene sus raíces en el mal /uncionamiento de los sistemas; pero de nue!o, esto sería otro aspecto tratado en el plan de continuidad de negocio, pero no es un tema principal incluido en 2l. 47. 1n una auditoría de un plan de continuidad de negocio, %cuál de los siguientes *alla+gos es que más preocupan? &.
se reali+a, la organi+acin no puede ser capa+ de recuperar los datos cuando sea necesario durante un desastre; por lo tanto, la empresa puede perder su acti!o más !alioso puede no ser capa+ de recuperarse de la catástro/e. 5a p2rdida a causa de la /alta de seguro se limita al !alor de los acti!os. Si el manual BC: no se actuali+a, la empresa puede encontrar el manual de BC: no plenamente pertinentes para la recuperacin en caso de desastre. Sin embargo, la recuperacin podría ser toda!ía posible. . Clasi(cacin de los sistemas de in/ormacin es esencial en la plani(cacin de la continuidad del negocio. %Cuál de los siguientes tipos de sistemas no pueden ser reempla+ados por m2todos manuales? Sistema &. sistema crítico B. Sistema 'ital C. sistema sensible ".
4. 8n auditor debe participar en6 &. obser!ando pruebas del plan de recuperacin de desastres. B. el desarrollo del plan de recuperacin de desastres C. mantener el plan de recuperacin de desastres. ". re!isar los requisitos de recuperacin de desastres de los contratos con los pro!eedores. espuesta6 & 1l auditor de SI debe estar siempre presente cuando los planes de recuperacin de desastres se ponen a prueba, para asegurar que el ensao cumple los obeti!os necesarios para los procedimientos de restauracin recuperacin son e(caces e(cientes, al in/ormar sobre los resultados seg@n corresponda. 5os auditores pueden estar in!olucrados en la super!isin del desarrollo del plan, pero es poco probable que participar en el proceso de desarrollo real. "el mismo modo, una auditoría de mantenimiento plan puede ser lle!ado a cabo, pero el auditor normalmente no tendría ninguna responsabilidad por el mantenimiento real. 8n auditor de SI se le puede pedir a comentar di!ersos elementos de un contrato de pro!eedor, pero, de nue!o, esto no es siempre el caso. 4A. 5a !entana de tiempo de recuperacin de la capacidad de procesamiento de la in/ormacin se basa en la6 &. criticidad de los procesos a/ectados. B. calidad de los datos a procesar. C. naturale+a del desastre. ". aplicaciones que se basan main/rame. espuesta6 & 5a criticidad de los procesos que se !en a/ectados por el desastre es la base para el cálculo de la !entana de tiempo de recuperacin. 5a calidad de los
datos a procesar la naturale+a del desastre no son la base para determinar la !entana de tiempo. &l ser una aplicacin de main/rame no de sí mismo proporciona una !entana de base de tiempo.
8F. 'urante una auditoría de ;I de un +ran banco, un auditor observa que nin+4n e0ercicio formal de evaluación de ries+os se *a llevado a cabo por las distintas aplicaciones de ne+ocios para lle+ar a su importancia relativa % requisitos de tiempo de recuperación. El ries+o de que el banco est" e7puesto a es que el: . plan de continuidad del ne+ocio no puede *aber sido calibrado para el ries+o relativo que la interrupción de cada aplicación supone para la or+anización. #. plan de continuidad del ne+ocio no inclu%a todas las aplicaciones relevantes %, por tanto, pueden carecer de inte+ridad en trminos de su cobertura. &. impacto en el ne+ocio de un desastre puede no *aber sido entendido con precisión por la dirección. '. plan de continuidad del ne+ocio puede carecer de una propiedad efectiva por los propietarios de ne+ocios de este tipo de aplicaciones. Res!&esta5 A La !rimera y %&ndamental !aso !ara desarrollar &n !lan de ontin&idad de ne*oio es &n e(eriio de eal&ai"n de ries*o 4&e anali3a los diersos ries*os 4&e &na or*ani3ai"n en%renta y el im!ato de la %alta de dis!oni'ilidad de las a!liaiones indiid&ales- Sei"n :-,-+-0 de la norma #S >>,, ?Norma de In%ormai"n de Gesti"n de la Se*&ridad) a%irma 4&e @&n !lan estrat=*io; 'asado en la eal&ai"n de ries*os ade&ada; ser$ desarrollado !ara en%o4&e *lo'al de la ontin&idad del ne*oio-@
=G. 6&u"l de los si+uientes es necesario tener por primera vez en el desarrollo de un plan de continuidad de ne+ocio . clasificación basada en el ries+o de los sistemas #. Inventario de todos los activos &. $a documentación completa de todos los desastres '. $a disponibilidad de *ardware % software
(espuesta: Un sistema de clasificación basado en el ries+o bien definido para todos los activos % procesos de la or+anización es uno de los componentes m"s importantes para la
inicialización de los esfuerzos de planificación de continuidad del ne+ocio. Un sistema bien definido de clasificación basado en el ries+o podría a%udar a identificar la criticidad de cada uno de los procesos clave % los activos utilizados por la or+anización. Esto a%udaría a la f"cil identificación de los activos % los procesos clave para ser ase+urado % los planes que se *acen para recuperar estos procesos % activos como mu% pronto despus de un desastre. Se requiere de inventario de los activos críticos % no todos los activos para iniciar un plan de continuidad del ne+ocio. $a documentación completa de todos los desastres no es un requisito previo para iniciar un plan de continuidad de ne+ocio, en lu+ar varios desastres son considerados al desarrollar el plan % sólo el que tiene un impacto en la or+anización se abordan en el plan. $a disponibilidad de *ardware % software no es necesario para iniciar el desarrollo de un plan< Sin embar+o, se considera la *ora de desarrollar el plan detallado de acuerdo con la estrate+ia adoptada =1.6 $os planes de prueba de aplicaciones son desarrollados en cual es las si+uientes fases del ciclo de vida del desarrollo de sistemas CS'$&B . 'iseo #. ruebas &. (equisito '.'esarrollo
(espuesta: 'esarrollar planes de prueba para los diversos niveles de la prueba es una de las actividades clave durante la fase de diseo de desarrollo de aplicaciones. $os planes de prueba se utilizan en las pruebas de software real.
=/. 6&u"l de las si+uientes pruebas confirman que el nuevo sistema puede funcionar en su entorno de destino . Sociabilidad #. (e+resión &. >alidación '. )e+ro (espuesta: $a sociabilidad prueba se utiliza para confirmar que el nuevo o modificado sistema
puede operar en su entorno de destino sin impactar adversamente en el sistema e7istente. $as pruebas de re+resión es el proceso de volver a e0ecutar una parte de un escenario de prueba o plan de pruebas para ase+urar que los cambios o correcciones no *an introducido nuevos errores. $as pruebas de validación se utiliza para probar la funcionalidad del sistema contra el requisito detallada para +arantizar que el software que *a sido construido es trazable a los requisitos del cliente. ruebas de ca0a )e+ro e7amina al+unos aspectos del sistema durante las pruebas de inte+ración con poco respeto por la estructura ló+ica interna del software.
=5. $a persona m"s adecuada para presidir el comit de dirección para un pro%ecto de desarrollo de sistemas con un impacto si+nificativo en una zona de ne+ocios sería el: . nalista de ne+ocios #. director de información. &. director del pro%ecto. '. +erente de nivel e0ecutivo
(espuesta: ' El presidente del comit de dirección debe ser una persona de alto nivel Cdirector de nivel e0ecutivoB con la autoridad para tomar decisiones relativas a la los requerimientos del ne+ocio, recursos, prioridades % los resultados del sistema. El director de información C&IB normalmente no sería la silla, aunque el &I o su representante sería un miembro para dar su opinión sobre las estrate+ias amplias de or+anización. El director del pro%ecto % el analista de ne+ocios no tienen un nivel apropiado de autoridad dentro de la or+anización.
=8. El ob0etivo principal de llevar a cabo una e0ecución en paralelo de un nuevo sistema consiste en: . verificar que el sistema ofrece la funcionalidad empresarial requerida. #. validar el funcionamiento del nuevo sistema en contra de su predecesor. &. resolver cualquier error en las interfaces de pro+rama % arc*ivos. '. verificar que el sistema puede procesar la car+a de producción.
(espuesta: # El ob0etivo de correr paralela es verificar que el nuevo sistema produce los mismos
resultados que el sistema anti+uo. $a verificación de la funcionalidad es a travs de las pruebas de aceptación, mientras que los errores en la resolución de los pro+ramas se lleva a cabo a travs de las pruebas del sistema. >erificación de que el sistema puede mane0ar la car+a de producción puede ser un resultado secundario de una carrera en paralelo, pero no es el ob0etivo principal. Si fuera el propósito principal, sería una prueba de esfuerzo, probablemente e0ecute en el entorno de prueba.
==. $os procedimientos de control de cambios para evitar la corrupción del alcance durante un pro%ecto de desarrollo de la aplicación se deben definir durante: . diseo. #. viabilidad. &. implementación. '. definición de requisitos
(espuesta: $os procedimientos de control de cambios son por lo +eneral com4n para aplicaciones dentro de una or+anización< Sin embar+o, los procedimientos de control de cambios específicos de la aplicación se definir"n durante la fase de diseo de S'$& % deben basarse en los módulos del software. $as otras opciones son incorrectas. Es demasiado pronto para definir los procedimientos de control de cambios durante la fase de viabilidad, % tambin sería demasiado tarde durante la fase de implementación % despus de la aplicación de software.
=?. 6&u"l de los si+uientes es m"s probable de ase+urar que un pro%ecto de desarrollo de software cumpla con los ob0etivos del ne+ocio . -antenimiento de re+istros de cambio de pro+rama #. 'esarrollo de un plan de pro%ecto identificar todas las actividades de desarrollo &. $iberación de aplicación cambia en momentos específicos del ao '. articipación de los usuarios en la especificación del sistema % la aceptación
(espuesta: ' articipación de los usuarios efectiva Copción 'B es el factor m"s crítico para ase+urar que la solicitud cumple con los ob0etivos de ne+ocio. $as opciones , # % & son las *erramientas de +estión de pro%ectos % tcnicas % no son de ellos mismos mtodos para
+arantizar que los ob0etivos de ne+ocio se cumplen por el sistema de aplicación.
=@. 6&u"l de las si+uientes es una medida de tamao de un sistema de información basado en el n4mero % la comple0idad de las entradas, salidas % arc*ivos de un sistema A- P&nto de %&ni"n ?FP)
#. ;cnica de pro+rama de revisión de la evaluación CE(;B &. 'iseo r"pido de aplicaciones C('B '. -todo del &amino &rítico C&-B
=A. 'urante la auditoría de la fase de requisitos de adquisición de software, el auditor debe: . Evaluar la viabilidad del calendario del pro%ecto. #. Evaluar los procesos de calidad propuestos por el vendedor. &. se+urar que el me0or paquete de software es adquirido. D- Reisar la inte*ridad de las es!ei%iaiones-
=F. El propósito de los pro+ramas de depuración es: . +enerar datos aleatorios que se puedan utilizar para probar los pro+ramas antes de su aplicación. #. prote+er, durante la fase de pro+ramación, cambios v"lidos que puedan ser sobrescritos por otros cambios. &. definir los costes de desarrollo % mantenimiento de pro+ramas que se inclu%en en el estudio de factibilidad. D- *aranti3ar 4&e el !ro*rama de terminaiones anormales y de%etos de odi%iai"n de !ro*ramas son detetados y orre*idos-
?G. 6&u"l de los si+uientes atributos de software se refiere al -E9( mantenimiento de software . (ecursos necesarios para realizar las modificaciones especificadas. #. Esfuerzo necesario para utilizar la aplicación del sistema. &. (elación entre el rendimiento del software % los recursos necesarios. D- El &m!limiento de las neesidades del &s&ario-
?1. El +obierno de I; ase+ura que una or+anización adopte su estrate+ia I; con: A- O'(etios de la em!resa-
#. b0etivos de I;. &. b0etivos de la auditoría. '. b0etivos de Hinanzas.
?/. Una validación que ase+ura los datos de entrada que corresponden a límites razonables predeterminados o tasas de ocurrencia, se conoce como: A- Beri%iai"n de ra3ona'ilidad-
#. &omprobación de validez. &. >erificación de E7istencia. '. >erificación límite.
?5. 6'urante cu"l de los si+uientes pasos en el proceso de rein+eniería de ne+ocios debería el equipo de evaluación comparativa traba0ar 0unto al socio de benc*mar2in+ A- O'serai"n
#. lanificación &. n"lisis
'. daptación
?8. 6&u"l de los si+uientes procedimientos deben aplicarse para a%udar a +arantizar la inte+ridad de las transacciones de entrada a travs del intercambio electrónico de datos CE'IB A- Conteo de se*mentos inte*rados al on(&nto de transaiones aan3adas-
#. Un re+istro de la cantidad de mensa0es recibidos, verificados periódicamente con el creador transacción. &. Una pista de auditoría electrónica para la rendición de cuentas % el se+uimiento. '. peraciones de reconocimiento recibidas en el re+istro de los mensa0es E'I enviados.
- Una &tilidad est$ dis!oni'le !ara at&ali3ar las ta'las r6tias en aso de inonsistenia de datos- Esta &tilidad se !&ede e(e&tar en el s6m'olo del sistema o!eratio o omo &na de las o!iones de men; en &na a!liai"n- El me(or ontrol !ara miti*ar el ries*o de mani!&lai"n no a&tori3ada de datos es5
. eliminar el software de utilidad e instalarlo cuando sea necesario. #- !ro!orionar aeso a seriios !'lios en 'ase a la neesidad de &sar-
&. proporcionar acceso a la utilidad de +estión de usuarios '. definir el acceso de manera que la utilidad sólo puede ser e0ecutado en la opción de men4.
(espuesta: # Software de utilidad en este caso es un pro+rama de corrección de datos para corre+ir cualquier inconsistencia en los datos. Sin embar+o, esta utilidad se puede utilizar para sobrepaseo actualización incorrecta de las tablas directamente. or lo tanto, el acceso a esta utilidad debe restrin+irse en base a la necesidad de utilizar % de un re+istro se debe +enerar de forma autom"tica cada vez que se e0ecuta esta utilidad. $a alta dirección
debe revisar este re+istro periódicamente. Eliminación de la utilidad e instalarlo cuando sea necesario puede no ser factible en la pr"ctica %a que no *abría tiempo de retardo. El acceso a los servicios p4blicos no debe ser proporcionado a la +estión de usuarios. 'efinición de acceso para que la utilidad se pueda e0ecutar en una opción de men4 puede no +enerar un re+istro.
- Al llear a a'o &na reisi"n de !roeso de rein*enier6a de ne*oios; &n a&ditor enontr" 4&e &n ontrol !reentio lae
. informar a la +estión del *allaz+o % determinar si la administración est" dispuesta a aceptar el potencial ries+o importante de no tener que prevenir control. #. determinar si un control detective *a reemplazado el control preventivo durante el proceso % si es así, no informa de la eliminación del control preventivo. &. recomendamos que ste % todos los procedimientos de control que e7istían antes de que se rediseó el proceso se incluir"n en el nuevo proceso. '. desarrollar un enfoque de auditoría continua para controlar los efectos de la eliminación del control preventivo.
(espuesta: $a opción es la me0or respuesta. $a +estión debe ser informada inmediatamente para determinar si est"n dispuestos a aceptar el potencial ries+o importante de no tener ese control preventivo en el lu+ar. $a e7istencia de un control de detective en lu+ar de un control preventivo por lo +eneral aumenta los ries+os que puede ocurrir un problema material. menudo, durante un #( muc*os controles no valor a+re+ado ser"n eliminados. Esto es bueno, a menos que aumenten el ne+ocio % los ries+os financieros. El auditor puede desear supervisar o recomendar que la +estión de supervisar el nuevo proceso, pero esto deba *acerse sólo despus de la administración *a sido informado %
acepta el ries+o de no tener el control preventivo en el lu+ar.
>- .C&$l de los si*&ientes es &n o'(etio de ontrol de salida/
. -antenimiento de re+istros de lotes precisos #. &umplimiento del procesamiento por lotes &. contabilidad apropiada para los rec*azos % e7cepciones '. utorización de cambios de arc*ivos
(espuesta: & E7cepciones % rec*azos son productos de salida que deben tenerse en cuenta por los controles de salida adecuados. $as opciones , # % ' son los ob0etivos de control de entrada. - En &n sistema 4&e re*istra todas las &entas !or o'rar de &na em!resa; las &entas !or o'rar se !&'lian a diario- C&$l de las si*&ientes ser6a ase*&rar 4&e los saldos de &entas !or o'rar son inalterada entre !&'liaiones/
. Dama de &*eques #. &onteos de (e+istro &. secuencia de verificación '. (untorun totales de control
(espuesta: ' (untorun totales de control son los totales de los campos clave en este caso, el total de los saldos a cobrar tomar cuando se publican las cuentas por cobrar. Si los totales se calculan % se comparan con saldo anterior, esto sería detectar alteraciones entre publicaciones. mbos recuentos de re+istros % secuencia de verificación sólo se detectarían re+istros faltantes. Ellos no se detectan situaciones en las que se alteran los re+istros, pero el n4mero de re+istros no se *an modificado. &*eques (an+e sólo se detectan cuando los saldos son fuera de un ran+o de valores predeterminado % no cambios en los saldos dentro de esos ran+os.
,- .C&$l de los si*&ientes es el tema m$s im!ortante !ara el a&ditor en &n !roeso de rein*enier6a de ne*oios del !royeto ?#PR) ser6a/
. $a prdida de la +erencia media, que a menudo es el resultado de un pro%ecto #( #. Jue los controles se dan +eneralmente ba0a prioridad en un pro%ecto de #( &. El considerable impacto ne+ativo que la protección de la información podría tener en #( '. El ries+o de fracaso debido a la +ran ma+nitud de la tarea por lo +eneral realizado en un pro%ecto de #(
Res!&esta5 #
$os controles deben ser dados de alta prioridad durante un pro%ecto de #(, por lo tanto, esto sería una preocupación para el auditor de si no se consideran adecuadamente por la dirección. El *ec*o de que los mandos medios se pierde, como se indica en la opción , no es necesariamente un problema, siempre % cuando los controles est"n en su lu+ar. $as opciones & % ' no tienen nin+una relevancia para un pro%ecto de #(.
>1- Para &m!lir on riterios !reiamente de%inidos; &$l de las si*&ientes t=nias de a&ditor6a ontin&a ser6a me(or identi%iar transaiones !ara a&ditar/
. Sistemas de &ontrol de arc*ivos de (evisión de uditoría % -ódulos de auditoría incorporado C#UH)' 3 E-B #. Simulación continua e intermitente C&ISB &. Instalaciones de rueba Inte+rada CI;HB '. +anc*os de auditoría
Res!&esta5 #
Simulación continua e intermitente C&ISB es un con0unto moderadamente comple0a de pro+ramas que durante un proceso de e0ecución de una transacción, simula la e0ecución de la instrucción de su aplicación. medida que se introduce cada transacción, el simulador decide si la transacción cumple con ciertos criterios predeterminados % si es así, audita la transacción. Si no, el simulador de espera *asta que se encuentra con la si+uiente transacción que cumple los criterios. Danc*os uditorías que son de ba0a comple0idad se centran en las condiciones específicas en lu+ar de criterios detallados en la identificación de las transacciones para su revisión. I;H es incorrecto debido a que su atención se centra en la prueba frente a datos en tiempo real. K el foco #UH)' 3 E- est" en los controles frente a los datos.
>+- En &n en%o4&e de a&ditor6a 'asado en el ries*o; &n a&ditor de SI; adem$s de los ries*os; ser6an in%l&eniados !or5
. la disponibilidad de &;. #. +estión de representación &. estructura or+anizativa % las responsabilidades del traba0o. '. la e7istencia de controles internos % operativos
Res!&esta5 D
$a e7istencia de controles internos % operativos tendr" una influencia sobre la posición del auditor de la auditoría. En un enfoque basado en el ries+o que el auditor no es sólo un partido basado en el ries+o, sino tambin en los controles internos % operativos, así como el conocimiento de la empresa % el ne+ocio. Este tipo de decisión de evaluación del ries+o puede a%udar a relacionar el an"lisis de costobeneficio del control para el ries+o conocido, permitiendo opciones pr"cticas. $a naturaleza de las tcnicas de an"lisis disponibles % las representaciones de la administración, tiene poco impacto en el enfoque de auditoría basado en el ries+o. unque la estructura % responsabilidades or+anizacionales de traba0o deben ser consideradas, no se consideran directamente a menos de que afecten a los controles internos % operativos.
>0- La medida en 4&e se reo*er$n datos d&rante &na a&ditor6a de SI de'e determinar; en 'ase a la5
. disponibilidad de información crítica % necesaria. #. $a familiaridad de auditor con las circunstancias. &. $a capacidad de auditado para encontrar las pruebas pertinentes. '. propósito % alcance de la auditoría.
Res!&esta5 D
El +rado en el que se reco+er"n los datos durante una auditoría de SI debe estar relacionado directamente con el alcance % el ob0etivo de la auditoría. Una auditoría con un propósito limitado % alcance resultaría mu% probablemente en menos de recopilación de datos, que una auditoría con un propósito % alcance m"s amplio. El alcance de una auditoría de SI no debe verse limitada por la facilidad de obtener la información o por la familiaridad del auditor con el "rea que est" siendo auditada. (eco+er toda la evidencia requerida es un elemento necesario de una auditoría IS % el alcance de la auditoría no debe estar limitado por la capacidad de la entidad auditada para encontrar las pruebas pertinentes.
@5. $a principal venta0a de un enfoque de auditoría continua es que: . no requiere un auditor de reunir pruebas sobre la fiabilidad del sistema, mientras que el procesamiento se lleva a cabo. #. requiere que el auditor de la revisión % se+uimiento de inmediato en toda la información recopilada. &. puede me0orar la se+uridad del sistema cuando se utiliza en entornos de tiempo compartido que procesan un +ran n4mero de transacciones
'. no depende de la comple0idad de los sistemas inform"ticos de una or+anización. (espuesta: & El uso de tcnicas de auditoría continua, en la actualidad puede me0orar la se+uridad del sistema cuando se utiliza en entornos de tiempo compartido que procesan un +ran n4mero de transacciones, pero de0an un rastro de papel escaso. $a opción es incorrecta, %a que el enfoque de auditoría continua a menudo requiere un auditor de reunir pruebas sobre la fiabilidad del sistema, mientras que el procesamiento se lleva a cabo. $a opción # es incorrecta, %a que un auditor normalmente revisaría % se+uimiento solamente en deficiencias materiales o errores detectados. $a opción ' es incorrecta %a que el uso de tcnicas de auditoría continua no depende de la comple0idad de los sistemas inform"ticos de una or+anización. @8. 6&u"l de los si+uientes controles de entrada de datos proporciona la -K( se+uridad que los datos se introduzcan correctamente . Usando la verificación llave #. $a se+re+ación de la función de entrada de datos de entrada de datos de verificación. &. El mantenimiento de un re+istro 3 re+istro que detalla la *ora, fec*a, iniciales del empleado 3 id de usuario % pro+reso de varios preparación de datos % tareas de verificación. '. dición de dí+itos de control. (espuesta: >erificación de clave o unoauno la verificación producir" el ma%or +rado de confianza de que los datos introducidos son libres de errores. Sin embar+o, esto podría ser poco pr"ctico para +randes cantidades de datos. $a se+re+ación de la función de entrada de datos de verificación de la entrada de datos es un control de entrada de datos adicional, pero no se refiere a la precisión. El mantenimiento de un re+istro 3 re+istro que detalla la *ora, fec*a, iniciales del empleado 3 I' de usuario % el pro+reso de diversas tareas de preparación de datos % verificación, proporciona una pista de auditoría. Un dí+ito de control se aade a los datos para ase+urar que los datos ori+inales no *an sido alterados. Si un dí+ito de control se teclea mal, esto llevaría a aceptar los datos incorrectos, sino que sólo se aplican a los elementos de datos que tienen un dí+ito de control.
Software de monitoreo @=. $a capacidad se utiliza para ase+urar: . el m"7imo uso de la capacidad disponible. #. que las futuras adquisiciones responden a las necesidades de los usuarios. &. el uso simult"neo por un +ran n4mero de usuarios. '. continuidad de las operaciones eficientes (espuesta: ' Software de monitoreo de capacidad muestra el uso real de los sistemas en línea frente a su capacidad m"7ima. El ob0etivo es permitir que el personal de soporte de software para ase+urar que la operación eficiente, en la forma de los tiempos de respuesta, se mantiene en el caso de que utilice comienza a acercarse a la capacidad m"7ima disponible. Sistemas )unca se debe permitir operar a su m"7ima capacidad. Software de monitoreo tiene por ob0eto impedir esto. unque los informes de software pueden ser utilizados para apo%ar un caso de ne+ocio para las adquisiciones futuras, no sería proporcionar información sobre el efecto de las necesidades de los usuarios % no ase+uraría el uso concurrente del sistema por los usuarios, que no sea para destacar los niveles de acceso de los usuarios.
@?. 6&u"l de las si+uientes e7posiciones asociadas a la cola de impresión de los informes sensibles para la impresión en línea sería un auditor de considerar como el m"s serio . $os datos sensibles pueden ser leídos por los operadores. #. $os datos pueden ser modificados sin autorización. &. &opias no autorizadas de informes se pueden imprimir '. $a salida puede ser perdido en caso de fallo del sistema. (espuesta: & no ser controlada, la cola de impresión para la impresión en línea puede permitir copias a imprimir. $os arc*ivos de impresión es poco probable que est disponible para la lectura en línea por los operadores. $os datos sobre los arc*ivos de cola no son m"s f"ciles de modificar sin la autoridad que cualquier otro arc*ivo. Deneralmente *a% una
menor amenaza de acceso no autorizado a los informes confidenciales en caso de un fallo del sistema.
@@. 6&u"l de los si+uientes tipos de servidores de se+uridad sería me0or prote+er una red de un ataque de Internet . ro%ectado subred firewall #. plicación +atewa% de filtrado. &. El filtrado de paquetes del router. '. uerta de entrada a nivel de &ircuito. (espuesta: Un firewall subred filtrada proporcionaría la me0or protección. El router de detección puede ser un router comercial o un nodo con capacidades de enrutamiento % la capacidad de permitir o evitar el tr"fico entre redes o nodos basados en direcciones, puertos, protocolos, interfaces, etc. pasarelas de nivel de aplicación son mediadores entre dos entidades que quieren comunicarse, tambin conocido como puertas de acceso de pro7%.El nivel de aplicación CapoderadoB traba0a a nivel de aplicación, no sólo a nivel de paquete. $a pro%ección controla a nivel de paquete, direcciones, puertos, etc, pero no ve el contenido del paquete. Un router el filtrado de paquetes e7amina el encabezado de cada paquete o los datos que via0an entre Internet % la red corporativa.
@A. $a aplicación de una fec*a de retención sobre un arc*ivo se ase+urar" de que: . los datos no se pueden leer *asta la fec*a se establece. #. datos no se borrar" antes de esa fec*a &. copias de se+uridad no se conservan despus de esa fec*a. '. se diferencian los con0untos de datos que tienen el mismo nombre. (espuesta: # $a fec*a de retención se ase+urar" de que un arc*ivo no puede ser sobrescrita antes *a pasado esa fec*a. $a fec*a de la retención no afectar" la capacidad de leer el arc*ivo. Se esperaría que las copias de se+uridad para tener una fec*a de retención diferente %, por tanto, bien pueden ser retenidos despus de que el arc*ivo *a sido sobrescrito. $a fec*a de creación, no la fec*a de retención, se diferenciar" arc*ivos con el mismo nombre.
@F. Una firma di+ital contiene un resumen de mensa0e a: . mostrar si el mensa0e *a sido alterado despus de la transmisión #. definir el al+oritmo de cifrado. &. confirmar la identidad del emisor. '. *abilitar la transmisión de mensa0e en un formato di+ital. (espuesta: El resumen del mensa0e se calcula % se inclu%e en una firma di+ital para probar que el mensa0e no *a sido alterado. 'ebe ser el mismo valor que un nuevo c"lculo realizado sobre recibo. )o define el al+oritmo o *abilitar la transmisión en formato di+ital % no tiene nin+4n efecto sobre la identidad del usuario, estando allí para ase+urar la inte+ridad en lu+ar de identidad.
AG. 6&u"l de los si+uientes sería el me0or mtodo para ase+urar que los campos críticos en un re+istro maestro se *an actualizado correctamente . &o revisado. #. &ontrol total. &. (azonabilidad revisado. '. Un informe de antes % despus del mantenimiento (espuesta: ' Un antes % despus del informe de mantenimiento es la me0or respuesta porque una revisión visual proporcionaría la verificación m"s positiva que la actualización fue correcta.
+-Un entorno TCP 9 'asada en IP est$ e2!&esta a Internet.C&$l de los si*&ientes me(or ase*&ra 4&e e2isten !rotoolos de i%rado y a&tentiai"n om!letos !ara !rote*er la in%ormai"n mientras se transmite/ A- El tra'a(o se
se*&ridad de ena!s&lai"n ?ESP)#- Una %irma di*ital on RSA
RSPTA5 A El modo de tnel on se*&ridad IP !ro!oriona i%rado y a&tentiai"n del !a4&ete IP om!leto- Para lo*rar esto; el AH ?ena'e3ado de a&tentiai"n) y ESP ?4&e ena!s&la la ar*a til de se*&ridad) los seriios se !&eden anidar- Las o!iones # y C !ro!orionan a&tentiai"n e inte*ridad- Seriios TCP no !ro!orionan i%rado y a&tentiai"n-
0-Para eitar 4&e los sistemas in%orm$tios de &na or*ani3ai"n se onierta en !arte de &n ata4&e distri'&ido de dene*ai"n de seriio; los !a4&etes IP 4&e ontienen direiones 4&e se indian omo enr&tar !&ede aislarse !or5 A- esta'leer el %iltrado de tr$%io saliente#- !ermitiendo el 'lo4&eo de di%&si"nC- limitando los seriios !ermitidosD- s&!erisi"n del rendimiento de la redRSPTA5 A Ro&ters !ro*ramadas on el %iltrado de tr$%io saliente; aen !a4&etes de salida 4&e onten*an direiones de otro 4&e de la or*ani3ai"n del &s&ario; inl&idas las direiones de ori*en 4&e no se !&eden enr&tar- #lo4&eo de transmisi"n se !&ede
sistemas de la em!resaSin em'ar*o; esto no a a aislar los !a4&etes 4&e no se !&eden enr&tarS&!erisi"n del rendimiento de la red es &na manera de ontrolar el rendimiento del sistema de intr&siones !oteniales so're &na 'ase a tiem!o real y !odr6a ay&dar a identi%iar a los olmenes de tr$%io in&s&ales-
7-Un a&ditor
RSPTA5 D Las !r&e'as de !enetrai"n es &na t=nia &tili3ada !ara imitar &n
:-Un a&ditor de reali3ar &na reisi"n de ontrol de aeso a las teleom&niaiones de'en o&!a !rini!almente de la5 A- mantenimiento de re*istros de aeso de &so de arios re&rsos del sistema#- a&tori3ai"n y a&tentiai"n del &s&ario antes de oneder el aeso a los re&rsos del sistemaC- la !rotei"n ade&ada de los datos almaenados en los seridores mediante i%rado & otros medios-
D- sistema de rendii"n de &entas y la a!aidad de identi%iar las terminales !ara aeder a los re&rsos del sistema-
-Una or*ani3ai"n est$ onsiderando la one2i"n de &n sistema 'asado en PC r6tio !ara la Internet.C&$l de las si*&ientes ser6a !ro!orionar la me(or !rotei"n ontra la !irater6a/ A- Una !&erta de enlae de niel de a!liai"n #- Un seridor de aeso remoto C- Un seridor !ro2y D- esaneo de !&ertos
RSPTA5 A Una !&erta de enlae de niel de a!liai"n es la me(or manera de !rote*erse ontra la !irater6a; ya 4&e !&ede de%inir on detalle las re*las 4&e desri'en el ti!o de &s&ario o la one2i"n 4&e est$ o no est$ !ermitido- Se anali3a en detalle ada !a4&ete; no s"lo en a!as &no al &atro del modelo OSI; sino tam'i=n a!as de ino a siete; lo 4&e si*ni%ia 4&e reisa los omandos de ada !rotoolo de niel s&!erior ?HTTP; FTP; SNMP; et-) Para &n ontrol remoto seridor de aeso
al*&na manera)- Por e(em!lo; el !&erto de @Pin*@ ?!etii"n de eo) !odr6a ser 'lo4&eado y las direiones IP estar6a dis!oni'le !ara la a!liai"n y la ae*ai"n; !ero no 4&iso res!onder a @Pin*@-
- Si &na 'ase de datos se resta&ra &tili3ando de ima*en anterior ertederos; .donde se de'e reiniiar el !roeso des!&=s de &na interr&!i"n/ A- Antes de la ltima transai"n #- Des!&=s de la ltima transai"n C- La !rimera transai"n des!&=s de la ltima !&nto de ontrol D- La ltima transai"n antes del ltimo !&esto de ontrol
RSPTA5 A Si antes se &tili3an im$*enes; la ltima transai"n en el ertedero no
>-.C&$l de las si*&ientes es &na !r$tia 4&e de'e ser inor!orado en el !lan !ara !ro'ar los !roedimientos de re&!erai"n de desastres/ A- Initar a la !artii!ai"n del liente#- Inol&rar a todo el !ersonal t=nioC- Gire *erentes de re&!erai"nD- Instale o!ia de se*&ridad almaenado loalmente-
RSPTA5 C Gestores de re&!erai"n de'en ser rotados !ara *aranti3ar la e2!erienia del !lan de re&!erai"n se e2tiende-
Los lientes !&eden estar im!liados !ero no neesariamente en todos los asos- No todo el !ersonal t=nio de'e estar inol&rado en ada !r&e'a- Co!ia de se*&ridad remota o %&era de las instalaiones se de'e &tili3ar siem!re-
-Una *ran adena de tiendas on EFT en dis!ositios de !&nto de enta tiene &n !roesador entral de om&niaiones !ara onetar a la red 'anaria- .C&$l de los si*&ientes es el !lan de re&!erai"n de desastres MEKOR !ara el !roesador de om&niaiones/ A- Almaenamiento %&era del sitio de las o!ias de se*&ridad todos los d6as #- Proesador en el sitio en es!era AlternatiaC- La instalai"n de enlaes de om&niai"n d&!le2 D- Alternatia !roesador de resera en otro nodo de red
RSPTA5 D
Tener &n !roesador de resera alternatia en otro nodo de red ser6a la me(or- La %alta de dis!oni'ilidad del !roesador de om&niaiones entrales interr&m!ir6a todo el aeso a la red 'anaria 4&e res<a en la interr&!i"n de las o!eraiones de todas las tiendas- Esto !odr6a de'erse a la %alta de e4&i!o; el !oder o las om&niaiones- Almaenamiento %&era del sitio de las o!ias de se*&ridad no ay&dar6a ya EFT tiende a ser &n !roeso en l6nea y %&era de las instalaiones de almaenamiento no reem!la3ar$n el !roesador dis%&nional- La !roisi"n de &n sitio !roesador alternatio estar6a 'ien si se tratara de &n !ro'lema del e4&i!o; !ero no ser6a de ay&da si el a!a*"n %&e a&sado !or el !oder; !or e(em!lo- La instalai"n de enlaes de om&niai"n d!le2 ser6a m$s ade&ado si %&era s"lo el enlae de om&niai"n 4&e
AF. 6&u"l de las si+uientes es una característica de la tecnolo+ía orientada a ob0etos que permite un ma%or +rado de se+uridad sobre los datos . $a *erencia.
#. lmacenamiento din"mico. &. Encapsulación. L '. El polimorfismo
FG. En la aplicación de un paquete de software de aplicación, 6&u"l de las si+uientes presenta el ries+o -K(
. >ersiones de software m4ltiples incontrolados. #. ro+ramas de códi+o que no est"n sincronizados con el códi+o ob0eto. C- Par$metros inorretamente esta'leidos-
'. $os errores de pro+ramación.
F1. 6&u"l de los si+uientes controles serían m"s eficaces para +arantizar que el códi+o fuente de la producción % el códi+o ob0eto se sincronizan
. Suelte para liberar informes de ori+en % la comparación de ob0etos. #. Software de control de biblioteca para restrin+ir los cambios en el códi+o fuente. &. (estrin+ir el acceso al códi+o fuente % el códi+o ob0eto. D- Fe
F/. 'urante una revisión posterior a la implementación de un sistema de +estión de recursos empresariales, un auditor de SI de realizaría:
A- Reise la on%i*&rai"n de ontrol de aeso-
#. Eval4e las pruebas de Interfaz.
&. (evise la documentación detallada del diseo. '. Eval4e las pruebas del sistema.
F5. 6&u"l de los si+uientes tipos de control est" diseado para proporcionar la capacidad de verificar los datos % valores de re+istro a travs de las etapas de procesamiento de la aplicación
. &ontrol por ran+os. #- Gesti"n y e(e&i"n total-
&. &ontroles de límite en cantidades calculadas. '. informes de e7cepción.
F8. El me0or mtodo para probar la e7actitud de un c"lculo de un sistema de impuestos es a travs de:
. (evisión visual detallada % an"lisis del códi+o fuente de los pro+ramas de c"lculo. #- Rereando la l"*ia del !ro*rama &tili3ando el so%tare de a&ditor6a *enerali3ado !ara al&lar los totales mens&ales-
&. reparando las transacciones simuladas para procesar % comparar los resultados con los resultados predeterminados. '. 'ia+ramas de flu0o autom"tico % el an"lisis del códi+o fuente de los pro+ramas de c"lculo.
F=. Destión IS recientemente *a informado al auditor IS de su decisión de desactivar ciertos controles de inte+ridad referencial en el sistema de nómina para proporcionar a los usuarios un +enerador de informes m"s r"pido. $o m"s probable es aumentar el ries+o de:
. $a entrada de datos de usuarios no autorizados. #- Un em!leado no e2istente siendo !a*ado-
&. Un empleado recibiendo un aumento no autorizado. '. 'uplicar la entrada de datos por los usuarios autorizados.
F?. 6&u"l de los si+uientes pares de funciones no deberían combinarse para proporcionar adecuada separación de funciones
. #ibliotecario de cinta % operador de computadora. #- Pro*ramai"n de a!liaiones y entrada de datos-
&. nalista de sistemas % administrador de base de datos. '. dministrador de se+uridad % +arantía de calidad.
9. 8n IS auditor quien está re!isando los manuales de eecucin de aplicaciones esperaría que contengan6 . 'etalles de documentos de ori+en #- C"di*os de error y s&s aiones de re&!erai"n
&. 'ia+ramas de flu0o de la ló+ica del pro+rama % arc*ivos definidos '. &ambios en los re+istros para el códi+o fuente de la aplicación.
FA. 6&u"l de las si+uientes funciones de SI puede ser realizada por el mismo individuo, sin comprometer el control o violar la separación de funciones . nalista de &ontrol de ;raba0o % ro+ramador de plicaciones. #. perador rincipal % ro+ramador de Sistemas. C- Administrador de ontrol de la alidad y el?los) Cam'io9Pro'lemas-
'. ro+ramador de Sistemas % plicaciones.