5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
Reespuesta adecuada
Pregunta
I
I
I
I
I
Después de la investigación inicial, un auditor de SI Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si e tiene motivos para creer que puede estar en presencia adicional o si se debe recomendar una investigación. El auditor de SI debe notificar a las autoridades apropiadas d solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigación. Norm de fraude. El auditor de SI debe: no tiene autoridad para consultar con un asesor legal externo. La ventaja PRIMARIA de un enfoque continuo de auditoría es que:
¿Cuál de las opciones siguientes es la técnica de auditoría MÁS efectiva para identificar violaciones a la segregación de funciones en una nueva implementación de un sistema de planificación de recursos de empresa (ERP)?
El estatuto de auditoría de SI de una organización debería especificar:
El continuas de un auditoría en transacciones, realidad mejorar la seguridad sistema uso de eltécnicas puede de del pistas cuando comparten papel. Ls tiempo que procesan gran número pero dejan muy pocas de ya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la mientras está llevando a cabo el procesamiento. La opción B es incorrecta ya que un auditor de SI normalm seguimiento sólo a las deficiencias materiales o errores detectados. La opción D es incorrecta ya que el uso continua depende efectivamente de la complejidad de los sistemas de computadora de una organización.
Debido a que el objetivo es identificar violaciones a la segregación de funciones, es necesario definir la lóg conflictos en la autorización. Se podría desarrollar un programa para identificar estos conflictos. Un informe de der sistema de planificación de los recursos de la empresa (ERP) sería voluminoso y requeriría mucho tiempo para su r técnica no es tan efectiva como la creación de un programa. A medida que las complejidades aumentan, se vuelv efectividad de los sistemas, y la complejidad no está vinculada por sí sola a la segregación de funciones. Es buena recientes de violación de derechos; sin embargo, pudiera requerir una cantidad de tiempo significativa el verdader violaciones resultaron realmente de una segregación inapropiada de funciones.
El estatuto de auditoría de SI establece el rol de la función de auditoría de sistemas de información. El estat autoridad general, el alcance y las responsabilidades de la función de auditoría. Debería ser aprobado por el más de estar disponible, por el comité de auditoría. La planificación de corto y largo plazo es responsabilidad de la objetivos y el alcance de cada auditoría de SI deberían acordarse en una carta de compromiso. La gestión de audito plan de entrenamiento, basado en el plan de auditoría.
Un auditor de SI está realizando una auditoría a unLos estándares de auditoría requieren que un auditor de SI recopile evidencia de auditoría suficiente y apropiada. servidor de copias de respaldo administrado desde problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemática de control. En una ubicación remota. El auditor de SI revisa los logs pronto para emitir un hallazgo de auditoría; la acción de solicitar una explicación a la gerencia es aconsejable, p de un día y descubre un caso en el cual el inicio deevidencia adicional para evaluar apropiadamente la seriedad de la situación. Una falla de respaldo, que no se ha
sesión en un servidor falló con el resultado de que problema, es seria si sino involucra datos críticos. Sin embargo, el asunto no es la importancia deimpacto los datos en el serv la posibilidad de que exista una falla sistemática de control que tenga un en presentes otros servidores. no se pudo confirmar los reinicios de la copia de respaldo. ¿Qué debería hacer el auditor? http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
1/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
I
Un Contrato de auditoría debería:
Un contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a contrato no debería cambiar de manera significativa con él tiempo y debería ser aprobado al nivel más alto de la auditoría no estaría a un nivel de detalle y por lo tanto no incluiría objetivos o procedimientos específicos de auditoría.
I
Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. Esto saber si hay una segregación apropiada de funciones. Un diagrama de flujo de trabajo proporcionaría información diferentes empleados. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e in usuarios a la red.
I
En una auditoría de SI de varios servidores críticos, elLas herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios o d auditor quiere analizar las pistas de auditoría para determinando para los documentos prenumerados si los números son secuenciales o incrementales. Las herramie asistir en el desarrollo de software. El software integrado de recolección de datos (auditoría) se usa para tomar descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de estadísticas de producción. Las herramientas heurísticas de escaneo se pueden usar para escanear en busca de v las herramientas siguientes es la MÁS adecuada para posiblemente infectados. realizar esa tarea?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
2/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
I
I
I
Cuando un auditor de SI recomienda un vend Un auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de firewall en el gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI no hacomprometen la independencia profesional. organizacional no tiene relevancia con respecto ejercido: Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
Mientras se planifica una auditoría, se debe hacer una evaluación del riesgo para proveer:
I
I
I
I
I
I
Un auditor de SI debe usar muestreo estadístico, y no muestreo de opiniones (no estadístico) cuando:
Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados están completos se lleva a cabo:
Un control de revisión de aplicaciones implica controles automatizados de la aplicación y cualesquiera exposiciones resultantes de las de
El Lineamiento de Auditoría de SI G15 de ISAC
estados de auditoría de SI, "Se debe hacer una para proveer aseguramiento razonable de que los
Dada una tasa esperada de error y nivel de estadístico es un método objetivo de muestreo, de SI a determinar el tamaño de la muestr
Comparar los totales de control de los datos imp de control de los datos originales es el siguiente p confirma la integridad de los datos importados. N
Mientras lleva a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el paso siguiente del La primera cosa que un auditor de SI debe hacer virus es alertar a la organización sobre su prese auditor de SI? respuesta. La opción A debe ser emprendida de Durante la recolección de evidencia forense, ¿cuál de las acciones siguientes tiene MÁS posibilidades de causar la destrucción o corrupción de evidencia en un sistema comprometido?
¿Cuál de las opciones siguientes es el beneficio clave de la autoevaluación de control (CSA)?
¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Reiniciar el sistema puede causar un cambio en e pérdida de archivos y evidencia importante almac Las otras opciones son acciones apropiadas para p
El objetivo de la autoevaluación de control es del negocio a estar más consciente de la impor interno y de su responsabilidad en términos del
La evidencia obtenida de fuentes externas es confiable que la obtenida desde dentro de la o de confirmación recibidas desde el exterior, como 3/74
5/12/2018
I
I
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
Los diagramas de flujo de datos son usados por los Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean l hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningún orden jer Auditores de SI para: datos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos.
En una auditoría de una aplicación de inventario , Para determinar la validez de una orden de compra, probar los controles de acceso proveerá la mejor evidencia. Las opciones B y C ¿qué enfoque proveería la MEJOR evidencia de que posteriores a los hechos, mientras que la opción D no sirve el propósito porque lo que está en la documentación de sistema puede n las órdenes de compra son válidas? que está ocurriendo.
¿Cuál de los siguientes métodos de muestreo es el El muestreo de atributos es el método primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un m MÁS útil cuando se pone a prueba su se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación cumplimiento? confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalle ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI?
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistan auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregación de puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusión con la gerencia proveería s respecto a la segregación de funciones. Un organigrama no proveería detalles de las funciones de los empleados y la prueba de los derechos de usuari sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no
¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgos siguientes?
Un riesgo de detección está directamente afectado por la selección, por parte del auditor, de los procedimientos y técnicas de auditoría. Lo lo general no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la financieros no están afectados por el auditor de SI.
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser
Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Si se emprende una acción después de que come de que terminara, el reporte de auditoría debe identificar el hallazgo y describir la acción correctiva tomada. Un reporte de aud situación, tal como ésta existía en el comienzo de la auditoría. Todas las acciones correctivas emprendidas por el auditado deben ser reportad
I
I
I
I
Durante una auditoría de control de cambios deUn proceso de gestión de cambios es crítico para los sistemas de producción de TI.Antes de recomendar que la organización tome un sistema en producción, un auditor de SIejemplo, interrumpir las migraciones, rediseñar el proceso de gestión de cambios), el auditor de SI debería obtener garantía de que los descubre que el proceso de administración derelacionan con deficiencias en el proceso de gestión de cambios y que no fueron causados por algún proceso diferente a la gestión de cambio
¿Cuál de las siguientes opciones sería normalmente La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas B, C y D no serian considerada la evidencia MÁS confiable para un auditor?
El propósito PRIMARIO de una auditoría forense de TI es:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La opción B describe una auditoría forense. La evidencia recolectada podría utilizarse posteriormente en procesos judiciales. Las au limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organización no es el propósito de una auditor conclusión de que se registró un delito sería parte de un proceso legal y no el objetivo de una auditoría forense. 4/74
5/12/2018
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos té Un auditor de SI está evaluando una red corporativa en busca de una posible recursos de la red a la explotación penetración por parte de empleados internos. ¿Cuál de los hallazgos siguientes (maliciosa ). La barrera técnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de qu debería preocupar MÁS al auditor de SI? tengan contraseñas idénticas representa la mayor amenaza. Los módems externos representan un rie
Comunicar la posibilidad de conflicto de interés a la gerencia antes de comenzar la asignación Se debería comunicar un posible conflicto de interés, que pudiera afectar la independencia del audi comenzar la asignación. Rechazar la asignación no es la respuesta correcta, porque se podría aceptar obtener la a robación de la erencia. Informar a la erencia sobre el osible conflicto de interés d
Un auditor de SI que participó en el diseño del plan de continuidad del negocio (BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI debería:
Mientras los papeles de trabajo electrónico sensitivos, el auditor de SI La encripción prueba confidencialidad papeles por de sítrabajo electrónicos. pistas de auditoría, notó que revisaba los mismos no estaban encriptados. Esto podría comprometer: etapa de auditoría y ella acceso a los papelesde delos trabajo, mismos, no afectan Las la confidencialidad sin motivo para requerir la encripción. I
I
I
I
I
I
La razón PRIMARIA por la que un auditor de SI realiza un recorrido funcional durante la fase preliminar de una asignación de auditoría es:
Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las norm auditor de SI efectúe un recorrido de proceso. Identificar las debilidades de control no es la razón pr típicamente ocurre en una etapa posterior en la auditoría. Planear pruebas sustantivas se realiza en
Al planear una auditoría, el paso MÁS crítico es la identificación de:
Cuando se diseña un plan de auditoría, es importante identificar las áreas de más alto riesgo pa ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían haberse considerad escoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar l
¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prue la entrada en vivo. Su ventaja es que las pruebas periódicas no requieren procesos separados de necesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producció
n auditor de SI evalúa los resultados de prueba de una modificación a un sistemaEl auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y c ue trata con cómputo de pagos. El auditor encuentra que el 50% de los cálculos noDespués de que los cálculos hayan sido confirmados, más pruebas pueden ser llevadas a cabo y oinciden con los totales predeterminados. ¿Cuál de los siguientes es MÁS probable de reportes, hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmad Durante una entrevista final, en los casos en que hay desacuerdo con respecto al impacto de un hallazgo, un auditor de SI debe:
Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposición. El objeti auditado o descubrir nueva información que el auditor de SI no haya contemplado. Cualquier
La decisión final de incluir un hallazgo material en un informe de auditoría debe ser El auditor de SI debe tomar la decisión final respecto a qué incluir o excluir del informe de aud tomada por el: limitarían la independencia del auditor.
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
5/74
5/12/2018
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
6/74
5/12/2018
I
I
I
I
I
I
I
I
I
A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la organización está usando software que no tiene licencia. En esta situación, el auditor de SI debe:
uando hay una indicación de que una organización podría estar usando software s SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con resp anifestaciones obtenidas de la gerencia no pueden ser verificadas de mane
¿Cuál de las siguientes técnicas de auditoría en línea es MÁS efectiva para la detección temprana de a técnica de gancho de auditoría implica integrar el código en los sistemas de aplicaci ransacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de errores o irregularidades? rregularidad se salgan de control. Un módulo integrado de auditoría implica i El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos de planilla/nómina para el año anterior. ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?
El éxito de la autoevaluación de control (CSA) depende grandemente de:
as características del software generalizado de auditoría incluyen cómputos mate
nálisis estadístico, verificación de secuencia, verificación de duplicados y recálc sando software generalizado de auditoría, podría diseñar pruebas apropiad
l objetivo primario de un programa de autoevaluación de control (CSA) es a uditoría interna cambiando algunas de las responsabilidad de monitoreo de c ínea de área funcional. El éxito de un programa de CSA depende del grado al q
¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? l método basado en el riesgo está diseñado para asegurar que el tiempo de aud as áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está asado en el riesgo. Los cronogramas de auditoría pueden ser preparados con mese
Durante la etapa de planificación de una auditoría de SI, la meta PRIMARIA de un auditor de SI es: as normas de auditoría de ISACA requieren que un auditor de SI planee el tr esolver los objetivos de auditoría. La opción B es incorrecta porque el auditor n tapa de planificación de una auditoría. Las opciones C y D son incorrectas por Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles (control self-assessment-CSA), es que ella:
a CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan evisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porq articipación de tanto los auditores como la gerencia de línea. Lo que ocurre
Cuando selecciona los procedimientos de auditoría, un auditor de SI debe usar su juicio profesional para asegurar que:
os procedimientos son procesos que un auditor de SI puede seguir en un compro eterminar si cualquier procedimiento específico es apropiado, un auditor de S rofesional apropiado a las circunstancias específicas. El juicio profesional i ub etiva a menudo cualitativa de las condiciones ue sur en en el curso de un
¿Cuál de los siguientes es un atributo del método de autoevaluación de control (CSA)?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
l método de autoevaluación de control (CSA) hace énfasis en la administración y e uentas de desarrollar y monitorear los controles de los procesos de negocio de tributos de CSA incluyen: empleados facultados, mejoramiento continuo, e 7/74
5/12/2018
I
I
I
I
I
La prueba de cumplimiento determina si los controles se están aplicando de Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente formularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un ejemplo de: de variables se usa para estimar los valores numéricos, tales como valo
¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en pruebas cambia?
La mejor fuente de la cual extraer cualquier ejemplo o prueba de un siste sistema automatizado. Las bibliotecas de producción representan ejecutable autorizados para procesar los datos de la organización. Los listados de programa fu
Durante una revisión de implementación de una aplicación distribuida multiusuario, el auditor deLas debilidades individualmente son de menor importancia, sin embargo, jun SI encuentra debilidades menores en tres áreas-La disposición inicial de parámetros está instalada debilitar sustancialmente la estructura general de control. Las opciones A y D re incorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están auditor de SI para reconocer el efecto combinado de la debilidad de control. A Cuando prepara un informe de auditoría, el auditor de SI debe asegurarse que los resultados estén soportados por:
El estándar de ISACA sobre "informes" requiere que el auditor de SI tenga eviden apropiadas para soportar los resultados que se reportan. Las declaraciones de la base para obtener concurrencia sobre asuntos que no pueden ser verificados
Un auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos documentados. Bajo estas circunstancias, el auditor de SI debe:
Si las respuestas dadas a las preguntas de un auditor de SI no están confirm documentados o descripciones de puestos de trabajo, el auditor de SI debe ex pruebas de los controles e incluir más pruebas sustantivas. No hay evidencia
I
La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la Una evaluación completa del riesgo determina el nivel apropiado para un nivel dad enfoque de la línea base aplica meramente un conjunto estándar de protección ind gerencia de seguridad de información es que éste asegura que: Hay una ventaja de costo en no sobreproteger la información. Sin embargo
I
En el proceso de evaluar los controles de cambio de programa, un auditor de SI usaría software de comparación de código fuente para:
Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente programa porque la comparación de códigos fuente identificará los cambios. La op los cambios hechos desde la adquisición de la copia no están incluidos en la copia d
¿Cuál de las opciones siguientes debería utilizar un auditor de SI para detectar registros duplicados de facturas dentro de un archivo maestro de facturas?
El Software genérico de auditoría (GAS) permite al auditor revisar todo el archi los elementos que cumplan con los criterios de selección. El muestreo de atribu registros que cumplen con condiciones específicas, pero no compara un registr
Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de información. El auditor de SI debe PRIMERO revisar:
Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacion sistemas de información son las amenazas y las vulnerabilidades que afectan a relacionados con el uso de activos de información deben ser evaluados aisl
I
I
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
8/74
5/12/2018
I
Es importante que un auditor de SI identifique y evalúe los controles y la segurida amenazas potenciales y los impactos posibles están identificados. Al concluirse una debe describir y discutir con la gerencia las amenazas y los impactos potenciales sob
I
Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:
El primer paso para evaluar los controles de monitoreo de red debe ser la re la documentación de red, específicamente los diagramas de topología. Si est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar pro
I
¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las investigaciones?
I
Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de SI:
l objetivo primario del software forense es preservar la evidencia electrónica p
videncia. La opción B, los ahorros en tiempo y en costos, y la eficiencia y la ef eficacia, son preocupaciones legítimas y diferencian a los paquetes buenos de
Se puede comprometer la independencia si el auditor de sistemas está o ha estado l desarrollo, adquisición, e implementación del sistema de aplicación. Las opcio ue no comprometen la independencia del auditor de sistemas. La opción
¿Cuál de las opciones siguientes utilizaría un auditor de SI para determinar si se realizaron modificaciones no autorizadas a los programas de producción?
ara determinar que sólo se han realizado modificaciones autorizadas a los ería necesario revisar el proceso de gestión de cambios para evaluar la e videncia documental. Las pruebas de cumplimiento ayudarían a verificar qu
I
La razón MÁS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de auditoría es:
l alcance de una auditoría de SI está definido por sus objetivos. Esto implica i ontrol relevantes para el alcance de la auditoría. Obtener evidencias suficientes y ap dentificar las debilidades de control pero también a documentarlas y validarlas.
I
El propósito PRIMARIO de las pistas de auditoría es:
abilitar pistas de auditoría ayuda a establecer la obligación de rendir cuentas ransacciones procesadas, rastreando transacciones a través del sistema. El objetiv roveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que e
I
I
I
Cuando desarrolla una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo l desarrollar una estrategia de auditoría basada en el riesgo, es crítico que los ri ean entendidos. Esto determinará las áreas a ser auditadas y el grado de co una evaluación del riesgo para asegurar que: stablecidos los controles apropiados requeridos para mitigar los riesgos es u
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son correctos es:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe:
Una prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las t los datos y otra información. Llevar a cabo un conteo físico del inventario de cintas opciones A, B y D son pruebas de cumplimiento. 9/74
5/12/2018
I
I
I
Monitorear el tiempo (la opción A) y auditar los programas (opción D), así com adecuado (opción B) mejorarán la productividad del personal de auditoría de pero lo que entrega valor a la organización son los recursos y esfuerzos qu
El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisión es: El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalm a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas auditoría, son de importancia secundaria.
El grado hasta donde los datos serán recolectados durante una auditoría El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado basado en: directamente con el alcance y el propósito de la auditoría. Una auditoría que tenga estrechos lo más probable es que tendría como consecuencia menos recol
El riesgo general del negocio para una amenaza en particular se puede expresar como:
La opción A toma en consideración tanto la probabilidad como la magnitud de medida del riesgo para un activo. La opción B provee únicamente la probabili explote una vulnerabilidad en el activo pero no provee la magnitud del posible
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI?
El uso de software no autorizado o ilegal debe estar prohibido en una organización. como consecuencia la exposición inherente y puede resultar en severas multas. El al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el r
I
¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo electrónico se han convertido en una fuente útil de evidencia en litigios?
Los archivos de respaldo contienen documentos, que supuestamente han s recuperados de estos archivos. Los controles de acceso pueden ayudar a estab cuenta de la emisión de un documento en particular, pero esto no provee evidencia
I
¿Cuál de las siguientes es una prueba sustantiva?
Una prueba sustantiva confirma la integridad del procesamiento real. Una prueb los registros de la biblioteca de cintas están establecidos correctamente. Un determina si se están aplicando los controles de una forma consistente con la
Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría porque:
Una facilidad de prueba integrada se considera una herramienta útil de audito programas para comparar el procesamiento usando datos calculados de manera establecer entidades ficticias en un sistema de aplicación y procesar datos de prue
I
I
I
I
Cuando se realiza una investigación forense de computadora, con respecto a la evidencia recolectada, La preservación y documentación de evidencia para revisión por el organism autoridades judiciales son la preocupación primaria cuando se lleva a cabo una la MAYOR preocupación de un auditor de SI debe ser: debidamente la evidencia podría poner en peligro la aceptación de la evidencia en e
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER paso sería:
10/74
Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió numerosas Como el nombre no es el mismo (debido a variaciones de los primeros n duplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente. detectar duplicaciones seria comparar otros campos comunes, como por ejempl entonces seguidamente llevarse a cabo una revisión para determinar los nombr Para determinar la extensión de la duplicación, el auditor de SI usaría:
5/12/2018
I
I
I
I
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de las Las funciones de usuario de sistema operativo de red incluyen la dis documentación de red. Otras funciones serían el acceso del usuario a divers siguientes es una función de usuario que el auditor de SI debe revisar? (hosts) de red, la autorización del usuario a tener acceso a recursos par
El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
Preparar transacciones simuladas para procesar y comparar los resultados con resu MEJOR método para probar la corrección de un cálculo de impuestos. La revisión de diagramas de flujo y el análisis de código fuente no son métodos efectivos,
Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos través del sistema de computadora. La opción B es incorrecta ya que los contr de un proceso, un auditor de SI debería estar consciente: también relevantes. La opción C es incorrecta ya que los controles correctivos elimi
I
¿Cuál de las siguientes técnicas de auditoría ayudaría MÁS a un auditor a determinar si ha habido cambios no autorizados de programa desde la última actualización autorizada de programa?
Una comparación automática de códigos es el proceso de comparar dos versione para determinar si las dos corresponden. Es una técnica eficiente porque es un proc corridas de prueba de datos permiten al auditor verificar el procesa
I
Un auditor de SI que evalúa los controles de acceso lógico debe PRIMERO:
Cuando evalúa los controles de acceso lógico, un auditor de SI debe primero obtener de seguridad que enfrenta el procesamiento de información revisando la documentación relevante, mediante averiguaciones evaluación del ries o. La documentación la evaluación es el se undo aso a
I
Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está Preguntar a los programadores sobre los procedimientos que se están siguiendo determinar si el acceso a la documentación de programas está restringido restringido a las personas autorizadas, lo Evaluar los planes de retención de registros para almacenamiento fuera de las MÁS probable es que:
I
Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe:
Uno de los principales objetivos de una auditoría es identificar los riesgos p método más proactivo sería identificar y evaluar las prácticas existentes de segu está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hicier
I
¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
No reportar una intrusión es equivalente a un auditor de SI que esconde una sería un error profesional. A pesar de que puede requerirse la notificación a la examen periódico de derechos de acceso podría ser una preocupación,
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
11/74
I
¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
o reportar una intrusión es equivalente a un auditor de SI que esconde una in ería un error profesional. A pesar de que puede requerirse la notificación a la po xamen periódico de derechos de acceso podría ser una preocupación, e
I
¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo electrónico se han convertido en una fuente útil de evidencia en litigios?
os archivos de respaldo contienen documentos, que supuestamente han sido ecuperados de estos archivos. Los controles de acceso pueden ayudar a establec uenta de la emisión de un documento en particular, pero esto no provee evidencia d
I
¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las investigaciones?
l objetivo primario del software forense es preservar la evidencia electrónica pa videncia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y la reocupaciones legítimas y diferencian a los paquetes buenos de los paquetes defici
I
¿Cuál de las siguientes es una prueba sustantiva?
na prueba sustantiva confirma la integridad del procesamiento real. Una prueb i los registros de la biblioteca de cintas están establecidos correctamente. Una etermina si se están aplicando los controles de una forma consistente con las
I
¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable?
a evidencia obtenida de fuentes externas es por lo general más confiable que e la organización. Las cartas de confirmación recibidas desde el exterior, como p erificar los balances de cuentas por cobrar, son por lo general altamente confiables
5/12/2018
I
I
I
I
¿Cuál de las siguientes herramientas de auditoría es la MÁS importante para un auditor de SI cuando na herramienta de instantánea (snapshot) es más útil cuando se requiere una pista de sarse para incorporar transacciones de prueba en una corrida normal de producción. se requiere una pista de auditoría? ransacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de a ¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la más c B, C y D no serian consideradas confiables.
¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas?
na prueba de cumplimiento determina si los controles están operando como iendo aplicados en tal forma que cumplan con las políticas y procedimientos d i al auditor de SI le preocupa si los controles de biblioteca de progra
¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en pruebas cambia?
a mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistem istema automatizado. Las bibliotecas de producción representan ejecutables utorizados para procesar los datos de la organización. Los listados de programa fue
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
12/74
I
¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o irregularidades?
La técnica del gancho de auditoría implica integrar código en los sistemas de ap transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o control. Un modulo integrado de auditoría implica integrar software escrito
I
¿Cuál de los métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimiento?
El muestreo de atributos es el método primario de muestreo que se usa para com muestreo de atributos es un modelo de muestreo que se usa para estimar la t calidad especifica (atributo) en una población y se usa en la comprobaci
I
¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?
La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), qu especializado asistido por computadora que permite que auditor de SI pruebe continua. La respuesta B es un ejemplo de un archivo de revisión de control d
I
¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?
5/12/2018
I
La eficacia de los datos de prueba está determinada por la extensión de la cober clave a ser probados. Si los datos de prueba no cubren todas las condiciones v riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. L or el eríodo cubierto or la auditoría, ueden haberse efectuado ara de u
¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? El método basado en el riesgo está diseñado para asegurar que el tiempo de las áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está di en el riesgo. Los cronogramas de auditoría pueden ser preparados con meses de
I
¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)?
Los objetivos de los programas CSA incluyen la educación para la gerencia de l control, seguimiento y concentración de todos en las áreas de alto riesgo. Los de CSA incluyen el aumento de las responsabilidades de auditoría,
I
¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para proce simultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódi separados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los
I
I
Pre gunta s Modulo I y II - slide pdf.c om
¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de Durante la planeación, el auditor de SI debería obtener una visión general de las auditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D son p seguridad del centro de datos? campo de la auditoría que ocurre posterior a esta planeación y preparación. La o
La prueba de integridad de dominio está dirigida a verificar que los datos se ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinas i.e., los elementos de datos están todos en los dominios correctos. El objetivo de edición y de validación? verificar que las rutinas de edición y de validación están funcionando de manera inte ridad relacional se realizan a nivel del re istro or lo eneral im lican calcular
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
13/74
5/12/2018
Un riesgo de detección está directamente afectado por la selección, por parte del au técnicas de auditoría. Los riesgos inherentes por lo general no están afectados riesgo de control es controlado por las acciones de la gerencia de la compañí
Pre gunta s Modulo I y II - slide pdf.c om
I
¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgos siguientes?
I
¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI?
I
A través de todas las fases de un trabajo de auditoría, el Auditor de SI debe concentrarse en:
A través de todas las fases de la auditoría de SI, el auditor debe asegurarse que haya recolección de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas ejemplo, la fase de reporte no requiere la recolección de evidencias, sino que utiliza
I
Al llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el siguiente paso del auditor de SI?
Lo primero que un auditor de SI debe hacer después de detectar el virus es al organización, luego esperar la respuesta de ésta. La opción A se debe emprender permitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema
I
Al planear una auditoría, el paso MÁS crítico es la identificación de:
Cuando se diseña un plan de auditoría, es importante identificar las área determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal considerado antes de decidir y de escoger la auditoría. Los pasos de prueba p
I
Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en última instancia ellos son los responsables ante:
El auditor de SI es en última instancia responsable ante la alta gerencia y ante unta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el perso auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los h
I
Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo una evaluación del riesgo para asegurar que:
Para desarrollar una estrategia de auditoría basada en el riesgo, es crítico qu vulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de controles apropiados requeridos para mitigar los riesgos están instalados es
I
Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:
El primer paso para evaluar los controles de monitoreo de la red debe ser de documentación de red, específicamente los diagramas de topología. Si esta inf entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas
I
Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro de un proceso, un auditor de SI debería estar consciente:
Un auditor de SI debería concentrarse en cuando los controles son ejercidos c del sistema de computadora. La opción B es incorrecta ya que los controles co relevantes. La opción C es incorrecta ya que los controles correctivos eliminan
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede iden operaciones no compatibles y entrevistando el personal de SI el auditor puede obten tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evalua La erencia no uede estar en conocimiento de las funciones detalladas de cada em
14/74
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar:
l primer paso y el más crítico en el proceso es identificar las áreas de alto rie os gerentes del departamento de negocios y altos ejecutivos están en las mejore pinión respecto a estas áreas. Una vez que las áreas potenciales de implementac
Cuando se realiza una investigación forense de computadora, respecto a las evidencias recolectadas, un auditor de SI debe preocuparse MÁS de:
a preservación y la documentación de evidencias a ser revisadas por las autorid na preocupación primaria cuando se lleva a cabo una investigación. No preserva odría poner en peligro la aceptación de las evidencias en los procesos legales.
5/12/2018
I
I
I
I
I
I
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
Cuando se seleccionan procedimientos de auditoría, el Auditor de SI debe usar su juicio profesional para asegurar que:
os procedimientos son procesos posibles que un auditor de SI puede seguir en
eterminar para si algún específico Juicio es apropiado, propiado las procedimiento circunstancias específicas. profesionalel Auditor implica de unaSI evd ualitativa de las condiciones que surgen en el curso de una auditoría. El juicio s
Durante la etapa de planeación de una auditoría de SI, la meta PRIMARIA del auditor es:
as normas de auditoría de ISACA requieren que un auditor de SI planee lcanzar los objetivos de auditoría. La opción B es incorrecta porque el audito tapa de planeación de una auditoría. Las opciones C y D son incorrectas p
Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe:
no de los principales objetivos de una auditoría es identificar los riesgos étodo más proactivo sería identificar y evaluar las prácticas existentes de segur iguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera,
urante una revisión de implementación de una aplicación distribuida multiusuario, el auditor de as debilidades individualmente son de menor importancia, sin embargo, j SI encuentra debilidades menores en tres áreas-La disposición inicial de parámetros está instalada ebilitar sustancialmente la estructura general de control. Las opciones A y D ncorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están verificando uditor de SI para reconocer el efecto combinado de la debilidad de control.
Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI, ntender los requerimientos del negocio es clave para definir los niveles d un auditor de SI entrevistaría MÁS na de las otras entidades enumeradas puede suministrar alguna definición la m probablemente al: e unidad de negocio, debido a los amplios conocimientos que tiene esta pers Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió numerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría:
omo el nombre no es el mismo ( debido a variaciones de los primeros etectar duplicaciones seria comparar otros campos comunes, como por ejem ntonces seguidamente llevarse a cabo una revisión para determinar los nom
El departamento de SI de una organización quiere asegurarse de que los archivos de computadora usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:
os objetivos de control de SI especifican el conjunto mínimo de controles fectividad en las operaciones y funciones dentro de una organización. Los p esarrollan para proveer una garantía razonable de que se lograran los obje
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
15/74
5/12/2018
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Pre gunta s Modulo I y II - slide pdf.c om
16/74
I
El éxito de la autoevaluación de control (CSA) depende en gran medida de:
5/12/2018
I
I
l objetivo primario de un programa de CSA es repaldar la función de auditoría esponsabilidades de monitoreo de control a los gerentes de línea del área funcio e autoevaluación de control (CSA) depende del grado en el que los
Pre gunta s Modulo I y II - slide pdf.c om
El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado basado en:
l grado hasta donde los datos serán recolectados durante una auditoría de SI on el alcance y el propósito de la auditoría. Una auditoría que tenga un propósi ás probable es que tendría como consecuencia menos recolección de datos,
El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
reparar transacciones simuladas para procesar y comparar los resultados con re
EJOR método para probar la corrección de un cálculo de impuestos. La revisió e diagramas de flujo y el análisis de código fuente no son métodos efectivo
I
El objetivo PRIMARIO de una función de auditoría de SI es:
a razón primaria para llevar a cabo auditorías de SI es determinar si un siste antiene la integridad de los datos. Examinar libros de contabilidad es uno n una auditoría de SI pero no es el propósito primario. Detectar fraudes p
I
El propósito PRIMARIO de las pistas de auditoría es:
abilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas ransacciones procesadas, rastreando transacciones a través del sistema. El obje roveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que
I
El propósito PRIMARIO de un contrato de auditoría es:
l contrato de auditoría típicamente establece la función y la responsabilidad d nterna. Debería establecer los objetivos de la gerencia y la delegación de uditoría. Este se cambia muy pocas veces y no contiene el plan de audito
I
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de:
Este es un ejemplo de riesgo de detección.
I
El riesgo general del negocio para una amenaza en particular se puede expresar como:
I
El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
a opción A toma en consideración tanto la probabilidad como la magnitud d edida del riesgo para un activo. La opción B provee únicamente la probab xplote una vulnerabilidad en el activo pero no provee la magnitud del posibl
l riesgo de detección es el riesgo de que el auditor de SI use un procedimie oncluya que los errores materiales no existen, cuando en realidad sí existen. n auditor de SI puede cuantificar con qué aproximación debe la muestra rep uantificar la robabilidad de error. El ries o de muestreo es el ries o de ue se ha 17/74
I
El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos as características del software generalizado de auditoría incluyen cómputos nálisis estadístico, verificación de secuencia, verificación de duplicados y de planilla/nómina para el año anterior. sando software generalizado de auditoría, podría diseñar pruebas ap ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?
5/12/2018
I
I
Pre gunta s Modulo I y II - slide pdf.c om
En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado amenazasEs importante que un auditor de SI identifique y evalúe los controles y la seguri amenazas potenciales y los impactos posibles están identificados. Al concluirse u e impactos potenciales. Inmediatamente después, un auditor de SI debe: debe describir y discutir con la gerencia las amenazas y los impactos potenciales so
En el proceso de evaluar los controles de cambio de programa, un auditor de SI usaría software de comparación de código fuente para:
l auditor tiene una garantía objetiva, independiente y relativamente completa de
omparación del código fuente identificará los cambios. La opción B no es cier esde la adquisición de la copia no están incluidos en la copia del software. La o
Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es im labore y aclare los riesgos y exposiciones, ya que es posible que los auditado agnitud de la exposición. La meta debe ser explicar a los auditados o des
I
En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe:
I
En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una:
l primer paso en un enfoque de auditoría basada en el riesgo es recolectar infor ndustria para evaluar los riesgos inherentes. Después de realizar la evaluación iguiente paso sería realizar una evaluación de la estructura de control interno.
I
En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaría influenciado por la:
a existencia de controles internos y operativos tendrá un peso sobre el enfoque e SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando ambién en los controles internos y operativos así como también en el conoc e ocio. Este ti o de decisión de análisis del ries o uede a udar a relacionar
I
I
I
En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue producido por a prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debería .e., eliminar el código. El auditor de SI no es responsable de investigar el un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientes nalizar la información del virus y determinar si éste ha afectado el sistema ope debería hacer PRIMERO un auditor? En una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las herramientas siguientes es la MÁS adecuada para realizar esa tarea?
as herramientas de detección de tendencias /varianzas buscan anomalías en el c el sistema, por ejemplo, determinando para los documentos prenumerados si lo ncrementales. Las herramientas CASE se usan para asistir en el desarrollo de soft
En una auditoría de una aplicación de inventario, ¿qué método proveerá la MEJOR evidencia de que lasPara determinar la validez de la orden de compra, probar los controles de acceso Las opciones B y C están basadas en métodos posteriores al hecho, y la opci órdenes de compra son válidas? porque lo que está en la documentación del sistema puede no ser lo mismo q
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
18/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
19/74
I
La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementación de los controles necesarios. El auditor de SI debería:
En esta situación el auditor de SI debería informar a la gerencia sobre el perjuic llevar a cabo auditorías posteriores en el área del auditado. Un auditor de SI pued no sean de auditoría cuando la experiencia y conocimientos del auditor pue
I
La evaluación de riesgos es un proceso:
El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la plan “Todas las metodologías de análisis de riesgo se basan en juicios subjetiv proceso (por ejemplo, para asignar ponderaciones a los diversos parámetros
I
La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto de desarrollo de aplicaciones es:
La función del auditor de SI es asegurar que estén incluidos los controles req
5/12/2018
I
I
I
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessmentCSA) debe ser la de:
presente específicamente como un consultor, el auditor de SI no debería partic Durante la fase de diseño, la función primaria del auditor de SI es asegurar que esté
Cuando se establecen los programas de CSA, los auditores de SI se convierten interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitad personal) es el participante en el proceso de CSA. Durante un taller de CSA, en
La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la Una evaluación completa del riesgo determina el nivel apropiado para un nivel dad enfoque de la línea base aplica meramente un conjunto estándar de protección ind gerencia de seguridad de información es que éste asegura que: Hay una ventaja de costo en no sobreproteger la información. Sin embargo
La razón PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase preliminar de una asignación de auditoría es:
Entender el proceso de negocio es el primer paso que el Auditor de SI necesita requieren que el auditor realice un recorrido del proceso. Identificar las debilidad la razón primaria para el recorrido y ocurre típicamente en una etapa posterior
La norma sobre responsabilidad, autoridad y obligación de rendir cuentas expresa La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los autoridad, y obligaciones de rendir cuentas de la función de auditoría de los siste sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit ser debidamente documentadas en una carta de auditoría o carta compromiso.&r Charter) y DEBEN ser: son incorrectas or ue la carta de auditoría debe ser a robada or la eren La ventaja PRIMARIA de un enfoque continuo de auditoría es que:
El uso de técnicas continuas de auditoría puede en realidad mejorar la segurid usa en entornos que comparten el tiempo que procesan un gran numero de tran pocas pistas de papel. La opción A es incorrecta ya que el enfoque de au
Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de laLa directriz para la auditoría de SI sobre la planeación de la auditoría de SI hacer un análisis de riesgo para proveer garantía razonable de que se abarcaran auditoría. Se debe hacer un análisis del riesgo para proveer: materiales. Este análisis debe identificar áreas con riesgo relativamente alto
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
20/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
21/74
Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar e datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando la de los datos. Los diagramas de flujo no ordenan los datos en ningún orden jerár
I
Los diagramas de flujo de datos son usados por los Auditores de SI para:
I
Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER paso sería:
Monitorear el tiempo (A) y los programas de auditoría (D), así como también (B) mejorará la productividad del personal de auditoría de SI (eficiencia y entrega valor a la organización son los recursos y esfuerzos que se está
I
Para determinar la suma de dólares de los cheques emitidos a cada vendedor en un período especificado, el Auditor de SI debe usar:
El software generalizado de auditoría facilitará la revisión de todo el archivo p satisfagan los criterios de selección. El software generalizado de auditoría pr provee las características de cómputo, estratificación, etc. El simulacro para
5/12/2018
I
Pre gunta s Modulo I y II - slide pdf.c om
El software generalizado de auditoría facilitara la revisión de todo el archivo de Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas, rubros que cumplan los criterios de selección. El software generalizado de auditoría lo MÁS probable es que un auditor de datos y provee funciones de cómputo, estratificación, etc. Los datos de prueba SI utilice:
I
Respecto al muestreo, se puede decir que:
El muestreo estadístico cuantifica que tan aproximadamente debería una muestra re lo general como un porcentaje. Si el auditor sabe que los controles internos so confianza puede descender. El muestreo es generalmente aplicable cuando la poblac
I
Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a:
La planeación estratégica pone en movimiento los objetivos corporativos o dep estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayuda para satisfacer las necesidades del negocio. Revisar los planes estratégicos a la
Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:
Se puede comprometer la independencia si el auditor de sistemas está o ha estado el desarrollo, adquisición, e implementación del sistema de aplicación. Las opcio que no comprometen la independencia del auditor de sistemas. La opción
I
I
I
Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando:
Dada una tasa de error esperado y un nivel de confianza, el muestreo estadíst de muestreo, que ayuda a un auditor de SI a determinar el tamaño de l probabilidad de error (coeficiente de confianza). La opción B es incorrecta porque
Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del usuario de Las debilidades de control de contraseña significan que cualquiera de las otras un Gerente. El gerente había escrito la contraseña, asignada por el administrador del sistema, cierta. La seguridad de contraseña identificaría normalmente al perpetrador. En est dentro del cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el: más allá de la duda
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
22/74
I
Un Auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de firewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productos resuelva esta vulnerabilidad. El auditor no ha ejercido:
Cuando un auditor de SI recomienda un vendedor específico, ellos com profesional. La independence organizacional no tiene relevancia para el contenid debe considerarse en el momento de aceptar el compromiso. Las competencias
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de las siguientes es una función de usuario que el auditor de SI debe revisar?
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad de red. Otras funciones serían el acceso del usuario a diversos recursos de a autorización del usuario a tener acceso a recursos particulares y la red y
5/12/2018
I
I
I
I
I
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos Un auditor de SI está evaluando una red corporativa en busca de una posible penetración por expone los recursos de la red a la explotación parte de empleados internos. ¿Cuál de los hallazgos siguientes debería preocupar MÁS al auditor de(maliciosa ). La barrera técnica es baja y el impacto puede ser muy elevado; por lo SI? IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los mód Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 formularios &ldquo ;nuevo usuario” más recientes fueron correctamente autorizados. Este es un ejemplo de:
La prueba de cumplimiento determina si los controles se están aplicando de ac incluye pruebas para determinar si las nuevas cuentas fueron debidamente variables se usa para estimar los valores numéricos, tales como valores de sustancia la inte r idad del rocesamiento real como or e em lo los saldos d
Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de información. El auditor de SI debe PRIMERO revisar:
Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacio sistemas de información son las amenazas y las vulnerabilidades que afectan relacionados con el uso de activos de información deben ser evaluados a
Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata conEl auditor de SI debería luego examinar casos donde ocurrieron cálculos cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totales resultados. Después de que los cálculos hayan sido confirmados, más pruebas predeterminados. ¿Cuál de los siguientes es MÁS probable que sea el siguiente paso en la auditoría? revisadas. La preparación de reportes, hallazgos y recomendaciones no se haría h Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicación financiera. ¿Cuál de los hallazgos siguientes sería el MÁS significativo?
Este es el hallazgo más significativo ya que afecta directamente la integridad de l evidencia de un proceso inadecuado de control de cambios y los derechos de ac procesamiento. A pesar de que las copias de respaldo sólo una vez por semana e
Comparar los totales de control de los datos importados con los totales de contro Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar siguiente paso lógico, ya que esto confirma la integridad de los datos importados si los datos importados están completos se lleva a cabo: totalidad (completeness) clasificando los datos importados, porque los datos ori orden de clasificación. Además la clasificación no rovee totales de contro Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de trabajo y de los procedimientos documentados. Bajo estas circunstancias, el Auditor de SI debe:
Si las respuestas que se dieron a las preguntas del auditor no fueran confirm documentados o por las descripciones de los puestos de trabajo, el Auditor de las pruebas de los controles e incluir pruebas sustantivas adicionales. No hay evide
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
23/74
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI?
El uso de software no autorizado o ilegal debe estar prohibido en una organización. como consecuencia la exposición inherente y puede resultar en severas multas. El al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el r
I
Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
Un control de revisión de aplicaciones implica la evaluación de los controles auto una evaluación de cualesquiera exposiciones resultantes de las debilidades del pueden ser objetivos de una auditoría de aplicación pero no forman parte de u
I
Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
Un organigrama provee información sobre las responsabilidades y la autoridad de
I
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funcione trabajo proporcionaría información sobre las funciones de diferentes empleados.
I
I
Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe de auditoría anterior, sin documentos de trabajo. ¿Cómo debe proceder el auditor de SI?
En ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a su efectividad. Sin volver a probar el auditor no estará ejerciendo el debido cu realiza la auditoría. Los documentos de trabajo pueden ayudar al auditor a elimi
Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está Preguntar a los programadores sobre los procedimientos que se están siguiend determinar si el acceso a la documentación de programas está restringido restringido a las personas autorizadas, lo Evaluar los planes de retención de registros para almacenamiento fuera de las MÁS probable es que:
I
Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesit revisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta (control self-assessment-CSA), es que ella: participación de tanto los auditores como la gerencia de línea. Lo que ocurre e
I
Un Contrato de auditoría debería:
Un contrato de auditoría debería establecer los objetivos de la gerencia para, y a la auditoría de SI. Este contrato no debería cambiar de manera significativa aprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un
I
Un elemento clave en un análisis de riesgo es /son:
Las vulnerabilidades son un elemento clave en la realización de un análisis de auditoría está constituida por procesos de corto y largo plazo que pueden detec de información. Los controles mitigan los riesgos asociados con a
I
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser reportado. El auditor debe:
Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente a acción después de que comenzó la auditoría y antes de que terminara, el reporte el hallazgo y describir la acción correctiva tomada. Un reporte de auditoría d
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
24/74
I
Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría porque:
Una facilidad de prueba integrada se considera una herramienta útil de audito programas para comparar el procesamiento usando datos calculados de manera establecer entidades ficticias en un sistema de aplicación y procesar datos de prue
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son correctos, es:
Una prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las los datos o de otra información. Un conteo físico del inventario de cintas es una prue B y D son pruebas de cumplimiento.
5/12/2018
I
Pre gunta s Modulo I y II - slide pdf.c om
La prueba de cumplimiento determina si los controles se están aplicando de ac incluye pruebas para determinar si las nuevas cuentas fueron debidamente formularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un ejemplo de:variables se usa para estimar los valores numéricos, tales como valores de sustancia la inte ridad del rocesamiento real como or e em lo los saldos d
I
Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10
I
¿Las decisiones y las acciones de un auditor es MáS probable que afecten a cuál de los riesgos siguientes?
Un riesgo de detección está directamente afectado por la selección, por parte del au técnicas de auditoría. Los riesgos inherentes por lo general no están afectados riesgo de control es controlado por las acciones de la gerencia de la compañí
I
La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementación de los controles necesarios. El auditor de SI debería:
En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicio a cabo auditorías posteriores en el área del auditado. Un auditor de SI puede reali de auditoría cuando la experiencia y conocimientos del auditor pueden ser de
I
El riesgo general del negocio para una amenaza en particular se puede expresar como:
La opción A toma en consideración tanto la probabilidad como la magnitud d medida del riesgo para un activo. La opción B provee únicamente la probabil explote una vulnerabilidad en el activo pero no provee la magnitud del posible
I
¿Cuál de las siguientes es una prueba sustantiva?
Una prueba sustantiva confirma la integridad del procesamiento real. Una prueb los registros de la biblioteca de cintas están establecidos correctamente. U determina si se están aplicando los controles de una forma consistente con l
I
El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo:
I
¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo?
El riesgo de detección es el riesgo de que el auditor de SI use un procedimien concluya que los errores materiales no existen, cuando en realidad sí existen. un auditor de SI puede cuantificar con qué aproximación debe la muestra repr cuantificar la robabilidad de error. El ries o de muestreo es el ries o de ue se
El método basado en el riesgo está diseñado para asegurar que el tiempo d las áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está en el riesgo. Los cronogramas de auditoría pueden ser preparados con meses de
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
25/74
I
El objetivo PRIMARIO de una función de auditoría de SI es:
5/12/2018
I
I
La razón primaria para llevar a cabo auditorías de SI es determinar si un sistem mantiene la integridad de los datos. Examinar libros de contabilidad es uno en una auditoría de SI pero no es el propósito primario. Detectar fraudes po
Pre gunta s Modulo I y II - slide pdf.c om
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI?
El uso de software no autorizado o ilegal debe estar prohibido en una organización. como consecuencia la exposición inherente y puede resultar en severas multas. El al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el
Un elemento clave en un análisis de riesgo es /son:
Las vulnerabilidades son un elemento clave en la realización de un análisis d
auditoría está constituida por procesos de corto y largo plazo que pueden detecta información. Los controles mitigan los riesgos asociados con amenazas espec
Un contrato de auditoría debería establecer los objetivos de la gerencia para, a la auditoría de SI. Este contrato no debería cambiar de manera significativa aprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un
I
Un Contrato de auditoría debería:
I
En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaría influenciado por la:
I
La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la Una evaluación completa del riesgo determina el nivel apropiado para un nivel da enfoque de la línea base aplica meramente un conjunto estándar de protección in gerencia de seguridad de información es que éste asegura que: Hay una ventaja de costo en no sobreproteger la información. Sin embargo una ve
I
¿Cuál de los métodos de muestreo es el MáS útil cuando se pone a prueba su cumplimiento?
El muestreo de atributos es el método primario de muestreo que se usa para com muestreo de atributos es un modelo de muestreo que se usa para estimar la calidad especifica (atributo) en una población y se usa en la comprobac
I
El propósito PRIMARIO de un contrato de auditoría es:
El contrato de auditoría típicamente establece la función y la responsabilidad de interna. Debería establecer los objetivos de la gerencia y la delegación de au auditoría. Este se cambia muy pocas veces y no contiene el plan de auditoría
I
La existencia de controles internos y operativos tendrá un peso sobre el enfoque de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando también en los controles internos y operativos así como también en el conoci ne ocio. Este ti o de decisión de análisis del ries o uede a udar a relacionar e
¿Cuál de las siguientes es la razón MáS probable de por qué los sistemas de correo electrónico Los archivos de respaldo contienen documentos, que supuestamente han recuperados de estos archivos. Los controles de acceso pueden ayudar a establ se han convertido en una fuente útil de evidencia en litigios? cuenta de la emisión de un documento en particular, pero esto no p
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
26/74
I
El departamento de SI de una organización quiere asegurarse de que los archivos de computadora usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:
os objetivos de control de SI especifican el conjunto mínimo de controles fectividad en las operaciones y funciones dentro de una organización. Los esarrollan para proveer una garantía razonable de que se lograran los objet
Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:
Se puede comprometer la independencia si el auditor de sistemas está o ha estad l desarrollo, adquisición, e implementación del sistema de aplicación. Las opci ue no comprometen la independencia del auditor de sistemas. La opción
5/12/2018
I
Pre gunta s Modulo I y II - slide pdf.c om
I
La ventaja PRIMARIA de un enfoque continuo de auditoría es que:
I
¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)?
I
l uso de técnicas continuas de auditoría puede en realidad mejorar la segu sa en entornos que comparten el tiempo que procesan un gran numero de t ocas pistas de papel. La opción A es incorrecta ya que el enfoque de
os objetivos de los programas CSA incluyen la educación para la gerencia de ontrol, seguimiento y concentración de todos en las áreas de alto riesgo. Los o SA incluyen el aumento de las responsabilidades de auditoría, no el reemp
na prueba de cumplimiento determina si los controles están operando como s ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una plicados en tal forma que cumplan con las políticas y procedimientos de muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas? uditor de SI le preocupa si los controles de biblioteca de programas están
I
El propósito PRIMARIO de las pistas de auditoría es:
abilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas ransacciones procesadas, rastreando transacciones a través del sistema. El objet roveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que
I
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que losEste es un ejemplo de riesgo de detección. errores materiales no existen cuando en realidad existen, es un ejemplo de:
I
En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una:
l primer paso en un enfoque de auditoría basada en el riesgo es recolectar infor ndustria para evaluar los riesgos inherentes. Después de realizar la evaluación iguiente paso sería realizar una evaluación de la estructura de control interno.
I
Respecto al muestreo, se puede decir que:
l muestreo estadístico cuantifica que tan aproximadamente debería una muestra o general como un porcentaje. Si el auditor sabe que los controles internos s onfianza puede descender. El muestreo es generalmente aplicable cuando la po
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
27/74
I
La evaluación de riesgos es un proceso:
5/12/2018
I
I
El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la plan "Todas las metodologías de análisis de riesgo se basan en juicios subjetivos en c (por ejemplo, para asignar ponderaciones a los diversos parámetros.) El audito
Pre gunta s Modulo I y II - slide pdf.c om
La norma sobre responsabilidad, autoridad y obligación de rendir cuentas La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los autoridad, y obligaciones de rendir cuentas de la función de auditoría de los sis sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit ser debidamente documentadas en una carta de auditoría o carta compromiso." Charter) y DEBEN ser: Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a:
La planeación estratégica pone en movimiento los objetivos corporativos o dep
estratégica está orientada al tiempo y alnegocio. proyecto, pero debe también tratar y ayud para las necesidades satisfacer del Revisar los planes estratégicos a Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de información. El auditor de SI debe PRIMERO revisar:
Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacion sistemas de información son las amenazas y las vulnerabilidades que afectan relacionados con el uso de activos de información deben ser evaluados ai
I
Al planear una auditoría, el paso MáS crítico es la identificación de:
Cuando se diseña un plan de auditoría, es importante identificar las área determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la
I
La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesi Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles revisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta es que ella: (control self-assessment—CSA), participación de tanto los auditores como la gerencia de línea. Lo que ocurre e
I
I
I
I
El grado hasta donde los datos serán recolectados durante una auditoría de SI d El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado con el alcance y el propósito de la auditoría. Una auditoría que tenga un propósit basado en: más probable es que tendría como consecuencia menos recolección de datos, q
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar:
El primer paso y el más crítico en el proceso es identificar las áreas de alto ries Los gerentes del departamento de negocios y altos ejecutivos están en las mejores opinión respecto a estas áreas. Una vez que las áreas potenciales de implementaci
Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de la La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establec de riesgo para proveer garantía razonable de que se abarcaran adecuadamente auditoría. Se debe hacer un análisis del riesgo para proveer: análisis debe identificar áreas con riesgo relativamente alto de existencia
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
28/74
I
La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto de desarrollo de aplicaciones es:
La función del auditor de SI es asegurar que estén incluidos los controles req presente específicamente como un consultor, el auditor de SI no debería parti Durante la fase de diseño, la función primaria del auditor de SI es asegurar que es
En una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las herramientas siguientes es la MáS adecuada para realizar esa tarea?
Las herramientas de detección de tendencias /varianzas buscan anomalías en el co del sistema, por ejemplo, determinando para los documentos prenumerados si los incrementales. Las herramientas CASE se usan para asistir en el desarrollo de softw
5/12/2018
I
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
La prueba de integridad de dominio está dirigida a verificar que los datos se ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinas i.e., los elementos de datos están todos en los dominios correctos. El objetivo de edición y de validación?
verificar que las rutinas de edición y de validación están funcionando de manera inte ridad relacional se realizan a nivel del re istro or lo eneral im lican calcula
Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicación financiera. ¿Cuál de los hallazgos siguientes sería el MáS significativo?
Este es el hallazgo más significativo ya que afecta directamente la integridad de lo evidencia de un proceso inadecuado de control de cambios y los derechos de acc procesamiento. A pesar de que las copias de respaldo sólo una vez por semana es
El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos Un auditor de SI está evaluando una red corporativa en busca de una posible penetración por expone los recursos de la red a la explotación parte de empleados internos. ¿Cuál de los hallazgos siguientes debería preocupar MáS al auditor de(maliciosa ). La barrera técnica es baja y el impacto puede ser muy elevado; por lo t SI? IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los mód
I
En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue producido por La prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debería s un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientes i.e., eliminar el código. El auditor de SI no es responsable de investigar el vi analizar la información del virus y determinar si éste ha afectado el sistema opera debería hacer PRIMERO un auditor?
I
¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las investigaciones?
I
Comparar los totales de control de los datos importados con los totales de control Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar siguiente paso lógico, ya que esto confirma la integridad de los datos importados si los datos importados están completos se lleva a cabo: totalidad (completeness) clasificando los datos importados, porque los datos orig
I
El objetivo primario del software forense es preservar la evidencia electrónica evidencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes de
El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos Las características del software generalizado de auditoría incluyen cómputos análisis estadístico, verificación de secuencia, verificación de duplicados y re de planilla/nómina para el año anterior. usando software generalizado de auditoría, podría diseñar pruebas apro ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
29/74
Uno de los principales
objetivos de una auditoría es identificar los riesgos
I
Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe:
5/12/2018
Uno de los principales objetivos de una auditoría es identificar los riesgos método más proactivo sería identificar y evaluar las prácticas existentes de seguri siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera,
Pre gunta s Modulo I y II - slide pdf.c om
La eficacia de los datos de prueba está determinada por la extensión de la cobe clave a ser probados. Si los datos de prueba no cubren todas las condiciones riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los el eríodo cubierto or la auditoría, ueden haberse efectuado ara de urar o ara
I
¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?
I
En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado
Es importante que un auditor de SI identifique y evalúe los controles y la segurid
amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe:
amenazas potenciales y los posibles están identificados. Al potenciales concluirse un debe describir y discutir conimpactos la gerencia las amenazas y los impactos so
¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
No reportar una intrusión es equivalente a un auditor de SI que esconde un sería un error profesional. A pesar de que puede requerirse la notificación a l examen periódico de derechos de acceso podría ser una preocupación,
Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistaría MáS probablemente al:
Entender los requerimientos del negocio es clave para definir los niveles de una de las otras entidades enumeradas puede suministrar alguna definición la me de unidad de negocio, debido a los amplios conocimientos que tiene esta perso
I
¿Cuál de las siguientes opciones sería normalmente la evidencia MáS confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la más C y D no serian consideradas confiables.
I
¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility&mdash ;ITF)?
La respuesta A describe mejor una prueba integrada (integrated test facili proceso de auditoría especializado asistido por computadora que permite q aplicación de manera continua. La respuesta B es un ejemplo de un archivo de re
I
Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro de un proceso, un auditor de SI debería estar consciente:
Un auditor de SI debería concentrarse en cuando los controles son ejercidos c del sistema de computadora. La opción B es incorrecta ya que los controles co relevantes. La opción C es incorrecta ya que los controles correctivos eliminan
I
I
I
Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del usuario de Las debilidades de control de contraseña significan que cualquiera de las otras un Gerente. El gerente había escrito la contraseña, asignada por el administrador del sistema, dentro cierta. La seguridad de contraseña identificaría normalmente al perpetrador. En e del cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el: más allá de la duda.
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
30/74
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede ide
I
¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI?
5/12/2018
I
I
operaciones no compatibles y entrevistando el personal de SI el auditor puede obt tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede eval a erencia no uede estar en conocimiento de las funciones detalladas de cada em
Pre gunta s Modulo I y II - slide pdf.c om
Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió numerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría:
Como el nombre no es el mismo ( debido a variaciones de los primeros detectar duplicaciones seria comparar otros campos comunes, como por ejem entonces seguidamente llevarse a cabo una revisión para determinar los nom
¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema pruebas cambia?
automatizado. Las bibliotecas de producción representan ejecutables que serian están procesar los datos de la organización. Los listados de programa fuente
I
Una prueba integrada (integrated test facility—ITF) se considera una herramienta útil de auditoría porque:
Una facilidad de prueba integrada se considera una herramienta útil de aud programas para comparar el procesamiento usando datos calculados de mane establecer entidades ficticias en un sistema de aplicación y procesar datos de pr
I
El software generalizado de auditoría facilitara la revisión de todo el archivo de in Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas, que cumplan los criterios de selección. El software generalizado de auditoría pro lo MáS probable es que un auditor de provee funciones de cómputo, estratificación, etc. Los datos de prueba son usados SI utilice:
I
Los diagramas de flujo de datos son usados por los Auditores de SI para:
Los diagramas de flujo de datos se usan como ayudas para graficar o diagrama datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando l los datos. Los diagramas de flujo no ordenan los datos en ningún orden jerár
I
¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MáS confiable?
La evidencia obtenida de fuentes externas es por lo general más confiable qu la organización. Las cartas de confirmación recibidas desde el exterior, com verificar los balances de cuentas por cobrar, son por lo general altamente confiab
I
Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
Un organigrama provee información sobre las responsabilidades y la autoridad d Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funcio trabajo proporcionaría información sobre las funciones de diferentes empleados
I
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de las siguientes es una función de usuario que el auditor de SI debe revisar?
Las funciones de usuario de sistema operativo de red incluyen la disponibilida de red. Otras funciones serían el acceso del usuario a diversos recursos de autorización del usuario a tener acceso a recursos particulares y la red y
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
31/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
32/74
Durante la planeación, el auditor de SI debería obtener una visión general de las
I
¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de auditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D son seguridad del centro de datos? de campo de la auditoría que ocurre posterior a esta planeación y preparación. La
5/12/2018
I
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está Preguntar a los programadores sobre los procedimientos que se están siguiend determinar si el acceso a la documentación de programas está restringido restringido a las personas autorizadas, lo Evaluar los planes de retención de registros para almacenamiento fuera de las MáS probable es que:
¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
¿Cuál de las siguientes herramientas de auditoría es la MáS importante para un auditor de SI cuando Una herramienta de instantánea (snapshot) es más útil cuando se requiere una pista d para incorporar transacciones de prueba en una corrida normal de producción. CIS se requiere una pista de auditoría? transacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de
Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata conEl auditor de SI debería luego examinar casos donde ocurrieron cálculos in cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totalesresultados. Después de que los cálculos hayan sido confirmados, más pruebas p predeterminados. ¿Cuál de los siguientes es MáS probable que sea el siguiente paso en la auditoría? revisadas. La preparación de reportes, hallazgos y recomendaciones no se haría ha
I
El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
I
Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
I
Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en última instancia ellos son los responsables ante:
I
Una prueba integrada crea una entidad ficticia en la base de datos para proces simultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódic separados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los
Preparar transacciones simuladas para procesar y comparar los resultados con resu MEJOR método para probar la corrección de un cálculo de impuestos. La revisión de diagramas de flujo y el análisis de código fuente no son métodos efectivos,
Un control de revisión de aplicaciones implica la evaluación de los controles autom una evaluación de cualesquiera exposiciones resultantes de las debilidades del pueden ser objetivos de una auditoría de aplicación pero no forman parte de
El auditor de SI es en última instancia responsable ante la alta gerencia y ante e unta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el person auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hal
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente ac acción después de que comenzó la auditoría y antes de que terminara, el reporte d de un hallazgo que debería ser reportado. El auditor debe: el hallazgo y describir la acción correctiva tomada. Un reporte de auditoría d
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
33/74
Durante una revisión de implementación de una aplicación distribuida multiusuario, el auditor as debilidades individualmente son de menor importancia, sin embargo, juntas
de SI encuentra debilidades menores en tres áreas—La disposición inicial de parámetros ebilitar sustancialmente la estructura general de control. Las opciones A y D refle está instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales uditor de SI para reconocer el efecto combinado de la debilidad de control. Adv
5/12/2018
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
La función tradicional de un auditor de SI en una autoevaluación de control (control selfassessment—CSA) debe ser la de
uando se establecen los programas de CSA, los auditores de SI se convierte ontrol interno y en facilitadores de evaluaciones. Los auditores de SI son los gerencia y personal) es el participante en el proceso de CSA. Durante un taller de
Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe de auditoría anterior, sin documentos de trabajo. ¿Cómo debe proceder el auditor de SI?
n ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a prob u efectividad. Sin volver a probar el auditor no estará ejerciendo el debido cuida ealiza la auditoría. Los documentos de trabajo pueden ayudar al auditor a eliminar
Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo una evaluación del riesgo para asegurar que:
ara desarrollar una estrategia de auditoría basada en el riesgo, es crítico que se ulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de la co ontroles apropiados requeridos para mitigar los riesgos están instalados es un
Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importa labore y aclare los riesgos y exposiciones, ya que es posible que los auditados no agnitud de la exposición. La meta debe ser explicar a los auditados o descu
I
En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe:
I
El éxito de la autoevaluación de control (CSA) depende en gran medida de:
l objetivo primario de un programa de CSA es repaldar la función de auditoría int as responsabilidades de monitoreo de control a los gerentes de línea del área fun rograma de autoevaluación de control (CSA) depende del grado en el que los g
Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER paso sería:
onitorear el tiempo (A) y los programas de auditoría (D), así como tam decuada (B) mejorará la productividad del personal de auditoría de SI (eficienc o que entrega valor a la organización son los recursos y esfuerzos que se están
I
I
I
En una auditoría de una aplicación de inventario, ¿qué método proveerá la MEJOR evidencia de que Para determinar la validez de la orden de compra, probar los controles de acceso prov Las opciones B y C están basadas en métodos posteriores al hecho, y la opción D las órdenes de compra son válidas? porque lo que está en la documentación del sistema puede no ser lo mismo que Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando:
ada una tasa de error esperado y un nivel de confianza, el muestreo estadístico e muestreo, que ayuda a un auditor de SI a determinar el tamaño de la m robabilidad de error (coeficiente de confianza). La opción B es incorrecta porque e
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o
34/74
a técnica del gancho de auditoría implica integrar código en los sistemas de apl
irregularidades? 5/12/2018
ransacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o u ontrol. Un modulo integrado de auditoría implica integrar software escrito e
Pre gunta s Modulo I y II - slide pdf.c om
I
Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:
l primer paso para evaluar los controles de monitoreo de la red debe ser la e documentación de red, específicamente los diagramas de topología. Si ctualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar
I
Al llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el siguiente paso del auditor de SI?
o primero que un auditor de SI debe hacer después de detectar el virus es alerta rganización, luego esperar la respuesta de ésta. La opción A se debe emprender de ermitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de
I
Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan, en el caso de un e-mail, por una:
on una política de registros de e-mail bien archivados, es posible el acceso a o la r -mails específicos, sin revelar otros registros de e-mail confidenciales. Las po olíticas de auditoría no resolverían la eficiencia de recuperación de registros, y
I
¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de desempeño/performancia de TI?
I
La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las políticas:
I
Para soportar las metas de una organización, el departamento de SI debe tener:
I
Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para determinar:
I
Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
Un proceso de medición del desempeño/performancia de TI puede usarse para desempeño/performancia, medir y administrar productos servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minim el desem eño/ erformancia ero no es el ob etivo rimario de la administración
n método de abajo hacia arriba comienza por definir los requerimientos y políticas erivan y se implementan como el resultado de evaluaciones de riesgo. Las polític esarrollan posteriormente con base en una síntesis de las políticas operativas existen
ara asegurar su contribución a la realización de las metas generales de una organiza ebe tener planes de largo y corto plazo que sean consistentes con los planes más ara alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían pla
a función de un comité de seguimiento de TI es asegurar que el departamento d isión y los objetivos de la organización. Para asegurar esto, el comité debe dete TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional
esde una perspectiva de control, la descripción de un trabajo debe establecer e reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a lo n conformidad con las responsabilidades definidas de su trabajo.
Las
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de
35/74
ebe existir un comité de seguimiento para asegurar que las estrategias de TI
TI es: 5/12/2018
rganización. La ausencia de un comité de tecnología de información o un comi gerentes sería una indicación de falta de participación de la alta gerencia. Esta cond
Pre gunta s Modulo I y II - slide pdf.c om
na investigación de los antecedentes es el método primario para asegu rospectivo miembro del personal. Las referencias son importantes y sería nec on tan fiables como la investigación de los antecedentes. La fianza está referencia
I
¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
I
¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas?
I
El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:
I
Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para entender:
n objetivo de control de TI se define como la declaración del resultado deseado o e mplementando procedimientos de control en una actividad particular de TI. El erdaderos para implementar controles y pueden o no ser las mejores prácticas. L
I
Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:
La y del de personal integración de SI de negocios en estratégico los proyectos es un aspecto operati mientras se revisa el plan corto plazo. Un plan proveería un marco para SI. Las opciones B, C y D son áreas cubiertas por un plan estratégico.
I
¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones?
as reconciliaciones de control de lote son un ejemplo de controles compensa ontroles compensatorios son las bitácoras de transacciones, las pruebas de ra ndependientes y las pistas de auditoría tales como bitácoras de consola, bitácoras
I
¿Cuál de los siguientes es una función de un comité de dirección de SI?
I
La velocidad de cambio de la tecnología aumenta la importancia de:
Sin una política que defina quién tiene la responsabilidad de otorgar acceso a s ayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al siste ersona no debería tener autorización. La asignación de autoridad para otorgar ac
a orientación del negocio debe ser el tema principal al implementar la uditoría de las políticas de seguridad de TI debe primordialmente concentrar eguridad y control de TI y relacionadas respaldan los objetivos del negocio
l comité de dirección de SI típicamente sirve como una junta general de revisión pa e SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de s onitorear los principales proyectos, la situación de los planes y presupuestos de
l cambio requiere que se implementen y ejecuten buenos procesos de administ n outsourcing a la función de SI no está directamente relacionado con ecnológico. El personal en un departamento típico de SI está altamente calificado
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y usa
36/74
os acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de lo
tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito de VAN. El auditor de SI debe recomendar a la gerencia que:
ientras que la gerencia debe obtener garantía independiente de cumplimiento asta que exista un contrato. Un aspecto de administrar servicios de terceros e
¿Cuál de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un requerimiento de acuerdo de nivel de servicio (SLA) para tiempo productivo ?
a inactividad de SI como por ejemplo el tiempo improductivo, es tratada por los stos reportes proveen los períodos de tiempo durante los cuales la computadora tilizada por los usuarios o por otros procesos. Los reportes de utilización docume
La implementación de controles eficientes en costos en un sistema automatizado es en última instancia responsabilidad de:
s responsabilidad de la gerencia de unidad de negocio implementar controles istema automatizado. Ellos son el mejor grupo en una organización que sabe qu ecesitan ser asegurados en términos de disponibilidad, confidenciali
5/12/2018
I
I
I
Pre gunta s Modulo I y II - slide pdf.c om
Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de Todos los empleados deben tener conocimiento de la política de seguridad de l evelación no intencional de información sensitiva. La capacitación es un control seguridad de información de la empresa. El auditor de SI debe concluir que: e concientización de la seguridad para los empleados puede prevenir la reve
n organigrama provee información sobre las responsabilidades y la autoridad de p sto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones rabajo proporcionaría información sobre las funciones de diferentes empleados. U
I
Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
I
¿Cuál de las siguientes funciones debe ser realizada por los dueños de aplicación para asegurar una plicaciones l dueño de son aplicación es responsable de autorizar datos. elEl desar del departamento Enacceso similar, funciones de SI. el formaa los anális segregación adecuada de tareas entre SI y los usuarios finales? fectuado por personas calificadas de SI que tengan conocimientos de SI y
I
Cuando un empleado es despedido de su servicio, la acción MáS importante es:
I
I
xiste una probabilidad de que un empleado despedido pueda hacer mal uso d or lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acció ebe emprender. Todo el trabajo del empleado terminado necesita ser entregado
¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo l departamento de IS debe considerar específicamente la forma en que se a orto plazo. Las inversiones en TI necesitan estar alineadas con las es para el departamento de IS? dministración, en lugar de concentrarse en la tecnología por la tecnología en sí mi
¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?
a planeación estratégica pone en movimiento objetivos corporativos o depa omprehensiva ayuda a asegurar una organización efectiva y eficiente. La rientada al tiempo y a los proyectos, pero también debe resolver y ayudar a de
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
El paso inicial para establecer un programa de seguridad de información es:
37/74
Una declaración de política refleja la intención y el respaldo brindado por la gerenc
seguridad apropiada y establece un punto de inicio para desarrollar el programa de 5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
I
¿Cuál de los siguientes se encontraría normalmente en los manuales ejecución de aplicaciones?
Los manuales de ejecución de aplicaciones deberían incluir acciones que deben operador cuando ocurre un error. Los documentos fuente y el código fuente operador. A pesar de que los diagramas de flujo de datos pueden ser útiles,
I
De las funciones siguientes, ¿cuál es la función MáS importante que debe realizar la administración de TI cuando se ha dado un servicio para realizarse por outsourcing?
En un ambiente de outsourcing, la compañía depende del desempeño del proveedor es crítico que se monitoree el desempeño del proveedor de outsourcing para as compañía los servicios que se requieran. El pago de las facturas es una función
I
I
I
I
I
I
¿Cuál de las siguientes funciones sería una preocupación si se efectuara junto con administración de Un administrador de sistema realiza diversas funciones usando el admin/raíz o un permite al administrador de sistema tener un acceso ilimitado a los recursos del sist sistemas? las actividades del administrador de sistema es la pista de auditoría del sistema, es p
################################################################################# ############################
¿Cuál de ilegal los siguientes procedimientos detectaría en forma MáS efectiva la carga de paquetes de software a una red?
El establecimiento de períodos contables es una de las actividades críticas de la f acceso a esta función al personal en el almacén y en el ingreso de órdenes podría políticas y procedimientos apropiados para la segregación adecuada de funciones. deberían ser cambiados a intervalos re ulares sino ue se deberían establecer
La verificación periódica de los discos duros sería el método más efectivo de software ilegal cargados a la red. El software antivirus no identificará necesar menos que el software contenga un virus. Las estaciones de trabajo sin disco du
Cuando se ha diseñado una política de seguridad de información, lo MáS importante es que la política Para ser efectiva, una política de seguridad de información debería llegar personal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro de seguridad de información sea: de poco valor si su contenido no es conocido por los empleados de la
La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre losLa gerencia debería asegurar que todos los activos de información (dato propietario designado que tome las decisiones sobre clasificación y derechos de activos de información reside en: sistema típicamente delegan la custodia cotidiana al grupo de entrega /oper
################################################################################# ############################
Es imperativo que se establezcan procedimientos formales escritos de apro responsabilidad de rendir cuenta. Esto es verdad tanto para los niveles del gerente superiores de la gerencia. Las opciones A, C y D sería recomendaciones subsigu
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
La responsabilidad y las líneas de reporte no pueden siempre ser establecidas cuando se auditan
38/74
A causa de la naturaleza diversificada tanto de datos como de sistemas de aplicación,
sistemas automatizados ya que: 5/12/2018
el verdadero propietario de los datos y de las aplicaciones. Pre gunta s Modulo I y II - slide pdf.c om
I
¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa la estrategia de una organización? Que:
La planeación estratégica pone en movimiento objetivos corporativos o departam estratégicos a largo plazo como a corto plazo deberían ser consistentes con los organización y los objetivos del negocio para alcanzar estas metas. La respuesta
I
Un administrador de datos es responsable de:
Un administrador de datos es responsable de definir los elementos de datos, nom relación. Las opciones A, C y D son funciones de un administrador de base de datos datos (DBA).
I
El desarrollo de una política de seguridad de SI es resposabilidad de:
A diferencia de otras políticas corporativas, el marco de la política de seguridad de s de la dirección general, la junta directiva. El departamento de SI es responsable política, no teniendo ninguna autoridad en el enmarcado de la política. El com
I
¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad de información incluiría, para manejar las intrusiones sospechosas?
Una política sana de seguridad de SI es más probable que esboce un prog manejar las intrusiones sospechosas. Los programas de corrección, detección aspectos de seguridad de información, pero probablemente no serán incluidos en un
I
¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?
I
¿Cuál de las siguientes situaciones aumentaría la probabilidad de fraude?
I
################################################################################ #############################
La primera y más importante responsabilidad del auditor de SI es advertir a la riesgo que implica hacer que el administrador de seguridad realice una función de violación de la separación de funciones. El auditor de SI no debería participar en el pro
I
Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una semana o más para:
Las vacaciones requeridas de una semana o más de duración en la que alguien regular realice la función del puesto de trabajo es a menudo obligatoria para la Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante
Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede d
actividades de la organización se han desviado de los niveles planeados o de los esper incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los / untos de referencia de la industria las rácticas de erencia financiera el lo ro d
Los programas de producción se usan para procesar los datos reales y corrientes de asegurar que los controles de los cambios a los programas de producción sean tan programas originales. La falta de control en esta área podría tener como resulta aplicación sean modificados de manera que manipulen los datos. A los programado
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
El grupo de garantía de calidad (quality assurance) es típicamente responsable de:
El grupo de garantía de calidad es típicamente responsable de asegurar que programas y documentación se adhieran a las normas establecidas. La opción A e 39/74
programas y documentación se adhieran a las normas establecidas. La opción A e de control de datos, la opción B es responsabilidad de operaciones de com 5/12/2018
I
Pre gunta s Modulo I y II - slide pdf.c om
¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer La mejor forma de manejar las cintas magnéticas obsoletas es desmagnetizarlas, la divulgación no autorizada o accidental de información, y también impide qu de ellas? vuelvan a ser utilizadas. Sobrescribir o borrar las cintas puede ocasionar errore
I
Un comité de dirección de SI debe:
Es importante llevar las actas detalladas de los comités de dirección para docu actividades del comité de dirección de SI, y la junta directiva debe ser informad
opción A es incorrecta porque sólo la gerencia principal o los niveles al
I
Un administrador de base de datos es responsable de:
Un administrador de base de datos es responsable de crear y controlar la b Definir la propiedad de datos recae en el jefe del departamento de usuario o son comunes para la organización. La gerencia de SI y el administrador de datos
I
La participación de la alta gerencia es MáS importante en el desarrollo de:
Los planes estratégicos proveen la base para asegurar que la empresa cumpla participación de la alta gerencia es crítica para asegurar que el plan logra de objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamien
La verificación de llave o verificación uno a uno rendirá el grado más alto d I
¿Cuál de los siguientes ingresados no contienen controles errores? de ingreso de datos provee la MAYOR garantía de que los datos
ingresados están libres de error. Sin embargo, esto podría ser impráctico para gra segregación de funciones de ingreso de datos proveniente de la verificación de i
I
Un administrador de LAN estaría normalmente restringido de:
Un administrador de LAN no debería tener responsabilidades de progr responsabilidades de usuario final. El administrador de LAN puede reportarse al operación descentralizada, al gerente de usuario final. En las organizaciones pe
I
I
Un auditor de SI está revisando la función de administración de base de datos para determinar si El auditor de SI debería determinar que las responsabilidades de la función d se ha hecho la disposición adecuada para controlar los datos. El auditor de SI debería determinar que: datos no sólo están bien definidas sino también garantizan que el administrador reporte directamente al gerente de SI o al ejecutivo para proveer
################################################################################## ###########################
La independencia debería ser constantemente evaluada por el auditor y la gere considerar factores tales como las relaciones personales, los intereses financier responsabilidades del puesto de trabajo. El hecho que el empleado haya trabaj
¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su La responsabilidad primaria del auditor de SI es asegurar que los activos de la compañ procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmed
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
40/74
procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? 5/12/2018
salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmed prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y pro
Pre gunta s Modulo I y II - slide pdf.c om
I
Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que:
Outsourcing es un acuerdo contractual por el cual la organización entrega el control totalidad del procesamiento de información a una parte externa. Esto se hace con frecu recursos o experiencia adicionales que no se obtiene desde el interior de la organizació
I
Un auditor de SI debería preocuparse cuando un analista de telecomunicación:
Las responsabilidades de un analista de telecomunicaciones incluyen requerimient términos de volúmenes corrientes y futuros de transacciones (opción B), evaluar e
o los tiempos de respuesta de las terminales y las velocidades de transferencia de dato I
¿Cuál de los siguientes es un control sobre las actividades de administración de base de datos?
Para asegurar la aprobación de la gerencia de las actividades de administración de b control sobre la utilización de herramientas de base de datos, debería haber una revis registros de acceso. Las actividades de administración de base de datos incluyen
I
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina:
De las opciones, el hardware y el control de acceso de software generalmente funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería u específica. De manera similar, la metodología de desarrollo no debería de real
I
I
I
I
Un analista de sistemas no debe realizar tareas de garantía de calidad (QA, s ¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un analista inglés) ya que podría obstaculizar la independencia, debido a que el analista de si de sistemas, debido a la falta de controles compensatorios? que desarrolla /diseña el software. Un analista de sistemas puede realizar las otras fu es un & uot; ro ramador ciudadano& uot ;. Un ro ramador ciudadano n
Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organiza estratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan de
En una organización pequeña, un empleado realiza operaciones de computadora y, cuando la situación lo exige, programa modificaciones. ¿Cuál de lo siguiente debería recomendar el auditor de SI?
¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?
Mientras que se preferiría que la estricta separación de funciones se cumpliera y adicional, como se sugiere en la Opción B, esta práctica no es siempre posib pequeñas. El auditor de SI debe buscar procesos alternativos recomendados. De
La provee amplia de autorizadas política de seguridad la estructura la seguridad, como ha sido la alta gerencia. Incluye una definición de las personas para otorgar acce Las opciones A, B y C están más detalladas que lo que debería incluirse en una política
Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de estructura de correo electrónico, ejecución de políticas, monitoreo y:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
Además de ser una buena práctica, las leyes y regulaciones pueden requerir que u información que tenga un impacto en los estados financieros. La prevalencia de 41/74
5/12/2018
I
I
I
comunicación de correo electrónico es mantenida en el mismo sentido que el fo & uot documento& uot hace de la retención de corres ondencia electrónica una
Pre gunta s Modulo I y II - slide pdf.c om
Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes es Administrar/Gestionar activamente el cumplimiento de los términos del con externalizados (outsourced) es responsabilidad de la gerencia de TI. El pag responsabilidad de la gerencia de TI de la organización? responsabilidad de finanzas. La negociación del acuerdo contractual ya habría oc
En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de El auditor debe primero evaluar la definición del nivel mínimo de línea base SI debe PRIMERO asegurar: idoneidad de los controles. La documentación, la implementación y el cumplimie adicionales.
Las operaciones de TI para una gran organización han sido externalizadas (outsourced). ¿Un La falta de una provisión de recuperación de desastre presenta un riesgo auditor de SI que revisa la operación externalizada debe estar MáS preocupado por cuál de los Incorporar una disposición de este tipo en el contrato proporcionará a la o "outsourcing" una influencia sobre el proveedor de servicio. Las opcione hallazgos siguientes? ################################################################################ #############################
Mover los servidores puede ocasionar una interrupción del negocio y debe recuperación de desastre sea incluida en el contrato de outsourcing. Las opciones A durante el desarrollo de las provisiones viables de recuperación de desastre y d
I
De los siguientes, ¿qué es lo MáS importante cuando se evalúan los servicios prestados por un proveedor de servicios de Internet (ISP)?
Un contrato de nivel de servicio provee la base para una evaluación adecuada d proveedor está satisfaciendo el nivel de servicio acordado. Las opciones A, C y D evaluación independiente del servicio.
I
La implementación de controles de acceso requiere PRIMERO:
El primer paso para implementar un control de accesos es un inventario de los base para la clasificación. El etiquetado de los recursos no puede hacerse sin clasificaciones de los recursos. La lista de control de accesos (ACL) no se h
I
I
I
Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia Cuando se realiza una revisión de los controles generales es importante que un audit tema de la segregación de funciones, que está afectada por prácticas de vacaciones / de SI relativas al personal debería prestar particular atención a: cumplimiento de vacaciones obligatorias puede variar dependiendo del paí
¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de servicios independiente (ISP)?
El auditor de SI debería buscar una verificación independiente que el ISP pue están siendo contratadas. Las referencias de otros clientes proveerían una independiente, externa, de procedimientos y procesos que sigue el ISP &ndash
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
I
42/74
son métodos efectivos para determinar si los planes de SI están en armonía con los o 5/12/2018
I
II
II
II
Pre gunta s Modulo I y II - slide pdf.c om
Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor Para asegurar que la organización esté cumpliendo con los aspectos de pr debería tratar primero los requisitos legales y regulatorios. Para cumplir de SI debería PRIMERO revisar: regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada.
Dado el acceso físico a un puerto, cualquiera puede conectarse a la red int Una compañía está implementando un protocolo dinámico de configuración de anfitrión (Dynamic Host Configuration Protocol-DHCP). Dado que existen las siguientes condiciones, ¿cuál presentan la exposición que presenta el acceso a un puerto. DHCP provee conv representa la MAYOR preocupación?
los usuarios de laptop. Compartir las direcciones de IP y la existencia de un
################################################################################# ############################
En un gateway WAP, los mensajes encriptados/cifrados provenientes d desencriptados/descifrados para transmitir a la Internet y viceversa. Por lo tant todos los mensajes estarían expuestos. SSL protege los mensajes de sniffing
Una parte esencial de diseñar una base de datos para procesamiento paralelo Para maximizar el desempeño (performance) de una base de datos grande en un ambiente paralelo de (partitioning). Como las grandes bases de datos están indexadas, los indices ind procesamiento, ¿cuál de los siguientes se usa para separar los índices? estar divididos para maximizar el desempeño/performancia. Hashing es un métod
II
¿Cuál de los siguientes impedirá tuplas colgantes (dangling tuples) en una base de datos?
La integridad de referencia asegura que una llave/clave extraña en una tabla sea i primaria en la otra tabla. Por cada tupla en una tabla que tenga una clave referencia tupla correspondiente en otra tabla, es decir, por la existencia de todas las c
II
¿Cuál de los siguientes reduce MEJOR la capacidad de un dispositivo de capturar los paquetes que están destinados a otro dispositivo?
Los switches están en el nivel más bajo de seguridad de red y transmiten un está dirigido. Esto reduce la capacidad de un dispositivo de capturar los paqu otro dispositivo. Los filtros permiten cierto aislamiento básico de tráfico de re
II
El objetivo de control de concurrencia en un sistema de base de datos es:
Los controles de concurrencia impiden problemas de integridad de datos, que procesos de actualización acceden al mismo elemento de dato al mismo tiemp restringen la actualización de la base de datos a los usuarios autorizados; y a los
II
En un sistema de administración de base de datos (DBMS) la ubicación de los datos y el método de tener acceso a los datos es provista por:
Un sistema directorio describe la de ubicación deelementos los datos almacenados y el método en de acce contiene un de índice y la descripción todos los la ba ('datos sobre datos') son los elementos de datos requeridos para definir un alm
http://slide a de r/full/pre gunta s-modulo-i-y-ii Enpdf.c un om/re sistema cliente-servidor, ¿cuál de las siguientes técnicas de control se usa para inspeccionar II
la actividad de los usuarios conocidos o desconocidos?
Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividad desconocidos y pueden identificar direcciones de clientes, que pueden asistir en en 43/74
no autorizado. Esto sirve como un control de detección. Las estaciones de tra 5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
Un beneficio de Calidad de Servicio (QoS) es que:
II
Cuando se revisan los parámetros del sistema, la PRINCIPAL preocupación de un auditor de SI, debería ser que:
La principal función de QoS es optimizar el desempeño/performancia de la re aplicaciones del negocio y a los usuarios finales a través de la asignación de par banda a tráfico específico. La opción A no es cierta porque la comunicación m la velocidad de intercambio de datos odría ser más alta. La dis oni
La principal preocupación es encontrar el balance entre seguridad y desempeño cambios en una pista de auditoría y revisarla periódicamente es un control de d
se establecen los parámetros conforme a reglas del negocio, es posible que el m un control efectivo. Revisar los cambios ara ase urar ue estén res aldados II
El MAYOR riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su sistema, Tener acceso a la base de datos podría proveer acceso a las utilerías de la base de d la base de datos sin una pista de auditoría y sin usar la aplicación. El utilizar SQL, en lugar de a través de la aplicación, es que los usuarios pueden: de la información [Nota: El primitivo SQL era solamente un lenguaje de consulta ,
La función de resecuenciación de los paquetes (segmentos) recibidos en desorden transporte. Ni la red, ni las capas de sesión o aplicación se encargan de la resecuenc
II
################################################################################# ############################
II
La administración de la configuración da cuenta de todos los componentes Verificar si hay líneas base (baselines) de software autorizado es una actividad realizada dentro de cuál La administración de proyectos se encarga del cronograma, administración de las siguientes ? progreso del desarrollo del software. Las administración de problemas registra
II
Para determinar qué usuarios pueden tener acceso al estado de supervisión privilegiado, ¿cuál de los La revisión de los archivos de configuración del sistema para las opciones d cuáles usuarios tienen acceso al estado de supervisión privilegiado. Tanto siguientes debe revisar un auditor de SI? acceso a sistemas como los registros de violaciones de acceso son detectivos po
II
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de las siguientes es una función de usuario que el auditor de SI debe revisar?
Las funciones de usuario de sistema operativo de red incluyen la d documentación de red. Otras funciones serían el acceso del usuario a diver (hosts) de red, la autorización del usuario a tener acceso a recursos pa
II
¿Cuál de los siguientes es un control sobre las fallas/errores de comunicación de componentes?
La redundancia, creando alguna forma de duplicación en los componentes de red, un ruteador (router), un switch para prevenir pérdidas, demoras o duplicación de la falla o error de comunicación del componente. Otros controles relacionados
Unpdf.c cable instalado de Ethernet corrido en una red de pares retorcidos no protegidos (UTP) tiene más http://slide om/re a de r/full/pre gunta s-modulo-i-y-ii II
La atenuación es el debilitamiento de las señales durante la transmisión. Cuan comienza a leer un 1 por un 0, y el usuario puede experimentar problemas de c
de 100 metros de longitud. ¿Cuál de los siguientes podría ser causado por la longitud del cable?
44/74
atenuación alrededor de los 100 metros. La interferencia electromagnética (E 5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
El método de direccionamiento del tráfico a través de instalaciones de cable partido (split cable) o instalaciones de cable duplicado se denomina:
El direccionamiento diverso es el método de direccionamiento del tráfico a travé partido o de instalaciones de cable duplicado, que puede lograrse con diferentes/duplicadas. El direccionamiento alternativo es el método de direccion
II
Un comando "Ping" se usa para medir:
La latencia, que se mide usando un comando "Ping", representa mensaje /paquete para viajar desde el origen hasta el destino. Una disminución
una señal se propaga a través de un medio de transmisión se denomina atenuación II
II
II
II
II
II
¿Cuál de los siguientes soportaría MEJOR la disponibilidad 24/7?
El mirroring de elementos críticos es una herramienta que facilita la recuperaci respaldo diaria implica que es razonable que el restablecimiento ocurra dentro pero no inmediatamente. El almacenamiento fuera del sitio y la prueba periódic
¿El análisis de cuál de los siguientes es MáS probable que habilite al auditor de SI para determinar si Las bitácoras de sistema son reportes automatizados que identifican la mayoría de la computadora. Se han desarrollado muchos programas que analizan la bitácora un programa no aprobado intentó tener acceso a datos sensitivos? sobre puntos definidos específicamente. Los reportes de terminación anormal
Cuando se analiza la portabilidad de una aplicación de base de datos, el auditor de SI debe verificar
El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave
que:
base de datos. La de importación y exportación otros sistemas interfaces de base datos. El uso de un índice de es información un objetivo con de una revisión dee
En un sistema de procesamiento de transacciones en línea, la integridad de datos es mantenida El principio de atomicidad requiere que una transacción sea completada en su totalida asegurando que una transacción sea o bien concluida en su totalidad o no lo sea en absoluto. Este ocurriera un error o interrupción, todos los cambios efectuados hasta ese punto son asegura que todas las condiciones de integridad en la base de datos sean mantenida principio de integridad de datos se conoce como: Después de instalar una red, una organización instaló una herramienta de estudio de la vulnerabilidad o escaneador de seguridad para identificar posibles debilidades. ¿Cuál es el riesgo MáS serio asociado con dichas herramientas?
Reporte negativo falso sobre las debilidades significa que las debilidades de identificadas y de ahí que no puedan ser resueltas, dejando la red vulnerable a una en la que los controles están establecidos, pero están evaluados como débi
En un entorno de LAN, ¿Cuál de los siguientes minimiza el riesgo de corrupción de datos durante la Usar separados para cables de creado datos ypor cables eléctricos, minimiza el rie debidoconductos a un campo magnético inducido medio de corriente eléctric transmisión? minimiza el riesgo de fuga de datos en caso de intercepción de líneas telefónic
¿Cuál de los siguientes consideraría un auditor de SI que es MáS útil cuando se evalúa la II http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii efectividad y adecuación de un programa de mantenimiento preventivo de computadora?
Un registro de tiempo improductivo del sistema provee información sobre la ef los programas de mantenimiento preventivo de computadora. 45/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
¿Cuál de los siguientes es el medio MáS efectivo de determinar qué controles están funcionando correctamente en un sistema operativo?
Los parámetros de generación del sistema determinan cómo funciona un sistema, la interacción con la carga de trabajo.
II
¿El control de congestión se maneja MEJOR por cuál capa de OSI?
La capa de transporte es responsable de la entrega de datos confiables. Esta c mecanismo de control de flujos que puede detectar congestión, reducir las velo
datos y aumentar las velocidades de transmisión cuando la red parece que ya n II
Los programas de utilería que reúnen módulos de software que se necesitan para ejecutar una Los programas de utilería que reúnen módulos de software que se necesitan para e versión de programa de aplicación de instrucciones de máquina son: programa de aplicación de instrucción de máquina son los editores de enlace y los c
II
El software de monitoreo de capacidad se usa para asegurar:
II
Una limitación de integridad de referencia está constituida por:
Las limitaciones de integridad referencial aseguran que un cambio en una clave prim actualizada automáticamente en una llave extranjera coincidente de otras tablas. Esto
¿Cuál de las siguientes exposiciones asociadas con el spooling de reportes sensitivos para impresión fuera de línea consideraría un auditor de SI que es el MáS serio ?
A menos que esté controlado, el spooling para impresión fuera de línea perm adicionales. Es improbable que los archivos de impresión estén disponibles pa operadores. Los datos en archivos de spool no son más fáciles de enmendar sin
II
¿Cuál de los siguientes es crítico para la selección y adquisición del software de sistema operativo correcto?
La compra de software de sistema operativo depende del hecho de que el software hardware existente. Las opciones A y D, a pesar de ser importantes, no son tan impo usuarios no aprueban normalmente la adquisición de software de sistema operativo.
II
¿Cuál de los siguientes medios de línea proveería la MEJOR seguridad para una red de telecomunicación?
Las líneas dedicadas son apartadas para un usuario en particular o para una organiz comparten líneas o puntos intermedios de entrada, el riesgo de intercepción o interr telecomunicación es más bajo.
II
El software de monitoreo de capacidad muestra, por lo general en forma d ámbar y verdes, el uso real de los sistemas en línea frente a su capacidad máxi personal de soporte de software que tome medidas si el uso comenzara a s ca acidad dis onible ara ase urar ue se manten a la o eración eficiente en térm
II ¿Cuál de los siguientes tipos de firewall protegería MEJOR una red contra un ataque de Internet? http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
n Firewall filtrado de red subordinada proveería la mejor protección. El router outer comercial o un nodo con capacidades de direccionamiento que puede apacidad para permitir o evitar el tráfico entre redes o entre nodos basándose 46/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
DI es la mejor respuesta. Implementado debidamente (por ejemplo, contratos con ntre los socios comerciales, controles sobre los mecanismos de seguridad de l ontroles de aplicación) EDI se adecúa mejor para identificar y dar seguimiento a l
II
################################################################################# ############################
II
¿Cuál de los siguientes componentes es ampliamente aceptado como uno de los componentes críticos a administración de configuraciones es ampliamente aceptada como uno de ualquier red dado que establece cómo funcionará la red tanto interna como extern en la administración de redes?
e la administración de la configuración y del monitoreo del desempeño. Los m II
Aplicar una fecha de retención en un archivo asegurará que:
na fecha de retención asegurará que un archivo no pueda ser sobrescrito antes de a fecha de retención no afectará la capacidad de leer el archivo. Las copias de respa na fecha de retención diferente y por lo tanto puedan bien ser retenidas después d
II
Las redes neurales son efectivas para detectar el fraude porque pueden:
as redes neurales se pueden usar para atacar problemas que requieren consideración nput. Ellas son capaces de captar relaciones y patrones que a menudo se les stadísticos. Las redes neurales no descubrirán nuevas tendencias. Ellas son in
II
II
II
II
¿Cuál de los siguientes traduce formatos de correo electrónico desde una red a otra para que el n gateway realiza el trabajo de traducir formatos de correo electrónico de una red a mensaje pueda viajar a través de todas las redes? uedan seguir su camino a través de todas las redes. Un convertidor de protocolo es ue convierte entre dos tipos diferentes de transmisiones, como por ejemplo
>
Suponiendo que este diagrama representa una instalación interna y la organización está implementando un programa de protección de firewall, ¿Dónde deberían instalarse los firewalls?
>
Para las ubicaciones 3a, 1d y 3d, el diagrama indica hubs con líneas que parecen estar abiertas y activas. Suponiendo que es verdad, ¿qué controles, si hubiera, se recomendaría para mitigar esta debilidad?
El objetivo de un firewall es proteger una red confiable contra una red no confiable; p que necesitan implementaciones de firewall estarían en la existencia de las conexiones respuestas son incompletes o representan conexiones internas.
os hubs abiertos representan una debilidad significativa de control a causa del pot onexión de red. Un hub inteligente permitiría la desactivación de un solo Puert uertos restantes. Adicionalmente, la seguridad física también proveería una protecció
>
En el área 2c del diagrama, hay tres hubs conectados entre sí. ¿Qué riesgo potencial podría esto os hubs son dispositivos internos que generalmente no tienen conectividad externa d ropensos a hackers. No se conocen virus que sean específicos para los ataques de indicar? ituación puede ser un indicador de controles deficientes de la gerencia, La opció
II Cuando una PC que ha sido utilizada para el almacenamiento de datos confidenciales es vendida en el http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
mercado abierto:
l disco duro debe ser desmagnetizado ya que esto causará que todos los bits sean sí cualquier posibilidad de que la información que haya estado almacenada ante ecuperada. Un formato de nivel medio no borra información del disco duro, sólo 47/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
Un puerto serial universal (USB):
II
¿Cómo puede una empresa proveer acceso a su Intranet (i.e., extranet) a través de la Internet a sus socios comerciales?
na red virtual privada (VPN, siglas de los términos en inglés) permite que los soc eguridad en la extranet usando redes públicas como un transporte o redes privad u bajo costo, usar .las redes públicas (Internet)como transporte es el métod asan en técnicas de tunelización/enca sulación, ue ermiten ue el rotocolo
II
################################################################################# ############################
a mayor preocupación cuando se implementan firewalls encima de sistemas op resencia potencial de vulnerabilidades que podrían socavar la postura de segurid e firewall. En la mayoría de las circunstancias, cuando se violan los firewalls com
II
Un hub es un dispositivo que conecta:
II
El puerto USB conecta la red sin tener que instalar una tarjeta separada de interfaz de computadora usando un adaptador USB de Ethernet.
n hub es un dispositivo que conecta dos segmentos de un solo LAN, Un hub onectividad transparente a los usuarios en todos los segmentos del mismo LAN. Es n puente opera en el nivel 2 de la capa OSI y se usa para conectar dos LANs us
¿Cuál de los siguientes ayudaría a asegurar la portabilidad de una aplicación conectada a una base de l uso de lenguaje estructurado de pregunta (SQL) facilita la portabilidad. La verific datos? mportación y exportación con otros sistemas asegura mejor interfaz con otr rocedimientos/triggers almacenados asegura el acceso/desempeño apropiado, y r
II
¿Cuál de los siguientes dispositivos de hardware libera a la computadora central de realizar tareas deUn Procesador de inicio de comunicación (Front-end) es un dispositivo de hardware q control de red, conversión de formato y manejo de mensajes? de comunicación a una computadora central para liberar a la computadora central.
II
¿Cuál de los siguientes se puede usar para verificar los resultados del output y los totales de control haciéndolos coincidir contra los totales de datos de input y de control?
l balanceo de lote se usa para verificar los resultados de output y los total oincidir contra los datos de input y los totales de control. Los formularios de en a preparación de datos; las correcciones de error de conversión de datos corrige
II
¿Cuál de los siguientes esperaría encontrar un auditor de SI en un registro de consola?
Los errores de sistema son los únicos que uno esperaría encontrar en el registro de con
II
¿Cuál de las siguientes metodologías basadas en sistema emplearía una compañía de procesamiento Una red neural monitoreará y conocerá patrones, reportando las excepciones para i financiero para monitorear los patrones de gasto para identificar patrones anormales y reportarlos? administración de base de datos es un método de almacenar y recuperar datos. La de información provee estadísticas de gerencia pero normalmente no tiene un
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
48/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
Para que la microcomputadora del auditor de SI se comunique con la mainframe, un convertidor de protocolo para convertir la transmisión asíncrona y la síncrona. debe ser enviado al buffer para compensar las velocidades diferentes de flujo de datos
II
################################################################################# ############################
II
La interfaz que permite acceso a los servicios de red de nivel más bajo o más alto se denomina:
Middleware, una clase de software empleado por las aplicaciones cliente-servido por ejemplo, identificación, autenticación, directorios y seguridad. Facilita las c través de la red y permite que las aplicaciones de cliente tengan acceso y actualicen
II
¿Cuál de los siguientes controles detectará en forma MáS efectiva la presencia de surgimientos de errores en las transmisiones de red?
La verificación de redundancia cíclica (CRC, siglas de los términos en inglés) pu datos transmitidos. Las estaciones de trabajo generan la CRC y la transmiten con La estación de trabajo que recibe computa una CRC y la compara con la estación ambas son iguales entonces se asume que el bloque está libre de error. En este caso
II
¿Cuál de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control?
II
¿Cuál de las capas del modelo ISO/ OSI provee servicio para cómo enrutar los paquetes entre los
La información de interruptores y rutas de capas de red (encabezador o header de c enlace de datos nodo a nodo se extienden a través de la red mediante esta capa. L
nodos?
servicio para cómo enrutar los paquetes (unidades de información en la capa de red a través de una red arbitraria. La capa de enlace de datos transmite información co
II
En una red basada en TCP/IP, una dirección de IP especifica:
Una dirección de IP especifica una conexión de red. Como una dirección de IP cod anfitrión en esa red, ellos no especifican una computadora individual, sino una co /gateway conecta dos redes y tendrá dos direcciones de IP. De ahí que, una
II
Los puentes conectan dos redes separadas para formar una red lógica (por eje El dispositivo para extender la red que debe tener capacidad de almacenamiento para almacenar ethernet con un red de token). Este dispositivo de hardware debe tener capacida marcos (frames) y para actuar como un dispositivo de almacenamiento y reenvío es un: almacenar marcos y para actuar como un dispositivo de almacenamiento y reen
II
El DNS es primariamente utilizado en la Internet para la resolución del nombre &d En una arquitectura /servidor, es lo MáS importante cliente porque provee: un servicio de nombre de dominio (domain name service-DNS) servicio de Internet que traduce nombres de dominio en dirección es de IP. Como l son más fáciles de recordar. Sin embargo, la Internet se basa en direcciones de
II
En un servidor de web, una interfaz común de gateway (CGI) es usada con la MAYOR frecuencia como:
El gateway de aplicación es similar a un gateway de circuito, pero tiene proxies es Para poder manejar los servicios web tiene un proxy de http, que actúa como un e internos, pero específicamente para http. Esto significa que no sólo verifica el ca a 3 los uertos a los ue está diri ido en este caso el uerto 80, la ca
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La interfaz común de gateway (CGI) es una forma estándar para que un servidor usuario de web a un programa de aplicación y para que reciba y envíe los d usuario solicita una página de web (por ejemplo, presionando en una palabra 49/74
5/12/2018
II
II
Pre gunta s Modulo I y II - slide pdf.c om
Recibir una transacción de intercambio electrónico de datos (electronic data interchange-EDI) y La etapa de interfaz de comunicaciones requiere procedimientos de verificación o ANSI X12 es un estándar que debe ser interpretado por una aplicación p pasarla a través de la etapa de interfaz de comunicaciones requiere a menudo: procesadas y luego facturadas, pagadas y enviadas, tanto si corresponden a mercan
Para un sistema de procesamiento de transacciones en línea, las transacciones por segundo es una medida de:
Las medidas de throughput miden cuánto trabajo es efectuado por un sistema durante la productividad del sistema. En un sistema de procesamiento de transacciones en línea, las transacciones por segundo son un ín
de res uesta se define como la lon itud de tiem o ue transcurrió entre el sometim II
II
¿Qué es un riesgo asociado con intentar controlar el acceso físico a las áreas sensitivas, como por ejemplo salas de computadora, a través de llaves de tarjeta, cerrojos, etc.?
El concepto de piggybacking compromete todo el control físico establecid preocupación mínima en un entorno de recuperación de desastre. Los puntos e fácilmente. Respecto a la opción D, la tecnología está cambiando constantemente
¿Cuál de las siguientes se consideraría una característica esencial de un sistema de administración de Para rastrear la topología de la red sería esencial que existiera una interfaz grá red? cada red esté en la Internet y un help desk, y la capacidad de exportar a una hoja esencial.
Una lista de acceso actualizada e impecable es un desafío significativo y, por lo tan de errores en el momento de la instalación inicial. Las contraseñas no se aplican a lo un firewall y un ataque de virus no es un elemento al implementar un firewall.
II
El error más probable que ocurre cuando se implementa un firewall es:
II
¿Cuál de las siguientes disposiciones físicas de LAN está sujeta a pérdida total si falla un dispositivo? La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos están c este calbe es cortado, todos los dispositivos más allá del punto de corte no estarían d
II
Una herramienta de diagnóstico de red que monitorea y registra información de red es un:
II
Los analizadores de protocolo son herramientas de diagnóstico de red que monit de red de los paquetes que viajan en el enlace al que está conectado el analizador. L A) miden las transmisiones de telecomunicaciones y determinan si las transmisione
¿Cuál de los siguientes ayudará a detectar los cambios efectuados por un intruso al registro de sistema Un CD que se escribe una sola vez no puede ser sobrescrito. Por lo tanto, el de un servidor? en el disco podría compararse con el registro original para detectar diferencias, cambios efectuados por un intruso. Proteger la escritura en el registro de sistema
II
Cuando se revisa la implementación de una LAN el auditor de SI debe PRIMERO revisar:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Paras revisar debidamente una implementación de LAN, el auditor de SI debe primer red y confirmar la aprobación. La verificación de nodos de la lista de nodos y el dia seguido por una revisión del reporte de la prueba de aceptación y luego la lista del us 50/74
II
¿Cuál de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad?
Defensa exhaustiva (in-depth) significa usar diferentes mecanismos de seguridad Cuando el tráfico de red pasa involuntariamente un firewall, los controles de segunda línea de defensa. Usar dos firewalls de diferentes vendedores para veri
II
¿Cuál de los siguientes asegura MEJOR la integridad del sistema operativo de un servidor?
Endurecer (hardening) un sistema significa configurarlo en la forma más parches de seguridad, definir debidamente la autorización de acceso para inhabilitar las opciones inseguras y desinstalar los servicios no utilizados) par
II
Los sistemas Firewall son la herramienta primaria que permite que una organi ¿Cuál de los siguientes componentes de red es PRIMARIAMENTE establecido para servir como autorizado entre las redes. Una organización puede escoger utilizar uno o más si una medida de seguridad impidiendo el tráfico no autorizado entre diferentes segmentos de la red? firewalls. Los routers pueden filtrar paquetes basados en parámetros, como por e
II
Para evaluar la integridad referencial de una base de datos un auditor de SI debe revisar:
5/12/2018
II
II
II
II
Pre gunta s Modulo I y II - slide pdf.c om
Una llave/clave externa es una columna en una tabla que referencia a una llave/c proveyendo así la integridad referencial. Las llaves/claves compuestas están c columnas designadas juntas como la llave/clave primaria de una tabla. La inde
Un auditor de SI detectó que varias PCs conectados con el Internet tienen un nivel bajo de seguridad El archivo de cookies reside en la máquina cliente. Contiene datos pasados desde sitios web puedan comunicarse con este archivo cuando el mismo cliente regresa. E que está permitiendo el registro libre de cookies. Este crea un riesgo porque las cookies almacenan esa parte del archivo de cookie que representa la interacción con ese sitio web e localmente:
¿Cuál de los siguientes es la causa MáS probable para que un servidor de correo sea usado para enviar Un proxy abierto (o relay abierto) permite que personas no autorizadas dirijan (ro spam? servidor de correo de otro. POP3 y SMTP son protocolos de correo comúnmente u actividad (accounting) de usuarios no se relaciona con usar un servidor para enviar sp
La preocupación de seguridad MáS significativa cuando se usa una memoria flash (por ejemplo, disco A menos que esté debidamente controlada, una memoria flash provee una pos copie cualquier contenido con facilidad. Los contenidos almacenados en la me removible USB) es que: Sacar copias de respaldo a los datos de la memoria flash no es una preocupación d
Un auditor de SI que revisa una aplicación de base de datos descubre que la configuración El auditor de SI debe primero determinar si las modificaciones fueron aprobadas deb actual no coincide con la estructura diseñada originalmente. ¿Cuál de los siguientes debería ser la B y C son posibles acciones posteriores, si el auditor encuentra que la modificación próxima acción del auditor de SI? aprobada.
II
El administrador de base de datos (DBA) sugiere que la eficiencia de la Base de Datos (DB) puede ser mejorada desnormalizando algunas tablas. Esto resultaría en:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La normalización es un proceso de diseño o de optimización para una base de minimiza la redundancia; por lo tanto, la desnormalización aumentaría la redund por lo general, considerada positiva cuando es una cuestión de disponibilidad de 51/74
¿Cuál de los siguientes es el método MáS efectivo para tratar con la divulgación de un gusano de red Detener el servicio e instalar la reparación de seguridad es la forma más segura extienda. Si el servicio no es detenido, instalar la reparación no es el método más que se aprovecha de la vulnerabilidad en un protocolo? continúa extendiéndose hasta que la reparación se vuelve efectiva. Bloquear el p
5/12/2018
II
II
II
Pre gunta s Modulo I y II - slide pdf.c om
################################################################################# ############################
Un monitor de referencia es un mecanismo abstracto que verifica cada solicitu (proceso de usuario) para tener acceso y usa un objeto (por ej., archivo, di asegurar que la solicitud cumple con una política de seguridad. Un m
Las herramientas de filtrado de la web y del correo electrónico son PRINCIPALMENTE valiosas paraLa razón principal para invertir en herramientas de filtrado de la web y de correo ele significativamente los riesgos relacionados con virus y material que no es del nego una organización porque ellas: cierta en algunas circunstancias (i.e., necesitaría ser implementada ajunto con un
II
¿Cuál de los siguientes es el MAYOR riesgo relacionado con el monitoreo de los registros de auditoría?
Si no se investigan las acciones no autorizadas del sistema, el registro no tiene antes de una revisión periódica es un riesgo pero no es tan crítico como la necesida cuestionables. Registrar los eventos de rutina pueden hacer más difícil reconocer
II
Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para
La función de un comité de seguimiento de TI es asegurar que el departamento d misión y los objetivos de la organización. Para asegurar esto, el comité debe dete TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional
determinar:
II
II
El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe existir un comité de seguimiento para asegurar que las estrategias de TI organización. La ausencia de un comité de tecnología de información o un com TI es: gerentes sería una indicación de falta de participación de la alta gerencia. Esta con ¿Cuál de los siguientes es una función de un comité de dirección de SI?
II
Un comité de dirección de SI debe:
II
La participación de la alta gerencia es MáS importante en el desarrollo de:
El comité de dirección de SI típicamente sirve como una junta general de revisión p de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de monitorear los principales proyectos, la situación de los planes y presupuestos de
Es importante llevar las actas detalladas de los comités de dirección para docum actividades del comité de dirección de SI, y la junta directiva debe ser informada opción A es incorrecta porque sólo la gerencia principal o los niveles alto
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Los planes estratégicos proveen la base para asegurar que la empresa cumpla participación de la alta gerencia es crítica para asegurar que el plan logra de objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamien 52/74
5/12/2018
II
El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el:
II
Establecer el nivel de riesgo aceptable es responsabilidad de:
Pre gunta s Modulo I y II - slide pdf.c om
Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direc planes de TI estén alineados con los planes de negocio de una organización. Los inversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corp
La alta gerencia debería establecer el nivel de riesgo aceptable, ya que ellos son los r instancia o los responsables finales de la operación efectiva y eficiente de la organiz deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable
El gobierno de TI es primariamente responsabilidad de los ejecutivos y de l por la junta directiva [board of directors.]) El director general es instrumental de TI en conformidad con las instrucciones de la junta directiva. El comité de se
II
El gobierno de TI es PRIMARIAMENTE responsabilidad del:
II
Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
Desde una perspectiva de control, la descripción de un trabajo debe establecer reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los conformidad con las responsabilidades definidas de su trabajo. Las otras opc
II
¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
Una investigación de los antecedentes es el método primario para asegurar la
miembro del personal. de y sería necesario verifica Las son como la investigación los referencias antecedentes. Laimportantes fianza está referenciando al cumplim
II
¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones?
Las reconciliaciones de control de lote son un ejemplo de controles compen controles compensatorios son las bitácoras de transacciones, las pruebas de independientes y las pistas de auditoría tales como bitácoras de consola, bitácoras
II
Cuando un empleado es despedido de su servicio, la acción MáS importante es:
Existe una probabilidad de que un empleado despedido pueda hacer mal uso por lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acc debe emprender. Todo el trabajo del empleado terminado necesita ser entregad
II
El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta de Los resultados financieros han sido tradicionalmente la única medida general d gobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno d monitorear los indicadores de evaluación del desempeño de TI además de (performance) de TI aparte de:
II
La función de establecimiento del libro mayor/mayor general (general ledger) en un paquete El establecimiento de períodos contables es una de las actividades críticas de la empresarial (ERP) permite fijar períodos contables. El acceso a esta función ha sido permitido a losacceso a esta función al personal en el almacén y en el ingreso de órdenes podría usuarios en finanzas, almacén e ingreso de órdenes. La razón MáS probable para dicho amplio políticas y procedimientos apropiados para la segregación adecuada de funciones deberían ser cambiados a intervalos re ulares sino ue se deberían establecer
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
53/74
deberían ser cambiados a intervalos re ulares sino ue se deberían establecer II
Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una semana o más para:
Las vacaciones requeridas de una semana o más de duración en la que alguie regular realice la función del puesto de trabajo es a menudo obligatoria para las p reduce la oportunidad de cometer actos indebidos o ilegales, y durante est
II
Un administrador de LAN estaría normalmente restringido de:
Un administrador de LAN no debería tener responsabilidades de progra responsabilidades de usuario final. El administrador de LAN puede reportarse al
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
operación descentralizada, al gerente de usuario final. En las organizaciones peq II
II
Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y con amplia La independencia debería ser constantemente evaluada por el auditor y la geren experiencia gerencial ha aplicado para una posición vacante en el departamento de auditoría deconsiderar factores tales como las relaciones personales, los intereses financiero SI. La determinación de si se debe contratar a esta persona para esta posición debería basarse e responsabilidades del puesto de trabajo. El hecho que el empleado haya trabaja Un auditor de SI debería preocuparse cuando un analista de telecomunicación:
Las responsabilidades de un analista de telecomunicaciones incluyen requerimien términos de volúmenes corrientes y futuros de transacciones (opción B), evaluar o los tiempos de respuesta de las terminales y las velocidades de transferencia de dat
II
Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una organización debe:
Se requiere una definición de indicadores clave de desempeño antes de implementar marcador balanceado (balanced scorecard) de TI. Las opciones A, C y D son objetivos.
II
Para soportar las metas de una organización, el departamento de SI debe tener:
Para asegurar su contribución a la realización de las metas generales de una organiz debe tener planes de largo y corto plazo que sean consistentes con los planes más para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían p
II
Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:
La integración de SI y del personal de negocios en los proyectos es un aspecto operat mientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco par Las opciones B, C y D son áreas cubiertas por un plan estratégico.
II
¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo El departamento de IS debe considerar específicamente la forma en que se corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias prin para el departamento de IS? en lugar de concentrarse en la tecnología por la tecnología en sí misma. Llev
II
¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La planeación estratégica pone en movimiento objetivos corporativos o dep comprehensiva ayuda a asegurar una organización efectiva y eficiente. La planeac al tiempo y a los proyectos, pero también debe resolver y ayudar a determinar p 54/74
II
¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa la estrategia de una organización? Que:
La planeación estratégica pone en movimiento objetivos corporativos o depart estratégicos a largo plazo como a corto plazo deberían ser consistentes con organización y los objetivos del negocio para alcanzar estas metas. La respuesta
II
Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar:
El plan estratégico de TI existe para respaldar el plan de negocios de la organiz estratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan d
5/12/2018
II
II
II
Pre gunta s Modulo I y II - slide pdf.c om
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son métodos efectivos para determinar si los planes de SI están en armonía con los o
La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las Un método de abajo hacia arriba comienza por definir los requerimientos y polític derivan y se implementan como el resultado de evaluaciones de riesgo. Las políti políticas: desarrollan posteriormente con base en una síntesis de las políticas operativas existe
¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas?
Sin una política que defina quién tiene la responsabilidad de otorgar acceso a
mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al si persona no debería tener autorización. La asignación de autoridad para otorgar
La orientación del negocio debe ser el tema principal al implementar la seguri de las políticas de seguridad de TI debe primordialmente concentrarse en si control de TI y relacionadas respaldan los objetivos del negocio y de TI. R
II
El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:
II
La velocidad de cambio de la tecnología aumenta la importancia de:
El cambio requiere que se implementen y ejecuten buenos procesos de admini un outsourcing a la función de SI no está directamente relacionado co tecnológico. El personal en un departamento típico de SI está altamente calificad
II
Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de seguridad de información de la empresa. El auditor de SI debe concluir que:
Todos los empleados deben tener conocimiento de la política de seguridad de revelación no intencional de información sensitiva. La capacitación es un control de concientización de la seguridad para los empleados puede prevenir la rev
II
Cuando se ha diseñado una política de seguridad de información, lo MáS importante es que la política Para ser efectiva, una política de seguridad de información debería llegar personal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro de seguridad de información sea: de poco valor si su contenido no es conocido por los empleados de la
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
55/74
II
El desarrollo de una política de seguridad de SI es resposabilidad de:
II
¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad de información incluiría, para manejar las intrusiones sospechosas?
5/12/2018
A diferencia de otras políticas corporativas, el marco de la política de seguridad de de la dirección general, la junta directiva. El departamento de SI es responsab política, no teniendo ninguna autoridad en el enmarcado de la política. El co
Pre gunta s Modulo I y II - slide pdf.c om
Una política sana de seguridad de SI es más probable que esboce un programa las intrusiones sospechosas. Los programas de corrección, detección y monitor
seguridad de información, pero probablemente no serán incluidos en una declaración
La política de seguridad provee la estructura amplia de la seguridad, como ha sido la alta gerencia. Incluye una definición de las personas autorizadas para otorgar acce Las opciones A, B y C están más detalladas que lo que debería incluirse en una polític
II
¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?
II
¿Cuál de los siguientes es un paso inicial para crear una política de firewall?
II
La administración de una organización ha decidido establecer un programa de conocimiento de la
Utilizar un sistema de detección de intrusos para reportar sobre los incid
seguridad. que ¿Cuál de los siguientes es MáS probable sea parte del programa?
implementación de opciones un programa de seguridad y no es efectivo para establecer u de la seguridad. Las El entrenamiento B y C no resuelven el conocimiento.
¿Cuál de los siguientes es MáS crítico para la implementación exitosa y el mantenimiento de una política de seguridad?
La asimilación de la estructura y la intención de una política de seguridad escrita por sistemas es crítico para la implementación exitosa y el mantenimiento de la p puede tener un buen sistema de contraseña, pero si los usuarios del siste escritas en su mesa el sistema de contraseña tiene oco valor. El so orte de
Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de estructura de correo electrónico, ejecución de políticas, monitoreo y:
Además de ser una buena práctica, las leyes y regulaciones pueden requerir que información que tenga un impacto en los estados financieros. La prevalencia de comunicación de correo electrónico es mantenida en el mismo sentido que el f &ld uo;documento&rd uo; hace de la retención de corres ondencia electrónica un
II
II
II
La identificación de las aplicaciones requeridas en toda la red debe ser identifica identificación, dependiendo de la ubicación física de estas aplicaciones en la re persona a cargo podrá entender la necesidad y las posibles formas de co
En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SIEl auditor debe primero evaluar la definición del nivel mínimo de línea bas debe PRIMERO asegurar: idoneidad de los controles. La documentación, la implementación y el cumplimi adicionales.
II
Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor ara asegurar que la organización esté cumpliendo con los aspectos de priv ebería tratar primero los requisitos legales y regulatorios. Para cumplir c de SI debería PRIMERO revisar: egulatorios, las organizaciones necesitan adoptar la infraestructura apropiada.
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
56/74
5/12/2018 Pre gunta s Modulo I y II - sliden pdf.c om objetivo de control de TI se define como la declaración del resultado deseado o e Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen II la base para
II
II
II
II
entender:
mplementando procedimientos de control en una actividad particular de TI. El erdaderos para implementar controles y pueden o no ser las mejores prácticas. L
El paso inicial para establecer un programa de seguridad de información es:
Una declaración de política refleja la intención y el respaldo brindado por la gerenci seguridad apropiada y establece un punto de inicio para desarrollar el programa de s
Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia uando se realiza una revisión de los controles generales es importante que un aud ema de la segregación de funciones, que está afectada por prácticas de vacaciones de SI relativas al personal debería prestar particular atención a: umplimiento de vacaciones obligatorias puede variar dependiendo del pa Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y usa tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito de VAN. El auditor de SI debe recomendar a la gerencia que:
os acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de lo ientras que la gerencia debe obtener garantía independiente de cumplimiento asta que exista un contrato. Un aspecto de administrar servicios de terceros e
De las funciones siguientes, ¿cuál es la función MáS importante que debe realizar la administración
n un ambiente de outsourcing, la compañía depende del desempeño del proveedor s crítico que se monitoree el desempeño del proveedor de outsourcing para ase ompañía los servicios que se requieran. El pago de las facturas es una función f
de TI cuando se ha dado un servicio para realizarse por outsourcing?
II
II
II
¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su La responsabilidad primaria del auditor de SI es asegurar que los activos de la compañ procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmed proveedor? prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y pr Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que:
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina:
Outsourcing es un acuerdo contractual por el cual la organización entrega el control totalidad del procesamiento de información a una parte externa. Esto se hace con frec recursos o experiencia adicionales que no se obtiene desde el interior de la organizació
e las opciones, el hardware y el control de acceso de software generalmente uncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería u specífica. De manera similar, la metodología de desarrollo no debería de real
II
Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica deEn el proceso de transferencia de fondos, cuando el esquema de procesamien fondos (EFT), un auditor de SI observa que la infraestructura tecnológica está basada en u país diferente, podría haber problemas legales de jurisdicción que pudieran afect esquema centralizado de procesamiento que ha sido asignado (outsourced) a un proveedor en otrorevisión en el otro país. Las otras opciones, aunque posibles, no son tan relev
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
57/74
Administrar/Gestionar 5/12/2018 Modulo I y II - slide pdf.c om Una organización ha hecho un outsourcing de su desarrollo de software. ¿CuálPre degunta loss siguientes es II
II
responsabilidad de la gerencia de TI de la organización?
activamente el cumplimiento de los términos del c externalizados (outsourced) es responsabilidad de la gerencia de TI. El p responsabilidad de finanzas. La negociación del acuerdo contractual ya habría
¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de servicios
El auditor de SI debería buscar una verificación independiente que el ISP p están siendo contratadas. Las referencias de otros clientes proveerían un independiente, externa, de procedimientos y procesos que sigue el ISP &nda
independiente (ISP)? II
Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan, en el caso Con una política de registros de e-mail bien archivados, es posible el acceso a o la re mails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas de un e-mail, por una: de auditoría no resolverían la eficiencia de recuperación de registros, y destru
II
El resultado (output) del proceso de administración de riesgos es un input para hacer:
El proceso de administración del riesgo trata sobre la toma de decisiones relacion específica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las proceso de administración del riesgo.
II
Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego
business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e-business probabilidad de que ocurran. Las opciones A, B y D deberían ser discutidas c (Chief Information Officer—CIO) y se debería entregar un reporte en busca de vulnerabilidades. ¿Cuál sería la siguiente tarea?
II
¿Cuál de los siguientes es un mecanismo para mitigar los riesgos?
Los riesgos se mitigan implementando prácticas apropiadas de seguridad y de contr mecanismo para transferir el riesgo. La auditoría y la certificación son mecanismos y los contratos y SLAs son mecanismos de asignación de riesgo.
II
Cuando se desarrolla un programa de administración de riesgos, la PRIMERA actividad que se debe realizar es:
La identificación de los activos a ser protegidos es el primer paso en el desar administración de riesgos. Un listado de las amenazas que pueden afectar el dese análisis de criticalidad son pasos posteriores en el proceso. La clasificación de d
II
Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas financieras que podrían resultar de riesgo. Para evaluar las pérdidas potenciales el equipo debería:
La común, cuando es riesgo difícil define calcular las pérdidas financieras, es tomar u que práctica el gerente afectado por el la pérdida financiera en términos de un un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es comp
II
La falta de controles adecuados de seguridad representa:
La falta de controles adecuados de seguridad representa una vulnerabilidad, exponien sensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hacker consecuencia la pérdida de información sensitiva, que podría conducir a la pérd
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
58/74
desempeño/performancia de TI?
Un proceso de medición del desempeño/performancia de TI puede usarse para desempeño/performancia, medir y administrar productos /servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minim
¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los
Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede actividades de la organización se han desviado de los niveles planeados o de los espe incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los
esperados?
/ untos de referencia de la industria las rácticas de erencia financiera el lo ro
Como resultado del gobierno de seguridad de información, la alineación estratégica dispone:
El gobierno de seguridad de información, cuando está debidamente implemen resultados básicos. Estos son alineamiento estratégico, entrega de valor, man desempeño. La alineación estratégica provee datos de entrada (input) para los r
5/12/2018 II ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición dePre gunta s Modulo I y II - slide pdf.c om
II
II
II
En una organización, las responsabilidades de seguridad de TI están claramente asignadas yLas juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez d ejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y delinformación para establecer clasificaciones para la seguridad en sus organiz impacto. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno deinexistentes, iniciales, repetibles, definidos, manejados y optimizados. Cuando
II
¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico?
La alta gerencia media entre los imperativos del negocio y la tecnología es una me estratégico de TI. Los riesgos del proveedor y del socio que están siendo maneja del manejo del riesgo. Una base de conocimientos de los clientes, productos,
II
Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:
Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva ext provean el liderazgo, las estructuras y procesos organizacionales que aseguren sostiene y extiende las estrategias y objetivos de la organización y que la estrateg
II
La evaluación de los riesgos de TI se logra MEJOR:
II
Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnera cualitativos o cuantitativos de evaluación del riesgo. Las opciones B, C y D s útiles para el proceso de evaluación del riesgo, pero por sí mismas no s evaluación en las pérdidas pasadas no reflejará de manera adecuada los cambio
Sólo revisar los registros de transacciones y de aplicación directamente resuelve Cuando existe preocupación por la segregación de funciones entre el personal de soporte y los segregación deficiente de funciones. La revisión es un medio de detector el com usuarios finales, ¿cuál sería un control compensatorio adecuado? también disuade de uso inapropiado, porque las personas que pueden de otro m situación están concientes de la robabilidad de ser atra ados. La se re ación
II
Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY probablemente a:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
l desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo vadir los controles. Las opciones A, C y D no están relacionadas con, ni puede asum as funciones de SI a las unidades de negocio; de hecho, en algunos casos, se pued 59/74
erivar políticas II Un método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar: 5/12/2018 Pre gunta s Modulo I y II - slide pdf.c om
de nivel inferior de las políticas corporativas (un método segurar consistencia en toda la organización y consistencia con otras políticas. ara el desarrollo de las políticas operativas se deriva como resultado de la evaluació
l entrenamiento cruzado es un proceso de entrenar más de una persona para rocedimiento específico. Esta práctica ayuda a reducir la dependencia de una s laneación de la sucesión. Esto provee el respaldo de personal en el caso de un
II
Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe evaluar el riesgo de:
II
os controles compensatorios son controles internos que pretenden reducir el r ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no pueden ontrol existente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera apropiada? propiada. Los controles que se superponen son dos controles que tratan el mism
II
II
¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe permanecer en el local en lugar de ser extraído (outsourced ) de una operación exterior (offshore)?
as leyes de privacidad que prohíben el flujo transfronterizo de información aría imposible ubicar un depósito de datos que contenga información de c iferencias de zona horaria y los costos más elevados de las telecomunicaciones
Para minimizar los costos y mejorar los niveles de servicio, ¿un outsourcer debe buscar cuál de las
omo el outsourcer compartirá un porcentaje de los ahorros logrados, las bonificaci ompartir las ganancias proveen un incentive financiero para ir para superar los ontrato y pueden conducir a ahorros en los costos para el cliente. Las frecuen
siguientes cláusulas de contrato?
II
Cuando una organización está seleccionando (outsourcing) su función de seguridad de información, ¿cuál de lo siguiente debe ser conservado en la organización?
La responsabilidad no puede ser transferida a terceros ajenos. Las opciones efectuadas por entidades externas mientras la responsabilidad continúe dentro de l
II
¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social?
Como la ingeniería social se basa en el engaño del usuario, la mejor contramed programa de conciencia de la seguridad. Las otras opciones no están enfocadas al
II
a adecuación del contenido de conciencia de la seguridad puede evaluarse mejor d ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de evisado y comparado periódicamente con las mejores prácticas de la industria. Las la seguridad? edidas para medir diversos aspectos de un programa de conciencia de la seguridad
II
¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La planeación estratégica pone en movimiento objetivos corporativos o depar comprehensiva ayuda a asegurar una organización efectiva y eficiente. La p orientada al tiempo y a los proyectos, pero también debe resolver y ayudar a de 60/74
La alta gerencia media entre los imperativos del negocio y la tecnología es una mejo estratégico de TI. Los riesgos del proveedor y del socio que están siendo manejad del manejo del riesgo. Una base de conocimientos de los clientes, productos,
II ¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico? 5/12/2018 Pre gunta s Modulo I y II - slide pdf.c om
II
¿Cuál de lo siguiente es la MEJOR fuente de información para que la administración use como una Requisitos contractuales son una de las fuentes que deberían ser consulta requerimientos para la administración de activos de información. Las mejores ayuda en la identificación de activos que están sujetos a las leyes y reglamentaciones? proveen una base para evaluar qué grado de competitividad tiene una empr ¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe permanecer en el local en lugar de ser extraído (outsourced ) de una operación exterior (offshore)?
Las leyes de privacidad que prohíben el flujo transfronterizo de información i haría imposible ubicar un depósito de datos que contenga información de diferencias de zona horaria y los costos más elevados de las telecomunicaciones
II
¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
Una investigación de los antecedentes es el método primario para asegur prospectivo miembro del personal. Las referencias son importantes y sería nece son tan fiables como la investigación de los antecedentes. La fianza está referencian
II
¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar
Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede d actividades de la organización se han desviado de los niveles planeados o de los esper
cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?
incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los / untos de referencia de la industria las rácticas de erencia financiera el lo ro d
II
II
Los controles compensatorios son controles internos que pretenden reducir el ri ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no pueden control existente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera apropiada? apropiada. Los controles que se superponen son dos controles que tratan el mis
II
¿Cuál de los siguientes consideraría un auditor de SI que es MÁS importante cuando se evalúa la estrategia de una organización? Que:
II
¿Cuál de los el MAYOR riesgo de la definición de una política inadecuada para propiedad desiguientes datos y dees sistemas?
La planeación estratégica pone en movimiento objetivos corporativos o departam estratégicos a largo plazo como a corto plazo deberían ser consistentes con los organización y los objetivos del negocio para alcanzar estas metas. La respuesta
Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sis mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al siste persona no debería tener autorización. La asignación de autoridad para otorgar acc
II
¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de desempeño/performancia de TI?
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Un proceso de medición del desempeño/performancia de TI puede usarse par desempeño/performancia, medir y administrar productos servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Min el desem eño/ erformancia ero no es el ob etivo rimario de la administración 61/74
a asimilación de la estructura y la intención de una política de seguridad escrita p crítico para la implementación exitosa y el mantenimiento de la uede tener un buen sistema de contraseña, pero si los usuarios del sistema n su mesa, el sistema de contraseña tiene oco valor. El so orte dedicació
II ¿Cuál de los siguientes es MÁS crítico para la implementación exitosa y el mantenimiento de una 5/12/2018 Pre gunta s Modulo I y II - slide pdf.c om istemas es
política de seguridad?
II
¿Cuál de los siguientes es un mecanismo para mitigar los riesgos?
Los riesgos se mitigan implementando prácticas apropiadas de seguridad y de cont mecanismo para transferir el riesgo. La auditoría y la certificación son mecanismos los contratos y SLAs son mecanismos de asignación de riesgo.
a identificación de las aplicaciones requeridas en toda la red debe ser identif dentificación, dependiendo de la ubicación física de estas aplicaciones en la ersona a cargo podrá entender la necesidad y las posibles formas de
II
¿Cuál de los siguientes es un paso inicial para crear una política de firewall?
II
¿Cuál de los siguientes es una función de un comité de dirección de SI?
II
¿Cuál de los siguientes programas es MÁS probable que una política sana de seguridad de información na política sana de seguridad de SI es más probable que esboce un program incluiría, para manejar las intrusiones sospechosas?
II
l comité de dirección de SI típicamente sirve como una junta general de revisión e SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus fun os principales proyectos, la situación de los planes y presupuestos de SI. El contro
as intrusiones sospechosas. Los programas de corrección, detección y moni eguridad de información, pero probablemente no serán incluidos en una declarac
¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de la a adecuación del contenido de conciencia de la seguridad puede evaluarse mejo evisado y comparado periódicamente con las mejores prácticas de la industria. L seguridad? edidas para medir diversos aspectos de un programa de conciencia de la segurid
II
¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social?
Como la ingeniería social se basa en el engaño del usuario, la mejor contrame programa de conciencia de la seguridad. Las otras opciones no están enfocadas a
II
¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?
La política de seguridad provee la estructura amplia de la seguridad, como ha sid alta gerencia. Incluye una definición de las personas autorizadas para otorgar acces opciones A, B y C están más detalladas que lo que debería incluirse en una política.
II
¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones?
as reconciliaciones de control de lote son un ejemplo de controles compe ontroles compensatorios son las bitácoras de transacciones, las pruebas d ndependientes y las pistas de auditoría tales como bitácoras de consola, bitácora
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
62/74
II
¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su La responsabilidad primaria del auditor de SI es asegurar que los activos de la comp procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inm prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y p
5/12/2018
II
II
Pre gunta s Modulo I y II - slide pdf.c om
¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la planificación de corto plazo para el departamento de IS?
l departamento de IS debe considerar específicamente la forma en que se asi lazo. Las inversiones en TI necesitan estar alineadas con las estrategias princi ugar de concentrarse en la tecnología por la tecnología en sí misma. Llevar a cabo
¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de servicios independiente (ISP)?
l auditor de SI debería buscar una verificación independiente que el ISP pued iendo contratadas. Las referencias de otros clientes proveerían una revisión xterna, de procedimientos y procesos que sigue el ISP—aspectos que
II
Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:
La integración de SI y del personal de negocios en los proyectos es un aspecto opera mientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco pa Las opciones B, C y D son áreas cubiertas por un plan estratégico.
II
Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una
Se requiere una definición de indicadores clave de desempeño antes de implementa marcador balanceado (balanced scorecard) de TI. Las opciones A, C y D son objetivos.
organización debe:
II
II
II
Como resultado del gobierno de seguridad de información, la alineación estratégica dispone:
l gobierno de seguridad de información, cuando está debidamente implem esultados básicos. Estos son alineamiento estratégico, entrega de valor, m esempeño. La alineación estratégica provee datos de entrada (input) para lo
Con respecto al outsourcing de servicios de TI, ¿cuál de las siguientes condiciones debería ser de MAYOR preocupación para un auditor de SI?
as actividades centrales de una organización generalmente no deberían ser so on lo que la organización hace mejor. Un auditor que observa eso debería preo reocuparse de las otras condiciones porque la especificación de renegociació
a inclusión en descripciones de puestos de trabajo de responsabilidades de Cuál de lo siguiente es el MEJOR criterio de desempeño para evaluar la adecuación del entrenamiento ntrenamiento de seguridad y ayuda a asegurar que el personal y la administración de conocimiento de seguridad de una organización ? unciones con respecto a la seguridad de información. Las otras tres opciones n
II
uando efectúa una revisión de la estructura de un sistema de transferencia electrónica de fondos n el proceso de transferencia de fondos, cuando el esquema de procesamiento EFT), un auditor de SI observa que la infraestructura tecnológica está basada en un esquema iferente, podría haber problemas legales de jurisdicción que pudieran afecta entralizado de procesamiento que ha sido asignado (outsourced) a un proveedor en otro país. evisión en el otro país. Las otras opciones, aunque posibles, no son tan re
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
63/74
II
Sólo revisar los registros de transacciones y de aplicación directamente resuelve Cuando existe preocupación por la segregación de funciones entre el personal de soporte y los egregación deficiente de funciones. La revisión es un medio de detector el c usuarios finales, ¿cuál sería un control compensatorio adecuado? ambién disuade de uso inapropiado, porque las personas que pueden de otro ituación están concientes de la robabilidad de ser atra ados. La se re ación in
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
Cuando revisa el proceso de planeación estratégica de TI, un auditor de SI debe asegurarse de que el plan:
El plan estratégico de TI debe incluir una clara articulación de la misión y de l necesita ocuparse de la tecnología, los controles operativos o las prácticas de adm
II
Cuando se desarrolla un programa de administración de riesgos, la PRIMERA actividad que se debe realizar es:
a identificación de los activos a ser protegidos es el primer paso en el des dministración de riesgos. Un listado de las amenazas que pueden afectar el de nálisis de criticalidad son pasos posteriores en el proceso. La clasificación de da
II
Cuando se ha diseñado una política de seguridad de información, lo MÁS importante es que la política de seguridad de información sea:
ara ser efectiva, una política de seguridad de información debería llegar a todo lmacenar la política de seguridad fuera del sitio o en un lugar seguro puede alor si su contenido no es conocido por los empleados de la organización
II
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SI Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona l planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: on métodos efectivos para determinar si los planes de SI están en armonía con los o
xiste una probabilidad de que un empleado despedido pueda hacer mal uso or lo tanto, inhabilitar el acceso lógico de un empleado terminado es la ac ebe emprender. Todo el trabajo del empleado terminado necesita ser entrega
II
Cuando un empleado es despedido de su servicio, la acción MÁS importante es:
II
Cuando una organización está seleccionando (outsourcing) su función de seguridad de información, ¿cuál de lo siguiente debe ser conservado en la organización?
II
Dar responsabilidad probablemente a: a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY
La responsabilidad no puede ser transferida a terceros ajenos. Las opcione efectuadas por entidades externas mientras la responsabilidad continúe dentro d
l desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a car vadir los controles. Las opciones A, C y D no están relacionadas con, ni puede a as funciones de SI a las unidades de negocio; de hecho, en algunos casos, se p
II
De las funciones siguientes, ¿cuál es la función MÁS importante que debe realizar la administración deEn un ambiente de outsourcing, la compañía depende del desempeño del proveedor es crítico que se monitoree el desempeño del proveedor de outsourcing para a TI cuando se ha dado un servicio para realizarse por outsourcing? compañía los servicios que se requieran. El pago de las facturas es una función
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
64/74
II
De lo siguiente, el elemento MÁS importante para la implementación exitosa del gobierno de TI es:
5/12/2018
II
El objetivo clave de un programa de gobierno de TI es dar soporte al negocio; d identificación de estrategias organizacionales para asegurar la alineación e corporativo. Sin identificación de estrategias organizacionales, las opciones
Pre gunta s Modulo I y II - slide pdf.c om
Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
Desde una perspectiva de control, la descripción de un trabajo debe establecer reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los u conformidad con las responsabilidades definidas de su trabajo.Las otras opcio
relacionadas con los controles. Proveer instrucciones sobre cómo hacer el tr II
II
II
Durante el curso de una auditoría, un auditor de SI observa que las funciones no están debidamente segregadas. En una circunstancia semejante, el Auditor de SI debería buscar:
Controles compensatorios son controles que pretenden reducir el riesgo de una de potencial cuando las funciones no pueden ser correctamente segregadas. Los complementan entre sí y complementan los controles existentes pero no resu
El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta de Los resultados financieros han sido tradicionalmente la única medida general d gobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno d monitorear los indicadores de evaluación del desempeño de TI además de l (performance) de TI aparte de: El desarrollo de una política de seguridad de SI es resposabilidad de:
A diferencia de otras políticas corporativas, el marco de la política de seguridad d
de la dirección general, la junta autoridad directiva. en El departamento de la SI política. es responsab política, no teniendo ninguna el enmarcado de El c
II
El efecto MÁS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe existir un comité de seguimiento para asegurar que las estrategias de T organización. La ausencia de un comité de tecnología de información o un com TI es: gerentes sería una indicación de falta de participación de la alta gerencia. Esta co
II
El gobierno de TI es PRIMARIAMENTE responsabilidad del:
El gobierno de TI es primariamente responsabilidad de los ejecutivos y de lo por la junta directiva [board of directors.]) El director general es instrumental de TI en conformidad con las instrucciones de la junta directiva. El comité de se
II
El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el:
Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direc planes de TI estén alineados con los planes de negocio de una organización. Los inversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corp
II
El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La orientación del negocio debe ser el tema principal al implementar la seguri de las políticas de seguridad de TI debe primordialmente concentrarse en si control de TI y relacionadas respaldan los objetivos del negocio y de TI. R dis onibles ara todos es un ob etivo ero la distribución no ase ura el cum lim 65/74
II
El paso inicial para establecer un programa de seguridad de información es:
II
El resultado (output) del proceso de administración de riesgos es un input para hacer:
5/12/2018
Una declaración de política refleja la intención y el respaldo brindado por la gerenc seguridad apropiada y establece un punto de inicio para desarrollar el programa de
Pre gunta s Modulo I y II - slide pdf.c om
El proceso de administración del riesgo trata sobre la toma de decisiones relacion específica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las proceso de administración del riesgo.
II
II
II
II
En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SI El auditor debe primero evaluar la definición del nivel mínimo de línea ba debe PRIMERO asegurar: idoneidad de los controles. La documentación, la implementación y el cumplim adicionales.
En una organización, las responsabilidades de seguridad de TI están claramente asignadas yLas juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez ejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y delinformación para establecer clasificaciones para la seguridad en sus organizaciones. impacto. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno deiniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilid
Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia debería establecer el nivel de riesgo aceptable, ya que ellos son los r instancia o los responsables finales de la operación efectiva y eficiente de la organiza deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable
La administración de una organización ha decidido establecer un programa de conocimiento de la seguridad. ¿Cuál de los siguientes es MÁS probable que sea parte del programa?
Utilizar un sistema de detección de intrusos para reportar sobre los incid implementación de un programa de seguridad y no es efectivo para establecer u de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento
II
La evaluación de los riesgos de TI se logra MEJOR:
II
La falta de controles adecuados de seguridad representa:
Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidades o cuantitativos de evaluación del riesgo. Las opciones B, C y D son potencialm proceso de evaluación del riesgo, pero por sí mismas no son suficientes. Basar un pasadas no reflejará de manera adecuada los cambios inevitables a los activos, al entorno estratégico de la empresa. Probablemente también hay problemas de los datos de pérdida disponibles a ser evaluados. Las organizaciones compa
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La falta de controles adecuados de seguridad representa una vulnerabilidad, exponie sensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hacke consecuencia la pérdida de información sensitiva, que podría conducir a la pér
66/74
II
La función de establecimiento del libro mayor/mayor general (general ledger) en un paquete El establecimiento de períodos contables es una de las actividades críticas de la empresarial (ERP) permite fijar períodos contables. El acceso a esta función ha sido permitido a losacceso a esta función al personal en el almacén y en el ingreso de órdenes podría usuarios en finanzas, almacén e ingreso de órdenes. La razón MÁS probable para dicho amplio políticas y procedimientos apropiados para la segregación adecuada de funciones deberían ser cambiados a intervalos regulares, sino que se deberían establecer acceso es:
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
La participación de la alta gerencia es MÁS importante en el desarrollo de:
Los planes estratégicos proveen la base para asegurar que la empresa cumpla participación de la alta gerencia es crítica para asegurar que el plan logra de m objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamient
II
La velocidad de cambio de la tecnología aumenta la importancia de:
El cambio requiere que se implementen y ejecuten buenos procesos de admini un outsourcing a la función de SI no está directamente relacionado co tecnológico. El personal en un departamento típico de SI está altamente calificad
II
La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las Un método de abajo hacia arriba comienza por definir los requerimientos y polític derivan y se implementan como el resultado de evaluaciones de riesgo. Las políti políticas: desarrollan posteriormente con base en una síntesis de las políticas operativas existe
II
Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para entender:
Un objetivo de control de TI se define como la declaración del resultado deseado o implementando procedimientos de control en una actividad particular de TI. verdaderos para implementar controles y pueden o no ser las mejores prácticas.
II
Los riesgos asociados con recopilar evidencia electrónica es MÁS probable que se reduzcan, en el caso de un e-mail, por una:
Con una política de registros de e-mail bien archivados, es posible el acceso a o la re mails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas de auditoría no resolverían la eficiencia de recuperación de registros, y destru
II
II
Mientras realiza una auditoría de un proveedor de servicio, el Auditor de SI observa que el proveedor Muchos países han establecido reglamentaciones para proteger la confidencialida de servicio ha sometido a outsourcing una parte del trabajo a otro proveedor. Como el trabajo implica mantiene en sus países y/o que es intercambiada con otros países. Donde el proveed outsourcing una parte de sus servicios a otro proveedor de servicios, hay un el uso de información confidencial, la preocupación PRIMARIA del Auditor de SI debe ser que: Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una semana o más para:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Las vacaciones requeridas de una semana o más de duración en la que alguie regular realice la función del puesto de trabajo es a menudo obligatoria para las p reduce la oportunidad de cometer actos indebidos o ilegales, y durante est
67/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor Para asegurar que la organización esté cumpliendo con los aspectos de pr debería tratar primero los requisitos legales y regulatorios. Para cumplir de SI debería PRIMERO revisar: regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada.
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
68/74
La arquitectura de empresa (EA) implica documentar los activos y procesos de T
II
Para asistir a una organización en la planeación de las inversiones de TI, el Auditor de SI debería recomendar el uso de:
5/12/2018
II
II
forma estructurada para facilitar la comprensión, administrar y planear las inver tanto un estado corriente como una representación de un futuro estado optimi
Pre gunta s Modulo I y II - slide pdf.c om
Para ayudar a la administración a alcanzar la alineación entre TI y el negocio, un auditor de SI debería Un scorecard balanceado de TI provee el puente entre los objetivos de TI suplementando la evaluación financiera tradicional con medidas para evaluar la recomendar el uso de: procesos internos y la capacidad de innovar. La autoevaluación del control, el
The scorecard balanceado de TI es una herramienta que provee el puente entre los o Para lograr entender la efectividad de la planeación y la administración de inversiones en activos de TIdel negocio complementando la evaluación financiera tradicional con medidas pa de una organización, un auditor de SI cliente, los procesos internos y la capacidad de innovar. Un modelo de datos de e debería revisar: define la estructura de datos de una organización y la forma en que se interrelaciona
Como el outsourcer compartirá un porcentaje de los ahorros logrados, las bonifica compartir las ganancias proveen un incentive financiero para ir para superar lo contrato y pueden conducir a ahorros en los costos para el cliente. Las frecuen
II
Para minimizar los costos y mejorar los niveles de servicio, ¿un outsourcer debe buscar cuál de las siguientes cláusulas de contrato?
II
Mitigación es la estrategia que dispone la definición e implementación de los Para resolver el riesgo de falta del personal de operaciones para efectuar la copia de respaldo riesgo descrito. Prevención es una estrategia que dispone no implementar ciertas diaria, la administración requiere que el administrador de sistemas firme la salida en la copia de incurrirían en mayor riesgo. Transferencia es la estrategia que dispone comp respaldo diaria. Este es un ejemplo de riesgo:
II
Para soportar las metas de una organización, el departamento de SI debe tener:
II
II
Para asegurar su contribución a la realización de las metas generales de una organiz debe tener planes de largo y corto plazo que sean consistentes con los planes más para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían p
Un administrador de base de datos está realizando las siguientes actividades, ¿cuál de éstas debería ser Como los registros de actividad de la base de datos registran actividades rea de la base de datos, su eliminación debería ser efectuada por una persona qu realizada por una persona diferente? la base de datos. Este es un control compensatorio para ayudar a asegurar que u Un administrador de LAN estaría normalmente restringido de:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Un administrador de LAN no debería tener responsabilidades de progra responsabilidades de usuario final. El administrador de LAN puede reportarse al operación descentralizada, al gerente de usuario final. En las organizaciones peq
69/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
Un auditor de SI debería preocuparse cuando un analista de telecomunicación:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
Las responsabilidades de un analista de telecomunicaciones incluyen requerimien términos de volúmenes corrientes y futuros de transacciones (opción B), evaluar o los tiempos de respuesta de las terminales y las velocidades de transferencia de dat
70/74
II
Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de seguridad de información de la empresa. El auditor de SI debe concluir que:
5/12/2018
II
II
Todos los empleados deben tener conocimiento de la política de seguridad de revelación no intencional de información sensitiva. La capacitación es un control de concientización de la seguridad para los empleados puede prevenir la rev
Pre gunta s Modulo I y II - slide pdf.c om
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e-business probabilidad de que ocurran. Las opciones A, B y D deberían ser discutidas con Information Officer-CIO) y se debería entregar un reporte al director general (Ch en busca de vulnerabilidades. ¿Cuál sería la siguiente tarea?
Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia Cuando se realiza una revisión de los controles generales es importante que un au tema de la segregación de funciones, que está afectada por prácticas de vacaciones de SI relativas al personal debería prestar particular atención a: cumplimiento de vacaciones obligatorias puede variar dependiendo del p
II
Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar:
El plan estratégico de TI existe para respaldar el plan de negocios de la organiz estratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan d
II
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina:
De las opciones, el hardware y el control de acceso de software generalment funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería
específica. De manera similar, la metodología de desarrollo no debería de real pre II
II
II
Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe evaluar El entrenamiento cruzado es un proceso de entrenar más de una persona par procedimiento específico. Esta práctica ayuda a reducir la dependencia de una el riesgo de: planeación de la sucesión. Esto provee el respaldo de personal en el caso de u
Un auditor ha sido asignado para revisar las estructuras de TI y las actividades recientemente La complejidad de las estructuras de TI igualada por la complejidad y entreju seleccionadas (outsourced) para diversos proveedores. ¿Cuál de lo siguiente debería el Auditor de SIgarantías puede afectar o invalidar la efectividad de esas garantías y la certeza razo del negocio serán cubiertas. Todas las otras opciones son importantes, pero no t determinar PRIMERO? Un comité de dirección de SI debe:
Es importante llevar las actas detalladas de los comités de dirección para docu
actividades del incorrecta comité de dirección de SI, la junta directiva informada opción A es porque sólo lay gerencia principal debe o losser niveles alt
II
Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para determinar:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La función de un comité de seguimiento de TI es asegurar que el departamento d misión y los objetivos de la organización. Para asegurar esto, el comité debe dete TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional 71/74
Un caso comprensivo de negocio para cualquier inversión de negocio propuesta rela
II
Un ejemplo de un beneficio directo a derivarse de una propuesta inversión de negocio relacionada con tener beneficios de negocio claramente definidos para permitir el cálculo de los benef TI es: lo general caen en dos categorías: directos e indirectos o suaves. Los beneficios direc
5/12/2018
II
Pre gunta s Modulo I y II - slide pdf.c om
Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y con ampliaLa independencia debería ser constantemente evaluada por el auditor y la geren experiencia gerencial ha aplicado para una posición vacante en el departamento de auditoría deconsiderar factores tales como las relaciones personales, los intereses financiero SI. La determinación de si se debe contratar a esta persona para esta posición debería basarse enresponsabilidades del puesto de trabajo. El hecho que el empleado haya trabaja
La práctica común, cuando es difícil calcular las pérdidas financieras, es tomar un que el gerente afectado por el riesgo define la pérdida financiera en términos de un un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es comp ingresos predecibles, que pueden ser comparados con la inversión que se necesita p
II
Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas financieras que podrían resultar de riesgo. Para evaluar las pérdidas potenciales el equipo debería:
II
Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:
Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva ext provean el liderazgo, las estructuras y procesos organizacionales que aseguren sostiene y extiende las estrategias y objetivos de la organización y que la estrateg
Un método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar:
Derivar políticas de nivel inferior de las políticas corporativas (un método asegurar consistencia en toda la organización y consistencia con otras políticas. para el desarrollo de las políticas operativas se deriva como resultado de la evaluaci
II
II
II
II
Una opción deficiente de contraseñas y transmisión a través de líneas de comunicación no protegidas Las vulnerabilidades representan características de recursos de información que una amenaza. Las amenazas son circunstancias o eventos con el potencial de cau son ejemplos de: información, las probabilidades representan la probabilidad de que ocurra u
Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes es Administrar/Gestionar activamente el cumplimiento de los términos del co externalizados (outsourced) es responsabilidad de la gerencia de TI. El p responsabilidad de la gerencia de TI de la organización? responsabilidad de finanzas. La negociación del acuerdo contractual ya habría o
Una organización que adquirió otros negocios continúa utilizando sus sistemas heredados de EDI, y Los acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de l Mientras que la gerencia debe obtener garantía independiente de cumplimiento, e usa tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito que exista un contrato. Un aspecto de administrar servicios de terceros es prove para la VAN. El auditor de SI debe recomendar a la gerencia que:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
72/74
5/12/2018
Pre gunta s Modulo I y II - slide pdf.c om
II
Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de estructura de correo electrónico, ejecución de políticas, monitoreo y:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
demás de ser una buena práctica, las leyes y regulaciones pueden requerir q nformación que tenga un impacto en los estados financieros. La prevalencia omunicación de correo electrónico es mantenida en el mismo sentido que e ldquo;documento” hace de la retención de correspondencia electrónica u lectrónico generado en el hardware de una organización es propiedad de la o 73/74
5/12/2018
II
orreo electrónico debe resolver la retención de mensajes, considerando tanto mpredecibles. La política debería también ocuparse de la destrucción de correo iempo especificado para proteger la naturaleza y la confidencialidad de los mensaje
Pre gunta s Modulo I y II - slide pdf.c om
Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que:
Outsourcing es un acuerdo contractual por el cual la organización entrega el contr totalidad del procesamiento de información a una parte externa. Esto se hace con fre
o experiencia adicionales que no se obtiene desde el interior de la organización.
II
La falta de controles adecuados de seguridad representa:
http://slide pdf.c om/re a de r/full/pre gunta s-modulo-i-y-ii
La falta de controles adecuados de seguridad representa una vulnerabilidad, exponi sensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hack consecuencia la pérdida de información sensitiva, que podría conducir a la pé (goodwill ) para la organización. Una definición suscinta del riesgo es suministra Gerencia de Seguridad de TI publicadas por la Organización Internacional pa que define el riesgo como el "potencial de que una cierta amenaza se aprov un activo o de un grupo de activos para causar pérdida o daño a los activos." definición son vulnerabilidad, amenaza, activo e impacto. La falta de una funcional este contexto es una vulnerabilidad.
74/74
