Pregunta
I
Después de la investigación inicial, un auditor de auditor de SI as responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna iene motivos para motivos para creer que creer que puede puede estar en estar en presencia presencia cción adicional o si se debe recomendar una investigación. El auditor de SI debe notificar a las autoridades apropiadas dentro de la rganización solamente si ha determinado que los indicadores de fraude son suficientes para suficientes para recomendar una investigación. Normalmente, investigación. Normalmente, de fraude. El auditor de auditor de SI debe: l auditor de SI no tiene autoridad para autoridad para consultar con consultar con un asesor legal externo.
I
La ventaja PRIMARIA de un enfoque continuo de auditoría es que:
I
¿Cuál de las opciones siguientes es la técnica de auditoría MÁS efectiva para identificar iolaciones a la segregación de funciones en na nueva implementación de un sistema de lanificación de recursos de empresa (ERP)?
I
El estatuto de auditoría de SI de una organización debería especificar:
I
Reespuesta adecuada
l uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando se usa en entornos ue comparten el tiempo que procesan un gran número de transacciones, pero dejan muy pocas pistas de papel. La opció es incorrecta ya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la onfiabilidad del sistema mientras está llevando a cabo el procesamiento. La opción B es incorrecta ya que un auditor de SI ormalmente revisaría y daría seguimiento sólo a las deficiencias materiales o errores detectados. La opción D es incorrecta a que el uso de técnicas de auditoría continua depende efectivamente de la complejidad de los sistemas de computadora de una organización. ebido a que el objetivo es identificar violaciones a la segregación de funciones, es necesario definir la lógica que dentificará los conflictos en la autorización. Se podría desarrollar un programa para identificar estos conflictos. Un informe de erechos de seguridad en el sistema de planificación de los recursos de la empresa (ERP) sería voluminoso y requeriría mucho tiempo ara su revisión; por revisión; por lo tanto, esta técnica no es tan efectiva como la creación de un programa. un programa. A medida que las complejidades aumentan, se uelve más difícil verificar la efectividad de los sistemas, y la complejidad no está vinculada por sí sola a la segregación de funciones. Es uena práctica revisar los casos recientes de violación de derechos; sin embargo, pudiera requerir una cantidad de tiempo ignificativa el verdaderamente identificar cuáles identificar cuáles violaciones resultaron realmente de una segregación inapropiada de funciones. l estatuto de auditoría de SI establece el rol de la función de auditoría de sistemas de información. El estatuto debería escribir la autoridad general, el alcance y las responsabilidades de la función de auditoría. Debería ser aprobado por el más alto ivel de gestión y, de estar disponible, por el comité de auditoría. La planificación de corto y largo plazo es responsabilidad de a gestión de auditoría. Los objetivos y el alcance de cada auditoría de SI deberían acordarse en una carta de compromiso. La gestión de uditoría debería desarrollar un desarrollar un plan plan de entrenamiento, basado entrenamiento, basado en el plan el plan de auditoría.
Un auditor de SI está realizando una auditoría a u os estándares de auditoría requieren que un auditor de SI recopile evidencia de auditoría suficiente y apropiada. El auditor descubrió u servidor de copias de respaldo administrado desde roblema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemática de control. En este punto es na ubicación remota. El auditor de SI revisa los emasiado pronto para emitir un hallazgo de auditoría; la acción de solicitar una explicación a la gerencia es aconsejable, pero sería logs de un día y descubre un caso en el cual e ejor recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situación. Una falla de respaldo, que no se ha inicio de sesión en un servidor falló con e stablecido en este punto, es seria si involucra datos críticos. Sin embargo, el asunto no es la importancia de los datos presentes en e esultado de que no se pudo se pudo confirmar los reinicios ervidor donde se detectó un problema, sino la posibilidad de que exista una falla sistemática de control que tenga un impacto en otros
I
Un Contrato de auditoría debería:
n contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a la auditoría e SI. Este contrato no debería cambiar de manera significativa con él tiempo y debería ser aprobado ser aprobado al nivel más alto de la gerencia. E ontrato de auditoría no estaría a un nivel de detalle y por y por lo lo tanto no incluiría objetivos o procedimientos específicos de auditoría.
I
Un auditor de auditor de SI revisa un organigrama PRIMARIAMENTE para: PRIMARIAMENTE para:
n organigrama provee organigrama provee información sobre las responsabilidades y la autoridad de personas de personas en la organización. Esto ayuda al auditor de auditor de SI aber si hay una segregación apropiada de funciones. Un diagrama de flujo de trabajo proporcionaría trabajo proporcionaría información sobre las funciones de iferentes empleados. Un diagrama de red proveerá red proveerá información sobre el uso de diversos canales de comunicación e indicará la conexión de os usuarios a la red.
I
En una auditoría de SI de varios servidores críticos, e auditor quiere auditor quiere analizar las analizar las pistas pistas de auditoría para auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las herramientas siguientes es la MÁS adecuada para adecuada para ealizar esa ealizar esa tarea?
as herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios o del sistema, po jemplo, determinando para lo s documentos prenumerados si los números son secuenciales o incrementales. Las herramientas CASE se san para asistir en el desarrollo de software. El software integrado de recolección de datos (auditoría) se usa para tomar muestras y par roveer estadísticas de producción. Las herramientas heurísticas de escaneo se pueden usar para usar para escanear en busca de virus para indica ódigos posiblemente ódigos posiblemente infectados.
I
Un auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de firewall en Cuando un auditor de SI recomienda un vendedor específico, el gateway perimetral gateway perimetral de red y recomienda un un producto producto de vendedor para para resolver esta resolver esta vulnerabilidad. El auditor de auditor de SI ellos comprometen la independencia profesional. La independencia organizacional no tiene relevancia con respecto al contenido de u o ha ejercido:
I
Un auditor de auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
I
Mientras se planifica se planifica una auditoría, se debe hacer una hacer una evaluación del riesgo para riesgo para proveer: proveer:
I
Un auditor de auditor de SI debe usar muestreo usar muestreo estadístico, y no muestreo de opiniones (no estadístico) cuando:
I
I
I
Un auditor de SI ha importado datos de la base la base de datos del cliente. El paso El paso siguiente para siguiente para confirmar si los datos importados están completos se lleva a cabo:
Un control de revisión de aplicaciones implica la evaluación de los controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades de El Lineamiento de Auditoría de SI G15 de ISACA sobre planifica los estados de auditoría de SI, "Se debe hacer una evaluació del riesgo para proveer aseguramiento razonable de que los puntos Dada una tasa esperada de error y nivel de confianza, el muestreo estadístico es un método objetivo de muestreo, que ayuda a un audito de SI a determinar el tamaño de la muestra y a cuantificar l Comparar los totales de control de los datos importados con los otales de control de los datos originales es el siguiente paso siguiente paso lógico, y que esto confirma la integridad de los datos importados. No es posible
La primera cosa que un auditor de SI debe hacer después hacer después de detecta Mientras lleva a cabo una auditoría, un auditor de auditor de SI detecta la presencia la presencia de un virus. ¿Cuál debe ser el ser el paso paso siguiente del La primera el virus es alertar a la organización sobre su presencia, luego auditor de auditor de SI? esperar su respuesta. La opción A debe ser emprendida después de l Durante la recolección de evidencia forense, ¿cuál de las acciones siguientes tiene MÁS posibilidades MÁS posibilidades de causar la destrucción o corrupción de evidencia en un sistema comprometido?
I
¿Cuál de las opciones siguientes es el beneficio el beneficio clave de la autoevaluación de control (CSA)?
I
¿Cuál de las siguientes formas de evidencia para evidencia para el auditor se auditor se consideraría la MÁS confiable?
Reiniciar el Reiniciar el sistema puede sistema puede causar un causar un cambio en el estado del sistema y la pérdida la pérdida de archivos y evidencia importante almacenados en la emoria. Las otras opciones son acciones apropiadas para apropiadas para preservar preservar la la El objetivo de la autoevaluación de control es inducir a la gerencia del negocio a estar más consciente de la importancia del control interno y de su responsabilidad en términos del
La evidencia obtenida de fuentes externas es por lo genera ás confiable que la obtenida desde dentro de la
I
I
I
Los diagramas de flujo de datos son usados por los Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningún orden jerárquico. Auditores de SI para: El flujo de los datos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos. En una auditoría de una aplicación de inventario,¿qué enfoque proveería la MEJOR evidencia de que las órdenes de compra son
Para determinar la validez de una orden de compra, probar los controles de acceso proveerá la mejor evidencia. Las opciones B y C se basan en enfoques posteriores a los hechos, mientras que la opción D no sirve el propósito porque lo que está en la documentación de sistema puede no ser lo ismo que lo que está ocurriendo.
¿Cuál de los siguientes métodos de muestreo es el El muestreo de atributos es el método primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación de MÁS útil cuando se pone a prueba su cumplimiento? cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalles
I
¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI?
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregación de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusión con la gerencia proveería solo información limitada respecto a la segregación de funciones. Un organigrama no proveería detalles de las funciones de los empleados y la prueba de los derechos de usuario proveería información sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no
I
¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgos siguientes?
Un riesgo de detección está directamente afectado por la selección, por parte del auditor, de los procedimientos y técnicas de auditoría. Los riesgos inherentes por lo general no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compañía. Los riesgos financieros no están afectados por el auditor de SI.
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser
Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Si se emprende una acción después de que comenzó la auditoría y antes de que terminara, el reporte de auditoría debe identificar el hallazgo y describir la acción correctiva tomada. Un reporte de auditoría debe eflejar la situación, tal como ésta existía en el comienzo de la auditoría. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por
I
I
Durante una auditoría de control de cambiosUn proceso de gestión de cambios es crítico para los sistemas de producción de TI.Antes de recomendar que la organización tome alguna otra acción de un sistema en producción, un auditor de(por ejemplo, interrumpir las migraciones, rediseñar el proceso de gestión de cambios), el auditor de SI debería obtener garantía de que los incidentes SI descubre que el proceso de administración eportados se relacionan con deficiencias en el proceso de gestión de cambios y que no fueron causados por algún proceso diferente a la gestión de cambios.
I
¿Cuál de las siguientes opciones sería normalmente La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas B, C y D no serian consideradas confiables. la evidencia MÁS confiable para un auditor?
I
El propósito PRIMARIO de una auditoría forense de TI es:
La opción B describe una auditoría forense. La evidencia recolectada podría utilizarse posteriormente en procesos judiciales. Las auditorías forenses o se limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organización no es el propósito de una auditoría Llegar la conclusión de registró delito sería parte de legal el objetivo de auditoría forense.
I
I
I
I
I
I
I
I
I
El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos técnicos y expone los n auditor de SI está evaluando una red corporativa en busca de una ecursos de la red a la explotación osible penetración por parte de empleados internos. ¿Cuál de los (maliciosa). La barrera técnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de allazgos siguientes debería preocupar MÁS al auditor de SI? suario tengan contraseñas idénticas representa la mayor amenaza. Los módems externos representan un riesgo de seguridad, n auditor de SI que participó en el diseño del plan de continuidad del negocio BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI ebería:
Comunicar la posibilidad de conflicto de interés a la gerencia antes de comenzar la asignación es la respuesta correcta. Se debería comunicar un posible conflicto de interés, que pudiera afectar la independencia del auditor, a la gerencia antes de comenzar la asignación. Rechazar la asignación no es la respuesta correcta, porque se podría aceptar la
ientras revisaba los papeles de trabajo electrónico sensitivos, el auditor La encripción prueba la confidencialidad de los papeles de trabajo electrónicos. Las pistas de auditoría, las aprobaciones de la e SI notó que los mismos no estaban encriptados. Esto podría etapa de auditoría y el acceso a los papeles de trabajo, por sí mismos, no afectan la confidencialidad sino que forman parte del omprometer: otivo para requerir la encripción.
a razón PRIMARIA por la que un auditor de SI realiza un recorrido funcional urante la fase preliminar de una asignación de auditoría es:
Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no requieren que un auditor de SI efectúe un recorrido de proceso. Identificar las debilidades de control no es la razón primaria para el recorrido y ípicamente ocurre en una etapa posterior en la auditoría. Planear pruebas sustantivas se realiza en una etapa posterior de la
l planear una auditoría, el paso MÁS crítico es la identificación de:
Cuando se diseña un plan de auditoría, es importante identificar las áreas de más alto riesgo para determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían haberse considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar las
¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producción.
n auditor de SI evalúa los resultados de prueba de una modificación a un sistem El auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y confirmar los resultados. ue trata con cómputo de pagos. El auditor encuentra que el 50% de los cálculosDespués de que los cálculos hayan sido confirmados, más pruebas pueden ser llevadas a cabo y revisadas. La o coinciden con los totales predeterminados. ¿Cuál de los siguientes es MÁS reparación de reportes, hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmados.
urante una entrevista final, en los casos en que hay desacuerdo con respecto al mpacto de un hallazgo, un auditor de SI debe:
Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de SI elaboré, clarifique de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposición. El objetivo deberia ser mostrar a auditado o descubrir nueva información que el auditor de SI no haya contemplado. Cualquier cosa que parezca
a decisión final de incluir un hallazgo material en un informe de auditoría debe ser El auditor de SI debe tomar la decisión final respecto a qué incluir o excluir del informe de auditoría. Las otras
I
I
A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la organización está usando software que no tiene licencia. En esta situación, el auditor de SI debe:
Cuando hay una indicación de que una organización podría estar usando software sin licencia, el auditor e SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respecto a este asunto, as manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la
¿Cuál de las siguientes técnicas de auditoría en línea es MÁS efectiva para la detección temprana de a técnica de gancho de auditoría implica integrar el código en los sistemas de aplicación para el examen de as transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una errores o irregularidades? rregularidad se salgan de control. Un módulo integrado de auditoría implica integrar software
I
El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos de planilla/nómina para el año anterior. ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?
as características del software generalizado de auditoría incluyen cómputos matemáticos, stratificación, análisis estadístico, verificación de secuencia, verificación de duplicados y recálculos. l auditor de SI, usando software generalizado de auditoría, podría diseñar pruebas apropiadas
I
El éxito de la autoevaluación de control (CSA) depende grandemente de:
l objetivo primario de un programa de autoevaluación de control (CSA) es apalancar la unción de auditoría interna cambiando algunas de las responsabilidad de monitoreo de contro los gerentes de línea de área funcional. El éxito de un programa de CSA depende del grado al que los
I
I
¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? l método basado en el riesgo está diseñado para asegurar que el tiempo de auditoría sea mpleado en las áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está dirigido or un método basado en el riesgo. Los cronogramas de auditoría pueden ser preparados con meses de Durante la etapa de planificación de una auditoría de SI, la meta PRIMARIA de un auditor de SI es: as normas de auditoría de ISACA requieren que un auditor de SI planee el trabajo de auditoría ara resolver los objetivos de auditoría. La opción B es incorrecta porque el auditor no recoge videncia en la etapa de planificación de una auditoría. Las opciones C y D son incorrectas porque no so
I
Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles (control self-assessment-CSA), es que ella:
a CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una evisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la articipación de tanto los auditores como la gerencia de línea. Lo que ocurre es que la función de
I
Cuando selecciona los procedimientos de auditoría, un auditor de SI debe usar su juicio profesional ara asegurar que:
os procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditoría. ara determinar si cualquier procedimiento específico es apropiado, un auditor de SI debe usar u uicio profesional apropiado a las circunstancias específicas. El juicio profesional implica una valuación sub etiva a menudo cualitativa de las condiciones ue sur en en el curso de una auditoría. E
I
¿Cuál de los siguientes es un atributo del método de autoevaluación de control (CSA)?
l método de autoevaluación de control (CSA) hace énfasis en la administración y en la obligación de rendir uentas de desarrollar y monitorear los controles de los procesos de negocio de una organización. Los
I
I
I
La prueba de cumplimiento determina si los controles se están aplicando de acuerdo con las Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 olíticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. ormularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un El muestreo de variables se usa para estimar los valores numéricos, tales como valores de ejemplo de: ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es el sistema automatizado. Las bibliotecas de producción representan ejecutables que están aprobados en pruebas cambia? autorizados para procesar los datos de la organización. Los listados de programa fuente serian intensivos en e Durante una revisión de implementación de una aplicación distribuida multiusuario, e Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencia auditor de SI encuentra debilidades menores en tres áreas-La disposición inicial de parámetrosde debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de está instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se arte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir a
I
Cuando prepara un informe de auditoría, el auditor de SI debe asegurarse que los resultados estén soportados por:
El estándar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditoría suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de S roveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados co
I
Un auditor de SI que entrevista a un empleado de planilla encuentra que las espuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos documentados. Bajo estas circunstancias, el auditor de SI debe:
Si las respuestas dadas a las preguntas de un auditor de SI no están confirmadas por procedimientos documentados o descripciones de puestos de trabajo, el auditor de SI debe expandir el alcance de las ruebas de los controles e incluir más pruebas sustantivas. No hay evidencia de que
I
La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que e enfoque de la línea base aplica meramente un conjunto estándar de protección independientemente de la gerencia de seguridad de información es que éste asegura que: iesgo. Hay una ventaja de costo en no sobreproteger la información. Sin embargo una ventaja aún mayor es Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente completo de cambios de rograma porque la comparación de códigos fuente identificará los cambios. La opción B es incorrecta porque los cambios hechos desde la adquisición de la copia no están incluidos en la copia del software. La opción C es
I
En el proceso de evaluar los controles de cambio de programa, un auditor de SI usaría software de comparación de código fuente para:
I
El Software genérico de auditoría (GAS) permite al auditor revisar todo el archivo de facturas para ¿Cuál de las opciones siguientes debería utilizar un auditor de SI para detectar registros duplicados uscar los elementos que cumplan con los criterios de selección. El muestreo de atributos ayuda a de facturas dentro de un archivo maestro de facturas? identificar los registros que cumplen con condiciones específicas, pero no compara un registro co
I
Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. de información. El auditor de SI debe PRIMERO
I
En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe:
s importante que un auditor de SI identifique y evalúe los controles y la seguridad existentes una vez que las menazas potenciales y los impactos posibles están identificados. Al concluirse una auditoría, un auditor de S ebe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
I
Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO evisar:
l primer paso para evaluar los controles de monitoreo de red debe ser la revisión de l decuación de la documentación de red, específicamente los diagramas de topología. Si esta informació o estuviera actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no
I
¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las investigaciones?
l objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las reglas de videncia. La opción B, los ahorros en tiempo y en costos, y la eficiencia y la eficacia, opción C, ficiencia y eficacia, son preocupaciones legítimas y diferencian a los paquetes buenos de los
I
Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de SI:
I
¿Cuál de las opciones siguientes utilizaría un auditor de SI para determinar si se realizaron odificaciones no autorizadas a los programas de producción?
ara determinar que sólo se han realizado modificaciones autorizadas a los programas de roducción, sería necesario revisar el proceso de gestión de cambios para evaluar la existencia de n rastro de evidencia documental. Las pruebas de cumplimiento ayudarían a verificar que e
I
La razón MÁS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de auditoría es:
l alcance de una auditoría de SI está definido por sus objetivos. Esto implica identificar las debilidades de ontrol relevantes para el alcance de la auditoría. Obtener evidencias suficientes y apropiadas ayuda al audito identificar las debilidades de control pero también a documentarlas y validarlas. Cumplir con los
I
El propósito PRIMARIO de las pistas de auditoría es:
abilitar pistas de auditoría ayuda a establecer la obligación de rendir cuentas y la responsabilidad de las ransacciones procesadas, rastreando transacciones a través del sistema. El objetivo de habilitar software par roveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que esto implica a menudo u
I
I
e puede comprometer la independencia si el auditor de sistemas está o ha estado involucrado ctivamente en el desarrollo, adquisición, e implementación del sistema de aplicación. Las opciones B C son situaciones que no comprometen la independencia del auditor de sistemas. La opción D es
Cuando desarrolla una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo l desarrollar una estrategia de auditoría basada en el riesgo, es crítico que los riesgos y las vulnerabilidades ean entendidos. Esto determinará las áreas a ser auditadas y el grado de cobertura. Entender si está na evaluación del riesgo para asegurar que: stablecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son correctos es:
na prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales, os datos y otra información. Llevar a cabo un conteo físico del inventario de cintas es una prueba sustantiva.
I
Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER aso sería:
onitorear el tiempo (la opción A) y auditar los programas (opción D), así como también un entrenamiento decuado (opción B) mejorarán la productividad del personal de auditoría de SI (eficiencia y esempeño), pero lo que entrega valor a la organización son los recursos y esfuerzos que se dedican a,
I
El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisión es:
l propósito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisión s llegar a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas con el cierre ormal de una auditoría, son de importancia secundaria.
I
l grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado irectamente con el alcance y el propósito de la auditoría. Una auditoría que tenga un propósito y un asado en: lcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos,
I
El riesgo general del negocio para una amenaza en particular se puede expresar como:
a opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee la ejor medida del riesgo para un activo. La opción B provee únicamente la probabilidad de que una menaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo.
I
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI?
l uso de software no autorizado o ilegal debe estar prohibido en una organización. La piratería de software iene como consecuencia la exposición inherente y puede resultar en severas multas. El auditor de SI debe onvencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un
I
¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo electrónico se han convertido en una fuente útil de evidencia en litigios?
os archivos de respaldo contienen documentos, que supuestamente han sido borrados, podrían ser ecuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar uenta de la emisión de un documento en particular, pero esto no provee evidencia del correo Electrónico. Las
I
¿Cuál de las siguientes es una prueba sustantiva?
na prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva eterminaría si los registros de la biblioteca de cintas están establecidos correctamente. Una prueba e cumplimiento determina si se están aplicando los controles de una forma consistente con las
I
Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría orque:
na facilidad de prueba integrada se considera una herramienta útil de auditoría porque usa los mismos rogramas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica stablecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra la
I
Cuando se realiza una investigación forense de computadora, con respecto a la evidencia ecolectada, la MAYOR preocupación de auditor de SI debe
a preservación y documentación de evidencia para revisión por el organismo de cumplimiento y las utoridades judiciales son la preocupación primaria cuand o se lleva a cabo una investigación. No preservar
I
I
I
I
Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió umerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros ombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría:
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de documentación de red. Otras funciones serían el acceso del usuario a diversos recursos de de las siguientes es una función de usuario que el auditor de SI debe revisar? anfitriones (hosts) de red, la autorización del usuario a tener acceso a recursos particulares y la
El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
¿Cuál de las siguientes técnicas de auditoría ayudaría MÁS a un auditor a determinar si ha habido cambios no autorizados de programa desde la última actualización autorizada de programa?
I
Un auditor de SI que evalúa los controles de acceso lógico debe PRIMERO:
I
Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está restringido a las personas autorizadas, lo MÁS probable es que:
I
Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR método para probar la corrección de un cálculo de impuestos. La revisión visual detallada, l creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos, y los totales mensuales
Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de datos a través del sistema de computadora. La opción B es incorrecta ya que los controles correctivos de un proceso, un auditor de SI debería estar consciente: ueden ser también relevantes. La opción C es incorrecta ya que los controles correctivos eliminan o reduce
I
I
Como el nombre no es el mismo (debido a variaciones de los primeros nombres), un método ara detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones Y podría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de los
Una comparación automática de códigos es el proceso de comparar dos versiones del ejemplo de programa ara determinar si las dos corresponden. Es una técnica eficiente porque es un procedimiento automático. Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones Cuando evalúa los controles de acceso lógico, un auditor de SI debe primero obtener un entendimiento del riesgo de seguridad que enfrenta el procesamiento de información revisando la documentación relevante, mediante averiguaciones, y llevando a cabo na evaluación del ries o. La documentación la evaluación es el se undo aso ara determinar la Preguntar a los programadores sobre los procedimientos que se están siguiendo actualmente es til para determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. Evaluar los planes de retención de registros para almacenamiento fuera de las
Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la rocedimientos de seguridad documentados. El auditor de SI debe: organización está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, s
¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
No reportar una intrusión es equivalente a un auditor de SI que esconde una intrusión maliciosa, lo cual sería un error profesional. A pesar de que puede requerirse la notificación a la policía y que la falt
I
I
¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI?
¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo os archivos de respaldo contienen documentos, que supuestamente han sido borrados, podrían ser ecuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de da lectrónico se han convertido en una fuente útil de evidencia en litigios? uenta de la emisión de un documento en particular, pero esto no provee evidencia del correo Electrónico. Las
I
¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las nvestigaciones?
I
¿Cuál de las siguientes es una prueba sustantiva?
I
¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable?
I
o reportar una intrusión es equivalente a un auditor de SI que esconde una intrusión maliciosa, o cual sería un error profesional. A pesar de que puede requerirse la notificación a la policía y que l alta de un examen periódico de derechos de acceso podría ser una preocupación, ellos no
l objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las eglas de evidencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y la eficacia, opció C, son preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes deficientes de na prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva eterminaría si los registros de la biblioteca de cintas están establecidos correctamente. Una rueba de cumplimiento determina si se están aplicando los controles de una forma consistente a evidencia obtenida de fuentes externas es por lo general más confiable que la obtenida esde dentro de la organización. Las cartas de confirmación recibidas desde el exterior, como por jemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables.
¿Cuál de las siguientes herramientas de auditoría es la MÁS importante para un auditor de SI cuando na herramienta de instantánea (snapshot) es más útil cuando se requiere una pista de auditoría. ITF puede sarse para incorporar transacciones de prueba en una corrida normal de producción. CIS es útil cuando las e requiere una pista de auditoría? ransacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de auditoría son útiles
I
¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable para un auditor?
a evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas , C y D no serian consideradas confiables.
I
¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada na muestra de programas para determinar si las versiones fuentes y las versiones objeto son as mismas?
na prueba de cumplimiento determina si los controles están operando como se diseñaron y s stán siendo aplicados en tal forma que cumplan con las políticas y procedimientos de gerencia. or ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas
I
¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa
a mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es
I
¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o irregularidades?
La técnica del gancho de auditoría implica integrar código en los sistemas de aplicación para el examen de ransacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. Un modulo integrado de auditoría implica integrar software escrito especialmente en e
I
¿Cuál de los métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimiento?
El muestreo de atributos es el método primario de muestreo que se usa para comprobar el cumplimiento. E uestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de un calidad especifica (atributo) en una población y se usa en la comprobación de cumplimiento
I
¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?
La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), que es un proceso de auditoría especializado asistido por computadora que permite que auditor de SI pruebe una aplicació de manera continua. La respuesta B es un ejemplo de un archivo de revisión de control de
I
¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?
I
La eficacia de los datos de prueba está determinada por la extensión de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones válidas y no válidas, ha n riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en e ro rama or el eríodo cubierto or la auditoría ueden haberse efectuado ara de urar o ara funcionalidades
¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? El método basado en el riesgo está diseñado para asegurar que el tiempo de auditoría se empleado en las áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está dirigido or un método basado en el riesgo. Los cronogramas de auditoría pueden ser preparados con meses de
I
¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)?
Los objetivos de los programas CSA incluyen la educación para la gerencia de línea en responsabilidad de control, seguimiento y concentración de todos en las áreas de alto riesgo. Los objetivos de los rogramas de CSA incluyen el aumento de las responsabilidades de auditoría, no el reemplazo
I
¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueb simultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los datos de prueba deben se
I
I
¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de Durante la planeación, el auditor de SI debería obtener una visión general de las funciones que están siendo auditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D son parte del proceso de trabajo seguridad del centro de datos? de campo de la auditoría que ocurre posterior a esta planeación y preparación. La opción C no es parte de un La prueba de integridad de dominio está dirigida a verificar que los datos se ajusten a las ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinas definiciones, i.e., los elementos de datos están todos en los dominios correctos. El objetivo principa
I
¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgos siguientes?
Un riesgo de detección está directamente afectado por la selección, por parte del auditor, de los procedimientos y écnicas de auditoría. Los riesgos inherentes por lo general no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compañía. Los riesgos
I
¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI?
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregación de
I
A través de todas las fases de un trabajo de auditoría, el Auditor de SI debe concentrarse en:
A través de todas las fases de la auditoría de SI, el auditor debe asegurarse que haya documentación adecuada. La ecolección de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditoría; or ejemplo, la fase de reporte no requiere la recolección de evidencias, sino que utilizaría las evidencias
I
Al llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el siguiente paso del auditor de SI?
Lo primero que un auditor de SI debe hacer después de detectar el virus es alertar sobre su presencia a la organización, luego esperar la respuesta de ésta. La opción A se debe emprender después de la opción C. Esto permitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor
I
Al planear una auditoría, el paso MÁS crítico es la identificación de:
Cuando se diseña un plan de auditoría, es importante identificar las áreas de más alto riesgo para determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían aberse considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la auditoría no
I
Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en última instancia ellos son los responsables ante:
I
I
I
El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hallazgos y para
Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de Para desarrollar una estrategia de auditoría basada en el riesgo, es crítico que se entiendan los iesgos y vulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de la cobertura. Entender SI debe llevar a cabo una evaluación del riesgo para asegurar que: si los controles apropiados requeridos para mitigar los riesgos están instalados es un efecto resultante de
Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO evisar:
El primer paso para evaluar los controles de monitoreo de la red debe ser la revisión de la adecuación de documentación de red, específicamente los diagramas de topología. Si esta información no está actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no serán
Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de
I
I
I
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es dentificar:
l primer paso y el más crítico en el proceso es identificar las áreas de alto riesgo dentro de la rganización. Los gerentes del departamento de negocios y altos ejecutivos están en las mejores posiciones ara ofrecer una opinión respecto a estas áreas. Una vez que las áreas potenciales de implementación haya
Cuando se realiza una investigación forense de computadora, respecto a las evidencias recolectadas a preservación y la documentación de evidencias a ser revisadas por las autoridades policiales y judiciales n auditor de SI debe preocuparse MÁS s una preocupación primaria cuando se lleva a cabo una investigación. No preservar las evidencias e: ebidamente, podría poner en peligro la aceptación de las evidencias en los procesos legales. El análisis, la
Cuando se seleccionan procedimientos de auditoría, el Auditor de SI debe usar su juicio profesional ara asegurar que:
os procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditoría. Para eterminar si algún procedimiento específico es apropiado, el Auditor de SI debe usar su juicio profesiona propiado para las circunstancias específicas. Juicio profesional implica una evaluación subjetiva y a menudo ualitativa de las condiciones ue sur en en el curso de una auditoría. El uicio se ocu a de un área ris donde
I
urante la etapa de planeación de una auditoría de SI, la meta PRIMARIA del auditor es:
as normas de auditoría de ISACA requieren que un auditor de SI planee el trabajo de auditoría ara alcanzar los objetivos de auditoría. La opción B es incorrecta porque el auditor no recoge videncias en la etapa de planeación de una auditoría. Las opciones C y D son incorrectas porque
I
urante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había rocedimientos de seguridad documentados. El auditor de SI debe:
no de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, e étodo más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la organizació stá siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, su independencia
I
urante una revisión de implementación de una aplicación distribuida multiusuario, e as debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencia uditor de SI encuentra debilidades menores en tres áreas-La disposición inicial de parámetros e debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de stá instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se arte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir a ntender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que ada una de las otras entidades enumeradas puede suministrar alguna definición la mejor elección aquí es l gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los
I
urante una revisión de los controles sobre el proceso de definir los niveles de ervicios de TI, un auditor de SI entrevistaría MÁS robablemente al:
I
urante una revisión de un archivo maestro de clientes, un auditor de SI descubrió umerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros ombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría:
Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un método ara detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones odría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de los
I
l departamento de SI de una organización quiere asegurarse de que los archivos de computadora
os objetivos de control de SI especifican el conjunto mínimo de controles para asegurar la eficiencia
l objetivo primario de un programa de CSA es repaldar la función de auditoría interna pasando algunas de las esponsabilidades de monitoreo de control a los gerentes de línea del área funcional. El éxito de u rograma de autoevaluación de control (CSA) depende del grado en el que los gerentes de línea
I
l éxito de la autoevaluación de control (CSA) depende en gran medida de:
I
l grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado asado en:
I
l MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
reparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es e EJOR método para probar la corrección de un cálculo de impuestos. La revisión visual detallada, la reación de diagramas de flujo y el análisis de código fuente no son métodos efectivos, y los totales mensuales
I
l objetivo PRIMARIO de una función de auditoría de SI es:
a razón primaria para llevar a cabo auditorías de SI es determinar si un sistema salvaguarda los ctivos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los rocesos involucrados en una auditoría de SI pero no es el propósito primario. Detectar fraudes
I
l propósito PRIMARIO de las pistas de auditoría es:
abilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas y la responsabilidad de las ransacciones procesadas, rastreando transacciones a través del sistema. El objetivo de habilitar software par roveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que esto implica a menudo u
I
l propósito PRIMARIO de un contrato de auditoría es:
l contrato de auditoría típicamente establece la función y la responsabilidad del departamento de uditoría interna. Debería establecer los objetivos de la gerencia y la delegación de autoridad a epartamento de auditoría. Este se cambia muy pocas veces y no contiene el plan de auditoría o
I
l riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya ste es un ejemplo de riesgo de detección. ue los errores materiales no existen cuando en realidad existen, es un ejemplo de:
I
l riesgo general del negocio para una amenaza en particular se puede expresar como:
I
l uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo:
l grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse irectamente con el alcance y el propósito de la auditoría. Una auditoría que tenga un propósito y u lcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos,
a opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee l ejor medida del riesgo para un activo. La opción B provee únicamente la probabilidad de que un menaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. l riesgo de detección es el riesgo de que el auditor de SI use un procedimiento inadecuado de rueba y concluya que los errores materiales no existen, cuando en realidad sí existen. Usando
I
I
l vicepresidente de recursos humanos ha solicitado una auditoría para identificar los obrepagos de planilla/nómina para el año anterior. ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?
as características del software generalizado de auditoría incluyen cómputos matemáticos, stratificación, análisis estadístico, verificación de secuencia, verificación de duplicados y recálculos. l auditor de SI, usando software generalizado de auditoría, podría diseñar pruebas apropiadas para
n el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado s importante que un auditor de SI identifique y evalúe los controles y la seguridad existentes una vez que las menazas potenciales y los impactos posibles están identificados. Al concluirse una auditoría, un auditor de S menazas e impactos potenciales. Inmediatamente después, un auditor de SI debe: ebe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
I
n el proceso de evaluar los controles de cambio de programa, un auditor de SI usaría software de omparación de código fuente para:
l auditor tiene una garantía objetiva, independiente y relativamente completa de cambio de programa, ya que a comparación del código fuente identificará los cambios. La opción B no es cierta, ya que los cambios hechos esde la adquisición de la copia no están incluidos en la copia del software. La opción C no es cierta ya que e
I
n los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un allazgo, el auditor de SI debe:
i los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor de I elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecie otalmente la magnitud de la exposición. La meta debe ser explicar a los auditados o descubrir
I
n un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una:
l primer paso en un enfoque de auditoría basada en el riesgo es recolectar información sobre el negocio la industria para evaluar los riesgos inherentes. Después de realizar la evaluación de los riesgos inherentes, l siguiente paso sería realizar una evaluación de la estructura de control interno. Los controles seria
n un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaría nfluenciado por la:
a existencia de controles internos y operativos tendrá un peso sobre el enfoque de la auditoría por e uditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente e l riesgo, sino también en los controles internos y operativos así como también en el conocimiento
I
n un servidor crítico, un auditor de SI descubre un caballo de Troya que fue roducido por un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientes debería hacer PRIMERO un auditor?
a prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debería sugerir controles orrectivos, i.e., eliminar el código. El auditor de SI no es responsable de investigar el virus. El audito e SI puede analizar la información del virus y determinar si éste ha afectado el sistema operativo, pero est
I
n una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría ara descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las erramientas siguientes es la MÁS adecuada para realizar esa tarea?
as herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios del sistema, por ejemplo, determinando para los documentos prenumerados si los números so ecuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. E
I
n una auditoría de una aplicación de inventario, ¿qué método proveerá la MEJOR evidencia de que
ara determinar la validez de la orden de compra, probar los controles de acceso proveerá la mejor evidencia
I
I
La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementación de los controles necesarios. El auditor de SI debería:
En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicio a la independencia para llevar a cabo auditorías posteriores en el área del auditado. Un auditor de SI puede realizar asignaciones que no sean de auditoría cuando la experiencia y conocimientos del auditor pueden ser de utilidad
I
La evaluación de riesgos es un proceso:
El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la planeación de auditoría expresa: “Todas las metodologías de análisis de riesgo se basan en juicios subjetivos en ciento momento de roceso (por ejemplo, para asignar ponderaciones a los diversos parámetros.) El auditor de SI debe
I
La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto de desarrollo de aplicaciones es:
La función del auditor de SI es asegurar que estén incluidos los controles requeridos. A menos que esté presente específicamente como un consultor, el auditor de SI no debería participar en diseños detallados. Durante la fase de diseño, la función primaria del auditor de SI es asegurar que estén incluidos los
I
I
I
I
La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessment- Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y e CSA) debe ser la de: cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que e enfoque de la línea base aplica meramente un conjunto estándar de protección independientemente de la gerencia de seguridad de información es que éste asegura que: iesgo. Hay una ventaja de costo en no sobreproteger la información. Sin embargo una ventaja aún mayor es
La razón PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase reliminar de una asignación de auditoría es:
Entender el proceso de negocio es el primer paso que el Auditor de SI necesita realizar. Los estándares no equieren que el auditor realice un recorrido del proceso. Identificar las debilidades de los controles o es la razón primaria para el recorrido y ocurre típicamente en una etapa posterior en la auditoría,
La norma sobre responsabilidad, autoridad y obligación de rendir cuentas expresa “La La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los esponsabilidad autoridad, y obligaciones de rendir cuentas de la función de auditoría de los sistemas sistemas de información están debidamente documentadas en una carta o contrato de auditoría de información deben ser debidamente documentadas en una carta de auditoría o carta (Audit Charter) y DEBEN ser: El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de ransacciones, pero dejan muy pocas pistas de papel. La opción A es incorrecta ya que el enfoque
I
La ventaja PRIMARIA de un enfoque continuo de auditoría es que:
I
Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establece: “Se
I
Los diagramas de flujo de datos son usados por los Auditores de SI para:
Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningún orden jerárquico. El flujo de los
I
Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER aso sería:
Monitorear el tiempo (A) y los programas de auditoría (D), así como también una capacitación adecuada (B) mejorará la productividad del personal de auditoría de SI (eficiencia y desempeño), ero lo que entrega valor a la organización son los recursos y esfuerzos que se están
I
Para determinar la suma de dólares de los cheques emitidos a cada vendedor en un período especificado, el Auditor de SI debe usar:
El software generalizado de auditoría facilitará la revisión de todo el archivo para buscar los objetos que satisfagan los criterios de selección. El software generalizado de auditoría provee acceso a los datos y provee las características de cómputo, estratificación, etc. El simulacro paralelo procesa los datos
I
Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas, lo MÁS probable es que un auditor de SI utilice:
El software generalizado de auditoría facilitara la revisión de todo el archivo de inventario para buscar los ubros que cumplan los criterios de selección. El software generalizado de auditoría provee acceso directo a los datos y provee funciones de cómputo, estratificación, etc. Los datos de prueba son usados para verificar
I
Respecto al muestreo, se puede decir que:
El muestreo estadístico cuantifica que tan aproximadamente debería una muestra representar a la población, por lo general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede descender. El muestreo es generalmente aplicable cuando la población se refiere a u
I
Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a:
La planeación estratégica pone en movimiento los objetivos corporativos o departamentales. La planeación estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudar a determinar rioridades para satisfacer las necesidades del negocio. Revisar los planes estratégicos a largo
I
Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:
Se puede comprometer la independencia si el auditor de sistemas está o ha estado involucrado activamente en el desarrollo, adquisición, e implementación del sistema de aplicación. Las opciones B C son situaciones que no comprometen la independencia del auditor de sistemas. La opción D es
I
Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando:
I
Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del
Dada una tasa de error esperado y un nivel de confianza, el muestreo estadístico es un método objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamaño de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). La opción B es incorrecta porque el riesgo de
Las debilidades de control de contraseña significan que cualquiera de las otras tres opciones
I
I
I
I
I
I
I
I
I
Un Auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de irewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productos esuelva esta vulnerabilidad. El auditor no ha ejercido:
Cuando un auditor de SI recomienda un vendedor específico, ellos comprometen su independencia rofesional. La independence organizacional no tiene relevancia para el contenido de un reporte de auditoría debe considerarse en el momento de aceptar el compromiso. Las competencias técnica y profesional no son
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de documentación de red. Otras funciones serían el acceso del usuario a diversos recursos de de las siguientes es una función de usuario que el auditor de SI debe revisar? anfitriones (hosts) de red, la autorización del usuario a tener acceso a recursos particulares y la
Un auditor de SI está evaluando una red corporativa en busca de una posible enetración por parte de empleados internos. ¿Cuál de los hallazgos siguientes debería reocupar MÁS al auditor de SI?
El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos técnicos expone los recursos de la red a la explotación (maliciosa). La barrera técnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los módems externos representan u
La prueba de cumplimiento determina si los controles se están aplicando de acuerdo con las Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 formularios olíticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. “nuevo usuario” más recientes fueron correctamente autorizados. Este es un ejemplo El muestreo de variables se usa para estimar los valores numéricos, tales como valores de de: Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos de información. El auditor de SI debe PRIMERO elacionados con el uso de activos de información deben ser evaluados aisladamente de los evisar:
Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata co El auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y confirmar cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totaleslos resultados. Después de que los cálculos hayan sido confirmados, más pruebas pueden ser redeterminados. ¿Cuál de los siguientes es MÁS probable que sea el siguiente paso en la auditoría? llevadas a cabo y revisadas. La preparación de reportes, hallazgos y recomendaciones no se haría hasta que Un auditor de SI ha evaluado los controles en busca de la integridad de los datos e Este es el hallazgo más significativo ya que afecta directamente la integridad de los datos de la aplicación y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de na aplicación financiera. ¿Cuál de los hallazgos siguientes sería el MÁS significativo? rocesamiento. A pesar de que las copias de respaldo sólo una vez por semana es un hallazgo, ello no afecta la Comparar los totales de control de los datos importados con los totales de control de los datos originales es e Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar siguiente paso lógico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la si los datos importados están completos se lleva a cabo: otalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el
Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas Si las respuestas que se dieron a las preguntas del auditor no fueran confirmadas por los
I
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI?
El uso de software no autorizado o ilegal debe estar prohibido en una organización. La piratería de software iene como consecuencia la exposición inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. U
I
Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
Un control de revisión de aplicaciones implica la evaluación de los controles automatizados de l aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no forman parte de una
I
Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. Un diagrama de flujo de rabajo proporcionaría información sobre las funciones de diferentes empleados. Un diagrama de re
I
Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe En ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a probar los controles para ve de auditoría anterior, sin documentos de trabajo. su efectividad. Sin volver a probar el auditor no estará ejerciendo el debido cuidado profesional mientras ¿Cómo debe proceder el auditor de SI? ealiza la auditoría. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad de volver
I
Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está restringido a las personas autorizadas, lo MÁS probable es que:
Preguntar a los programadores sobre los procedimientos que se están siguiendo actualmente es til para determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. Evaluar los planes de retención de registros para almacenamiento fuera de las
I
Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles (control self-assessment-CSA), es que ella:
La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una evisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere l articipación de tanto los auditores como la gerencia de línea. Lo que ocurre es que la función de
I
Un Contrato de auditoría debería:
Un contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a la auditoría de SI. Este contrato no debería cambiar de manera significativa con él tiempo debería ser aprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un nivel de detalle
I
Un elemento clave en un análisis de riesgo es /son:
Las vulnerabilidades son un elemento clave en la realización de un análisis de riesgo. La planeación de l auditoría está constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de información. Los controles mitigan los riesgos asociados con amenazas específicas.
I
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificació Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Si se emprende un
I
Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría orque:
Una facilidad de prueba integrada se considera una herramienta útil de auditoría porque usa los mismos rogramas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra la
I
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son correctos, es:
Una prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las transacciones individuales, de los datos o de otra información. Un conteo físico del inventario de cintas es una prueba sustantiva. Las opciones A, B y D son pruebas de cumplimiento.
I
I
I
La prueba de cumplimiento determina si los controles se están aplicando de acuerdo con las Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 olíticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. ormularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un ejemplo El muestreo de variables se usa para estimar los valores numéricos, tales como valores de de:
¿Las decisiones y las acciones de un auditor es MáS probable que afecten a cuál de los riesgos siguientes?
Un riesgo de detección está directamente afectado por la selección, por parte del auditor, de los procedimientos y écnicas de auditoría. Los riesgos inherentes por lo general no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compañía. Los riesgos
La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicio a la independencia para llevar a cabo auditorías posteriores en el área del auditado. Un auditor de SI puede realizar asignaciones implementación de los controles necesarios. El auditor de SI debería: que no sean de auditoría cuando la experiencia y conocimientos del auditor pueden ser de utilidad
I
El riesgo general del negocio para una amenaza en particular se puede expresar como:
La opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee la ejor medida del riesgo para un activo. La opción B provee únicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo.
I
¿Cuál de las siguientes es una prueba sustantiva?
Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva determinaría si los registros de la biblioteca de cintas están establecidos correctamente. Una prueba de cumplimiento determina si se están aplicando los controles de una forma consistente con las
I
El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo:
I
¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo?
El riesgo de detección es el riesgo de que el auditor de SI use un procedimiento inadecuado de rueba y concluya que los errores materiales no existen, cuando en realidad sí existen. Usando uestreo estadístico, un auditor de SI puede cuantificar con qué aproximación debe la muestra e resentar a la oblación debe cuantificar la robabilidad de error. El ries o de muestreo es el ries o de ue El método basado en el riesgo está diseñado para asegurar que el tiempo de auditoría sea
I
El objetivo PRIMARIO de una función de auditoría de SI es:
La razón primaria para llevar a cabo auditorías de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los rocesos involucrados en una auditoría de SI pero no es el propósito primario. Detectar fraudes
I
Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debería emprender el auditor de SI?
El uso de software no autorizado o ilegal debe estar prohibido en una organización. La piratería de software iene como consecuencia la exposición inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un
I
Un elemento clave en un análisis de riesgo es /son:
Las vulnerabilidades son un elemento clave en la realización de un análisis de riesgo. La planeación de la auditoría está constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de información. Los controles mitigan los riesgos asociados con amenazas específicas.
I
Un Contrato de auditoría debería:
Un contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a la auditoría de SI. Este contrato no debería cambiar de manera significativa con él tiempo debería ser aprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un nivel de detalle y
I
En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaría influenciado por la:
I
La existencia de controles internos y operativos tendrá un peso sobre el enfoque de la auditoría por e auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en e iesgo, sino también en los controles internos y operativos así como también en el conocimiento de
La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que e enfoque de la línea base aplica meramente un conjunto estándar de protección independientemente del riesgo. gerencia de seguridad de información es que éste asegura que: Hay una ventaja de costo en no sobreproteger la información. Sin embargo una ventaja aún mayor es
I
¿Cuál de los métodos de muestreo es el MáS útil cuando se pone a prueba su cumplimiento?
El muestreo de atributos es el método primario de muestreo que se usa para comprobar el cumplimiento. El uestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación de cumplimiento para
I
El propósito PRIMARIO de un contrato de auditoría es:
El contrato de auditoría típicamente establece la función y la responsabilidad del departamento de auditoría interna. Debería establecer los objetivos de la gerencia y la delegación de autoridad al departamento de auditoría. Este se cambia muy pocas veces y no contiene el plan de auditoría o
I
¿Cuál de las siguientes es la razón MáS probable de por qué los sistemas de correo
Los archivos
de respaldo
contienen documentos,
que supuestamente han sido borrados, podrían ser
I
I
I
I
I
l departamento de SI de una organización quiere asegurarse de que los archivos de computadora sados en la instalación de procesamiento de información, estén respaldados adecuadamente para ermitir la recuperación apropiada. Este es un:
os objetivos de control de SI especifican el conjunto mínimo de controles para asegurar la eficiencia fectividad en las operaciones y funciones dentro de una organización. Los procedimientos de control se esarrollan para proveer una garantía razonable de que se lograran los objetivos específicos. Un contro
e asigna a un auditor de sistemas para que realice una revisión de un sistema de plicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber omprometido la independencia del auditor de sistemas? El auditor de sistemas:
e puede comprometer la independencia si el auditor de sistemas está o ha estado involucrado activamente n el desarrollo, adquisición, e implementación del sistema de aplicación. Las opciones B y C so ituaciones que no comprometen la independencia del auditor de sistemas. La opción D es
a ventaja PRIMARIA de un enfoque continuo de auditoría es que:
¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)?
l uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema uando se usa en entornos que comparten el tiempo que procesan un gran numero de ransacciones, pero dejan muy pocas pistas de papel. La opción A es incorrecta ya que el enfoque
os objetivos de los programas CSA incluyen la educación para la gerencia de línea en responsabilidad de ontrol, seguimiento y concentración de todos en las áreas de alto riesgo. Los objetivos de los rogramas de CSA incluyen el aumento de las responsabilidades de auditoría, no el reemplazo
na prueba de cumplimiento determina si los controles están operando como se diseñaron y si está ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada iendo aplicados en tal forma que cumplan con las políticas y procedimientos de gerencia. Po na muestra de programas para determinar si las versiones fuentes y las versiones objeto son las jemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas está ismas?
I
l propósito PRIMARIO de las pistas de auditoría es:
I
l riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya ue los errores materiales no existen cuando en realidad existen, es un ejemplo de:
I
n un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una:
I
especto al muestreo, se puede decir que:
abilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas y la responsabilidad de las ransacciones procesadas, rastreando transacciones a través del sistema. El objetivo de habilitar software para roveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que esto implica a menudo u
ste es un ejemplo de riesgo de detección.
l primer paso en un enfoque de auditoría basada en el riesgo es recolectar información sobre el negocio a industria para evaluar los riesgos inherentes. Después de realizar la evaluación de los riesgos inherentes, e iguiente paso sería realizar una evaluación de la estructura de control interno. Los controles serian entonces l muestreo estadístico cuantifica que tan aproximadamente debería una muestra representar a la población, por
I
I
I
I
I
I
I
La evaluación de riesgos es un un proceso: proceso:
El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la planeación de auditoría expresa: "Todas las metodologías de análisis de riesgo se basan se basan en juicios en juicios subjetivos en ciento momento del roceso (por ejemplo, para asignar ponderaciones asignar ponderaciones a los diversos parámetros.) El auditor de SI debe
La norma sobre responsabilidad, autoridad y obligación de rendir cuentas expresa "La La responsabilidad, autoridad y obligación de rendir cuentas rendir cuentas de las funciones de auditoría de los esponsabilidad autoridad, y obligaciones de rendir cuentas de la función de auditoría de los sistemas de sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit información deben ser debidamente documentadas en una carta de auditoría o carta compromiso." Las Charter) y DEBEN ser: Revisar los Revisar los planes planes estratégicos a largo plazo largo plazo de la gerencia ayuda al auditor de auditor de SI a:
La planeación estratégica pone en movimiento los objetivos corporativos o departamentales. La planeación estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudar a determinar rioridades para satisfacer las necesidades del negocio. Revisar los planes estratégicos a largo plazo
Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. Los información. El auditor de SI debe PRIMERO iesgos relacionados con el uso de activos de información deben ser evaluados aisladamente de evisar:
Al planear Al planear una una auditoría, el paso el paso MáS crítico es la identificación de:
Cuando se diseña un plan de auditoría, es importante identificar las áreas de más alto riesgo para determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían aberse considerado antes de decidir y decidir y de escoger la escoger la auditoría. Los pasos Los pasos de prueba de prueba para para la auditoría no son tan
Un beneficio Un beneficio PRIMARIO para PRIMARIO para una organización que emplea técnicas de auto evaluación de controles La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una evisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la (control self-assessment—CSA), es que ella: articipación de tanto los auditores como la gerencia de línea. Lo que ocurre es que la función de El grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado ser determinado directamente con el alcance y el propósito de la auditoría. Una auditoría que tenga un propósito y un asado en: alcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos, El primer paso y el más crítico en el proceso es identificar las áreas de alto riesgo dentro de la organización. Los gerentes del departamento de negocios y altos ejecutivos están en las mejores posiciones ara ofrecer una opinión respecto a estas áreas. Una vez que las áreas potenciales áreas potenciales de implementación hayan
I
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso paso de un auditor de auditor de SI es identificar:
I
Los análisis de riesgos realizados por realizados por los auditores de SI son un factor crítico factor crítico para para la planeación la planeación de La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establece: "Se debe hacer un análisis de riesgo para proveer garantía razonable de que se abarcaran adecuadamente los puntos la auditoría. Se debe hacer análisis del riesgo
I
La función PRIMARIA de un auditor de auditor de SI durante la fase de diseño del sistema de un un proyecto proyecto de desarrollo de aplicaciones es:
La función del auditor de SI es asegurar que estén incluidos los controles requeridos. A menos que esté presente específicamente como un consultor, el auditor de SI no debería participar en diseños detallados. Durante la fase de diseño, la función primaria del auditor de SI es asegurar que asegurar que estén incluidos los
I
En una auditoría de SI de varios servidores críticos, el auditor quiere auditor quiere analizar las analizar las pistas pistas de auditoría ara descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las erramientas siguientes es la MáS adecuada para adecuada para realizar esa realizar esa tarea?
Las herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de suarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los números son secuenciales o incrementales. Las herramientas CASE se usan para asistir en asistir en el desarrollo de software. E
I
La prueba de integridad de dominio está dirigida a verificar que los datos se ajusten a las ¿Cuál de los siguientes podría siguientes podría ser usado ser usado por por un un auditor de auditor de SI para SI para validar la validar la efectividad de las rutinas definiciones, i.e., los elementos de datos están todos en los dominios correctos. El objetivo principa de edición y de validación? de este ejercicio es verificar que las rutinas de edición y de validación están funcionando de maner
I
Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicación financiera. ¿Cuál de los hallazgos siguientes sería el MáS significativo?
Este es el hallazgo más significativo ya que afecta directamente la integridad de los datos de la aplicación y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de rocesamiento. A pesar de pesar de que las copias de respaldo sólo una vez por vez por semana es un hallazgo, ello no afect
I
Un auditor de SI está evaluando una red corporativa en busca de una posible enetración por parte de empleados internos. ¿Cuál de los hallazgos siguientes debería reocupar MáS reocupar MáS al auditor de auditor de SI?
El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos técnicos expone los recursos de la red a la explotación (maliciosa). La barrera La barrera técnica es baja es baja y el impacto puede impacto puede ser muy ser muy elevado; por elevado; por lo lo tanto, el hecho de que muchos IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. mayor amenaza. Los módems externos representan u
I
En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue roducido por un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientes debería hacer PRIMERO hacer PRIMERO un auditor?
La prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debería sugerir controles correctivos, i.e., eliminar el eliminar el código. El auditor de SI no es responsable de investigar el investigar el virus. El audito de SI puede SI puede analizar la analizar la información del virus y determinar si determinar si éste ha afectado el sistema operativo, pero operativo, pero est
I
¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software usar software forense de computación para computación para las investigaciones?
El objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las eglas de evidencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y la eficacia, opció C, son preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes deficientes de
I
Comparar los totales de control de los datos importados con los totales de control de los datos originales es Un auditor de SI ha importado datos de la base la base de datos del cliente. El paso El paso siguiente para siguiente para confirmar el siguiente paso siguiente paso lógico, ya que esto confirma la integridad de los datos importados. No es posible es posible confirmar l confirmar l si los datos importados están completos se lleva a cabo: otalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en e
I
El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos de planilla/nómina el año anterior.
Las características del software generalizado de auditoría incluyen cómputos matemáticos, estratificación, análisis estadístico, verificación de secuencia, verificación de duplicados y recálculos.
I
I
I
Durante una auditoría de seguridad de procesos de procesos de TI, un auditor de SI encontró que no había Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la rocedimientos de seguridad documentados. El auditor de auditor de SI debe: organización está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, su
¿Cuál de los siguientes es el MAYOR desafío MAYOR desafío al utilizar datos utilizar datos de prueba? de prueba?
La eficacia de los datos de prueba de prueba está determinada por la extensión de la cobertura de todos los controles clave a ser probados. probados. Si los datos de prueba no cubren todas las condiciones válidas y no válidas, hay u iesgo de que la debilidad de control relevante pueda relevante pueda seguir sin seguir sin ser detectada. ser detectada. Los cambios en el programa, or el eríodo cubierto or la auditoría ueden haberse efectuado ara de urar o ara funcionalidades
En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado Es importante que un auditor de SI identifique y evalúe los controles y la seguridad existentes una vez que las amenazas potenciales amenazas potenciales y los impactos posibles impactos posibles están identificados. Al concluirse una auditoría, un auditor de SI amenazas e impactos potenciales. Inmediatamente después, un auditor de auditor de SI debe: debe describir y describir y discutir con discutir con la gerencia las amenazas y los impactos potenciales impactos potenciales sobre los activos.
I
¿Cuál de las siguientes debe ser la ser la MAYOR preocupación para preocupación para un auditor de auditor de SI?
No reportar una intrusión es equivalente a un auditor de SI que esconde una intrusión maliciosa, lo cual sería un error profesional. A pesar de que puede requerirse la notificación a la policía y que la falta de un examen periódico de derechos de acceso podría ser una preocupación, ellos no representan
I
Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistaría MáS robablemente al:
Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que cada una de las otras entidades enumeradas puede suministrar alguna definición la mejor elección aquí es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona esta persona sobre los
I
¿Cuál de las siguientes opciones sería normalmente la evidencia MáS confiable para confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas B, C y D no serian consideradas confiables.
I
¿Cuál de los siguientes describe MEJOR una MEJOR una prueba prueba integrada (integrated test facility—ITF)?
La respuesta A describe mejor una prueba integrada (integrated test facility—ITF), que es n proceso de auditoría especializado asistido por computadora que permite que auditor de SI pruebe na aplicación de manera continua. La respuesta B es un ejemplo de un archivo de revisión de control de
I
I
Cuando se evalúa el efecto colectivo de los controles preventivos controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de datos a través del sistema de computadora. La opción B es incorrecta ya que los controles correctivos de un proceso, un auditor de SI debería estar consciente: estar consciente: ueden ser también ser también relevantes. La opción C es incorrecta ya que los controles correctivos eliminan o reduce
Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del
Las debilidades de control de contraseña significan que cualquiera de las otras tres opciones
I
I
I
¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un epartamento de SI?
urante una revisión de un archivo maestro de clientes, un auditor de SI descubrió umerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros ombres del cliente. Para determinar la extensión de la duplicación, el auditor de SI usaría:
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregación de funciones
Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un método ara detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones odría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de lo
¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es el sistema automatizado. Las bibliotecas de producción representan ejecutables que están aprobados ruebas cambia? autorizados para procesar los datos de la organización. Los listados de programa fuente serian intensivos en e
I
na prueba integrada (integrated test facility—ITF) se considera una herramienta útil de uditoría porque:
Una facilidad de prueba integrada se considera una herramienta útil de auditoría porque usa los mismos rogramas para comparar el procesamiento usando datos calculados de manera independiente. Esto implic establecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra l
I
ara identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho emanas, lo MáS probable es que un auditor de I utilice:
El software generalizado de auditoría facilitara la revisión de todo el archivo de inventario para buscar los ubros que cumplan los criterios de selección. El software generalizado de auditoría provee acceso directo a lo datos y provee funciones de cómputo, estratificación, etc. Los datos de prueba son usados para verifica
I
os diagramas de flujo de datos son usados por los Auditores de SI para:
I
¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MáS confiable?
Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningún orden jerárquico. El flujo de los dato La evidencia obtenida de fuentes externas es por lo general más confiable que la obtenida desde dentro de la organización. Las cartas de confirmación recibidas desde el exterior, como por ejemplo las sadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueb
I
n auditor de SI revisa un organigrama PRIMARIAMENTE para:
Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. Un diagrama de flujo de rabajo proporcionaría información sobre las funciones de diferentes empleados. Un diagrama de red proveer
I
n auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál
Las funciones
de usuario de sistema operativo de red incluyen
la disponibilidad
en línea de
I
¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de Durante la planeación, el auditor de SI debería obtener una visión general de las funciones que están siendo auditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D son parte del proceso de trabajo seguridad del centro de datos? de campo de la auditoría que ocurre posterior a esta planeación y preparación. La opción C no es parte de una
I
Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está restringido a las personas autorizadas, lo MáS probable es que:
Preguntar a los programadores sobre los procedimientos que se están siguiendo actualmente es til para determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. Evaluar los planes de retención de registros para almacenamiento fuera de las
I
¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)?
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los datos de prueba deben ser
I
I
¿Cuál de las siguientes herramientas de auditoría es la MáS importante para un auditor de SI cuando Una herramienta de instantánea (snapshot) es más útil cuando se requiere una pista de auditoría. ITF puede sarse para incorporar transacciones de prueba en una corrida normal de producción. CIS es útil cuando las se requiere una pista de auditoría? ransacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de auditoría son útiles cuando Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata conEl auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y confirmar cómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totaleslos resultados. Después de que los cálculos hayan sido confirmados, más pruebas pueden ser redeterminados. ¿Cuál de los siguientes es MáS probable que sea el siguiente paso en la auditoría? llevadas a cabo y revisadas. La preparación de reportes, hallazgos y recomendaciones no se haría hasta que
I
El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:
Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR método para probar la corrección de un cálculo de impuestos. La revisión visual detallada, la creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos, y los totales mensuales
I
Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría:
Un control de revisión de aplicaciones implica la evaluación de los controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no forman parte de una
I
Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en última instancia ellos son los responsables ante:
El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hallazgos y para
I
Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de hallazgo debería reportado. El auditor debe:
Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Si se emprende una acción después de que comenzó la auditoría y antes de que terminara, el reporte de auditoría debe
I
Durante una revisión de implementación de una aplicación distribuida multiusuario, e as debilidades individualmente son de menor importancia, sin embargo, juntas tienen e auditor de SI encuentra debilidades menores en tres áreas—La disposición inicial de otencial de debilitar sustancialmente la estructura general de control. Las opciones A y D refleja arámetros está instalada incorrectamente, se están usando contraseñas débiles na falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control.
I
La función tradicional de un auditor de SI en una autoevaluación de control (control selfassessment—CSA) debe ser la de
I
Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe de auditoría anterior, sin documentos de trabajo. ¿Cómo debe proceder el auditor de SI?
I
Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales e control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y e liente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez n ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a probar los controles para er su efectividad. Sin volver a probar el auditor no estará ejerciendo el debido cuidado profesiona ientras realiza la auditoría. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesida
Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor ara desarrollar una estrategia de auditoría basada en el riesgo, es crítico que se entiendan los iesgos y vulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de la cobertura. de SI debe llevar a cabo una evaluación del riesgo para asegurar que: ntender si los controles apropiados requeridos para mitigar los riesgos están instalados es un efecto i los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor e SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecie otalmente la magnitud de la exposición. La meta debe ser explicar a los auditados o
I
En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un allazgo, el auditor de SI debe:
I
El éxito de la autoevaluación de control (CSA) depende en gran medida de:
l objetivo primario de un programa de CSA es repaldar la función de auditoría interna pasando algunas de as responsabilidades de monitoreo de control a los gerentes de línea del área funcional. El éxito de n programa de autoevaluación de control (CSA) depende del grado en el que los gerentes de
I
Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER aso sería:
onitorear el tiempo (A) y los programas de auditoría (D), así como también una capacitació decuada (B) mejorará la productividad del personal de auditoría de SI (eficiencia y desempeño), ero lo que entrega valor a la organización son los recursos y esfuerzos que se está
I
I
En una auditoría de una aplicación de inventario, ¿qué método proveerá la MEJOR evidencia de que ara determinar la validez de la orden de compra, probar los controles de acceso proveerá la mejor videncia. Las opciones B y C están basadas en métodos posteriores al hecho, y la opción D no sirve las órdenes de compra son válidas? l propósito porque lo que está en la documentación del sistema puede no ser lo mismo que
Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando:
ada una tasa de error esperado y un nivel de confianza, el muestreo estadístico es u étodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamaño de la muestr
I
¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o rregularidades?
a técnica del gancho de auditoría implica integrar código en los sistemas de aplicación para el examen de ransacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se ale de control. Un modulo integrado de auditoría implica integrar software escrito especialmente en e
I
Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMERO evisar:
l primer paso para evaluar los controles de monitoreo de la red debe ser la revisión de l decuación de documentación de red, específicamente los diagramas de topología. Si esta información no stá actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no será
I
l llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el iguiente paso del auditor de SI?
o primero que un auditor de SI debe hacer después de detectar el virus es alertar sobre su presencia a l rganización, luego esperar la respuesta de ésta. La opción A se debe emprender después de la opción C sto permitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. E
I
os riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan, en el aso de un e-mail, por una:
Con una política de registros de e-mail bien archivados, es posible el acceso a o la recuperación de registros de -mails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas de seguridad y/o olíticas de auditoría no resolverían la eficiencia de recuperación de registros, y destruir e-mails
I
¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de esempeño/performancia de TI?
n proceso de medición del desempeño/performancia de TI puede usarse para optimizar el esempeño/performancia, medir y administrar productos servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un
I
a ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las olíticas:
n método de abajo hacia arriba comienza por definir los requerimientos y políticas de nivel operativo, que e derivan y se implementan como el resultado de evaluaciones de riesgo. Las políticas a nivel de la empres e desarrollan posteriormente con base en una síntesis de las políticas operativas existentes. Las opciones A, C
I
ara soportar las metas de una organización, el departamento de SI debe tener:
ara asegurar su contribución a la realización de las metas generales de una organización, el departamento de S ebe tener planes de largo y corto plazo que sean consistentes con los planes más amplios de l rganización para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían planes par
I
n comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para eterminar:
a función de un comité de seguimiento de TI es asegurar que el departamento de SI esté en armonía con l isión y los objetivos de la organización. Para asegurar esto, el comité debe determinar si los procesos e TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta,
I
esde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
esde una perspectiva de control, la descripción de un trabajo debe establecer responsabilidad eber de reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los usuarios acceso a
I
l efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de I es:
ebe existir un comité de seguimiento para asegurar que las estrategias de TI soporten las metas de l rganización. La ausencia de un comité de tecnología de información o un comité no compuesto de ltos gerentes sería una indicación de falta de participación de la alta gerencia. Esta condición aumentaría e
I
¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
na investigación de los antecedentes es el método primario para asegurar la integridad de u rospectivo miembro del personal. Las referencias son importantes y sería necesario verificarlas, pero o son tan fiables como la investigación de los antecedentes. La fianza está referenciando al cumplimiento de
I
¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para ropiedad de datos y de sistemas?
in una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos ay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando e hecho esa persona no debería tener autorización. La asignación de autoridad para otorgar acceso
I
l objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:
I
os objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para ntender:
n objetivo de control de TI se define como la declaración del resultado deseado o el propósito a ser alcanzado mplementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos erdaderos para implementar controles y pueden o no ser las mejores prácticas. Las técnicas son el medio de
l revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:
a integración de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado ientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco para el plan de corto plazo de I. Las opciones B, C y D son áreas cubiertas por un plan estratégico.
I
I
¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una egregación inadecuada de funciones?
I
¿Cuál de los siguientes es una función de un comité de dirección de SI?
I
a velocidad de cambio de la tecnología aumenta la importancia de:
a orientación del negocio debe ser el tema principal al implementar la seguridad. Por ello na auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las olíticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de
as reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros jemplos de controles compensatorios son las bitácoras de transacciones, las pruebas de razonabilidad, as revisiones independientes y las pistas de auditoría tales como bitácoras de consola, bitácoras de biblioteca l comité de dirección de SI típicamente sirve como una junta general de revisión para los principales royectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es probar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI. El control de l cambio requiere que se implementen y ejecuten buenos procesos de administración ambios. Hacer outsourcing la función de SI está directamente relacionado
de l
I
I
na organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y sa tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo scrito de VAN. El auditor de SI debe recomendar a la gerencia que:
os acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de los requerimientos xternos. Mientras que la gerencia debe obtener garantía independiente de cumplimiento, ello no se uede lograr hasta que exista un contrato. Un aspecto de administrar servicios de terceros es provee
¿Cuál de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un a inactividad de SI como por ejemplo el tiempo improductivo, es tratada por los reportes de disponibilidad stos reportes proveen los períodos de tiempo durante los cuales la computadora estuvo disponible par equerimiento de acuerdo de nivel de servicio er utilizada por los usuarios o por otros procesos. Los reportes de utilización documentan el uso de SLA) para tiempo productivo?
I
a implementación de controles eficientes en costos en un sistema automatizado es en última nstancia responsabilidad de:
s responsabilidad de la gerencia de unidad de negocio implementar controles eficientes en costos en u istema automatizado. Ellos son el mejor grupo en una organización que sabe qué activos de nformación necesitan ser asegurados en términos de disponibilidad, confidencialidad e
I
n auditor de SI encuentra que no todos los empleados tienen conocimiento de la olítica de seguridad de información de la empresa. El auditor de SI debe concluir que:
odos los empleados deben tener conocimiento de la política de seguridad de la empresa para prevenir l evelación no intencional de información sensitiva. La capacitación es un control preventivo. Los rogramas de concientización de la seguridad para los empleados puede prevenir la revelación no
I
n auditor de SI revisa un organigrama PRIMARIAMENTE para:
n organigrama provee información sobre las responsabilidades y la autoridad de personas en l rganización. Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. Un diagram e flujo de trabajo proporcionaría información sobre las funciones de diferentes empleados. Un diagram
I
¿Cuál de las siguientes funciones debe ser realizada por los dueños de aplicación para asegurar na segregación adecuada de tareas entre SI y los usuarios finales?
l dueño de aplicación es responsable de autorizar el acceso a los datos. El desarrollo y programación de plicaciones son funciones del departamento de SI. En forma similar, el análisis de sistemas debe se fectuado por personas calificadas de SI que tengan conocimientos de SI y de los requerimientos
I
Cuando un empleado es despedido de su servicio, la acción MáS importante es:
xiste una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de cceso, por lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acción más mportante que se debe emprender. Todo el trabajo del empleado terminado necesita ser entregado
I
I
¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo l departamento de IS debe considerar específicamente la forma en que se asignan los recursos n el corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de l ara el departamento de IS? dministración, en lugar de concentrarse en la tecnología por la tecnología en sí misma. Llevar a cabo estudios
¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?
a planeación estratégica pone en movimiento objetivos corporativos o departamentales. La planeació
I
El paso inicial para establecer un programa de seguridad de información es:
Una declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.
I
¿Cuál de los siguientes se encontraría normalmente en los manuales ejecución de aplicaciones?
Los manuales de ejecución de aplicaciones deberían incluir acciones que deben ser emprendidas por un operador cuando ocurre un error. Los documentos fuente y el código fuente son irrelevantes para el operador. A pesar de que los diagramas de flujo de datos pueden ser útiles, los diagramas detallados
I
I
De las funciones siguientes, ¿cuál es la función MáS importante que debe realizar la administración En un ambiente de outsourcing, la compañía depende del desempeño del proveedor del servicio. Por esta razón, es crítico que se monitoree el desempeño del proveedor de outsourcing para asegurar que éste preste a la de TI cuando se ha dado un servicio para realizarse por outsourcing? compañía los servicios que se requieran. El pago de las facturas es una función financiera que se haría por ¿Cuál de las siguientes funciones sería una preocupación si se efectuara junto con administración de Un administrador de sistema realiza diversas funciones usando el admin/raíz o un login equivalente. Este login permite al administrador de sistema tener un acceso ilimitado a los recursos del sistema. El único sistemas? control sobre las actividades del administrador de sistema es la pista de auditoría del sistema, es por eso que
I
El establecimiento de períodos contables es una de las actividades críticas de la función de finanzas. Otorgar #################################################################################acceso a esta función al personal en el almacén y en el ingreso de órdenes podría ser a causa de una falta ############################ de políticas y procedimientos apropiados para la segregación adecuada de funciones. Los períodos
I
¿Cuál de los siguientes procedimientos detectaría en forma MáS efectiva la carga de paquetes de software ilegal a una red?
I
La verificación periódica de los discos duros sería el método más efectivo de identificar los aquetes de software ilegal cargados a la red. El software antivirus no identificará necesariamente e software ilegal a menos que el software contenga un virus. Las estaciones de trabajo sin disco duro actúa
Cuando se ha diseñado una política de seguridad de información, lo MáS importante es que la política Para ser efectiva, una política de seguridad de información debería llegar a todos los miembros de ersonal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable de seguridad de información sea: ero de poco valor si su contenido no es conocido por los empleados de la organización. La La gerencia debería asegurar que todos los activos de información (datos y sistemas) tengan u ropietario designado que tome las decisiones sobre clasificación y derechos de acceso. Los ropietarios de sistema típicamente delegan la custodia cotidiana al grupo de entrega /operaciones de
I
La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre los activos de información reside en:
I
#################################################################################Es imperativo que se establezcan procedimientos formales escritos de aprobación para establecer la
I
a responsabilidad y las líneas de reporte no pueden siempre ser establecidas cuando se auditan istemas automatizados ya que:
A causa de la naturaleza diversificada tanto de datos como de sistemas de aplicación, puede ser difícil establecer el verdadero propietario de los datos y de las aplicaciones.
I
¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa la strategia de una organización? Que:
La planeación estratégica pone en movimiento objetivos corporativos o departamentales Tanto los lanes estratégicos a largo plazo como a corto plazo deberían ser consistentes con los planes más amplios de la organización y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta
I
n administrador de datos es responsable de:
Un administrador de datos es responsable de definir los elementos de datos, nombres de datos, y su elación. Las opciones A, C y D son funciones de un administrador de base de datos administrador de base de datos (DBA).
I
l desarrollo de una política de seguridad de SI es resposabilidad de:
A diferencia de otras políticas corporativas, el marco de la política de seguridad de sistemas es responsabilida de la dirección general, la junta directiva. El departamento de SI es responsable de la ejecución de la olítica, no teniendo ninguna autoridad en el enmarcado de la política. El comité de segurida
I
I
¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad de nformación incluiría, para manejar las intrusiones sospechosas?
Una política sana de seguridad de SI es más probable que esboce un programa de respuesta para anejar las intrusiones sospechosas. Los programas de corrección, detección y monitoreo son todos aspectos de seguridad de información, pero probablemente no serán incluidos en una declaración de política
Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cuándo y si las ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede actividades de la organización se han desviado de los niveles planeados o de los esperados. Estos métodos eterminar cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los estándares e los esperados? Los programas de producción se usan para procesar los datos reales y corrientes de la empresa. Es imperativo asegurar que los controles de los cambios a los programas de producción sean tan estrictos como para los programas originales. La falta de control en esta área podría tener como resultado que los ro ramas de a licación sean modificados de manera ue mani ulen los datos. A los ro ramadores de
I
¿Cuál de las siguientes situaciones aumentaría la probabilidad de fraude?
I
################################################################################La primera y más importante responsabilidad del auditor de SI es advertir a la alta gerencia ############################# sobre el riesgo que implica hacer que el administrador de seguridad realice una función de operaciones. Esta es una violación de la separación de funciones. El auditor de SI no debería participar en el
I
uchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una más
Las vacaciones requeridas de una semana o más de duración en la que alguien que no sea el empleado egular realice la función del puesto de trabajo es a menudo obligatoria para las posiciones
I
I
El grupo de garantía de calidad (quality assurance) es típicamente responsable de:
El grupo de garantía de calidad es típicamente responsable de asegurar que los programas, cambios de rogramas y documentación se adhieran a las normas establecidas. La opción A es la responsabilidad del grupo de control de datos, la opción B es responsabilidad de operaciones de computadora, y la opción D es
¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer La mejor forma de manejar las cintas magnéticas obsoletas es desmagnetizarlas, porque esta acción impide la divulgación no autorizada o accidental de información, y también impide que las cintas de ellas? obsoletas vuelvan a ser utilizadas. Sobrescribir o borrar las cintas puede ocasionar errores Es importante llevar las actas detalladas de los comités de dirección para documentar las decisiones y las actividades del comité de dirección de SI, y la junta directiva debe ser informada a su debido tiempo. La opción A es incorrecta porque sólo la gerencia principal o los niveles altos del personal deben
I
Un comité de dirección de SI debe:
I
Un administrador de base de datos es responsable de:
Un administrador de base de datos es responsable de crear y controlar la base de datos lógica y ísica. Definir la propiedad de datos recae en el jefe del departamento de usuario o en la alta gerencia s los datos son comunes para la organización. La gerencia de SI y el administrador de datos son responsables de
I
La participación de la alta gerencia es MáS importante en el desarrollo de:
Los planes estratégicos proveen la base para asegurar que la empresa cumpla sus metas y objetivos. La participación de la alta gerencia es crítica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamientos
I
¿Cuál de los siguientes controles de ingreso de datos provee la MAYOR garantía de que los datos ingresados no contienen errores?
I
Un administrador de LAN estaría normalmente restringido de:
Un administrador de LAN no debería tener responsabilidades de programación pero puede tener esponsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, en una operación descentralizada, al gerente de usuario final. En las organizaciones pequeñas, el administrador de
I
Un auditor de SI está revisando la función de administración de base de datos para determinar si se ha hecho la disposición adecuada para controlar los datos. El auditor de SI debería determinar que:
El auditor de SI debería determinar que las responsabilidades de la función de administración de ase de datos no sólo están bien definidas sino también garantizan que el administrador de base de datos (DBA) se reporte directamente al gerente de SI o al ejecutivo para proveer independencia,
I
La verificación de llave o verificación uno a uno rendirá el grado más alto de confianza de que los datos ingresados están libres de error. Sin embargo, esto podría ser impráctico para grandes cantidades de datos. La segregación de funciones de ingreso de datos proveniente de la verificación de ingreso de datos es un control
La independencia debería ser constantemente evaluada por el auditor y la gerencia. Esta evaluación ################################################################################# debería considerar factores tales como las relaciones personales, los intereses financieros y previas
I
I
I
I
I
I
I
¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de La responsabilidad primaria del auditor de SI es asegurar que los activos de la compañía estén siendo u procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas roveedor? restigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y probado. na probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de ervicios de datos es que:
n auditor de SI debería preocuparse cuando un analista de telecomunicación:
¿Cuál de los siguientes es un control sobre las actividades de administración de base de datos?
n auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste efina:
Outsourcing es un acuerdo contractual por el cual la organización entrega el control sobre una parte o sobre la totalidad del procesamiento de información a una parte externa. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organización. Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de ed en términos de volúmenes corrientes y futuros de transacciones (opción B), evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red Para asegurar la aprobación de la gerencia de las actividades de administración de base de datos y para ejercer control sobre la utilización de herramientas de base de datos, debería haber una revisión de supervisión de los registros de acceso. Las actividades de administración de base de datos incluyen entre otras, puntos de De las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras la uncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería una obligación contractua específica. De manera similar, la metodología de desarrollo no debería de real preocupación. El contrato
Un analista de sistemas no debe realizar tareas de garantía de calidad (QA, siglas de los términos e ¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un inglés) ya que podría obstaculizar la independencia, debido a que el analista de sistemas es parte del equipo nalista de sistemas, debido a la falta de controles compensatorios? que desarrolla /diseña el software. Un analista de sistemas puede realizar las otras funciones. El mejor e em lo es un & uot ro ramador ciudadano& uot . Un ro ramador ciudadano nombre relacionado n auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organización. Para evaluar el plan estratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan de egocios.
I
n una organización pequeña, un empleado realiza operaciones de computadora y, cuando a situación lo exige, programa modificaciones. ¿Cuál de lo siguiente debería recomendar el auditor de SI?
Mientras que se preferiría que la estricta separación de funciones se cumpliera y que se reclutara ersonal adicional, como se sugiere en la Opción B, esta práctica no es siempre posible en las organizaciones pequeñas. El auditor de SI debe buscar procesos alternativos recomendados. De las
I
¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?
La política de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada or la alta gerencia. Incluye una definición de las personas autorizadas para otorgar acceso y la base para
I
I
Además de ser una buena práctica, las leyes y regulaciones pueden requerir que una organización mantenga na política exhaustiva y efectiva de correo electrónico debería resolver los problemas información que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la e estructura de correo electrónico, ejecución de políticas, monitoreo y: comunicación de correo electrónico es mantenida en el mismo sentido que el formulario oficial de
na organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes Administrar/Gestionar activamente el cumplimiento de los términos del contrato para los servicios externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una s responsabilidad de la gerencia de TI de la organización? esponsabilidad de finanzas. La negociación del acuerdo contractual ya habría ocurrido y por lo genera
I
n una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de El auditor debe primero evaluar la definición del nivel mínimo de línea base para I debe PRIMERO asegurar: asegurar la idoneidad de los controles. La documentación, la implementación y el cumplimiento son otros pasos adicionales.
I
as operaciones de TI para una gran organización han sido externalizadas outsourced). ¿Un auditor de SI que revisa la operación externalizada debe estar MáS reocupado por cuál de los hallazgos siguientes?
I
La falta de una provisión de recuperación de desastre presenta un riesgo importante de negocio. Incorporar una disposición de este tipo en el contrato proporcionará a la organización que realiza e "outsourcing" una influencia sobre el proveedor de servicio. Las opciones B, C y D son
################################################################################Mover los servidores puede ocasionar una interrupción del negocio y debe posponerse hasta que la ecuperación de desastre sea incluida en el contrato de outsourcing. Las opciones A, C y D deben ############################# considerarse durante el desarrollo de las provisiones viables de recuperación de desastre y después que e
I
e los siguientes, ¿qué es lo MáS importante cuando se evalúan los servicios prestados por un roveedor de servicios de Internet (ISP)?
Un contrato de nivel de servicio provee la base para una evaluación adecuada del grado en el que el proveedor está satisfaciendo el nivel de servicio acordado. Las opciones A, C y D no serían la ase para una evaluación independiente del servicio.
I
a implementación de controles de acceso requiere PRIMERO:
El primer paso para implementar un control de accesos es un inventario de los recursos de SI, que es la base para la clasificación. El etiquetado de los recursos no puede hacerse sin primero determinar las clasificaciones de los recursos. La lista de control de accesos (ACL) no se haría si
I
n auditor de SI que realiza una revisión de los controles generales de las prácticas de erencia de SI relativas al personal debería prestar particular atención a:
Cuando se realiza una revisión de los controles generales es importante que un auditor de SI preste atenció al tema de la segregación de funciones, que está afectada por prácticas de vacaciones /feriados. Las políticas el cumplimiento de vacaciones obligatorias puede variar dependiendo del país y de la industria. Las
I
¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos El auditor de SI debería buscar una verificación independiente que el ISP pueda realizar las tareas n la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de que están siendo contratadas. Las referencias de otros clientes proveerían una revisión
I
I
II
II
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de S Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificación de SI/TI con los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son métodos efectivos para determinar si los planes de SI están en armonía con los objetivos del negocio y con Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor Para asegurar que la organización esté cumpliendo con los aspectos de privacidad, un audito de SI debería tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos de SI debería PRIMERO revisar: legales y regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Después de entende Una compañía está implementando un protocolo dinámico de configuración de anfitrión Dado el acceso físico a un puerto, cualquiera puede conectarse a la red interna. Las otras opciones no (Dynamic Host Configuration Protocol-DHCP). Dado que existen las siguientes condiciones, ¿cuá resentan la exposición que presenta el acceso a un puerto. DHCP provee conveniencia (una ventaja) ara los usuarios de laptop. Compartir las direcciones de IP y la existencia de un firewal epresenta la MAYOR preocupación? #################################################################################En un gateway WAP, los mensajes encriptados/cifrados provenientes de los clientes deben se desencriptados/descifrados para transmitir a la Internet y viceversa. Por lo tanto, si el gateway es ############################ afectado, todos los mensajes estarían expuestos. SSL protege los mensajes de sniffing en la Internet
II
Una parte esencial de diseñar una base de datos para procesamiento paralelo es el esquema de divisió Para maximizar el desempeño (performance) de una base de datos grande en un ambiente paralelo (partitioning). Como las grandes bases de datos están indexadas, los indices independientes deben tambié de procesamiento, ¿cuál de los siguientes se usa para separar los índices? estar divididos para maximizar el desempeño/performancia. Hashing es un método usado para dividir
II
¿Cuál de los siguientes impedirá tuplas colgantes (dangling tuples) en una base de datos?
La integridad de referencia asegura que una llave/clave extraña en una tabla sea igual a cero o al valor de una rimaria en la otra tabla. Por cada tupla en una tabla que tenga una clave referenciada /extraña, debe haber un upla correspondiente en otra tabla, es decir, por la existencia de todas las claves extrañas en las tablas
II
¿Cuál de los siguientes reduce MEJOR la capacidad de un dispositivo de capturar los paquetes que están destinados a otro dispositivo?
Los switches están en el nivel más bajo de seguridad de red y transmiten un paquete a dispositivo al que está dirigido. Esto reduce la capacidad de un dispositivo de capturar los paquetes que están destinados a otro dispositivo. Los filtros permiten cierto aislamiento básico de tráfico de
II
El objetivo de control de concurrencia en un sistema de base de datos es:
Los controles de concurrencia impiden problemas de integridad de datos, que pueden surgir cuando dos procesos de actualización acceden al mismo elemento de dato al mismo tiempo. Los controles de acceso restringen la actualización de la base de datos a los usuarios autorizados; y a los
II
En un sistema de administración de base de datos (DBMS) la ubicación de los datos y el método de ener acceso a los datos es provista por:
Un sistema de directorio describe la ubicación de los datos y el método de acceso. Un diccionario de datos contiene un índice y la descripción de todos los elementos almacenados en la base de datos. Los
II
En un sistema cliente-servidor, ¿cuál de las siguientes técnicas de control se usa para inspeccionar la actividad de los usuarios conocidos o desconocidos?
Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividades de usuarios conocidos o desconocidos y pueden identificar direcciones de clientes, que pueden asistir en encontrar evidencia de acceso no autorizado. Esto sirve como un control de detección. Las estaciones de trabajo sin disco
II
Un beneficio de Calidad de Servicio (QoS) es que:
La principal función de QoS es optimizar el desempeño/performancia de la red asignando prioridad a las aplicaciones del negocio y a los usuarios finales a través de la asignación de partes dedicadas del ancho de banda a tráfico específico. La opción A no es cierta porque la comunicación misma no mejorará, sino
II
Cuando se revisan los parámetros del sistema, la PRINCIPAL preocupación de un auditor de SI, debería ser que:
La principal preocupación es encontrar el balance entre seguridad y desempeño/performancia. Registra los cambios en una pista de auditoría y revisarla periódicamente es un control de detección; si embargo, si no se establecen los parámetros conforme a reglas del negocio, es posible que el monitoreo
II
El MAYOR riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su sistema, en lugar de a través de la aplicación, es que los usuarios pueden:
Tener acceso a la base de datos podría proveer acceso a las utilerías de la base de datos, lo cual puede actualizar la base de datos sin una pista de auditoría y sin usar la aplicación. El utilizar SQL, sólo provee acceso a lectura de la información [Nota: El primitivo SQL era solamente un lenguaje de consulta , ahora- aunque h
II
#################################################################################La función de resecuenciación de los paquetes (segmentos) recibidos en desorden es realizada por la capa ############################ de transporte. Ni la red, ni las capas de sesión o aplicación se encargan de la resecuenciación.
II
Verificar si hay líneas base (baselines) de software autorizado es una actividad realizada dentro de cuál de las siguientes?
La administración de la configuración da cuenta de todos los componentes de TI, incluyendo software. La administración de proyectos se encarga del cronograma, administración de recursos astreo del progreso del desarrollo del software. Las administración de problemas registra
II
Para determinar qué usuarios pueden tener acceso al estado de supervisión privilegiado, ¿cuál de los siguientes debe revisar un auditor de SI?
La revisión de los archivos de configuración del sistema para las opciones de control usadas ostrarían cuáles usuarios tienen acceso al estado de supervisión privilegiado. Tanto los archivos de registro de acceso a sistemas como los registros de violaciones de acceso son detectivos po
II
II
Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de documentación de red. Otras funciones serían el acceso del usuario a diversos recursos de de las siguientes es una función de usuario que el auditor de SI debe revisar? anfitriones (hosts) de red, la autorización del usuario a tener acceso a recursos particulares y l
¿Cuál de los siguientes es un control sobre las fallas/errores de comunicación de componentes?
La redundancia, creando alguna forma de duplicación en los componentes de red, como por ejemplo un enlace,
II
Un cable instalado de Ethernet corrido en una red de pares retorcidos no protegidos (UTP) tiene más La atenuación es el debilitamiento de las señales durante la transmisión. Cuando la señal se torna débil, comienza a leer un 1 por un 0, y el usuario puede experimentar problemas de comunicación. UTP de 100 metros de longitud. ¿Cuál de los siguientes podría ser causado por la longitud del cable? enfrenta atenuación alrededor de los 100 metros. La interferencia electromagnética (EMI) es causada
II
El método de direccionamiento del tráfico a través de instalaciones de cable partido (split cable) o instalaciones de cable duplicado se denomina:
El direccionamiento diverso es el método de direccionamiento del tráfico a través de instalaciones de cable artido o de instalaciones de cable duplicado, que puede lograrse con cubiertas de cables diferentes/duplicadas. El direccionamiento alternativo es el método de direccionamiento de la
II
Un comando "Ping" se usa para medir:
La latencia, que se mide usando un comando "Ping", representa la demora que tendrá un ensaje /paquete para viajar desde el origen hasta el destino. Una disminución en la amplitud a medida que na señal se propaga a través de un medio de transmisión se denomina atenuación. El rendimiento, que
II
¿Cuál de los siguientes soportaría MEJOR la disponibilidad 24/7?
El mirroring de elementos críticos es una herramienta que facilita la recuperación inmediata. La copia de respaldo diaria implica que es razonable que el restablecimiento ocurra dentro de un número de horas pero no inmediatamente. El almacenamiento fuera del sitio y la prueba periódica de
II
II
II
II
II
¿El análisis de cuál de los siguientes es MáS probable que habilite al auditor de SI para determinar si Las bitácoras de sistema son reportes automatizados que identifican la mayoría de las actividades realizadas e la computadora. Se han desarrollado muchos programas que analizan la bitácora de sistema para n programa no aprobado intentó tener acceso a datos sensitivos? eportar sobre puntos definidos específicamente. Los reportes de terminación anormal identifican los
Cuando se analiza la portabilidad de una aplicación de base de datos, el auditor de SI debe verificar que:
El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave para la ortabilidad de la base de datos. La importación y exportación de información con otros sistemas es n objetivo de revisión de interfaces de base de datos. El uso de un índice es un objetivo de una revisión de
El principio de atomicidad requiere que una transacción sea completada en su totalidad o no lo sea en absoluto. S En un sistema de procesamiento de transacciones en línea, la integridad de datos es antenida asegurando que una transacción sea o bien concluida en su totalidad o no lo sea en ocurriera un error o interrupción, todos los cambios efectuados hasta ese punto son retirados. La consistencia asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transacción. absoluto. Este principio de integridad de datos se conoce como: Después de instalar una red, una organización instaló una herramienta de estudio de laReporte negativo falso sobre las debilidades significa que las debilidades de control en la red no están identificadas y de ahí que no puedan ser resueltas, dejando la red vulnerable a ataques. ulnerabilidad o escaneador de seguridad para identificar posibles debilidades. ¿Cuál es el Positivo falso es una en la que los controles están establecidos, pero están evaluados como iesgo MáS serio asociado con dichas herramientas? En un entorno de LAN, ¿Cuál de los siguientes minimiza el riesgo de corrupción de datos durante la Usar conductos separados para cables de datos y cables eléctricos, minimiza el riesgo de corrupción de datos debido a un campo magnético inducido creado por medio de corriente eléctrica. La encripción de datos ransmisión?
II
¿Cuál de los siguientes consideraría un auditor de SI que es MáS útil cuando se evalúa la efectividad y adecuación de un programa de mantenimiento preventivo de computadora?
Un registro de tiempo improductivo del sistema provee información sobre la efectividad y adecuación de los programas de mantenimiento preventivo de computadora.
II
¿Cuál de los siguientes es el medio MáS efectivo de determinar qué controles están funcionando correctamente en un sistema operativo?
Los parámetros de generación del sistema determinan cómo funciona un sistema, la configuración física y su interacción con la carga de trabajo.
II
¿El control de congestión se maneja MEJOR por cuál capa de OSI?
La capa de transporte es responsable de la entrega de datos confiables. Esta capa implementa u ecanismo de control de flujos que puede detectar congestión, reducir las velocidades de ransmisión de datos y aumentar las velocidades de transmisión cuando la red parece que ya no está
II
Los programas de utilería que reúnen módulos de software que se necesitan para ejecutar una versión de programa de aplicación de instrucciones de máquina son:
Los programas de utilería que reúnen módulos de software que se necesitan para ejecutar una versión de rograma de aplicación de instrucción de máquina son los editores de enlace y los cargadores.
II
El software de monitoreo de capacidad se usa para asegurar:
El software de monitoreo de capacidad muestra, por lo general en forma de luces o de gráficas ojas, ámbar y verdes, el uso real de los sistemas en línea frente a su capacidad máxima. El objetivo es ermitir al personal de soporte de software que tome medidas si el uso comenzara a sobrepasar el porcentaje
II
Una limitación de integridad de referencia está constituida por:
Las limitaciones de integridad referencial aseguran que un cambio en una clave primaria de una tabla sea actualizada automáticamente en una llave extranjera coincidente de otras tablas. Esto se hace usando disparadores
II
¿Cuál de las siguientes exposiciones asociadas con el spooling de reportes sensitivos para impresión A menos que esté controlado, el spooling para impresión fuera de línea permite que se impriman uera de línea consideraría un auditor de copias adicionales. Es improbable que los archivos de impresión estén disponibles para ser leídos en SI que es el MáS serio? línea por los operadores. Los datos en archivos de spool no son más fáciles de enmendar sin
II
¿Cuál de los siguientes es crítico para la selección y adquisición del software de sistema operativo correcto?
La compra de software de sistema operativo depende del hecho de que el software sea compatible con el ardware existente. Las opciones A y D, a pesar de ser importantes, no son tan importantes como la opción C. Los usuarios no aprueban normalmente la adquisición de software de sistema operativo.
II
¿Cuál de los siguientes medios de línea proveería la MEJOR seguridad para una red de
Las líneas dedicadas son apartadas para un usuario en particular o para una organización. Como no se
II
II
II
¿Cuál de los siguientes tipos de firewall protegería MEJOR una red contra un ataque de Internet?
n Firewall filtrado de red subordinada proveería la mejor protección. El router de filtrado puede er un router comercial o un nodo con capacidades de direccionamiento que puede filtrar paquetes on la capacidad para permitir o evitar el tráfico entre redes o entre nodos basándose en direcciones,
################################################################################ DI es la mejor respuesta. Implementado debidamente (por ejemplo, contratos con normas par ransacciones entre los socios comerciales, controles sobre los mecanismos de seguridad de la red en conjunto ############################# on los controles de aplicación) EDI se adecúa mejor para identificar y dar seguimiento a los errores más ¿Cuál de los siguientes componentes es ampliamente aceptado como uno de los componentes críticos a administración de configuraciones es ampliamente aceptada como uno de los componentes clave de ualquier red dado que establece cómo funcionará la red tanto interna como externamente. También se n la administración de redes? cupa de la administración de la configuración y del monitoreo del desempeño. Los mapeos topológicos
II
plicar una fecha de retención en un archivo asegurará que:
na fecha de retención asegurará que un archivo no pueda ser sobrescrito antes de que esa fecha haya pasado. a fecha de retención no afectará la capacidad de leer el archivo. Las copias de respaldo se esperaría que tenga na fecha de retención diferente y por lo tanto puedan bien ser retenidas después de que el archivo haya sido
II
as redes neurales son efectivas para detectar el fraude porque pueden:
as redes neurales se pueden usar para atacar problemas que requieren consideración de numerosas variables de nput. Ellas son capaces de captar relaciones y patrones que a menudo se les escapa a otros étodos estadísticos. Las redes neurales no descubrirán nuevas tendencias. Ellas son inherentemente
II
II
II
II
¿Cuál de los siguientes traduce formatos de correo electrónico desde una red a otra para ue el mensaje pueda viajar a través de todas las redes?
n gateway realiza el trabajo de traducir formatos de correo electrónico de una red a otra para que los mensajes uedan seguir su camino a través de todas las redes. Un convertidor de protocolo es un dispositivo de hardware ue convierte entre dos tipos diferentes de transmisiones, como por ejemplo transmisiones asíncronas
Suponiendo que este diagrama representa una instalación interna y la organización está mplementando un programa de protección de firewall, ¿Dónde deberían instalarse los irewalls?
l objetivo de un firewall es proteger una red confiable contra una red no confiable; por lo tanto, las ubicaciones ue necesitan implementaciones de firewall estarían en la existencia de las conexiones externas. Todas las otras espuestas son incompletes o representan conexiones internas.
Para las ubicaciones 3a, 1d y 3d, el diagrama indica hubs con líneas que parecen estar biertas y activas. Suponiendo que es verdad, ¿qué controles, si hubiera, se recomendaría para mitigar esta debilidad?
os hubs abiertos representan una debilidad significativa de control a causa del potencial de fácil acceso a un onexión de red. Un hub inteligente permitiría la desactivación de un solo Puerto mientras deja activos los uertos restantes. Adicionalmente, la seguridad física también proveería una protección razonable sobre los
En el área 2c del diagrama, hay tres hubs conectados entre sí. ¿Qué riesgo potencial podría esto os hubs son dispositivos internos que generalmente no tienen conectividad externa directa y por ello no están
II
II
l disco duro debe ser desmagnetizado ya que esto causará que todos los bits sean puestos a cero eliminando Cuando una PC que ha sido utilizada para el almacenamiento de datos confidenciales es vendida en el sí cualquier posibilidad de que la información que haya estado almacenada anteriormente en el disco, se ercado abierto: ecuperada. Un formato de nivel medio no borra información del disco duro, sólo restablece los
n puerto serial universal (USB):
l puerto USB conecta la red sin tener que instalar una tarjeta separada de interfaz de red dentro de una omputadora usando un adaptador USB de Ethernet.
na red virtual privada (VPN, siglas de los términos en inglés) permite que los socios externos participen co eguridad en la extranet usando redes públicas como un transporte o redes privadas compartidas. ebido a su bajo costo, usar .las redes públicas (Internet)como transporte es el método principal. os VPNs se basan en técnicas de tunelización/enca sulación ue ermiten ue el rotocolo de
II
¿Cómo puede una empresa proveer acceso a su Intranet (i.e., extranet) a través de la Internet a sus ocios comerciales?
II
a mayor preocupación cuando se implementan firewalls encima de sistemas operativos ################################################################################ omerciales es la presencia potencial de vulnerabilidades que podrían socavar la postura de segurida ############################# e la plataforma misma de firewall. En la mayoría de las circunstancias, cuando se violan los firewalls
II
II
n hub es un dispositivo que conecta:
n hub es un dispositivo que conecta dos segmentos de un solo LAN, Un hub es una repetidora, provee onectividad transparente a los usuarios en todos los segmentos del mismo LAN. Es un dispositivo de nivel 1 n puente opera en el nivel 2 de la capa OSI y se usa para conectar dos LANs usando protocolos
¿Cuál de los siguientes ayudaría a asegurar la portabilidad de una aplicación conectada a una base de l uso de lenguaje estructurado de pregunta (SQL) facilita la portabilidad. La verificación de procedimientos de mportación y exportación con otros sistemas asegura mejor interfaz con otros sistemas, analizar los atos? rocedimientos/triggers almacenados asegura el acceso/desempeño apropiado, y revisar el diseño, e
II
¿Cuál de los siguientes dispositivos de hardware libera a la computadora central de realizar tareas n Procesador de inicio de comunicación (Front-end) es un dispositivo de hardware que conecta todas las líneas e control de red, conversión de formato y manejo de mensajes? e comunicación a una computadora central para liberar a la computadora central.
II
¿Cuál de los siguientes se puede usar para verificar los resultados del output y los totales de control aciéndolos coincidir contra los totales de datos de input y de control?
l balanceo de lote se usa para verificar los resultados de output y los totales de contro aciéndolos coincidir contra los datos de input y los totales de control. Los formularios de ncabezado de lote controlan la preparación de datos; las correcciones de error de conversión de datos
II
¿Cuál de los siguientes esperaría encontrar un auditor de SI en un registro de consola?
os errores de sistema son los únicos que uno esperaría encontrar en el registro de consola.
II
En un servidor de web, una interfaz común de gateway (CGI) es usada con la MAYOR frecuencia como:
La interfaz común de gateway (CGI) es una forma estándar para que un servidor de web pase la solicitud de n usuario de web a un programa de aplicación y para que reciba y envíe los datos al usuario. Cuando el usuario solicita una página de web (por ejemplo, presionando en una palabra
II
Recibir una transacción de intercambio electrónico de datos (electronic data interchangeEDI) y pasarla a través de la etapa de interfaz de comunicaciones requiere a menudo:
La etapa de interfaz de comunicaciones requiere procedimientos de verificación de direccionamiento. EDI o ANSI X12 es un estándar que debe ser interpretado por una aplicación para que las transacciones sean procesadas y luego facturadas, pagadas y enviadas, tanto si corresponden a mercancía
II
Para un sistema de procesamiento de transacciones en línea, las transacciones por segundo es una edida de:
Las medidas de throughput miden cuánto trabajo es efectuado por un sistema durante un período de tiempo; mide la productividad del sistema. En un sistema de procesamiento de transacciones en línea, las transacciones por segundo son un índice de throughput. E iem o de res uesta se define como la lon itud de tiem o ue transcurrió entre el sometimiento de un in ut
II
¿Qué es un riesgo asociado con intentar controlar el acceso físico a las áreas sensitivas, como por El concepto de piggybacking compromete todo el control físico establecido. La opción B sería una reocupación mínima en un entorno de recuperación de desastre. Los puntos en la opción C son se duplican ejemplo salas de computadora, a través de llaves de tarjeta, cerrojos, etc.? ácilmente. Respecto a la opción D, la tecnología está cambiando constantemente pero las llaves de tarjeta han
II
¿Cuál de las siguientes se consideraría una característica esencial de un sistema de administración de Para rastrear la topología de la red sería esencial que existiera una interfaz gráfico No es ed? ecesario que cada red esté en la Internet y un help desk, y la capacidad de exportar a una hoja de rabajo no es un elemento esencial.
II
El error más probable que ocurre cuando se implementa un firewall es:
II
¿Cuál de las siguientes disposiciones físicas de LAN está sujeta a pérdida total si falla un dispositivo? La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos están conectados en un solo cable. Si este calbe es cortado, todos los dispositivos más allá del punto de corte no estarían disponibles.
II
Una herramienta de diagnóstico de red que monitorea y registra información de red es un:
II
Una lista de acceso actualizada e impecable es un desafío significativo y, por lo tanto, tiene la mayor oportunidad de errores en el momento de la instalación inicial. Las contraseñas no se aplican a los firewalls, un ódem evade un firewall y un ataque de virus no es un elemento al implementar un firewall.
Los analizadores de protocolo son herramientas de diagnóstico de red que monitorean y registran información de red de los paquetes que viajan en el enlace al que está conectado el analizador. Los monitores en línea (Opción A) miden las transmisiones de telecomunicaciones y determinan si las transmisiones son correctas y completas.
¿Cuál de los siguientes ayudará a detectar los cambios efectuados por un intruso al registro de sistema Un CD que se escribe una sola vez no puede ser sobrescrito. Por lo tanto, el registro de sistema duplicado en el disco podría compararse con el registro original para detectar diferencias, que podría ser de un servidor? el resultado de cambios efectuados por un intruso. Proteger la escritura en el registro de sistema no previene la
Paras revisar debidamente una implementación de LAN, el auditor de SI debe primero verificar el diagrama de ed y confirmar la aprobación. La verificación de nodos de la lista de nodos y el diagrama de red sería luego seguido por una revisión del reporte de la prueba de aceptación y luego la lista del usuario.
II
Cuando se revisa la implementación de una LAN el auditor de SI debe PRIMERO revisar:
II
¿Cuál de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad?
Defensa exhaustiva (in-depth) significa usar diferentes mecanismos de seguridad que se respaldan entre sí. Cuando el tráfico de red pasa involuntariamente un firewall, los controles de acceso lógico forma na segunda línea de defensa. Usar dos firewalls de diferentes vendedores para verificar de
II
¿Cuál de los siguientes asegura MEJOR la integridad del sistema operativo de un servidor?
Endurecer (hardening) un sistema significa configurarlo en la forma más segura (instalar los ltimos parches de seguridad, definir debidamente la autorización de acceso para usuarios administradores, inhabilitar las opciones inseguras y desinstalar los servicios no utilizados) par
II
II
II
II
II
II
Los sistemas Firewall son la herramienta primaria que permite que una organización impida el acceso no ¿Cuál de los siguientes componentes de red es PRIMARIAMENTE establecido para servi autorizado entre las redes. Una organización puede escoger utilizar uno o más sistemas que funcionan como como una medida de seguridad impidiendo el tráfico no autorizado entre diferentes segmentos irewalls. Los routers pueden filtrar paquetes basados en parámetros, como por ejemplo dirección fuente de la red? Para evaluar la integridad referencial de una base de datos un auditor de SI debe revisar:
Una llave/clave externa es una columna en una tabla que referencia a una llave/clave primaria de otra tabla, proveyendo así la integridad referencial. Las llaves/claves compuestas están constituidas po dos o más columnas designadas juntas como la llave/clave primaria de una tabla. La indexación de
Un auditor de SI detectó que varias PCs conectados con el Internet tienen un nivel bajo de seguridad El archivo de cookies reside en la máquina cliente. Contiene datos pasados desde los sitios web, para que los sitios web puedan comunicarse con este archivo cuando el mismo cliente regresa. El sitio web sólo tiene acceso que está permitiendo el registro libre de cookies. Este crea un riesgo porque las cookies almacenan esa parte del archivo de cookie que representa la interacción con ese sitio web en particular. Los archivos de localmente: ¿Cuál de los siguientes es la causa MáS probable para que un servidor de correo sea usado para enviar Un proxy abierto (o relay abierto) permite que personas no autorizadas dirijan (route) su spam a través spam? del servidor de correo de otro. POP3 y SMTP son protocolos de correo comúnmente usados. Activar el egistro de actividad (accounting) de usuarios no se relaciona con usar un servidor para enviar spam. La preocupación de seguridad MáS significativa cuando se usa una memoria flash (por ejemplo, disco A menos que esté debidamente controlada, una memoria flash provee una posibilidad para que cualquiera copie cualquier contenido con facilidad. Los contenidos almacenados en la memoria flash no emovible USB) es que: son volátiles. Sacar copias de respaldo a los datos de la memoria flash no es una preocupación de control y Un auditor de SI que revisa una aplicación de base de datos descubre que la configuración actual no coincide con la estructura diseñada originalmente. ¿Cuál de los
El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debidamente. Las opciones A B y C son posibles acciones posteriores, si el auditor encuentra que la modificación estructural no ha sido
II
II
El administrador de base de datos (DBA) sugiere que la eficiencia de la Base de Datos (DB) puede ser mejorada desnormalizando algunas tablas. Esto resultaría en:
La normalización es un proceso de diseño o de optimización para una base de datos (DB) elacional que minimiza la redundancia; por lo tanto, la desnormalización aumentaría la redundancia (redundancia que es, por lo general, considerada positiva cuando es una cuestión de disponibilidad de
¿Cuál de los siguientes es el método MáS efectivo para tratar con la divulgación de un gusano de red Detener el servicio e instalar la reparación de seguridad es la forma más segura de impedir que el gusano se extienda. Si el servicio no es detenido, instalar la reparación no es el método más efectivo porque e que se aprovecha de la vulnerabilidad en un protocolo? gusano continúa extendiéndose hasta que la reparación se vuelve efectiva. Bloquear el protocolo en e
II
Un monitor de referencia es un mecanismo abstracto que verifica cada solicitud hecha por un #################################################################################individuo (proceso de usuario) para tener acceso y usa un objeto (por ej., archivo, dispositivo, ############################ rograma) para asegurar que la solicitud cumple con una política de seguridad. Un monitor
II
Las herramientas de filtrado de la web y del correo electrónico son PRINCIPALMENTE valiosas ara una organización porque ellas:
La razón principal para invertir en herramientas de filtrado de la web y de correo electrónico es que ellas educen significativamente los riesgos relacionados con virus y material que no es del negocio. La opción B odría ser cierta en algunas circunstancias (i.e., necesitaría ser implementada ajunto con un programa de
II
¿Cuál de los siguientes es el MAYOR riesgo relacionado con el monitoreo de los registros de auditoría?
Si no se investigan las acciones no autorizadas del sistema, el registro no tiene utilidad. Purgar los registros antes de una revisión periódica es un riesgo pero no es tan crítico como la necesidad de investigar las acciones cuestionables. Registrar los eventos de rutina pueden hacer más difícil reconocer las acciones no
II
Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para determinar:
La función de un comité de seguimiento de TI es asegurar que el departamento de SI esté en armonía con la isión y los objetivos de la organización. Para asegurar esto, el comité debe determinar si los procesos de TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta, y
II
El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe existir un comité de seguimiento para asegurar que las estrategias de TI soporten las metas de la organización. La ausencia de un comité de tecnología de información o un comité no compuesto de TI es: altos gerentes sería una indicación de falta de participación de la alta gerencia. Esta condición aumentaría e
II
¿Cuál de los siguientes es una función de un comité de dirección de SI?
II
Un comité de dirección de SI debe:
El comité de dirección de SI típicamente sirve como una junta general de revisión para los principales royectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI. El control de Es importante llevar las actas detalladas de los comités de dirección para documentar las decisiones y las actividades del comité de dirección de SI, y la junta directiva debe ser informada a su debido tiempo.
II
La participación de la alta gerencia es MáS importante en el desarrollo de:
Los planes estratégicos proveen la base para asegurar que la empresa cumpla sus metas y objetivos. La participación de la alta gerencia es crítica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamientos
II
El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el:
Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma dirección, requiriendo que los planes de TI estén alineados con los planes de negocio de una organización. Los planes de auditoría de inversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo.
II
Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia debería establecer el nivel de riesgo aceptable, ya que ellos son los responsables en última instancia o los responsables finales de la operación efectiva y eficiente de la organización. Las opciones A, C y D deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.
II
El gobierno de TI es PRIMARIAMENTE responsabilidad del:
El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas (representados por la junta directiva [board of directors.]) El director general es instrumental para implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. El comité de
II
Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
II
¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
Una investigación de los antecedentes es el método primario para asegurar la integridad de un rospectivo miembro del personal. Las referencias son importantes y sería necesario verificarlas, pero no son tan fiables como la investigación de los antecedentes. La fianza está referenciando al cumplimiento de la
II
¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones?
Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros ejemplos de controles compensatorios son las bitácoras de transacciones, las pruebas de razonabilidad, las revisiones independientes y las pistas de auditoría tales como bitácoras de consola, bitácoras de biblioteca y la
II
Cuando un empleado es despedido de su servicio, la acción MáS importante es:
Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de acceso, por lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acción más importante que se debe emprender. Todo el trabajo del empleado terminado necesita ser entregado
II
El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una erramienta de gobierno del negocio que está destinada a monitorear los indicadores de
Los resultados financieros han sido tradicionalmente la única medida general de desempeño. El cuadro de mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de TI
Desde una perspectiva de control, la descripción de un trabajo debe establecer responsabilidad y deber de reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los usuarios acceso a sistema en conformidad con las responsabilidades definidas de su trabajo. Las otras opciones no están
II
La función de establecimiento del libro mayor/mayor general (general ledger) en u El establecimiento de períodos contables es una de las actividades críticas de la función de finanzas. Otorga aquete empresarial (ERP) permite fijar períodos contables. El acceso a esta función ha sidoacceso a esta función al personal en el almacén y en el ingreso de órdenes podría ser a causa de una falt ermitido a los usuarios en finanzas, almacén e ingreso de órdenes. La razón MáS probable par de políticas y procedimientos apropiados para la segregación adecuada de funciones. Los períodos
II
Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una semana o más para:
Las vacaciones requeridas de una semana o más de duración en la que alguien que no sea el empleado egular realice la función del puesto de trabajo es a menudo obligatoria para las posiciones importantes Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede
II
Un administrador de LAN estaría normalmente restringido de:
Un administrador de LAN no debería tener responsabilidades de programación pero puede tene esponsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, e na operación descentralizada, al gerente de usuario final. En las organizaciones pequeñas, el administrado
II
Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y co La independencia debería ser constantemente evaluada por el auditor y la gerencia. Esta evaluació amplia experiencia gerencial ha aplicado para una posición vacante en el departamento dedebería considerar factores tales como las relaciones personales, los intereses financieros y previas auditoría de SI. La determinación de si se debe contratar a esta persona para esta posició asignaciones y responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado e
II
Un auditor de SI debería preocuparse cuando un analista de telecomunicación:
Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de ed en términos de volúmenes corrientes y futuros de transacciones (opción B), evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red
II
Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una organización debe:
Se requiere una definición de indicadores clave de desempeño antes de implementar un cuadro de mandos arcador balanceado (balanced scorecard) de TI. Las opciones A, C y D son objetivos.
II
Para soportar las metas de una organización, el departamento de SI debe tener:
Para asegurar su contribución a la realización de las metas generales de una organización, el departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los planes más amplios de l organización para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían planes par
II
Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:
La integración de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado ientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco para el plan de corto plazo de SI Las opciones B, C y D son áreas cubiertas por un plan estratégico.
II
¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo El departamento de IS debe considerar específicamente la forma en que se asignan los recursos e
La planeación estratégica pone en movimiento objetivos corporativos o departamentales. La planeació comprehensiva ayuda a asegurar una organización efectiva y eficiente. La planeación estratégica est orientada al tiempo y a los proyectos, pero también debe resolver y ayudar a determinar prioridades par
II
¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?
II
¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa la estrategia de una organización? Que:
II
Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organización. Para evaluar el plan estratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan de negocios.
II
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de S Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificación de SI/TI con los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son métodos efectivos para determinar si los planes de SI están en armonía con los objetivos del negocio y con
II
La planeación estratégica pone en movimiento objetivos corporativos o departamentales Tanto los lanes estratégicos a largo plazo como a corto plazo deberían ser consistentes con los planes más amplios de la organización y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta y
La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las Un método de abajo hacia arriba comienza por definir los requerimientos y políticas de nivel operativo, que se derivan y se implementan como el resultado de evaluaciones de riesgo. Las políticas a nivel de la empres olíticas: se desarrollan posteriormente con base en una síntesis de las políticas operativas existentes. Las opciones A, C Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos, ha n mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de echo esa persona no debería tener autorización. La asignación de autoridad para otorgar acceso
II
¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para ropiedad de datos y de sistemas?
II
El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:
II
La velocidad de cambio de la tecnología aumenta la importancia de:
El cambio requiere que se implementen y ejecuten buenos procesos de administración de cambios. Hacer un outsourcing a la función de SI no está directamente relacionado con l elocidad de cambio tecnológico. El personal en un departamento típico de SI está altamente
II
Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la
Todos los empleados deben tener conocimiento de la política de seguridad de la empresa para prevenir l
La orientación del negocio debe ser el tema principal al implementar la seguridad. Por ello na auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las olíticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de
II
Cuando se ha diseñado una política de seguridad de información, lo MáS importante es que la política Para ser efectiva, una política de seguridad de información debería llegar a todos los miembros de ersonal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable de seguridad de información sea: ero de poco valor si su contenido no es conocido por los empleados de la organización. La
II
El desarrollo de una política de seguridad de SI es resposabilidad de:
A diferencia de otras políticas corporativas, el marco de la política de seguridad de sistemas es responsabilida de la dirección general, la junta directiva. El departamento de SI es responsable de la ejecución de la olítica, no teniendo ninguna autoridad en el enmarcado de la política. El comité de seguridad
II
¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad de información incluiría, para manejar las intrusiones sospechosas?
Una política sana de seguridad de SI es más probable que esboce un programa de respuesta para anejar las intrusiones sospechosas. Los programas de corrección, detección y monitoreo son todos aspectos de seguridad de información, pero probablemente no serán incluidos en una declaración de política
II
¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?
La política de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada or la alta gerencia. Incluye una definición de las personas autorizadas para otorgar acceso y la base para otorgarlo. Las opciones A, B y C están más detalladas que lo que debería incluirse en una política.
II
¿Cuál de los siguientes es un paso inicial para crear una política de firewall?
II
La identificación de las aplicaciones requeridas en toda la red debe ser identificada primero. Después de la identificación, dependiendo de la ubicación física de estas aplicaciones en la red y el modelo de red, la persona a cargo podrá entender la necesidad y las posibles formas de controlar el acceso a
La administración de una organización ha decidido establecer un programa de conocimiento de la Utilizar un sistema de detección de intrusos para reportar sobre los incidentes que ocurren es una seguridad. ¿Cuál de los siguientes es MáS implementación de un programa de seguridad y no es efectivo para establecer un programa de robable que sea parte del programa? conocimiento de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento es la única
II
¿Cuál de los siguientes es MáS crítico para la implementación exitosa y el mantenimiento de una olítica de seguridad?
La asimilación de la estructura y la intención de una política de seguridad escrita por parte de los usuarios de los sistemas es crítico para la implementación exitosa y el mantenimiento de la política de seguridad. Uno puede tener un buen sistema de contraseña, pero si los usuarios del sistema
II
Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de estructura de correo electrónico, ejecución de políticas, monitoreo y:
Además de ser una buena práctica, las leyes y regulaciones pueden requerir que una organización mantenga información que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicación de correo electrónico es mantenida en el mismo sentido que el formulario oficial de clásico &ld uo documento&rd uo hace de la retención de corres ondencia electrónica una necesidad. Todo
II
En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SI debe PRIMERO
El auditor debe primero evaluar la definición del nivel mínimo de línea base para asegura la idoneidad de los controles. La documentación, la implementación el cumplimiento otros
II
ara asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor ara asegurar que la organización esté cumpliendo con los aspectos de privacidad, un audito e SI debería tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos e SI debería PRIMERO revisar: egales y regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Después de entende
II
os objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para ntender:
n objetivo de control de TI se define como la declaración del resultado deseado o el propósito a ser alcanzado mplementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos erdaderos para implementar controles y pueden o no ser las mejores prácticas. Las técnicas son el medio de
II
l paso inicial para establecer un programa de seguridad de información es:
na declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para una eguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.
II
n auditor de SI que realiza una revisión de los controles generales de las prácticas de erencia de SI relativas al personal debería prestar particular atención a:
II
na organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y sa tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo scrito de VAN. El auditor de SI debe recomendar a la gerencia que:
II
II
Cuando se realiza una revisión de los controles generales es importante que un auditor de SI preste atenció l tema de la segregación de funciones, que está afectada por prácticas de vacaciones /feriados. Las políticas l cumplimiento de vacaciones obligatorias puede variar dependiendo del país y de la industria. Las os acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de los requerimientos xternos. Mientras que la gerencia debe obtener garantía independiente de cumplimiento, ello no se uede lograr hasta que exista un contrato. Un aspecto de administrar servicios de terceros es provee
e las funciones siguientes, ¿cuál es la función MáS importante que debe realizar la administración n un ambiente de outsourcing, la compañía depende del desempeño del proveedor del servicio. Por est azón, es crítico que se monitoree el desempeño del proveedor de outsourcing para asegurar que éste preste a l e TI cuando se ha dado un servicio para realizarse por outsourcing? ompañía los servicios que se requieran. El pago de las facturas es una función financiera que se haría po
¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de u procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada roveedor?
II
na probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de ervicios de datos es que:
II
n auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste efina:
a responsabilidad primaria del auditor de SI es asegurar que los activos de la compañía estén siendo alvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas restigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y probado. Outsourcing es un acuerdo contractual por el cual la organización entrega el control sobre una parte o obre la totalidad del procesamiento de información a una parte externa. Esto se hace con frecuencia para dquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organización. e las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras l uncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería una obligación contractua
II
II
II
II
II
II
II
II
II
Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica deEn el proceso de transferencia de fondos, cuando el esquema de procesamiento está centralizado e ondos (EFT), un auditor de SI observa que la infraestructura tecnológica está basada e n país diferente, podría haber problemas legales de jurisdicción que pudieran afectar el derecho n esquema centralizado de procesamiento que ha sido asignado (outsourced) a u ealizar una revisión en el otro país. Las otras opciones, aunque posibles, no son tan relevantes Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes es Administrar/Gestionar activamente el cumplimiento de los términos del contrato para los servicios externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es un esponsabilidad de la gerencia de TI de la organización? esponsabilidad de finanzas. La negociación del acuerdo contractual ya habría ocurrido y por lo genera ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos El auditor de SI debería buscar una verificación independiente que el ISP pueda realizar las tareas en la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de que están siendo contratadas. Las referencias de otros clientes proveerían una revisión erificación independiente, externa, de procedimientos y procesos que sigue el ISP – servicios independiente (ISP)? Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan, en el caso Con una política de registros de e-mail bien archivados, es posible el acceso a o la recuperación de registros de eails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas de seguridad y/o de un e-mail, por una: olíticas de auditoría no resolverían la eficiencia de recuperación de registros, y destruir e-mails
El resultado (output) del proceso de administración de riesgos es un input para hacer:
El proceso de administración del riesgo trata sobre la toma de decisiones relacionadas con seguridad específica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las metas en última instancia del proceso de administración del riesgo.
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenazas y l Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e- robabilidad de que ocurran. Las opciones A, B y D deberían ser discutidas con el director de sistemas (Chief Information Officer—CIO) y se debería entregar un reporte al director genera usiness en busca de vulnerabilidades. ¿Cuál sería la siguiente tarea? ¿Cuál de los siguientes es un mecanismo para mitigar los riesgos?
Los riesgos se mitigan implementando prácticas apropiadas de seguridad y de control. El seguro es un ecanismo para transferir el riesgo. La auditoría y la certificación son mecanismos de aseguramiento del riesgo, los contratos y SLAs son mecanismos de asignación de riesgo.
Cuando se desarrolla un programa de administración de riesgos, la PRIMERA actividad que se debe La identificación de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administración de riesgos. Un listado de las amenazas que pueden afectar el desempeño de estos activos y e ealizar es: análisis de criticalidad son pasos posteriores en el proceso. La clasificación de datos se requiere par Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas
La práctica común, cuando es difícil calcular las pérdidas financieras, es tomar un enfoque cualitativo, e el que el gerente afectado por el riesgo define la pérdida financiera en términos de un factor ponderado
II
La falta de controles adecuados de seguridad representa:
La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo información y datos sensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hackers, que tiene como consecuencia la pérdida de información sensitiva, que podría conducir a la pérdida de plusvalía
II
¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de desempeño/performancia de TI?
Un proceso de medición del desempeño/performancia de TI puede usarse para optimizar el desempeño/performancia, medir y administrar productos /servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un
II
II
II
Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cuándo y si las ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar actividades de la organización se han desviado de los niveles planeados o de los esperados. Estos métodos cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los estándares esperados? Como resultado del gobierno de seguridad de información, la alineación estratégica dispone:
El gobierno de seguridad de información, cuando está debidamente implementado, debe proveer cuatro resultados básicos. Estos son alineamiento estratégico, entrega de valor, manejo del riesgo edida del desempeño. La alineación estratégica provee datos de entrada (input) para los requerimientos de
En una organización, las responsabilidades de seguridad de TI están claramente asignadas yLas juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de ejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y delinformación para establecer clasificaciones para la seguridad en sus organizaciones. Los rangos son impacto. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno deinexistentes, iniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilidades de la
II
¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico?
La alta gerencia media entre los imperativos del negocio y la tecnología es una mejor práctica de alineamiento estratégico de TI. Los riesgos del proveedor y del socio que están siendo manejados es una mejor ráctica del manejo del riesgo. Una base de conocimientos de los clientes, productos, mercados
II
Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:
Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno a TI y provean el liderazgo, las estructuras y procesos organizacionales que aseguren que la TI de la organización sostiene y extiende las estrategias y objetivos de la organización y que la estrategia está en armonía
II
La evaluación de los riesgos de TI se logra MEJOR:
II
Cuando existe preocupación por la segregación de funciones entre el personal de soporte los usuarios finales, ¿cuál sería control compensatorio adecuado?
Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidades usando métodos cualitativos o cuantitativos de evaluación del riesgo. Las opciones B, C y D son potencialmente insumos útiles para el proceso de evaluación del riesgo, pero por sí mismas no son suficientes. Basar una evaluación en las érdidas asadas no refle ará de manera adecuada los cambios inevitables a los Sólo revisar los registros de transacciones y de aplicación directamente resuelve la amenaza planteada por la segregación deficiente de funciones. La revisión es un medio de detector el comportamiento
II
ar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY robablemente a:
l desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo de las aplicaciones podría vadir los controles. Las opciones A, C y D no están relacionadas con, ni puede asumirse que resulten de, move as funciones de SI a las unidades de negocio; de hecho, en algunos casos, se puede asumir lo opuesto. Po
II
n método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar:
erivar políticas de nivel inferior de las políticas corporativas (un método de arriba abajo yuda a asegurar consistencia en toda la organización y consistencia con otras políticas. El método e abajo arriba para el desarrollo de las políticas operativas se deriva como resultado de la evaluación de
II
n auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe valuar el riesgo de:
l entrenamiento cruzado es un proceso de entrenar más de una persona para que realice un trabajo o rocedimiento específico. Esta práctica ayuda a reducir la dependencia de una sola persona y asiste en l laneación de la sucesión. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo
II
II
os controles compensatorios son controles internos que pretenden reducir el riesgo de un ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no pueden ebilidad de control existente o potencial que puede surgir cuando las funciones no pueden se er segregadas de manera apropiada? egregadas de manera apropiada. Los controles que se superponen son dos controles que tratan e
¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe ermanecer en el local en lugar de ser extraído outsourced) de una operación exterior (offshore)?
as leyes de privacidad que prohíben el flujo transfronterizo de información identificable ersonalmente haría imposible ubicar un depósito de datos que contenga información de clientes e tro país. Las diferencias de zona horaria y los costos más elevados de las telecomunicaciones son más Como el outsourcer compartirá un porcentaje de los ahorros logrados, las bonificaciones por cumplimiento n compartir las ganancias proveen un incentive financiero para ir para superar los términos stablecidos del contrato y pueden conducir a ahorros en los costos para el cliente. Las
II
ara minimizar los costos y mejorar los niveles de servicio, ¿un outsourcer debe buscar cuál de las iguientes cláusulas de contrato?
II
Cuando una organización está seleccionando (outsourcing) su función de seguridad e información, ¿cuál de lo siguiente debe ser conservado en la organización?
II
¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social?
II
¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de a adecuación del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es evisado y comparado periódicamente con las mejores prácticas de la industria. Las opciones A, B y C provee a seguridad?
a responsabilidad no puede ser transferida a terceros ajenos. Las opciones B, C y D ueden ser efectuadas por entidades externas mientras la responsabilidad continúe dentro de la rganización. Como la ingeniería social se basa en el engaño del usuario, la mejor contramedida o defensa s un programa de conciencia de la seguridad. Las otras opciones no están enfocadas al usuario.
La planeación estratégica pone en movimiento objetivos corporativos o departamentales. La planeació comprehensiva ayuda a asegurar una organización efectiva y eficiente. La planeación estratégica está orientada al tiempo y a los proyectos, pero también debe resolver y ayudar a determinar prioridades
II
¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?
II
¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico?
La alta gerencia media entre los imperativos del negocio y la tecnología es una mejor práctica de alineamiento estratégico de TI. Los riesgos del proveedor y del socio que están siendo manejados es una mejor ráctica del manejo del riesgo. Una base de conocimientos de los clientes, productos, mercados
II
¿Cuál de lo siguiente es la MEJOR fuente de información para que la administración use como na ayuda en la identificación de activos que están sujetos a las leyes y reglamentaciones?
Requisitos contractuales son una de las fuentes que deberían ser consultadas para identificar los equerimientos para la administración de activos de información. Las mejores prácticas de Vendedor proveen una base para evaluar qué grado de competitividad tiene una empresa y los
II
¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe ermanecer en el local en lugar de ser extraído outsourced) de una operación exterior (offshore)?
Las leyes de privacidad que prohíben el flujo transfronterizo de información identificable ersonalmente haría imposible ubicar un depósito de datos que contenga información de clientes e otro país. Las diferencias de zona horaria y los costos más elevados de las telecomunicaciones son más
II
¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
Una investigación de los antecedentes es el método primario para asegurar la integridad de un rospectivo miembro del personal. Las referencias son importantes y sería necesario verificarlas, pero o son tan fiables como la investigación de los antecedentes. La fianza está referenciando al cumplimiento
II
Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cuándo y si las ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede actividades de la organización se han desviado de los niveles planeados o de los esperados. Estos métodos eterminar cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los estándares e los esperados?
II
¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no ueden ser segregadas de manera apropiada?
Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de control existente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera apropiada. Los controles que se superponen son dos controles que tratan e
II
¿Cuál de los siguientes consideraría un auditor de SI que es MÁS importante cuando se evalúa la strategia de una organización? Que:
La planeación estratégica pone en movimiento objetivos corporativos o departamentales Tanto los lanes estratégicos a largo plazo como a corto plazo deberían ser consistentes con los planes más amplios de la organización y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta
II
¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para ropiedad de datos y de sistemas?
Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos, ay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando
II
¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de esempeño/performancia de TI?
II
¿Cuál de los siguientes es MÁS crítico para la implementación exitosa y el mantenimiento de una olítica de seguridad?
II
¿Cuál de los siguientes es un mecanismo para mitigar los riesgos?
II
¿Cuál de los siguientes es un paso inicial para crear una política de firewall?
II
¿Cuál de los siguientes es una función de un comité de dirección de SI?
II
¿Cuál de los siguientes programas es MÁS probable que una política sana de seguridad de nformación incluiría, para manejar las intrusiones sospechosas?
II
n proceso de medición del desempeño/performancia de TI puede usarse para optimizar el esempeño/performancia, medir y administrar productos servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un s ecto del desem eño/ erformancia ero no es el ob etivo rimario de la administración del a asimilación de la estructura y la intención de una política de seguridad escrita por parte de los usuarios de os sistemas es crítico para la implementación exitosa y el mantenimiento de la política de seguridad no puede tener un buen sistema de contraseña, pero si los usuarios del sistema mantiene ontraseñas escritas en su mesa el sistema de contraseña tiene oco valor. El so orte dedicació os riesgos se mitigan implementando prácticas apropiadas de seguridad y de control. El seguro es un ecanismo para transferir el riesgo. La auditoría y la certificación son mecanismos de aseguramiento del riesgo, los contratos y SLAs son mecanismos de asignación de riesgo. a identificación de las aplicaciones requeridas en toda la red debe ser identificada primero. Después de la dentificación, dependiendo de la ubicación física de estas aplicaciones en la red y el modelo de red a persona a cargo podrá entender la necesidad y las posibles formas de controlar el acceso a l comité de dirección de SI típicamente sirve como una junta general de revisión para los principales proyectos e SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar onitorear los principales proyectos, la situación de los planes y presupuestos de SI. El control de cambio de
na política sana de seguridad de SI es más probable que esboce un programa de respuesta para anejar las intrusiones sospechosas. Los programas de corrección, detección y monitoreo son todos spectos de seguridad de información, pero probablemente no serán incluidos en una declaración de política de
¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de la a adecuación del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es evisado y comparado periódicamente con las mejores prácticas de la industria. Las opciones A, B y C provee eguridad? edidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evalua
II
¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social?
II
¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?
Como la ingeniería social se basa en el engaño del usuario, la mejor contramedida o defensa es n programa de conciencia de la seguridad. Las otras opciones no están enfocadas al usuario.
a política de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada po
as reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros jemplos de controles compensatorios son las bitácoras de transacciones, las pruebas de razonabilidad, las evisiones independientes y las pistas de auditoría tales como bitácoras de consola, bitácoras de biblioteca y la
II
¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una egregación inadecuada de funciones?
II
¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su a responsabilidad primaria del auditor de SI es asegurar que los activos de la compañía estén siendo rocesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? alvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas restigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y probado.
II
¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la planificación de corto plazo ara el departamento de IS?
II
l departamento de IS debe considerar específicamente la forma en que se asignan los recursos e l corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la dministración, en lugar de concentrarse en la tecnología por la tecnología en sí misma. Llevar a cabo estudios
¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos e l auditor de SI debería buscar una verificación independiente que el ISP pueda realizar las tareas ue están siendo contratadas. Las referencias de otros clientes proveerían una revisión y verificació a solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de ndependiente, externa, de procedimientos y procesos que sigue el ISP—aspectos que sería ervicios independiente (ISP)?
II
l revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:
a integración de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado ientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco para el plan de corto plazo de SI. as opciones B, C y D son áreas cubiertas por un plan estratégico.
II
ntes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una rganización debe:
e requiere una definición de indicadores clave de desempeño antes de implementar un cuadro de mandos o arcador balanceado (balanced scorecard) de I. Las opciones A, C y D son objetivos.
II
Como resultado del gobierno de seguridad de información, la alineación estratégica dispone:
l gobierno de seguridad de información, cuando está debidamente implementado, debe provee uatro resultados básicos. Estos son alineamiento estratégico, entrega de valor, manejo del riesgo edida del desempeño. La alineación estratégica provee datos de entrada (input) para los requerimientos de
II
Con respecto al outsourcing de servicios de TI, ¿cuál de las siguientes condiciones debería ser de AYOR preocupación para un auditor de I?
as actividades centrales de una organización generalmente no deberían ser sometidas a outsourcin orque son lo que la organización hace mejor. Un auditor que observa eso debería preocuparse. E uditor no debería preocuparse de las otras condiciones porque la especificación de renegociación periódic
II
Cuál de lo siguiente es el MEJOR criterio de desempeño para evaluar la adecuación del ntrenamiento de conocimiento de seguridad de una organización?
a inclusión en descripciones de puestos de trabajo de responsabilidades de seguridad es una forma de ntrenamiento de seguridad y ayuda a asegurar que el personal y la administración estén en conocimiento de sus
II
Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica de n el proceso de transferencia de fondos, cuando el esquema de procesamiento está centralizado e ondos (EFT), un auditor de SI observa que la infraestructura tecnológica está basada e n país diferente, podría haber problemas legales de jurisdicción que pudieran afectar el derecho a n esquema centralizado de procesamiento que ha sido asignado (outsourced) a un proveedor ealizar una revisión en el otro país. Las otras opciones, aunque posibles, no son tan relevantes
II
ólo revisar los registros de transacciones y de aplicación directamente resuelve la amenaza planteada por la Cuando existe preocupación por la segregación de funciones entre el personal de soporte egregación deficiente de funciones. La revisión es un medio de detector el comportamiento inapropiado los usuarios finales, ¿cuál sería un control compensatorio adecuado? también disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de
II
Cuando revisa el proceso de planeación estratégica de TI, un auditor de SI debe asegurarse de que el lan:
l plan estratégico de TI debe incluir una clara articulación de la misión y de la visión de TI. El plan o necesita ocuparse de la tecnología, los controles operativos o las prácticas de administración de royectos.
II
Cuando se desarrolla un programa de administración de riesgos, la PRIMERA actividad que se debe ealizar es:
a identificación de los activos a ser protegidos es el primer paso en el desarrollo de un programa de dministración de riesgos. Un listado de las amenazas que pueden afectar el desempeño de estos activos y e nálisis de criticalidad son pasos posteriores en el proceso. La clasificación de datos se requiere par
II
Cuando se ha diseñado una política de seguridad de información, lo MÁS importante es que la política ara ser efectiva, una política de seguridad de información debería llegar a todos los miembros de ersonal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable e seguridad de información sea: ero de poco valor si su contenido no es conocido por los empleados de la organización. L
II
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SI eterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificación de SI/TI con lo lanes del negocio. Las opciones A, C y D oporta los objetivos de negocio de las organizaciones determinando si SI: on métodos efectivos para determinar si los planes de SI están en armonía con los objetivos del negocio y con las
II
Cuando un empleado es despedido de su servicio, la acción MÁS importante es:
II
Cuando una organización está seleccionando (outsourcing) su función de seguridad nformación, ¿cuál de lo siguiente debe ser conservado en la organización?
II
ar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY robablemente a:
xiste una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de cceso, por lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acción más mportante que se debe emprender. Todo el trabajo del empleado terminado necesita ser entregado
de a responsabilidad no puede ser transferida a terceros ajenos. Las opciones B, C y D ueden ser efectuadas por entidades externas mientras la responsabilidad continúe dentro de la rganización. l desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo de las aplicaciones podría vadir los controles. Las opciones A, C y D no están relacionadas con, ni puede asumirse que resulten de, mover
II
De las funciones siguientes, ¿cuál es la función MÁS importante que debe realizar la administración de TI cuando se ha dado un servicio para realizarse por outsourcing?
En un ambiente de outsourcing, la compañía depende del desempeño del proveedor del servicio. Por esta razón es crítico que se monitoree el desempeño del proveedor de outsourcing para asegurar que éste preste a l compañía los servicios que se requieran. El pago de las facturas es una función financiera que se haría po
II
De lo siguiente, el elemento MÁS importante para la implementación exitosa del gobierno de TI es:
El objetivo clave de un programa de gobierno de TI es dar soporte al negocio; de ese modo, es necesaria la identificación de estrategias organizacionales para asegurar la alineación entre TI y el gobierno corporativo. Sin identificación de estrategias organizacionales, las opciones restantes, aún s
II
Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
II
Desde una perspectiva de control, la descripción de un trabajo debe establecer responsabilidad deber de reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los usuarios acceso a sistema en conformidad con las responsabilidades definidas de su trabajo.Las otras opciones no está
Controles compensatorios son controles que pretenden reducir el riesgo de una debilidad de control existente o Durante el curso de una auditoría, un auditor de SI observa que las funciones no están debidamente segregadas. En una circunstancia semejante, el Auditor de SI debería buscar: otencial cuando las funciones no pueden ser correctamente segregadas. Los controles traslapados se complementan entre sí y complementan los controles existentes pero no resuelven los riesgos
II
El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una erramienta de gobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño (performance) de TI aparte de:
Los resultados financieros han sido tradicionalmente la única medida general de desempeño. El cuadro de mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de T dirigida a monitorear los indicadores de evaluación del desempeño de TI además de los
II
El desarrollo de una política de seguridad de SI es resposabilidad de:
A diferencia de otras políticas corporativas, el marco de la política de seguridad de sistemas es responsabilida de la dirección general, la junta directiva. El departamento de SI es responsable de la ejecución de l olítica, no teniendo ninguna autoridad en el enmarcado de la política. El comité de segurida
II
El efecto MÁS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe existir un comité de seguimiento para asegurar que las estrategias de TI soporten las metas de l organización. La ausencia de un comité de tecnología de información o un comité no compuesto de TI es: altos gerentes sería una indicación de falta de participación de la alta gerencia. Esta condición aumentaría e
II
El gobierno de TI es PRIMARIAMENTE responsabilidad del:
El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas (representados por la junta directiva [board of directors.]) El director general es instrumental par implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. El comité de
II
El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el:
Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma dirección, requiriendo que
La orientación del negocio debe ser el tema principal al implementar la seguridad. Por ello na auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las olíticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de
II
El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:
II
El paso inicial para establecer un programa de seguridad de información es:
Una declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.
II
El resultado (output) del proceso de administración de riesgos es un input para hacer:
El proceso de administración del riesgo trata sobre la toma de decisiones relacionadas con seguridad específica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las metas en última instancia del proceso de administración del riesgo.
II
En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SI El auditor debe primero evaluar la definición del nivel mínimo de línea base para asegurar debe PRIMERO asegurar: la idoneidad de los controles. La documentación, la implementación y el cumplimiento son otros asos adicionales.
II
II
II
II
En una organización, las responsabilidades de seguridad de TI están claramente asignadas Las juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de ejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y de información para establecer clasificaciones para la seguridad en sus organizaciones. Los rangos so impacto. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno deinexistentes, iniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilidades de l
Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia debería establecer el nivel de riesgo aceptable, ya que ellos son los responsables en última instancia o los responsables finales de la operación efectiva y eficiente de la organización. Las opciones A, C y D deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.
La administración de una organización ha decidido establecer un programa de conocimiento de la Utilizar un sistema de detección de intrusos para reportar sobre los incidentes que ocurren es un seguridad. ¿Cuál de los siguientes es MÁS implementación de un programa de seguridad y no es efectivo para establecer un programa de robable que sea parte del programa? conocimiento de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento es la únic
La evaluación de los riesgos de TI se logra MEJOR:
Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidades usando métodos cualitativos o cuantitativos de evaluación del riesgo. Las opciones B, C y D son potencialmente insumos útiles para e roceso de evaluación del riesgo, pero por sí mismas no son suficientes. Basar una evaluación en las érdidas pasadas no reflejará de manera adecuada los cambios inevitables a los activos, proyectos
II
II
La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo información y datos sensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hackers, que tiene como consecuencia la pérdida de información sensitiva, que podría conducir a la pérdida de plusvalía
La falta de controles adecuados de seguridad representa:
La función de establecimiento del libro mayor/mayor general (general ledger) en u El establecimiento de períodos contables es una de las actividades críticas de la función de finanzas. Otorga aquete empresarial (ERP) permite fijar períodos contables. El acceso a esta función ha sidoacceso a esta función al personal en el almacén y en el ingreso de órdenes podría ser a causa de una falt ermitido a los usuarios en finanzas, almacén e ingreso de órdenes. La razón MÁS probable par de políticas y procedimientos apropiados para la segregación adecuada de funciones. Los períodos contables no deberían ser cambiados a intervalos regulares, sino que se deberían establecer de maner dicho amplio acceso es:
II
La participación de la alta gerencia es MÁS importante en el desarrollo de:
Los planes estratégicos proveen la base para asegurar que la empresa cumpla sus metas objetivos. La participación de la alta gerencia es crítica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamientos
II
La velocidad de cambio de la tecnología aumenta la importancia de:
El cambio requiere que se implementen y ejecuten buenos procesos de administración de cambios. Hacer un outsourcing a la función de SI no está directamente relacionado con l elocidad de cambio tecnológico. El personal en un departamento típico de SI está altamente
II
La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las Un método de abajo hacia arriba comienza por definir los requerimientos y políticas de nivel operativo, que se derivan y se implementan como el resultado de evaluaciones de riesgo. Las políticas a nivel de la empres olíticas: se desarrollan posteriormente con base en una síntesis de las políticas operativas existentes. Las opciones A, C
II
Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para entender:
Un objetivo de control de TI se define como la declaración del resultado deseado o el propósito a ser alcanzado implementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos erdaderos para implementar controles y pueden o no ser las mejores prácticas. Las técnicas son el medio de
II
Los riesgos asociados con recopilar evidencia electrónica es MÁS probable que se reduzcan, en el caso de un e-mail, por una:
Con una política de registros de e-mail bien archivados, es posible el acceso a o la recuperación de registros de eails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas de seguridad y/o olíticas de auditoría no resolverían la eficiencia de recuperación de registros, y destruir e-mails
II
II
Mientras realiza una auditoría de un proveedor de servicio, el Auditor de SI observa que e Muchos países han establecido reglamentaciones para proteger la confidencialidad de información que roveedor de servicio ha sometido a outsourcing una parte del trabajo a otro proveedor. Como e se mantiene en sus países y/o que es intercambiada con otros países. Donde el proveedor de servicio h rabajo implica el uso de información confidencial, la preocupación PRIMARIA del Auditor de S sometido a outsourcing una parte de sus servicios a otro proveedor de servicios, hay un riesgo potencial de
Muchas organizaciones requieren
todos los empleados
vacación obligatoria de
Las vacaciones requeridas de una semana o más de duración en la que alguien que no sea el empleado
II
II
II
II
II
II
II
II
II
Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor Para asegurar que la organización esté cumpliendo con los aspectos de privacidad, un audito de SI debería tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos de SI debería PRIMERO revisar: legales y regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Después de entende
Para asistir a una organización en la planeación de las inversiones de TI, el Auditor de SI debería ecomendar el uso de:
La arquitectura de empresa (EA) implica documentar los activos y procesos de TI de la organización en una orma estructurada para facilitar la comprensión, administrar y planear las inversiones de TI. Ello implica tanto un estado corriente como una representación de un futuro estado optimizado. A
Para ayudar a la administración a alcanzar la alineación entre TI y el negocio, un auditor de SI debería Un scorecard balanceado de TI provee el puente entre los objetivos de TI y los objetivos del negocio suplementando la evaluación financiera tradicional con medidas para evaluar la satisfacción del cliente, los ecomendar el uso de: rocesos internos y la capacidad de innovar. La autoevaluación del control, el análisis del impacto sobre e The scorecard balanceado de TI es una herramienta que provee el puente entre los objetivos de TI y los objetivos Para lograr entender la efectividad de la planeación y la administración de inversiones en activos de T del negocio complementando la evaluación financiera tradicional con medidas para evaluar la satisfacción de de una organización, un auditor de SI cliente, los procesos internos y la capacidad de innovar. Un modelo de datos de empresa es un documento que debería revisar: define la estructura de datos de una organización y la forma en que se interrelacionan los datos. Es útil pero no
Para minimizar los costos y mejorar los niveles de servicio, ¿un outsourcer debe buscar cuál de las siguientes cláusulas de contrato?
Como el outsourcer compartirá un porcentaje de los ahorros logrados, las bonificaciones por cumplimiento en compartir las ganancias proveen un incentive financiero para ir para superar los términos establecidos del contrato y pueden conducir a ahorros en los costos para el cliente. Las
Para resolver el riesgo de falta del personal de operaciones para efectuar la copia de Mitigación es la estrategia que dispone la definición e implementación de los controles para resolve espaldo diaria, la administración requiere que el administrador de sistemas firme la salida en el riesgo descrito. Prevención es una estrategia que dispone no implementar ciertas actividades o rocesos que incurrirían en mayor riesgo. Transferencia es la estrategia que dispone compartir e la copia de respaldo diaria. Este es un ejemplo de riesgo: Para soportar las metas de una organización, el departamento de SI debe tener:
Para asegurar su contribución a la realización de las metas generales de una organización, el departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los planes más amplios de l organización para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían planes par
Un administrador de base de datos está realizando las siguientes actividades, ¿cuál de éstas debería ser Como los registros de actividad de la base de datos registran actividades realizadas por e administrador de la base de datos, su eliminación debería ser efectuada por una persona que no ealizada por una persona diferente? sea el administrador de la base de datos. Este es un control compensatorio para ayudar a asegurar que
Un administrador de LAN estaría normalmente restringido de:
Un administrador de LAN no debería tener responsabilidades de programación pero puede tene
II
Un auditor de SI debería preocuparse cuando un analista de telecomunicación:
Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de ed en términos de volúmenes corrientes y futuros de transacciones (opción B), evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red
II
Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la olítica de seguridad de información de la empresa. El auditor de SI debe concluir que:
Todos los empleados deben tener conocimiento de la política de seguridad de la empresa para prevenir l evelación no intencional de información sensitiva. La capacitación es un control preventivo. Los programas de concientización de la seguridad para los empleados puede prevenir la revelación no intencional de
II
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenazas y l Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e- robabilidad de que ocurran. Las opciones A, B y D deberían ser discutidas con el director de sistemas (Chief Information Officer-CIO) y se debería entregar un reporte al director general (Chief Executive usiness en busca de vulnerabilidades. ¿Cuál sería la siguiente tarea? Cuando se realiza una revisión de los controles generales es importante que un auditor de SI preste atención a ema de la segregación de funciones, que está afectada por prácticas de vacaciones /feriados. Las políticas y e cumplimiento de vacaciones obligatorias puede variar dependiendo del país y de la industria. Las
II
Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia de SI relativas al personal debería prestar particular atención a:
II
Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organización. Para evaluar el plan estratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan de negocios.
II
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina:
II
De las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras l uncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería una obligación contractua específica. De manera similar, la metodología de desarrollo no debería de real preocupación. El contrato
Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe evaluar El entrenamiento cruzado es un proceso de entrenar más de una persona para que realice un trabajo o rocedimiento específico. Esta práctica ayuda a reducir la dependencia de una sola persona y asiste en l el riesgo de: laneación de la sucesión. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo
II
Un auditor ha sido asignado para revisar las estructuras de TI y las actividades ecientemente seleccionadas (outsourced) para diversos proveedores. ¿Cuál de lo siguiente debería el Auditor de SI determinar PRIMERO?
La complejidad de las estructuras de TI igualada por la complejidad y entrejuego de responsabilidades garantías puede afectar o invalidar la efectividad de esas garantías y la certeza razonable de que las necesidades del negocio serán cubiertas. Todas las otras opciones son importantes, pero no tan potencialmente peligrosas
II
Un comité de dirección de SI debe:
Es importante llevar las actas detalladas de los comités de dirección para documentar las decisiones y las actividades del comité de dirección de SI, y la junta directiva debe ser informada a su debido tiempo.
II
II
II
Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para determinar:
La función de un comité de seguimiento de TI es asegurar que el departamento de SI esté en armonía con la isión y los objetivos de la organización. Para asegurar esto, el comité debe determinar si los procesos de TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta, y
Un caso comprensivo de negocio para cualquier inversión de negocio propuesta relacionada con TI debería Un ejemplo de un beneficio directo a derivarse de una propuesta inversión de negocio relacionada con ener beneficios de negocio claramente definidos para permitir el cálculo de los beneficios. Estos beneficios por TI es: lo general caen en dos categorías: directos e indirectos o suaves. Los beneficios directos por lo general Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y conLa independencia debería ser constantemente evaluada por el auditor y la gerencia. Esta evaluación amplia experiencia gerencial ha aplicado para una posición vacante en el departamento dedebería considerar factores tales como las relaciones personales, los intereses financieros y previas auditoría de SI. La determinación de si se debe contratar a esta persona para esta posiciónasignaciones y responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado e La práctica común, cuando es difícil calcular las pérdidas financieras, es tomar un enfoque cualitativo, en el que el gerente afectado por el riesgo define la pérdida financiera en términos de un factor ponderado (e.g., 1 es un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es computado cuando ay ahorros o ingresos predecibles, que pueden ser comparados con la inversión que se necesita para realizar
II
Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas inancieras que podrían resultar de riesgo. Para evaluar las pérdidas potenciales el equipo debería:
II
Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:
Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno a TI y provean el liderazgo, las estructuras y procesos organizacionales que aseguren que la TI de la organización sostiene y extiende las estrategias y objetivos de la organización y que la estrategia está en armonía
II
Un método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar:
Derivar políticas de nivel inferior de las políticas corporativas (un método de arriba abajo) ayuda a asegurar consistencia en toda la organización y consistencia con otras políticas. El método de abajo arriba para el desarrollo de las políticas operativas se deriva como resultado de la evaluación del riesgo.
II
II
Una opción deficiente de contraseñas y transmisión a través de líneas de comunicación no protegidas Las vulnerabilidades representan características de recursos de información que pueden ser explotados por na amenaza. Las amenazas son circunstancias o eventos con el potencial de causar daño a los son ejemplos de: ecursos de información, las probabilidades representan la probabilidad de que ocurra una Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes es Administrar/Gestionar activamente el cumplimiento de los términos del contrato para los servicios externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una esponsabilidad de la gerencia de TI de la organización? esponsabilidad de finanzas. La negociación del acuerdo contractual ya habría ocurrido y por lo genera Una organización
adquirió otros negocios continúa utilizando
sistemas heredados de EDI, Los acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de los requerimientos